Een licentiecode meenemen van je werk als je ontslag neemt, is geen diefstal of heling. Dat vonniste de rechtbank Den Haag onlangs. De verdachte in deze strafzaak had ontslag genomen en wilde kennelijk met die licentiecode goede sier maken bij de nieuwe werkgever, iets dat de oude werkgever zó ernstig vond dat men aangifte deed, en bij het OM vonden ze het ook ernstig genoeg om te vervolgen. Maar de rechtbank ziet hier geen diefstal in, omdat een licentiecode immers geen ‘goed’ is dat je kunt stelen.
De precieze reden voor het meenemen kan ik niet uit het vonnis halen, maar ik lees dat diverse werknemers tegelijk ontslag namen en bij de concurrent gingen werken. Deze werknemer had in dat verband die licentiecode voor een Amerikaans softwarepakket naar zichzelf gemaild vanaf het werk. De werkgever kwam hierachter en deed aangifte.
De verdachte werd formeel vervolgd voor het misdrijf bekendmaken van vertrouwelijke informatie (schending van bedrijfsgeheimen). Het is namelijk strafbaar om door misdrijf vertrouwelijke bedrijfsgegevens te achterhalen en bekend te maken (artikel 273 Strafrecht). Dat kan ook gaan om digitale informatie, en bij licentiecodes zie ik wel waarom je die als vertrouwelijk zou aanmerken.
Voor de rechtbank was er echter een principieel bezwaar: welk misdrijf dan? Want de verdachte was op zich gerechtigd in de computer van de werkgever die licentiecode op te vragen, dus er was geen sprake van computervredebreuk.
Je zou dan eerder van diefstal of verduistering moeten spreken, net zoals je het diefstal noemt als een werknemer legaal de kantine in gaat en een zak met koffiebonen meeneemt. Maar voor diefstal (of verduistering) is vereist dat er een ‘goed’ wordt weggenomen. En volgens de jurisprudentie kan dat alleen als het slachtoffer de feitelijke macht over die informatie verliest zodra de dader zich deze toe-eigent.
Bij objecten in virtuele werelden is voorstelbaar dat je spreekt van “feitelijke macht verliezen”. Als speler B dat zwaard te pakken krijgt van A, dan heeft A het automatisch niet meer. Idem voor zeg een bitcoin of een belminuut. Maar bij een licentiecode is daarvan geen sprake. De code is dan op twee plaatsen aanwezig, en twee partijen hebben er dan macht over. Daarom geen diefstal en dus geen strafbaar onthullen van bedrijfsgeheimen.
Op zich een logische uitkomst, zeker als je bedenkt dat de volgende Wet Computercriminaliteit dit expliciet wél strafbaar gaat stellen. A contrario redenerend doe je dat alleen als het nu niet strafbaar is, dus is het nu niet strafbaar.
Arnoud
273 WvS had wel doel kunnen treffen. Maar in de praktijk zou ik mijn pijlen op de nieuwe werkgever richten met een niet mis te verstane ‘cease and desist’ letter.
Belangrijker lijkt me het tweede deel van dit citaat
Want wat Arnoud schrijft: Als dan blijkt dat het licentiesysteem zodanig is ingericht dat het de laatstgeactiveerde instantie van het pakket actief houdt en alle anderen worden afgesloten, dan kan de oorspronkelijke eigenaar van de licentie zomaar worden buitengesloten van het software pakket. Dan is er echt schade, al was het maar dat hij wellicht op een zwarte lijst bij de software leverancier kan komen te staan omdat het software pakket opeens van verschillende IP-addressen / MAC adressen wordt geactiveerd.Zoals Jeroen schrijft: De meeste softwareleveranciers hebben in de licentievoorwaarden opgenomen dat je een bepaalde licentiecode maar één keer mag gebruiken. Het lijkt me duidelijk dat het gebruik zoals in deze zaak genoemd is niet zomaar toegestaan is (aangenomen dat de oorspronkelijke werkgever de licenties ook blijft gebruiken). Het is zeker niet ondenkbaar dat de leverancier de licentiecode daarna geheel deactiveert in een volgende softwareupdate (het is volgens mij niet ongebruikelijk dar software een zwarte lijst met gelekte licentiecodes bevat).
Mijn vraag: kan onder de huidige wet de oorspronkelijke wetgever de werknemer pas aansprakelijk stellen zodra er sprake is van deze situatie (dus als er feitelijk schade is), en dus nog niet zolang hier nog geen schade is? En speelt dit alleen bij software? Het is duidelijk dat ik geen software die ik gekocht zomaar mag verspreiden (vanwege de auteurswet), en (volgens mij) ook geen ‘cracks’ publiceren die de licentiecontrole-softwaremodule omzeilt? Maar mag ik wel mijn licentiecodes verspreiden?
