Een lezer vroeg me:
Sel dat je als freelancer aan een (software)project werkt voor een opdrachtgever, en om de een of andere reden is wat je aan het bouwen bent niet legaal. Misschien niet heel evident maar je ziet wel twijfels. Moet je daar dan nader onderzoek naar doen, juridisch advies inwinnen of kun je dat bij je opdrachtgever neerleggen in bijvoorbeeld de opdrachtbevestiging of algemene voorwaarden?
Dit is zo heel algemeen natuurlijk lastig te zeggen. Je kunt in een zakelijke overeenkomst veel doen, inclusief aansprakelijkheden voor van alles en nog wat verleggen naar je opdrachtgever. Je zult daar wel expliciet over moeten zijn en het is natuurlijk maar de vraag waarom je opdrachtgever daarmee akkoord zou gaan.
Voor mij zou een belangrijke zijn of wat je aan het bouwen bent nooit legaal kan zijn of juist soms. Een goksite kan illegaal zijn, maar als de opdrachtgever keurig een vergunning weet te krijgen, dan is er niets aan de hand. Als de opdrachtgever je vraagt iets te maken om zijn ex permanent te kunnen volgen, dan is de legale optie iets minder goed voorstelbaar.
Ook zou het nogal uitmaken hoe ernstig de illegaliteit is. Als een webwinkelier zijn btw-nummer niet op de site wil (dat is immers ook zijn BSN), dan is dat een wetsovertreding maar dat is van een iets andere orde dan die spyware. Ik zou daar minder moeite mee hebben om in mee te gaan als ontwikkelaar.
Hetzelfde geldt voor de vraag wiens idee het was, die illegale feature. Standaard het btw-nummer weglaten omdat het de klant zijn privacy raakt (het is immers zijn BSN) vind ik heel wat anders dan op klantverzoek en na discussie dat nummer weglaten. Of bij implementatie van iemands analytics geen cookietoestemming vragen omdat de cookiewet idioot is en toch niemand het leest. Dat mag je vinden, maar dat is een beslissing van je klant.
In de security-wereld kennen ze dit probleem al langer: veel security-onderzoek botst tegen de grijze randjes van computervredebreuk aan. Hiervoor is het instrument van de pentest waiver uitgevonden, waarin de opdrachtgever kortweg zegt dat het onderzoek mag en dat hij van iedereen toestemming heeft en je vrijwaart van claims van de hele wereld.
Het belangrijkste lijkt me om in zulke twijfelgevallen vast te leggen wat de zorg is, hoe daarover gesproken is en wat de conclusie was. Dat sluit ook aan bij je zorgplicht als opdrachtnemer (art. 7:400 BW). Als een opdrachtgever willens en wetens een bepaald risico neemt, dan kan hij daarna moeilijk nog een claim bij de ontwikkelaar leggen. Het vergt dus meer dan alleen een zin “alle aansprakelijkheid op het resultaat ligt bij de klant”.
Hebben jullie wel eens een opdracht gehad waarvan je dacht, dit lijkt me niet legaal?
Arnoud
Och ja. Klanten die inbreuk op privacy geen probleem vinden door het willen laten toevoegen van allerlei trackers binnen hun website.
(Even voor de zekerheid even niet onder mijn eigen naam.)
Ja zeker. Wel wat jaren geleden, maar bij een groot verwerker van grondstoffen voor levensmiddelen waar wij een productiemanagementsysteem bouwden werd mij gevraagd om een applicatie te bouwen die alleen op de computer van de directeur mocht worden geïnstalleerd. Grondstoffen werden namelijk gewogen bij binnenkomst; het waren geen vaste gewichten maar ruwe grondstoffen, en het gewicht was belangrijk voor de afrekening met de leverancier. De leverancier gaf aan dat hij ongeveer ‘x ton’ van grondstof A leverde. De applicatie bij de directeur gaf hem de mogelijkheid om na weging de gewogen hoeveelheden zonder logging rechtstreeks in de database aan te passen. Officieel was dat om de gemeten hoeveelheden ‘iets’ aan te passen zodat er makkelijker af te rekenen bedragen uitrolden, maar ik heb het vermoeden dat er op die manier ook nog wel wat ‘bezuinigd’ werd….
