Rocky Linux zegt vanwege paywall RHEL-broncode via andere methodes te verkrijgen

Rocky Linux, een alternatief voor Red Hat Enterprise Linux, heeft meer informatie gedeeld over zijn strategie nu Red Hat zijn Enterprise Linux-distro beperkt beschikbaar heeft gemaakt. Dat meldde Tweakers onlangs. Red Hat zei vorige week dat het RHEL niet meer algemeen beschikbaar maakt, maar alleen verkoopt aan Red Hat Enterprise-klanten. Dat laatste maakte velen boos, omdat het toch op zijn minst in strijd is met het idee van de GPL en aanverwante opensourcelicenties dat niet iedereen meer bij de broncode kan.

Red Hat is een van de oudste aanbieders van een Linux ecosysteem, waarbij ze de kernel en allerlei handige applicaties bij elkaar brengen, integreren en als pakket verkopen. Het bedrijfsmodel was gebaseerd op abonnementen, zeg maar klantenservice en ondersteuning tegen maandelijkse vergoeding. Ook verkoopt men eigen (proprietary) software. Allemaal op zich geen probleem bovenop open source software.

Dat het nu rommelt, komt omdat Red Hat zeer lange tijd ook actief bijdroeg aan de community, middels sponsoring, inzet van eigen mensen en ga zo maar door. Maar ook het beschikbaar stellen van hun versie van Linux als broncode was een belangrijke voor velen. En dat is nu waar Red Hat mee stopt: alleen de betalende Enterprise klanten krijgen nog de broncode van de software die hen geleverd is. Nog discutabeler wordt het als je vervolgens de enterprise contracten doorleest en ziet dat die klanten eigenlijk de broncode niet verder mogen verspreiden:

Specifically, IBM’s Red Hat offers copies of RHEL to its customers, and each copy comes with a support and automatic-update subscription contract. As we understand it, this contract clearly states that the terms do not intend to contradict any rights to copy, modify, redistribute and/or reinstall the software as many times and as many places as the customer likes (see §1.4). Additionally, though, the contract indicates that if the customer engages in these activities, that Red Hat reserves the right to cancel that contract and make no further contracts with the customer for support and update services.
Oké, oké, “niet mogen” is dus wat sterk: het mág wel, maar je verliest dan je betaalde ondersteuning en alle andere dingen waar je nou net Red Hat voor had uitgezocht. Specifiek voor deze doelgroep gaat het immers om de support (en een entiteit om aan te klagen), dus juist daar is “het mag maar dan geen support” een hele sterke om voor elkaar te krijgen dat die de broncode niet gaan verspreiden. Dat is dus zeker ethisch dubieus, maar juridisch zie ik niet hoe dit tegen de tekst van de GPL in gaat.

Linuxdistro Rocky Linux heeft hier last van: hun doel is het leveren van een exact identieke kopie van (de open source delen van) Red Hat Linux, oftewel het technisch goede van Red Hat zonder het dure abonnement en juridische rare hoepels. Dat kon vrij lang relatief simpel, omdat Red Hat haar broncodes immers publiek online zette en Rocky daar dus een kopie van kon (en mocht, GPL) maken. Dat pad is nu alleen afgesneden, en Rocky moet dus nu op zoek naar nieuwe manieren. Die zeggen ze te hebben gevonden, maar de details houden ze nog even voor zich om te voorkomen dat Red Hat (of eigenaar IBM) daar nu een juridisch punt van gaat maken.

Arnoud

 

Als een site niet geblokkeerd is, mag ik dan veronderstellen dat deze legaal is?

Een lezer vroeg me:

Mede naar aanleiding van de recente uitspraak over het blokkeren van Lookmovie en Flixtor vroeg ik me het volgende af. Oorspronkelijk was het idee dat als een ISP zuiver een doorgeefluik was en dus niets filterde, hij nergens voor aansprakelijk was. Dat is ondertussen fors anders met al die blokkades. Mag je nu als consument denken “OK, deze website is niet geblokkeerd door de ISP, al of niet op verzoek van Stichting BREIN, dus de rechten voor die films zullen wel vrijgegeven/verlopen zijn cq. de eigenaar van de website zal wel bepaalde contracten hebben waarmee ze die films op hun website mogen plaatsen.”
Het was inderdaad oorspronkelijk zo dat een ISP (toegangsprovider) niets hoefde te doen omdat hij alleen doorgaf en niet opsloeg of selecteerde. Echter, sinds 2000 stond al in de wet dat een gerechtelijk bevel mogelijk moest blijven. Daaruit is in de Pirate bay zaken geconcludeerd dat een provider sites moet blokkeren als deze evident en grootschalig inbreuk maken, vandaar de dns-blokkade op TPB, EZtv en nog een paar.

Het is onjuist dat je aansprakelijk wordt voor wat je doorlaat als je op last van de rechter een site blokkeert. Zeker voor een ISP, die is volgens de wet nooit aansprakelijk ongeacht of ze weten of niet wat ze doorlaten. Ze mogen dus welbewust alle troep doorlaten die langskomen in volle wetenschap van het strafbare karakter. Het enige dat ze moeten doen, is blokkeren wat de rechter zet.

