Je bent als bedrijf aansprakelijk voor stiekem geïnstalleerde software door je werknemer

camera-laptop-video-chat-gesprekEen werkgever is aansprakelijk voor illegale software geïnstalleerd door een werknemer, en daarbij maakt het niet uit of dat expliciet verboden was door de werkgever. Dat maak ik op uit een recent vonnis (via) van de rechtbank Rotterdam. Er is sprake van zogeheten risico-aansprakelijkheid: ongeacht wat je doet, je draait op voor eventuele inbreuken op auteursrechten door je personeel. Auw.

In deze zaak ging het om het CAD-pakket Solid Edge van Siemens. Het aangeklaagde bedrijf had keurig zeven licenties daarop aangekocht, maar op zeker moment nam een werknemer nog een achtste kopie in gebruik. (Waarom? Tussen de regels door lezend vermoed ik dat de gekochte versies beperkt waren in functionaliteit en de achtste kopie een gekraakte full versie.)

De software had bel-naar-huis functionaliteit, zodat Siemens op de hoogte kwam van de licentieschending en besloot beslag te leggen op de laptop waar die kopie op stond. Iets dat in het Nederlands recht gewoon kan als opmaat naar een rechtszaak, en die kwam er dan ook.

Maar hoe kun je als werkgever aansprakelijk zijn voor zo’n illegale stunt van je werknemer? Nou simpel, dat staat in de wet en wel als risico-aansprakelijkheid (art. 6:170 BW): als het gebeurt, dan ben je aansprakelijk. Dat is je risico als je werkgever bent. Het doet er niet toe of je de werknemer hiertoe had aangezet of het hem juist had verboden. De wet legt de lat heel laag. Het gaat erom of de kans op de fout door de opdracht tot het verrichten van de opgedragen werkzaamheden is vergroot. En daarvan is hier sprake zegt de rechter:

Daarvan is sprake omdat aan de werknemer ‘administrator’-rechten zijn verleend. Weliswaar had dit tot doel dat hij gratis applicaties kon downloaden voor het programmeren van complexe machines, maar hierdoor kreeg hij tevens de mogelijkheid het softwareprogramma op zijn laptop te plaatsen. Dat Maverick Manufacturing zich daarvan bewust was, volgt uit de omstandigheid dat zij op 15 oktober 2015 onmiddellijk heeft geprobeerd het softwareprogramma van de laptop te verwijderen toen zij ermee bekend raakte dat beslag tot afgifte werd gelegd.

Die laatste zin is natuurlijk redelijk dodelijk, maar de eerste vind ik intrigerender. Als je je werknemers toestaat legale software te installeren, dan neem je dus het risico (en de aansprakelijkheid) op je dat ze illegale software erbij zetten. En daar draai jij dan voor op, ook als je expliciet erbij had gezegd dat dit écht niet mag:

Voor het aannemen van aansprakelijkheid in de zin van art. 6:170 BW is niet relevant of werknemers gevolg geven aan een dergelijk verbod. Evenmin is voor het aannemen van aansprakelijkheid relevant dat software gemakkelijk van internet is te downloaden en dat dit buiten het zicht van Maverick Manufacturing heeft plaatsgevonden (…).

Het bedrijf moet dus de schade van Siemens (13.000 euro licentie- en onderhoudskosten en 5.000 opsporingskosten) plus advocaatkosten (een kleine 10.000 euro) vergoeden door deze fout.

Een grote strop die ze onmiddellijk gaan verhalen op die werknemer? Vergeet het maar. Allereerst moet er sprake zijn van opzet of bewuste roekeloosheid (art. 7:661 BW), en dat is een hoge lat. Iets doen dat je expliciet verboden is, voldoet nog niet aan deze eis. Je zult echt moeten bewijzen dat de werknemer dit deed met het oogmerk de werkgever schade te berokkenen.

Ze vanaf nu laten tekenen voor persoonlijke aansprakelijkheid? Ja, leuk geprobeerd maar die kennen we ook al: lid 2 van datzelfde artikel zegt dat dat alleen kan bij schriftelijke afspraak – dus in de arbeidsovereenkomst, niet in een later voorgelegd papiertje of reglement – en alleen voor zaken waar de werknemer voor verzekerd is. En dat is geen mens als het gaat om auteursrechtinbreuk. Desondanks zie ik het wel gebeuren dat de nodige werkgevers nu aansprakelijkheidsbriefjes opstellen voor mensen die administrator-rechten willen, maar die zijn dus volkomen waardeloos.