Een derde heeft niets te maken met de afspraken tussen de freelancer en de ZZP’er. Die kan alsnog de ZZP’er aanspreken. Is het gebruikelijk om dan ook afspraken te maken over de procesvoering?
Ik denk dat het nog heel stuk genuanceerder is. Uiteraard kun je in de contractuele verhouding met de opdrachtgever van alles aftimmeren, zodat de opdrachtgever de opdrachtnemer niet aansprakelijk kan houden. Dan nog is het een eigen afweging van de opdrachtnemer op zo’n opdracht wel of niet aan te nemen. Wat je ook afspreekt met op de opdrachtgever voorkomt niet dat je onrechtmatig handelt ten opzichte van een derde. Stel dat je als opdracht krijgt een database te harvesten. Dan pleeg je mogelijk inbreuk op een databank van een derde en die derde kan dan mogelijk de ontwikkelaar aanspreken op die onrechtmatige daad. En als de opdracht leidt tot het plegen van een strafbaar feit, zul je als pleger je voor de strafrechter moeten verantwoorden en zal het ontkomen aan die strafrechtelijke aansprakelijkheid niet lukken op basis van contracten.
Ik heb ooit korte tijd gewerkt bij een werkgever die een groot deel van de software gewoon illegaal gebruikte en alles via diverse cracks geïnstalleerd moest worden. Software werd ook niet aangeschaft maar gewoon uit illegale bronnen verkregen. Wat voor mij genoeg redenen waren om elders maar te gaan werken…
Bedrijf was enkele maanden later compleet failliet…
Maar als je als Freelancer bij zo’n bedrijf terecht komt, wat moet je dan doen?
Oh hell yeah. “Kun je een scraper bouwen die de database van [onze grote concurrent] leegtrekt?” Ja, vast, maar dat ga ik niet doen.
“Kun je mij een kopie sturen van elk bericht dat gebruikers van mijn platform elkaar sturen?” Sure, maar daar begin ik ook niet aan.
Mijn favoriet: “Kan ik een mail krijgen als iemand z’n password aanmaakt/wijzigt met z’n username en password erin? Ik wil dat graag bijhouden.” Eh, nee. En nee, ik kan ze ook niet in de database zien.
IANAL, maar ik zou zeggen dat de grens idd ligt bij “kon je het redelijkerwijs vermoeden” vs. “had je mogen aannemen dat het doel legit was”. Een klant die een gokwebsite wil laten bouwen – tja, de vergunningen zijn MIJN probleem niet (ik zal wel even verifieren dat-ie snapt dat-ie die nodig heeft ;)). Een klant die een pr0nsite wil laten bouwen en halverwege voorbeeldmateriaal aanlevert met kinderen en/of dieren – ok, tijd voor een zeer pittig gesprek, ook al is het mijn zaak sec niet wat-ie met z’n CMS gaat doen na oplevering. Die site afmaken an sich lijkt me niet strafbaar (het is immers maar dummy content, for all I know gaat-ie er filmpjes van kittens opzetten) maar daar komt goed opdrachtnemerschap wel om de hoek kijken – ik kan redelijkerwijs vermoeden dat het stinkt. Ik zou in elk geval wel deze en gene inseinen dat ze deze meneer in de gaten moeten gaan houden 🙂
Het ligt natuurlijk anders als je iets wordt gevraagd wat overduidelijk illegaal is, b.v. hacken. Dat moet je gewoon weigeren.
@Wim: good for you. Als freelancer moet je voor je eigen tools zorgen, anders ben je geen ondernemer. Dus in principe zou dat – zolang je er zelf geen gebruik van maakt – voor jou geen gevolgen moeten hebben. Ga je vrolijk meedownloaden, ja, dan kan de BSA op je dak vallen. En terecht.
Stel je bent huurmoordenaar….. (is dit er een in het kader van de giecheltoets?)
Dan mag je als ze je pakken overnachten in een hotel op kosten van de staat.