Het gevolg is wel dat je als consument dus niet mag concluderen dat een site ‘dus’ legaal is omdat hij niet geblokkeerd is. Lang niet alle onrechtmatige streamingsites komen bij de rechter, en dat hoeft ook helemaal niet. Het blijft daarmee je eigen verantwoordelijkheid om na te gaan of een dienst legaal handelt.

Arnoud

 

Nederlander veroordeeld tot 2,5 jaar celstraf voor betrokkenheid bij Megaupload

Een rechtbank in Nieuw-Zeeland heeft een Nederlandse IT’er veroordeeld tot een celstraf van 2,5 jaar, zo las ik bij Tweakers. De veroordeelde man werkte als programmeur mee aan het draaiend houden van Megaupload, een dienst waarmee gebruikers bestanden met elkaar konden delen. Megaupload werd in 2005 opgericht en werd in 2012 gesloten op verzoek van de FBI. Megaupload zou zelf 175 miljoen dollar verdiend hebben, waarvan een groot deel volgens de rechtbank afkomstig was uit illegale downloads. Het riep de vraag op bij diverse ontwikkelaars: kan ik de cel in gaan als ik blijk mee te werken aan strafbare diensten?

De celstraf valt naar lokale begrippen laag uit, maar zoals Tweakers uitlegt:

Vorig jaar sloten de twee mannen al een deal met de autoriteiten in Nieuw-Zeeland. Daarmee bekenden de mannen dat ze betrokken waren bij een criminele organisatie. In ruil daarvoor mochten de twee oud-medewerkers van Megaupload in Nieuw-Zeeland terechtstaan voor auteursrechtenschending en zouden de Verenigde Staten hun uitleververzoek laten vallen.
Desondanks behoorlijk heftig, als je gewoon ergens werkt als programmeur en je flagship product blijkt illegaal. Alleen is dat niet helemaal wat er aan de hand was hier, zoals diverse commenters signaleerden:
“Hij lanceerde Mp3Top40.net waar Top 40 nummers gratis konden worden gedownload. Een groot succes, tot Stichting Brein met een megaclaim dreigde. De site ging weliswaar op zwart, maar [de man] ging door. Hij kwam in contact met Kim Dotcom.”
Ook is zo te lezen zijn functie niet die van een willekeurige codeklopper in een groot enterprise IT-bedrijf, maar stond hij als cofounder en hoofd engineering bij Mega op de site. In die functie kun je moeilijk wegkomen met “ik was alleen maar aan het programmeren”.

De situatie doet denken aan die uit 2017 met de sjoemelsoftware, waar een softwareontwikkelaar van Volkswagen in de VS tot 40 maanden cel veroordeeld werd voor zijn aandeel. De rechter noemde hem een “pivotal figure” in de ontwikkeling van deze software, wederom dus meer dan gewoon een codeklopper ergens achter een bureau. Inderdaad, hij was ook geen manager of directeur maar dat is nooit het criterium. Het gaat erom of je bewust eraan meewerkte en ruimte had om invloed uit te oefenen op wat er gebeurde.

“Court documents say Kim Dotcom’s empire could not have functioned without the expertise of [de man] and [een ander]”, zo concludeert een lokale krant uit het vonnis. In die situatie heb je dus als medewerker niet echt veel verhaal. Voor wie wél meer onderaan zit, mijn advies van de Volkswagen-blog:

Wat moet je nu doen als ontwikkelaar, stel dat je zo’n opdracht krijgt. Allereerst zeg ik er wel bij dat het moet gaan om écht duidelijk strafbare zaken en dat dit ook voor jou kenbaar had moeten zijn. Verstuur je facturen die een ander vervalste, dan ben je natuurlijk niet strafrechtelijk aansprakelijk. Die kenbaarheid zal de doorslag geven verwacht ik. Daarbij speelt jouw professionele kennis een grote rol. Had je dit kunnen weten, had iedereen in jouw gebied dit kunnen weten of had dit alleen maar na diepgaande juridische analyses duidelijk kunnen worden?

Bij twijfel is mijn advies altijd, escaleren naar boven en/of naar Juridische Zaken. Je mag verwachten dat daar mensen zitten die dan ook zeggen, oei dit kan strafbaar zijn, laten we het niet doen. Dus dan komt er vanzelf een rem op. En de bedrijfsjurist is normaal ook iemand met als taak het bedrijf beschermen tegen claims, waardoor je ook daarvan mag verwachten dat deze er een stokje voor steekt als het duidelijk strafbaar is. Het is nooit verkeerd om iets aan de bedrijfsjurist te vragen bij zulke twijfels, en naar je manager toe lijkt me dat ook goed verkoopbaar: je wilt weten waar de grenzen liggen zodat je het netjes kunt bouwen binnen de wet.

Arnoud

Je site onrechtmatig offline door een pestende ex, wat moet je vorderen?

Nadat de relatie is opgehouden en de verstandhouding tussen beide partijen verslechterd, haalt gedaagde de website van zijn ex uit de lucht en verandert hij alle inlogcodes die eiseres nodig heeft om haar bedrijfsvoering te kunnen faciliteren. Dat las ik bij ITenRecht.nl. Gezellige boel daar. Er was alleen wel een praktisch probleem: hoe geef je juridisch correct aan wat “de website herstellen” precies inhoudt, met name omdat je wel kunt aan zien komen dat er vervolgzaken komen over missende plaatjes of scheve titels. Het vonnis laat zien hoe de rechter daarmee omgaat.