Arnoud

28 reacties

  1. Wat er aan mogelijkheden nog over blijft is dat de werkgever een sanctie (straf) aan de werknemer oplegt. En de systeembeheerders regelmatig een inventarisatie laat maken van welke software er op de computers is geinstalleerd. (Bij een bedrijf waar ik gewerkt heb kwam hij twee keer per jaar langs met een spreadsheet: ja, Vim is open source, python ook…)

    1. Een werkgever mag een werknemer ook niet willekeurig een sanctie opleggen. Ze kunnen bijvoorbeeld niet het schadebedrag van zijn loon in gaan houden, want de wet zegt heel duidelijk dat de werkgever, niet de werknemer, hiervoor aansprakelijk is.

    1. Je bedoelt denk ik “strijdig met de maatschappelijke zorgvuldigheid”? Ja, dat is het. Alleen hebben we hier een wettelijke regel die specifiek zegt dat een werknemer alléén aansprakelijk is voor schade bij opzet en grove nalatigheid (of aparte afspraak met verzekering). En er is een algemene regel die zegt dat specifieke regels winnen van algemene als die twee wat verschillends zeggen. Dus de uitkomst blijft hetzelfde.

  2. (Waarom? Tussen de regels door lezend vermoed ik dat de gekochte versies beperkt waren in functionaliteit en de achtste kopie een gekraakte full versie.)

    Dat kan. Het gebeurt ook wel eens dat bedrijven minder licenties nemen dan er gebruikers zijn, en dan moeten werknemers soms op elkaar wachten om de software te kunnen gebruiken. Dan is de verleiding al snel groot om zelf ergens een gekraakte kopie te installeren. Natuurlijk is die gekraakte versie de volledige versie: wie kiest er nou voor een illegale beperkte versie, als de illegale volledige versie net zo goedkoop is?

    zaken waar de werknemer voor verzekerd is. En dat is geen mens als het gaat om auteursrechtinbreuk.

    Zou dat geen mooi idee zijn? Een verzekering voor claims vanwege auteursrechtinbreuk? Ik zou zelf wel geïnteresseerd zijn: dan kan ik gewoon in vrijheid downloaden wat ik wil. Het voordeel van het gratis downloaden vervalt dan, maar je blijft, in tegenstelling tot de legale markt, de vrijheid van het downloaden behouden. Daarnaast lijkt er vanuit het bedrijfsleven dus ook een markt te zijn voor zo’n verzekering.

    Ik ben alleen bang voor een bij-effect: op dit moment worden auteursrechtenclaims beperkt door het “kale kip” principe: als een scholier of een bijstandsmoeder verantwoordelijk is voor tienduizend kopieën van een film, kan je nooit tienduizend keer de winkelprijs van de film ophalen. Een verzekeraar is veel minder “zielig” en heeft veel meer geld, dus toegekende claims zouden ook wel eens de lucht in kunnen schieten. De verzekeringspremie stijgt dan natuurlijk automatisch mee.

    Er zou een manier moeten zijn om de maatschappij zo in te richten dat mensen volledig vrij zijn in het maken van kopieën, maar toch in harmonie leven met producenten. Het lijkt er alleen op dat zo’n verzekering toch niet de manier is.

    1. Zo’n verzekering zie ik niet snel voor eigen handelen. Maar het lijkt mij een alleszins redelijke verzekering voor schade veroorzaakt door derden. Die externe partij die je website gemaakt heeft en verzekerde dat alle rechten geregeld waren. Die CC foto die niet van de verspreider was en dus toch geen CC was. Ik noem maar wat problemen die je kan krijgen als bedrijf terwijl je zelf je best doet om alles goed te doen.

      Auteursrecht is krom en hoe langer ik dit blog lees hoe meer ik overtuigd ben dat het volledig op de schop moet. Het heeft inmiddels niets meer met recht te maken en niets meer met het verzekren van een redelijk inkomen voor auteurs om creativiteit te stimuleren. Het is een graai excuus geworden voor mega corporaties en ik zie niet waarom wij als samenleving hieraan mee moeten werken.