Ik vind het heel logisch én terecht dat de verdachte is vrijgesproken. Immers, als ik het vonnis doorlees, dan blijkt uit niks dat de doorgemailde code is ‘gebruikt’. Enkel het doorsturen van een mails (met of zonder code) naar een privé mail behoort naar mijn weten nog niet strafbaar te zijn. In het vonnis lees ik ook dat de verdachte meerdere mails heeft doorgestuurd naar zijn privémail, en dat de mail met de code er maar één is tussen al die mails.
Ik heb zelf wel eens dingen naar mijn privémail gestuurd, omdat het praktischer was dan naar de bedrijfsmail te sturen. (Denk max. toegestande grootte van een mail, of een bedrijfsfirewall die een bijlage tegenhoudt.) En ik kan me goed voorstellen dat sommige werknemers mails doorsturen om iets van bewijzen te hebben voor het geval ze die nadien nodig hebben.
Het klinkt hier bijna als dat de werkgever maar eens door de mailboxen van de ex-werknemers is gaan snuffelen. (hola!) En dat toen hij die doorgestuurde mail zag met een code er in, dat wilde gebruiken als een stok om mee te slaan.
Dat het OM aanneemt dat er geen andere reden is om een mail door te sturen naar de privémail, anders dan met de kennelijke bedoeling deze bekend te maken en dan gelijk maar te gaan vervolgen voor bekendmaking, vind ik kwalijk.
Nou, geef eens een andere reden (dan ‘slechte plannen) dan om dat te doen?
Dat er goede, eerlijke, redenen zijn om wel eens iets naar een priveadres te emailen wil ik wel geloven, maar geef eens een goede reden voor dit geval, namelijk om dat met een licentiecode te doen? En dan nog net voordat je ontslag neemt!
‘Ik wilde de licentiecode backuppen voor het geval alle bedrijfssystemen zouden crashen’ haalt de giegeltoets niet, ik meld het maar even!
Wat dacht je van een gemakzuchtige Select All -> Forward ?
Ik neem aan dat het doel van het meenemen van de licentiecode is het gebruiken van een auteursrechtelijk beschermd werk zonder licentie. Ik zou daarom overwogen hebben om een aanklacht te baseren op artikel 31 en/of 32a Auteurswet, eventueel samen met artikel 45, 47, en/of 48 Wetboek van Strafrecht: pogen, doen plegen, medeplegen, medeplichtigheid. Eveneens goed voor 6 maanden gratis onderdak.
Ja, maar moet de auteursrechthouder dan geen actie ondernemen? Het lijkt me sterk dat een niet-exclusieve licentiehouder actie mag ondernemen.
Probleem daarmee is dat het OM als staand beleid heeft dat er niet wordt vervolgd wegens auteursrechtinbreuk, tenzij in samenhang met georganiseerde misdaad, terrorisme of bedreigingen voor de volksgezondheid (zoals bij nepmedicijnen). Daarmee zou de zaak dus direct afketsen.
Maar goed, dit had dan ook gewoon een civielrechtelijke zaak moeten zijn, dan lijkt me dit een stuk eenvoudiger. Toch?
Hoe gaat dit er precies uitzien? Welk aspect van deze handeling gaat onder de nieuwe wet wel strafbaar zijn?
Mooi, kan meteen de hele data copieer hysterie ook overboord. HET IS GEEN GOED.
Het gebruiken van die licentiecode door de nieuwe werkgever lijkt me fraude of iets dergelijks. Is aanzetten daartoe strafbaar?
Maar in dit geval is de code (nog) niet gebruikt door de nieuwe werkgever, dus van fraude is geen sprake. Aanzetten tot fraude zou dan hooguit kunnen, maar dan moet wél bewezen worden dat dat de intentie was van de (ex-)werknemer.
Maar met diezelfde redenatie is een mp3’tje downloaden toch ook geen diefstal/verduistering of wat dan ook en derhalve niet strafbaar? Dat klinkt tegenstrijdig. Zullen vast aanvullende wetten voor zijn (eg: auteursrechten), maar het blijft een vaag verhaal dat er dan opeens geen sprake hoeft te zijn van “een goed”.
Ik begrijp niets van de redenering (m.n. de gestelde vraag). Volgens arikel 273 is het verboden bedrijfsgeheimen bekend te maken, dat lijkt toch gebeurd (de licentiecode is bekend gemaakt) en dat lijkt me dan een misdrijf. Vervolgens stel je de vraag ” wat is het misdrijf dan?” en wordt er van alles bijgehaald (diefstal, computervredebreuk,…) wat inderdaad niet aan de orde is. Maar “bekend maken van bedrijfsgeheim” is toch wel aan de orde en dus sprake van misdrijf zou ik denken. Wat mis ik?
De licentiecode is niet daadwerkelijk aan derden bekend gemaakt. Het naar jezelf mailen is nog niet bekend maken, toch? En er is geen bewijs dat de code vanaf het privéadres aan wie dan ook gegeven is. Dus (nog?) geen bekendmaken.
Bedankt voor de verduidelijking. Heb ik me door het citaat uit de reactie van Jeroen B. op het verkeerde been laten zetten; daar staat dat de code wel bekend is gemaakt, maar dat staat inderdaad niet in de blog zelf.