Partijen hebben een affectieve relatie met elkaar gehad, zo begint het vonnis. En wie die zin aantreft, die weet: daar komt heibel van. De vrouw had een ecommercewebsite, en de man was ict-dienstverlener. Nadat de relatie werd verbroken, en de moeder van de vrouw via WhatsApp had gevraagd om teruggave van bepaalde spullen, ging er iets goed mis en besloot de man die website offline te halen en alle logins te wijzigen. Nadat de rechtsbijstand van de vrouw een boze brief stuurde, stelde de man ineens rechthebbende te zijn op het ontwerp en nog een factuur open had staan, zodat hij mocht opschorten.

Weliswaar stuurde hij vervolgens enkele wachtwoorden, maar de site werd niet teruggezet. Een backup kreeg zij wel aangeleverd, maar die was niet genoeg: zo ontbreekt het ‘thema’ van de website, bestaande uit banners, logo’s, foto’s, filmpjes en linkjes naar producten en de vormgeving, positionering en opmaak van deze elementen en onderdelen van en op de website. De dagvaarding was daarop de volgende stap. Eis:

I. [gedaagde] te veroordelen ervoor zorg te dragen dat binnen 24 uur na betekening van dit vonnis aan [eiseres] wordt verstrekt een correcte back-up van de website, inclusief thema en koppelingen, zonder dat gegevens of elementen uit deze back-up zijn verwijderd of toegevoegd;
De rechter gelooft geen bal van het verhaal over auteursrechten en dergelijke:
Vaststaat dat [gedaagde] de website op 20 januari 2023 offline heeft gehaald terwijl voornoemde factuur gedateerd is op 25 januari 2023 met een betaaltermijn tot 8 februari 2023. Het offline halen van de website kan dan ook niet, zoals [gedaagde] stelt, gelegen zijn in de omstandigheid dat [eiseres] die factuur niet heeft voldaan, wat daar inhoudelijk verder ook van zij. Bovendien blijkt uit de door [eiseres] in het geding gebrachte (WhatsApp)correspondentie, zoals weergegeven onder 2.6, nu juist dat [gedaagde] de website van [eiseres] offline heeft gehaald vanwege onenigheid over de afwikkeling van de samenwoning tussen partijen.
Onrechtmatig gehandeld dus, en ga dat maar ongedaan maken. Alleen: wat is een ‘correcte’ backup? Zo ontbrak onder meer het thema dus in de backupset. Als dit WordPress is dan snap ik waarom, via de standaard backupfunctie wordt je thema (de look/feel etcetera) niet meegenomen als je een backup uitvoert of een database-dump doet.

Bijkomend probleem was dat niet bekend was hoe de website er nu precies uit zag op die 20 januari. Daarmee is het eigenlijk niet meer vast te stellen of de gedaagde ex het herstel goed uitgevoerd zou hebben. En dat is een probleem want je kunt niet iemand veroordelen iets te doen dat oncontroleerbaar is:

Bij gebreke van beeldmateriaal waaruit blijkt hoe het thema van de website er uitzag, kan niet worden gecontroleerd of sprake is van een ‘correcte back-up’, nog afgezien van de executieproblemen die toewijzing van die vordering, versterkt met een dwangsom, naar alle waarschijnlijkheid met zich zou brengen. Dat betekent dat de vordering zoals geformuleerd onder I. onvoldoende gespecificeerd en daarom niet toewijsbaar is.
De tweede eis blijft wel overeind: doe niets meer dat de bedrijfsvoering van de vrouw nog hindert, zoals het blokkeren van accounts of API’s. Dat met een dwangsom van 500 euro voor iedere keer dat je het toch doet.

Het is juridisch begrijpelijk maar ook wel frustrerend: iemand maakt je site kapot, maar omdat jij geen screenshots had hoeft hij deze niet meer te herstellen? Maar vergeet niet dat de man al de overige data wél had teruggegeven, zodat de rest van de site door kan. En specifiek bij de afwezigheid van een thema en niet weten hoe dat eruit zag, snap ik de zorgen over de uitvoerbaarheid wel.

Achteraf gezien was een betere optie geweest te eisen dat hij de kosten van het herstel vergoedt, bijvoorbeeld het opnieuw laten ontwerpen en installeren van het thema. Maar de rechter mag zoiets niet zelf erbij verzinnen, als jij afgifte van data vordert en de data is onbekend/onbepaalbaar dan houdt het op en dat is dat.

Arnoud

Mag een ISO27001-gecertificeerde organisatie ChatGPT gebruiken?

PeggyMarco / Pixabay

Een lezer vroeg me:

Kan een bedrijf dat voor ISO27001 (of NEN7510) gecertificeerd is, gebruik maken van ChatGPT of vergelijkbare tool voor het schrijven en corrigeren van code? Je kunt met deze tools immers makkelijk bedrijfsgeheimen (zoals broncodes) laten uitlekken. Hoe verhoudt zich dat tot zo’n certificering?
Tools zoals ChatGPT of Copilot van Microsoft zijn momenteel erg populair om snel software mee te schrijven of het ontwikkelproces te versnellen. Maar het zijn externe tools, dus alle data die je erin stopt, gaat naar een bedrijf buiten de organisatie dat er van alles mee kan doen. En dat kan dus zomaar eigen vertrouwelijke en waardevolle software-broncode betreffen bijvoorbeeld.