  3. Ik ben benieuwd hoe de Belgisch wetgever hiermee omgaat. In het BW lees ik ook dat een werknemer niet aansprakelijk is tijdens het uitvoeren van zijn werkzaamheden, tenzij in het geval van zware fout (“een fout die zo groot en buitensporig van aard is dat ze onvergeeflijk is in hoofde van diegene die ze begaat”) of herhaaldelijke lichte fout. Volgens mij laat dit wel opening: illegaal software installeren lijkt mij onder zware fout te passen?

    http://www.werk.belgie.be/defaultTab.aspx?id=41988

    1. Voor het installeren van illegale software speelt, denk ik, vaak teveel mee op het gebied van gezagsverhoudingen tussen werknemer en werkgever. Ongeveer zo:

      • Werkgever: Druk, druk, druk, maar het project moet toch echt prioriteit krijgen.
      • Werknemer: Ja maar, we hebben gedeelde licenties dus ik kan de helft van de tijd niet aan de slag omdat de licenties ‘op’ zijn. En we missen CAD-functionaliteit wat veel tijd kost omdat we het nu zelf moeten oplossen in plaats van dat het pakket het voor ons doet.
      • Werkgever: Dat begrijp ik, kijk wat je kan doen (dooddoener…). Maar niet gezegd: als het project vertraging oploopt wordt dat toch een vervelend puntje tijdens je functioneringsgesprek

      Dus de werknemer installeert toch maar de illegale software…

      • ontegenzeggelijk in het belang van de werkgever (vanwege projectvoortgang en inzetbaarheid van de werknemer)
      • om later gezeur met de werkgever te voorkomen als het project niet afkomt

      Geen rechter die het in zijn hoofd zal halen om de verantwoordelijkheid bij de werknemer te leggen lijkt me, maar misschien redeneer ik hier teveel vanuit het gevoel (ik weet niets van recht)…

  4. 5000 euro voor opsporingskosten, terwijl er een phone-home functie was gebruikt ?! Overigens verbaast dit vonnis mij 0.0%. Ik kan me best voorstellen dat een werknemer een keer toch aansprakelijk wordt gesteld voor het niet opvolgen van instructies omtrent het niet installeren van illegaal software. Maar dan moet de werkgever aantonen écht het nodige te hebben gedaan om dit duidelijk te verbieden. Maar ik vermoed dat de rechter hier gewoon heeft afgewogen dat de kans groot was dat de werkgever de andere kant opkeek omdat hij er belang bij had. En administrator-rechten zijn volgens mij niet eens een argument, deze zijn meestal een beveiligingsmaatregel voor data/infrastructuur van het bedrijf zelf.

    1. Wat betreft die opsporingskosten: ik zou het nog niet zo vreemd vinden als de kosten van de phone-home functie en het instand houden van de servers daarvoor daarin verdisconteerd zitten. Immers als legale klant zou ik het best begrijpelijk vinden als de kosten voor functionaliteit om illegaal gebruik tegen te gaan, zoveel mogelijk omgeslagen worden over opgespoorde illegale gebruikers. Het hangt er vanaf hoe vaak ze succesvol zo’n zaak winnen om te bepalen hoeveel van die kosten aan een overtreder moeten worden toegerekend.

    2. Ik zie in het vonnis geen (verwijzing naar een) specificatie van het bedrag aan “opsporingskosten”, maar de hoogte van het bedrag is ook niet betwist door de tegenpartij. Met de “phone-home” functie en legale gebruikers in het bedrijf lijkt 5000 euro me een erg hoog bedrag voor alleen de kosten van het vinden van de inbreukmaker, maar als een forensische analyse van de laptop gemaakt is dan wordt het bedrag een stuk redelijker.

      1. Als ik zelf het vonnis snel doorneem, zie ik 5.000 euro (ex btw!) aan “kosten ter vaststelling van de aansprakelijkheid”. Hierover zegt de rechter: “Dit bedrag zal worden toegewezen; duidelijk is dat zij kosten moet maken om een inbreuk op haar auteursrecht op te sporen.” Blijkbaar heeft dit zijn grondslag in 6:96BW lid 2 sub b. Dit zijn kosten die zelfs in rekening gebracht kunnen worden, zelfs als bevonden wordt dat er géén schade was (ECLI:NL:HR:2003:AF7423). Ik betwijfel of ‘opsporingskosten’ voorgaand aan het feit hieronder zouden mogen vallen!

