Anno 2020 denken mensen nog steeds dat open source juridisch riskant is

Via Bert Boerland op Twitter las ik:

Bijzonder lachwekkend (tot tranen toe!) stukje over #opensource (#cms-en) en licenses. Microsoft deed dit truukje (“Fear, Uncertainty and Doubt) zo’n 10 jaar geleden nog, maar is op het rechte pad. Lang geleden dat ik zo’n tenenkrommend stuk over proprietary vs OSS stuk las

Het gaat om dit artikel van geslotensourcecmsmaker Plate (“Meer met multisites”). In de wereld van contentmanagementsystemen is opensource al lang ingeburgerd dacht ik altijd, met Joomla, WordPress en Drupal als bekendste voorbeelden. Maar zo lees ik dan hier “achter het gemak van open source schuilt namelijk een schimmige wereld van licentievoorwaarden.” Ik heb even gecheckt en het artikel is niet uit 2002 en per abuis opnieuw online gezet. Dus eh, wat krijgen we nou.

Toen open source nog een nieuw verschijnsel was in het zakelijk firmament (eind jaren negentig) ontstond meteen discussie over de bijbehorende licentievoorwaarden. Die waren namelijk nogal anders dan het gebruikelijke licentiegeweld: in tegenstelling tot veel moeten betalen en beperkte rechten krijgen zonder aansprakelijkheid voor fouten, stond in opensourcelicenties dat je niet hoefde te betalen, alles mocht maar dat je (althans soms) wel mee moest doen met de opensourcegedachte. Oh en er was geen aansprakelijkheid voor fouten.

Dat “mee moeten doen” gaf de nodige bedrijven juridische zorgen, want die hadden allemaal net tien jaar geleerd dat geld verdienen met softwarelicenties verkopen het grote ding was. En dan zou je dus die software, die broncode gewoon weggeven en anderen alles laten doen daarmee zonder vergoeding? Kon niet waar zijn. De ietwat principiële opstelling van de Free Software Foundation hielp ook niet echt; nadat een stel slimmeriken de zakelijke term “open source” erop plakten en webbrowser Netscape vrijgaven onder zo’n licentie werd het iets makkelijker maar de twijfels bleven.

Die zorg over geheimhouding van je waardevolle software zien we ook meteen in dit artikel terug:

Stel je daarbij voor dat als je een opdracht hebt gegeven om aanvullend maatwerk te laten ontwikkelen op een Joomla platform, waarin een belangrijk deel van een businessproces in is verwerkt, de kans bestaat dat dit maatwerk vrijgegeven moet worden door de ontwikkelaar.

Ik noem dit altijd de IP-reflex: we hebben een stukje software dat we van onszelf zien (en dat noemen we IP) en dús moet dat waardevol zijn en dus geheim gehouden worden. Voor juristen heel normaal, je leert namelijk dat rechten van iemand zijn, en dus te beschermen. Maar de achterliggende zakelijke afweging – de onderliggende waardering – die blijft dan buiten beschouwing.

Zo ook hier: waarom is het waardevol om die businessprocesinformatie geheim te houden? Is het écht voordeliger voor het bedrijf om dat stukje software voor eeuwig in-house te houden, zelf te onderhouden en bij te werken? Wat voor superwaardevol bedrijfsproces heb je dan? Ik ben heel benieuwd.

Dit nog los van het juridische punt dat de GPL (want dat is de Joomla-licentie) helemaal niet eist dat als je maatwerk ontwikkelt, je dit vrij moet geven of terug moet leveren aan de Joomla community. De GPL zegt: wanneer jij maatwerk (voortbouwend op Joomla) levert aan een derde, dan moet die derde het maatwerk onder GPL kunnen gebruiken.

Maar in de meeste gevallen ga je een CMS helemaal niet aan derden leveren. Je installeert het CMS op je eigen server, voegt daar maatwerk aan toe en zet het ding aan. Er is dan geen situatie waarin de GPL enige eisen stelt. Wie een open source CMS inzet, hoeft zich nul zorgen te maken over het vrijgeven van enige maatwerkcode. Echt nul. Ik vind het echt kwalijk dat men anno 2020 nog steeds wat anders beweert.