Bekend (of berucht) is het voorbeeld van Samsung, waar werknemers onder meer eigen broncodes aan ChatGPT gaven om deze op fouten te laten controleren.  Ook werden meeting-aantekeningen geupload om er notulen van te laten maken. Hoewel de aanbieder van ChatGPT natuurlijk niet direct die gegevens gaat delen met de pers, is de kans aanwezig dat het systeem er wel op bijgetraind wordt, of dat werknemers bij controle van de uitvoer dit tegenkomen en het (al dan niet onbewust) elders inzetten.

De inzet van zo’n tool is daarmee te zien als een risico voor de beveiliging van informatie, en laat dat nu precies zijn waar standaarden als ISO27001 over gaan: het identificeren en beheersen van zulke risico’s. Je zou dus verwachten dat een ISO-certified organisatie op zeker moment dit risico signaleert, en processen introduceert om de gevolgen te mitigeren. Dat zou kunnen zijn het blokkeren van ChatGPT als website, maar ook een awarenesstraining voor medewerkers of het sluiten van nieuwe contracten met de aanbieders van zulke tools.

Het is dus niet zo dat een organisatie die ISO27001 gecertificeerd is, zulke tools niet mag gebruiken. Je organisatie hoeft zeker niet volledig statisch te blijven tot de volgende audit. Het is precies omgekeerd: met zo’n certificering ben je in staat om ook dit risico tijdig te onderkennen en maatregelen te nemen.

Arnoud

Schaft Japan het auteursrecht af om de AI race te winnen?

Japan gaat all-in, las ik bij diverse tendentieuze AI-nieuwssites: het auteursrecht in dat land geldt niet tegen partijen die massaal beschermde werken kopiëren voor data mining en daar taalmodellen (“AI”) van maken. Men ziet dit als een strategische keuze van het land, want hoe meer data hoe beter je AI en dus hoe sneller je vooruitkomt in de vaart der volkeren. Newsflash: het is niets nieuws.

Het klopt dat de Japanse minister van cultuur, sport en technologie Keiko Nagaoka recent heeft gezegd dat onder het Japans auteursrecht het geen inbreuk is om werken te kopiëren voor data mining:

[I]n Japan, whether it is for non-profit purposes, commercial purposes, or acts other than duplication, it is obtained from illegal sites, etc. Minister Nagaoka clarified that the work can be used for information analysis regardless of the method, regardless of the content.
Als je dan de wetstekst erbij pakt dan staat in artikel 30-4 inderdaad iets van die strekking:
It is permissible to exploit a work, in any way and to the extent considered necessary, … if it is done for use in data analysis (meaning the extraction, comparison,classification, or other statistical analysis of the constituent language, sounds, im-ages, or other elemental data from a large number of works or a large volume of other such data;
De minister bevestigt dus dat deze brede tekst inderdaad breed bedoeld is. Dit lijkt op een discussie die in Europa al sinds 2019 woedt, toen in de Auteursrechtrichtlijn (2019/790) ook zoiets in de wet werd gezet:
1. De lidstaten voorzien in een uitzondering op of beperking van de rechten als bedoeld in artikel 5, onder a), en artikel 7, lid 1, van Richtlijn 96/9/EG, artikel 2 van Richtlijn 2001/29/EG, artikel 4, lid 1, onder a) en b), van Richtlijn 2009/24/EG en artikel 15, lid 1, van deze richtlijn voor reproducties en opvragingen van rechtmatig toegankelijke werken en andere materialen met het oog op tekst- en datamining.
Hier staat ook geen voorbehoud over al dan niet met commercieel oogmerk, hoewel er wel de beperking geldt dat het werk rechtmatig openbaar maakt moet zijn. Ook is er (niet geciteerd) de optie van een voorbehoud, dat een rechthebbende kan maken in machine-leesbare vorm waarna data miners dat moeten respecteren. Wat dat betreft lijken we dus net zo ver te zijn als Japan, en ik zou niet echt van een auteursrechtelijke “race to the bottom” willen spreken, hoewel het natuurlijk voor de AI-industrie wel goed is dat je in principe mag dataminen in alle openbare bronnen.

Er zit nog een belangrijke angel in deze uitzondering: de zogeheten driestappentoets geldt ook bij de uitleg van deze uitzondering. Deze toets komt uit de Berner Conventie (artikel 9) en het TRIPS verdrag (artikel 13), en komt erop neer dat een uitzondering niet het uitgangspunt van het auteursrecht mag verstoren – je mag niets zonder toestemming. De drie stappen zijn:

  1. De beperking mag alleen gelden voor bepaalde bijzondere gevallen.
  2. De wettige belangen van de rechthebbende mogen niet onredelijk worden geschaad.
  3. Er mag geen afbreuk worden gedaan aan de normale exploitatie van werken of ander materiaal.
Het gaat hier om een interpretatieregel. Het is bijvoorbeeld dus niet de vraag of jouw specifieke situatie een “bijzonder geval” is, maar of de beoogde toepassingssituaties in algemene zin “bijzondere gevallen” te noemen zijn. De thuiskopie-regeling voldoet bijvoorbeeld: voor jezelf kopiëren is een bijzonder (beperkt omschreven) geval, er wordt een vergoeding afgedragen dus er is geen onredelijke schade, en de normale exploitatie (kopen, downloaden, streamen) blijft gewoon bestaan.