        Dom om het niet te betwisten lijkt mij als leek. Want 5000 euro ex btw enkel om te zien óf en hoeveel schade er was, klinkt mij niet erg redelijk in de oren. Daarnaast was er al een phone-home functionaliteit aanwezig. En is het bedrag misschien dubbelop als het onderzoek door dezelfde advocaat is gedaan wiens proceskosten al 9.426,53 euro waren.

  5. Hoe zit het dan met BYOD? Dan is de laptiop waarop het geinstalleerd staat van de werknemer, niet van het bedrijf. Deze worden vaak ook privé gebruikt, is de werknemer dan wel verantwoordelijk? Of is de werkgever dan verantwoordelijk geworden voor wat de werknemer op zijn privé apparatuur doet, omdat hij toestaat dat hij die voor het werk gebruikt?

    1. De werkgever is te allen tijde verantwoordelijk en aansprakelijk voor fouten van zijn werknemers. Ook als het met BYOD gebeurt. Als ik mijn privé meegenomen kop koffie over de laptop van een klant gooi, moet de werkgever dat ook vergoeden en niet ik privé.

      Wanneer het gaat om privézaken die niets met het werk te maken hebben, dan is de kans reëel dat het werknemersaansprakelijkheid is. Ik plaats een beledigend forumbericht in mijn lunchpauze bijvoorbeeld. Daar zie ik zelden tot nooit een linkje naar de werkgever (tenzij je die met naam noemt of zo). Maar dan maakt het weer niet uit of het privé dan wel zakelijke apparatuur is.

      Het gaat dus niet om de apparatuur maar om wat je ermee doet.

    2. Dat is een interessante vraag, hangt van de feitelijke situatie af. Ik kan een aantal overwegingen noemen:
      – Suggereert of verplicht de werkgever installatie van de illegale software?
      – Heeft de werkgever “beheerssoftware” [*] op het BYOD geinstalleerd?
      – Is de software nuttig voor het werk of primair bestemd voor prive-gebruik?

      [*] Hiermee bedoel ik software waarmee systeemstatus (waaronder geinstalleerde software) opgevraagd kan worden en vaak ook gegevens gewist kunnen worden. Een remote access pakket reken ik hier ook onder.

  6. Dat Maverick Manufacturing zich daarvan bewust was, volgt uit de omstandigheid dat zij op 15 oktober 2015 onmiddellijk heeft geprobeerd het softwareprogramma van de laptop te verwijderen toen zij ermee bekend raakte dat beslag tot afgifte werd gelegd.

    Dit zal ook niet helpen bij de rechter neem ik aan. “He wat hebben we hier aan onze fiets hangen? Beste Siemens wij als klant moeten even samen kijken hoe we hier uitkomen” was wellicht handiger geweest dan “Snel! Verwijderen die hap dan zien ze het niet!”

  7. Allereerst moet er sprake zijn van opzet of bewuste roekeloosheid (art. 7:661 BW), en dat is een hoge lat. Iets doen dat je expliciet verboden is, voldoet nog niet aan deze eis. Je zult echt moeten bewijzen dat de werknemer dit deed met het oogmerk de werkgever schade te berokkenen.

    Dit begrijp ik niet. Opzet en roekeloosheid zijn hier zonneklaar. Roekeloosheid is niet het oogmerk schade te berokkenen, maar welbewust het risico op schade nemen. Opzet is hier niet opzet schade te lijden maar opzet het risico op schade nemen.

  8. Wellicht een late reactie, maar is er hierbij onderscheid te maken tussen een desktop/laptop of een telefoon of een tablet? Voor het installeren van illegale software op de laatste twee heb je vaak kennis nodig (rooten, apk’s installeren (android) of jailbreaken (iOs)). Deze kennis wordt blijkbaar als “verder gevorderd” gezien dan het downloaden en installeren van illegale software, waardoor opzet wellicht beter te bewijzen valt?

    De afweging tussen “bruikbaar” en “veilig” (in de breedste zin van het woord) blijft dus in mijn ogen een bedrijfsrisico overweging: maken we onze medewerkers flexibel en zelfstandig met het risico dat we zo’n boete krijgen, of geven we het geld uit aan maatregelen dit in te perken.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.