Oh ja, inbreuk op rechten van derden. Dat zou zomaar kunnen, blijkt dat je Joomla in gebruik hebt en dat je de GPL schendt. Of dat je leverancier dat heeft gedaan. Dan krijg jij de claim. In theorie een probleem maar in de praktijk nog nooit voorgekomen, en ook iets waar je niet meteen een schádeclaim voor krijgt. In de opensourcegemeenschap is compliance het toverwoord: men eist dat je de licentie naleeft, maar naar de rechter voor een gebruiksverbod of schadevergoeding komt niet voor.

Een derde punt dat wordt aangedragen, is de beveiliging. Daar zou je niemand op aan kunnen spreken. En ja dat klopt, opensourcelicenties zeggen dat de makers nergens voor aansprakelijk zijn. Maar veel gesloten licenties zeggen dat ook (ik heb de Plate licentie niet gezien noch de SLA, dus ik weet niet hoe veel aansprakelijkheid zij aanvaarden voor securityfouten), dus in hoeverre dit uniek OSS aan te wrijven is?

Natuurlijk, met geslotensoftwareleveranciers kun je afspraken maken. En vooral: die kun je aansprakelijkheid en een vrijwaring opdringen, dus dan is het geregeld. Dat is de juridische mindset, wij zijn eigenlijk een soort tovenaars: zeg hoe het moet zijn, laat een handtekening zetten en bracchiabindo, we hebben het geregeld.

Ik sprak ooit een inkoper van IBM die bij leveranciers altijd vroeg om volledige aansprakelijkheid en een onbeperkte vrijwaring. Toen ik zei dat hij dat niet kreeg van mijn klant, was zijn reactie “mooi, want wie dat geeft die vertrouw ik voor geen cent”. Want leuk en aardig dat het op papier staat, maar wat is dat papier waard? Kan deze leverancier die kwaliteit leveren, heeft hij de expertise om de veiligheid echt goed op te lossen? Ja, het is hun product dus dan zullen ze het echt snappen. Precies, dat zeiden ze bij Zoom ook.

En dan de uitsmijter: “Het gebruik van closed source software maakt een organisatie minder kwetsbaar voor claims van buitenaf.” Dat is niet mijn ervaring, als je in de rechtspraak kijkt dan zie je eigenlijk alleen zaken tussen closedsourceleveranciers over inbreuk op elkaars licenties of rechten. Opensourcepartijen die procederen, dat komt gewoon niet voor.

Maar ach, leuk he weer eens terug naar hoe men vorig decennium dacht?

Arnoud

16 reacties

  1. Daarnaast gebruikt Plate ook (maar misschien niet heel dankbaar) open source in zijn eigen oplossingen. Als die argumenten in dat artikel zouden kloppen, dan is de hele Plate oplossing ‘besmet’ met die open source licenties, en ben je als Plate-gebruiker ook gewoon het bokje.

        1. off-topic: Waarom zou ScrollMagic dual licensed zijn onder MIT en GPLv3? MIT is toch gewoon GPLv3 compatible, dus dan is toch een alleen de MIT licentie voldoende? Ik hoor graag als je een reden kan bedenken.

          1. Waarom scrollmagic dual licensed is weet ik niet, maar ik denk om dezelfde reden dat Query dat ook was. Toen Drupal jQuery wou opnemen in core, was er ene probleem. jQuery was MIT, Drupal GPLv2 of hoger gelicenseerd. Toen was de wereld nog wat eenvoudiger. Dries nam contact op met John en deze heeft jQuery onder GPLv2+ of MIT gelicenseerd en Drupal kan jQuery in core shippen.

            Ik vermoed een soortgelijke reden, hetgeen bij dergelijke scripts het eenvoudiger maakt om in reciproce producten opgenomen te worden.