Wat levert deze toets op in het geval van deze data mining uitzondering? Het lijkt een bijzonder geval, en de normale exploitatie blijft ook gewoon bestaan. Die wettige belangen is een iets lastigere, er wordt immers geen vergoeding afgedragen. Maar daar staat tegenover dat je als rechthebbende een opt-out kunt doen, zodat je jouw belangen vervolgens zelf kunt behartigen door bijvoorbeeld data mining licenties te verkopen tegen een zelf te kiezen vergoeding.

Omdat Japan ook lid is van de Berner Conventie en de Wereldhandelsorganisatie, geldt deze toets ook voor Japan. Wederom: juridisch gezien dus niets nieuws. Het is vooral opmerkelijk dat in de VS, waar men die driestappentoets voornamelijk negeert en alleen vagelijk wuift naar fair use als het om machine learning gaat, er zo veel wordt gedatamined.

Arnoud

FIOD en OM halen IPTV-dienst offline die 10.000 zenders en Netflix aanbood

De Nederlandse FIOD heeft samen met het Openbaar Ministerie een grote IPTV-dienst offline gehaald, las ik bij Tweakers. De streams werden aangeboden vanaf een datacenter in Den Helder, en omvatte ruim 10.000 tv-zenders en streamingdiensten als Netflix, Viaplay, Videoland, ESPN en Disney+. Dat tientje per maand ben je kwijt als afnemer van die dienst, maar echt zorgen maken over strafvervolging hoeft nou ook weer niet.

De FIOD kwam in beeld omdat het bedrijf inkomsten op grote schaal witwaste, en zoals iedereen weet wordt je uiteindelijk altijd gepakt op de belastingen (hoi Al Capone). Er is bij mijn weten geen actieve strategie om achter IPTV-aanbieders aan te gaan vanuit het Openbaar Ministerie, wat natuurlijk te maken heeft met het feit dat die aanbieders zelden in Nederland gevestigd zijn. Staand beleid is al lange tijd dat men alleen ingrijpt bij bedreiging volksgezondheid, banden met georganiseerde misdaad of grootschalige piraterij die de markt verstoort. En dat is niet direct aan de orde bij zo’n IPTV dienst.

Opzettelijke inbreuk op auteursrecht is een misdrijf (art. 31 Auteurswet), en omdat downloaden uit illegale bron ook niet mag, geldt dit formeel dus ook voor welbewust downloaden uit illegale bron. Wie 10 euro per maand betaalt en daarvoor toegang tot 10.000 zenders verwacht, is volgens mij echt welbewust de wet aan het overtreden. Tegelijkertijd: het opsporen is de moeite niet waard, dus dat zal echt niet gebeuren.

Een leuke discussie ontspint zich nog in de comments bij Tweakers: dit had niet gemogen, er is geen sprake van omzetverlies et cetera want de mensen die dit afnemen willen eigenlijk vooral buitenlandse zenders/aanbod kijken dat hier niet legaal te krijgen is. Plus, als je dit allemaal legaal afneemt is het veel te duur – je kunt al snel aan 60 tot 100 euro per maand zitten als je al die diensten afneemt.

Ik vind het moeilijk sympathie voor die argumenten op te brengen. Met name dat “buitenlandse zenders” voelt als een te gezocht argument. Maar goed.

Arnoud

 

Kan mijn werkgever met deze bepaling eigendom claimen van een boek dat ik in mijn vrije tijd schrijf?

Die titel zag ik via Reddit, en laat “een boek in mijn vrije tijd schrijven” nou altijd mijn standaardvoorbeeld zijn van iets waar je werkgever géén rechten op kan claimen. Maar hier ligt het iets subtieler:

Dit is een bepaling in de arbeidsovereenkomst van een bedrijf waar ik aan de slag zal gaan als copywriter. Ik heb deze nog niet getekend, want ik vraag me af of de rechten van het boek waar ik in mijn vrije tijd aan werk en welke niets te maken heeft met deze werkgever, geclaimed kunnen worden door dit bedrijf.

De reden dat ik “boeken in vrije tijd” uitzonder is omdat het criterium grofweg is of het je werk is om zulke dingen te maken, en weinig mensen hebben als werk “boeken en zo” te schrijven. Alleen is dat een te makkelijk argument als we het over copywriters hebben, want een tekstschrijver of copywriter kan zeer zeker ook wel opgedragen krijgen een boek te schrijven als werk. En als je zo’n opdracht krijgt, dan liggen de rechten op dat boek echt bij je werkgever.

Schrijf je een boek zonder opdracht, maar hád je de opdracht redelijkerwijs niet kunnen weigeren als die je hypothetisch was gegeven, dan is dat boek in principe toch gewoon auteursrechtelijk van je werkgever. Eigen initiatief zeg maar, en dan doet het er niet toe of je spullen van het werk hebt gebruikt, onder werktijd schreef of je baseerde op eerdere teksten die al eigendom van het werk waren. De discussie gaat over de aard en inhoud van het boek, niet waarmee je het geschreven zou hebben.

In dit geval is het nog iets complexer, want er staat een hele lap hierover in het contract:

“Alle rechten van industriële en intellectuele eigendommen, zoals auteursrechten, merkrechten, octrooien, rechten op modellen en tekeningen, kwekersrechten enzovoorts, welke ontstaan tijdens, door of in verband met de uitoefening van de door werknemer op grond van de arbeidsovereenkomst te verrichten werkzaamheden komen uitsluitend toe aan werkgever en worden geacht aan werkgever te zijn overgedragen zonder dat hiervoor een nadere overdracht zal zijn vereist en zonder dat werknemer recht heeft op een vergoeding hiervoor. Werknemer is gehouden werkgever bij eerste gelegenheid op de hoogte te stellen van alle vindingen die tot de boven bedoelde rechten aanleiding zouden kunnen geven. Het is werknemer niet toegestaan om de resultaten van zijn werkzaamheden zelf openbaar te maken, te verveelvoudigen, in het verkeer te brengen, te verkopen, te verhuren, af te leveren of anderszins te verhandelen dan wel voor een ander aan te bieden of te doen inschrijven.”
Het is op zich legaal om in een schriftelijk en ondertekend arbeidscontract meer auteursrechten op te eisen dan waar je voor de wet recht op hebt als werkgever. De vraag is natuurlijk waarom een werknemer dit zou accepteren, maar de wet ziet dat als een onderhandelingspunt en bevat géén dwingend verbod op zo’n clausule. (Let op, in een personeelshandboek of eenzijdig medegedeeld arbeidsvoorwaardenreglement is dit dan weer niet mogelijk, net zo min als met een achteraf verplicht te tekenen documentje.)

De werkgever heeft hier een veelgebruikt criterium gehanteerd: rechten die zijn “ontstaan tijdens, door of in verband met de uitoefening van de werkzaamheden”. Dat “door of in verband met” is grofweg wat de wet zelf ook al zegt, de uitbreiding is dus het “tijdens” het werk. En dat is dus altijd precies mijn voorbeeld: de portier die onder werktijd op de werklaptop een thriller schrijft, heeft daar echt zelf het auteursrecht op. Hij doet zijn werk mogelijk niet goed (want opletten zal er niet bij zijn tijdens het schrijven), hij kan wellicht worden ontslagen voor plichtsverzuim maar dat is het – dat boek is en blijft van hem zelf.

Wie letterlijk dit beding leest, ziet “tijdens”, en dat zou ook de portier omvatten die onder werktijd (dus tijdens het werk) aan die thriller werkt. En dat kun je dus afspreken, als je het opschrijft in een ondertekend arbeidscontract.

Tegelijkertijd geldt ook bij arbeidscontracten de Haviltex-regel van contractsuitleg: niet alleen de taalkundige uitleg, maar ook wat partijen onderling bedoeld hadden toen ze dit opschreven. En daarbij wordt ook de onderlinge positie van de partijen meegewogen. Bij arbeidscontracten is dat meestal een deskundige en sterk staande werkgever, tegenover een werknemer die meestal weinig kan inbrengen behalve “tekenen of niet”. In dat geval wint al snel de interpretatie die in het voordeel is van de werknemer.

De interpretatie “ook de thriller die je als copywriter schreef hoewel je werk is marketingteksten voor de website te maken” vind ik niet echt in het voordeel van de werknemer. “Het handboek Online Marketing en Copywriting dat je in je vrije tijd schreef vanuit je ervaringen als copywriter bij ons” zou ik er dan weer wél onder vinden vallen. Dat komt dus neer op een lichte verbreding van het wettelijke criterium, met name om de grensgevallen richting de werkgever te duwen. Want het is een grijs gebied, een handboek hoe je werk te doen maar gericht op vakgenoten algemeen en niet collega’s.

Arnoud

Deze fotograaf kreeg een rekening omdat hij zijn foto uit de LAION dataset wilde hebben

Een Duitse stockfotograaf eiste bij de beheerders van de LAION dataset verwijdering van zijn foto’s, maar kreeg een factuur van $979 in plaats van excuses. Dat las ik bij VICE, en ik wou dat ik zulke clickbaittitels kon schrijven. De zaak is interessant genoeg, zeker nu de fotograaf een rechtszaak is begonnen.

Het Duitse LAION project onderhoudt een van de bekendste datasets met geannoteerde afbeeldingen, waarmee AI systemen getraind kunnen worden. De bekende afbeeldingsgeneratoren zoals Midjourney en Stable Diffusion gebruiken LAION. Een discussiepunt bij dit soort sets is of hier sprake is van auteursrechtinbreuk, wat onder meer tot deze class action rechtszaak leidde.

Over een praktische aanpak blogde ik vorig jaar: via de website “Have I been trained” kun je achterhalen of jouw foto gebruikt is om een AI te trainen. Of nou ja, of je in een dataset zit die zo’n AI gebruikt, wat juridisch niet precies hetzelfde is. Ik schreef toen:

De state of the art dataset tegenwoordig is LAION-5B,met 5,85 miljard afbeeldingen verreweg de grootste. Bijeengebracht voor researchdoeleinden en experimenteren met zulke enorme sets, aldus de website. “The images are under their copyright”, staat er dan ook. En dan de juridische truc, of nou ja truc, waarmee dat kan: elk item uit de dataset bevat simpelweg alleen de bron-URL van de afbeelding, waarmee de dataset zelf geen inbreuk is.
De bedoeling van die website was dat je AI-bedrijven ging aanschrijven. Fotograaf Robert Kneschke koos een fundamenteler route: hij schreef LAION aan. Want je kunt maar beter problemen bij de bron aanpakken, nietwaar? Als die je foto uit hun set halen, zal niemand deze meer gebruiken.