  2. Is het Throwback Thursday? Nee toch, vandaag is het toch woensdag? Ik krijg weer een heerlijk 2002 SCO gevoel bij het lezen van het stuk van de Plate advocaat. De advocaat in kwestie werkt overigens bij een advocaten bureau dat overigens WordPress gebruikt. Blijkbaar heeft hij nog niet al te veel invloed binnen het kantoor. Mijn advies: Hou dat maar zo. Zijn argumenten zijn onjuist en slaan de plank gewoon totaal mis. Hij is dan ook nog eens de specialist op internetrecht volgens het artikel.

    Nee, deze advocaat zou ik zelf nooit inschakelen als het om een IT/internet gerelateerde zaak zou gaan. Op de foto ziet hij er nog erg jong uit, wellicht dat hij naam voor zichzelf probeert te maken door dit soort artikelen te schrijven, maar hiermee haalt hij zichzelf onderuit.

    Ook een mooie in het artikel:

    Er zijn geen derden partijen die zich kunnen melden dat er inbreuk wordt gemaakt op een softwarelicentie, doordat bijvoorbeeld de broncode niet is vrijgegeven of de licentievoorwaarden niet juist zijn vermeld.
    Ze zeggen hier dus simpelweg dat de code niet is vrijgegeven en dat daardoor niemand kan zeggen dat ze geen inbreuk maken op open source licenties. Volgens mij is er in het verleden vaker aangetoond dat closed software broncode van open source software bevatte en dat de code aangepast moest worden en/of er een boete moest worden betaald. (niet direct Plate dus, maar wel andere bedrijven).

    1. Dat iets in het algemeen voorkomt, wil natuurlijk niet zeggen dat het bij Plate ook is gebeurd. Maar dat het niet kán, is onzinnig. Een derde die vermoedt dat zijn software in zo’n pakket zit, zal er een kopie van aanschaffen (al dan niet via een stroman) en dan via binary code analysis of decompilatie eenvoudig een vergelijking doen. Zelfs zonder broncode is het aantreffen van volledige open source libraries/pakketten geen moeilijke zaak. Ik heb het zelf wel eens gedaan met enkel de binary scannen op de string “GNU General Public License”, en daarna terugredeneren welk pakket het kon zijn.

    2. Nee, deze advocaat zou ik zelf nooit inschakelen als het om een IT/internet gerelateerde zaak zou gaan. Op de foto ziet hij er nog erg jong uit, wellicht dat hij naam voor zichzelf probeert te maken door dit soort artikelen te schrijven, maar hiermee haalt hij zichzelf onderuit.

      Och, misschien ligt het wat eenvoudiger. “Best advocatenkantoor, wij willen graag met onze eigen sourcecode concurreren terwijl de hele wereld Joomla gebruikt – kunnen jullie in opdracht een stukje Fear, Uncertainty & Doubt schrijven zodat mensen denken ‘bij twijfel, niet oversteken’.” Het doel van het stukje is niet te informeren of juist te zijn, maar om onzekerheid te scheppen.

    1. Dit zijn geen rechtszaken van opensourceprojecten tegen geslotensoftwareleveranciers. Alleen Harald Welte natuurlijk met zijn GPL enforcement, maar dat was klip-en-klaar overnemen van integrale code en weigeren deze af te geven.

      Ik weet dat er wel eens wordt gedreigd (zoals in je eerste link) maar al deze zaken zijn a) in Amerika en b) al snel geschikt.

  3. Mooi dat het Open Source boek weer eens genoemd wordt. Ik heb er een kleine bijdrage aan mogen leveren omdat de school waar ik (nog net) werk (Het Barlaeusgymnasium in Amsterdam) 15 jaar geleden Linux als besturingssysteem heeft gekozen. Het leerlingennetwerk – met inmiddels 150 pc’s in de mediatheek – draait nog steeds als een lier. Als er al eens iets hapert, dan ken ik een paar trucjes waardoor een pc het weer naar behoren doet. In de begintijd heb ik o.a. voor Kennisnet wel verteld over open source, maar ik voelde me in onderwijsland een roepende in de woestijn. Als je naar de huidige ontwikkelingen in het onderwijs kijkt en het succes ziet van de acties van De Waag en Bits of Freedom, dan zou je denken dat een keus voor Open Source wat meer voor de hand ligt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.