De reactie was verrassend voor zowel Kneschke als VICE:

“Our client only maintains a database that contains links to image files that are publicly available on the Internet. It cannot be ruled out that the database may also contain links to images that you are the author of,” the letter, written by the law firm Heidrich Rechtsanwälte on behalf of LAION and viewed by Motherboard, said. “However, since our client does not save any of the photographs you have complained about, you have no right to deletion. Our client simply does not have any pictures that could be deleted.”
En ja, dat klopt dus met wat we vorig jaar hadden gezien: de dataset bevat fysiek geen afbeeldingen, alleen links daarheen. Ja dat is een truc, en ja die truc is legaal: onder het Europese auteursrecht is linken naar legaal gepubliceerd materiaal geen inbreuk. Het doet er daarbij niet toe welke gebruiksvoorwaarden of licentie de publicist bij het materiaal vermeldt. Dat is het probleem van de partij die de link volgt en de foto downloadt – de datasetsamensteller die er een AI mee gaat trainen dus, niet stichting LAION.

Vervolgens pakte de fotograaf door met een takedown-eis. Daar kwam dus die reactie met factuur op, wat een zeer creatieve terugblafactie is:

The legal letter [van LAION, AE] contained an invoice for $979 in Euros, and demanded that Kneschke pay the amount within 14 days or the firm will take legal action. The amount was due for filing an unjustified copyright claim, the lawyers argued, saying that Kneschke must pay because their client had now incurred legal fees to deal with the matter.
In het Europees auteursrecht is het zo dat de verliezer in een rechtszaak de werkelijke advocaatkosten van de winnaar betaalt. Dus niet het liquidatietarief zoals in andere rechtsgebieden, maar echt de factuur van die advocaat. En ja, als je dus als rechthebbende een dure advocaat neemt dan gaat de inbreukmaker meer betalen. En ja dat is oneerlijk. Maar het werkt ook andersom: als een rechthebbende onterecht blaft, mag je als beweerdelijke inbreukmaker jouw advocaatkosten neerleggen bij de blafhebbende.

Dat laatste is dus wat de LAION advocaat doet. Men ontwaart een onterechte auteursrechtclaim, omdat er wordt gesteld dat de dataset inbreuk maakt maar daar zit alleen een link in en dat is auteursrechtelijk legaal. Het in discussie blijven kost tijd van de advocaat, tijd is geld, dus de blafhebbende fotograaf moet die kosten vergoeden. Formeel hoeft dat pas bij een rechtszaak (want het is een proceskosten-vergoeding) maar de rekening na een rechtszaak zal hoger zijn dan die 900 euro.

Natuurlijk zal LAION ooit die foto’s hebben gedownload, al is het maar om de hyperlink te controleren of er echt een afbeelding achter zit en welke resolutie deze heeft. Die download zou je kunnen zien als een inbreuk, want daar is dan dus wél een kopie gemaakt. Maar in Europa hebben we sinds een aantal jaar een auteursrechtelijke uitzondering voor “data mining”, bij ons artikel 15o Auteurswet:

Onverminderd het bepaalde in artikel 15n wordt een reproductie in het kader van tekst- en datamining niet als inbreuk op het auteursrecht op een werk van letterkunde, wetenschap of kunst beschouwd mits degene die de tekst- en datamining verricht rechtmatig toegang heeft tot het werk en het auteursrecht door de maker of zijn rechtverkrijgenden niet uitdrukkelijk op passende wijze is voorbehouden, zoals door middel van machinaal leesbare middelen bij een online ter beschikking gesteld werk.
Met name dat stuk over het voorbehoud is van belang. Menig fotograaf of andere auteursrechthebbende zal een licentietekst of gebruiksvoorwaarden bij zhaar werk publiceren, al is het maar een Creative Commons licentie met bijvoorbeeld een NietCommercieel variant. Je zou zeggen dat je het daarmee juridisch dichtgetimmerd hebt, maar voor gegevensmijnwerkers is het ondoenlijk om al die teksten te gaan lezen. Daarom staat er in de wet dat zo’n voorbehoud op “passende wijze”, met name dus machineleesbaar, moet zijn gedaan.

Kneschke heeft zover ik kan zien geen machine-leesbare licentieinformatie bij zijn afbeeldingen, maar ze staan wel legaal online. Daarmee is dus aan deze uitzondering voldaan, zodat een partij zoals LAION ze mag downloaden voor datamining. Oftewel: haal ze binnen, extraheer de relevante informatie (omvang, type, etc) en maak een record waarin je die informatie vastlegt plus de hyperlink, gooi daarna de afbeelding weg. Ik zie niet hoe dit auteursrechtinbreuk kan opleveren.

Arnoud

Wat is er aan de hand met de nieuwe merkenregels van programmeertaal Rust?

De nieuwe trademark-regels van het open source Rust project doen nogal wat stof opwaaien, las ik bij DevClass. Rust is een relatief populaire programmeertaal, die problemen met andere talen oplost. De taal wordt vanuit de opensourcegedachte aangeboden inclusief alle benodigde tooling, en in 2020 werd een stichting opgericht waarbij de naam als merk werd vastgelegd. De nieuwe voorgestelde regels over merkgebruik maken nogal wat los. Wat is hier aan de hand?

Zoals vrijwel iedere opensourceorganisatie heeft ook Rust een merkbeleid. Daar staat weinig controversieels in. De kern van zulk beleid is altijd een balans tussen enerzijds mensen de naam laten gebruiken (de software is immers open source) en anderzijds grip krijgen op ongewenst gebruik. Dat gaat met name over commercieel misbruik, zoals bij conferenties die zich al te officieel voordoen of herverpakte software die onder de merknaam wordt verkocht waarbij de naleving van de licentie hooguit een vage wens is, zal ik maar zeggen.

Het nieuwe beleid leek vooral bedoeld om wat puntjes op de i te zetten. Maar het gaf enorme heisa, onder meer vanuit de eerste ontwikkelaar Graydon Hoare die erover zegt:

Announcing “common practice in the community is now forbidden” is why everyone’s upset. If that’s not what’s intended, it needs a rewrite, because that’s what it says.
De oude policy was vrij simpel van opzet: je mag de merken en logo’s gebruiken zolang je dat maar niet zo doet dat een vluchtig oplettend iemand zou denken dat jouw ding van de Rust Foundation komt. Ook mag je geen verwarring creëren over het vrije en open karakter van de taal en de tooling, of (buiten kleinschalige events om) geld verdienen met de logo’s an sich, zoals bij merchandise. Dat is natuurlijk volledig standaard, en dat is dan ook wat graydon bedoelt met “common practice”.

De nieuwe policy bevat enkele opmerkelijke zaken, zoals artikel 4.3.1 over zelfgeschreven programma’s in die taal:

Using the Marks in the name of a tool for use in the Rust toolchain, a software program written in the Rust language [AE], or a software program compatible with Rust software, will most likely require a license. The “RS” abbreviation can be used instead.
Het is merkenrechtelijk volstrekt geen inbreuk als je bij een programma geschreven in Rust wil aangeven dat het in Rust geschreven is. Idem voor compatibiliteit, aangeven wat de aard of bestemming van de waar is, is al zo ongeveer sinds de uitvinding van het merkenrecht een toegestane handeling. Ik snap dus werkelijk niet wat hier de bedoeling van moet zijn geweest.

Ook over gebruik van het grafische logo staan er nieuwe regels, die neerkomen op “je mag niets veranderen behalve de grootte of het zwartwit maken”. Het is toch ook vrij gebruikelijk dat logo’s worden bijgekleurd in de huisstijl van een event of website. Dat zou niet automatisch een probleem moeten zijn. En natuurlijk kun je dan zeggen, laat die mensen gewoon even snel toestemming vragen. Maar dat is nogal een hindernis, ik ken geen bedrijf of stichting waar je snel even een merkenrechtelijke toestemming kunt vragen en dan een eenduiding antwoord in de mail zou krijgen. Dus dat zal mensen zeker hinderen.

Het kan wel, want er staat “contact us” bij – ik citeer even het voorbeeld van conferenties:

Events and conferences are a valuable opportunity to grow your network and learning. Please contact us at ‘Where to go for further information’ below if you would like to hold an event using the Marks in the event name. We will consider requests to use the Marks on a case by case basis, but at a minimum, would expect events and conferences using the Marks to be non-profit-making, focused on discussion of, and education on, Rust software, prohibit the carrying of firearms, comply with local health regulations, and have a robust Code of Conduct.
Het is voor mij de eerste keer in m’n leven dat ik merkbeleid lees dat als voorwaarde voor een licentie eist dat de ontvangende organisatie het dragen van vuurwapens verbiedt. Maar ik snap het wel: diverse Amerikaanse staten hebben tegenwoordig regels waarmee je zonder wapenvergunning met een (vaak ook nog verborgen) vuurwapen mag rondlopen. En er zijn ook genoeg mensen die er een punt van willen maken en met een zeer zichtbaar wapen naar zo’n conferentie gaan. Dat verbieden is dan de standaardmanier om een veilige omgeving te creëren. Dit in aansluiting op de Code of Conduct, een verwijzing naar typische regels bij conferenties die lastigvallen, beledigende opmerkingen over bijzondere persoonsgegevens, stiekem fotograferen en dergelijke aan banden leggen. Allebei deze onderwerpen zijn controversieel bij conferenties in de VS, dus een deel van de discussie gaat dan meteen over het al dan niet ‘woke’ karakter van het merkbeleid.

Bij DevClass verzekert het Rust-stichtingsbestuur iedereen dat er echt niets aan de hand is en men teleurgesteld is in sommige reacties:

The goal of the Trademark Policy consultation phase is to involve interested members of the public so we can surface actionable comments, questions, and suggestions and apply them to the next draft. To do this effectively, we needed to set up a system to gather feedback from the Rust Project and community in an organized fashion, hence the form. We were disheartened to see misinterpretations of this intention.
Men kondigt wel aan om direct na sluiting van de consultatieronde al feedback te geven, wat een positief signaal moet zijn. Ik ben benieuwd!

Arnoud