Mag ik als werknemer wel bijdragen posten op Stack Overflow?

| AE 11720 | Intellectuele rechten, Ondernemingsvrijheid | 7 reacties

Vorige week hadden we een discussie over snippets code op Stack Overflow, en toen kwam deze vraag langs:

Volgens mij is het tamelijk duidelijk wat je met snippets op SO mag (CC BY-SA 3.0, zie bovenstaande antwoorden). Wat ik me wel eens afvraag is of ik als developer in dienst van een bedrijf wat eigenlijk eigenaar is van het copyright op alles wat ik aan code schrijf wel snippets op SO mág posten.

Als je in dienst bent bij een bedrijf (dus als werknemer, niet als ingehuurde zzp’er) dan is de hoofdregel dat alles dat je maakt, auteursrechtelijk van de werkgever is. Althans, als het binnen de scope van je arbeidsovereenkomst ligt. Het maakt dus niet uit of je het in eigen tijd doet, op je eigen laptop of vanuit een eigen behoefte om het te maken. Was dit je werk, of had dit je werk kunnen zijn gezien je contract, je afspraken en de definitie van je functie, dan is het van je werkgever. (Je contract kan bredere of andere grenzen trekken.)

Wie bijvoorbeeld aangenomen is als programmeur bij het ontwikkelteam voor de Initech Finance app, is dus alle rechten kwijt op wat hij aan die app bijdraagt. Maakt hij daarnaast een afspraak om, ik noem eens wat, foto’s te maken op de bedrijfsborrel, dan zijn ook die foto’s auteursrechtelijk van de werkgever. De roman die hij in het weekend schrijft, is en blijft daarentegen zijn eigen auteursrechtelijk werk. Ook trouwens als hij dat onder werktijd op de company laptop schrijft. Dat laatste levert wellicht plichtsverzuim op en kan in theorie reden tot ontslag zijn, maar auteursrechtelijk is en blijft dat boek dan van hem.

Het zal zelden voorkomen dat mensen expliciet in hun contract hebben staan dat ze op Stack Overflow moeten dan wel mogen posten als deel van hun werk. Dan kom je op de vraag of het impliciet alsnog deel van hun werk is. Vergroten van je kennis en discussie met vakgenoten kun je denk ik wel vaak zien als deel van je werk, zodat de werken die je in dat kader maakt, ook eigendom van je werkgever zijn. Maar het is natuurlijk ook een stukje persoonlijke ontwikkeling en interesse, discussie met vakgenoten en het geven van tips aan elkaar.

Ik neig er naar om dit soort bijdragen te zien als privé-eigendom, tenzij het nadrukkelijk gaat om dingen waar je aan werkt of die direct aanverwant zijn aan het werk dat je doet. Een snippet posten dat laat zien hoe je een Postgres database optimaliseert, zou dus zakelijk eigendom zijn als je het post als databasebeheerder. (Ik denk ook als je bedrijf geen Postgres gebruikt, maar vind dat een twijfelgeval.)

Daarnaast kun je bij het posten van snippets en tips in de problemen komen als je bedrijfsgeheimen onthult. Uitleggen hoe de infrastructuur bij jouw bedrijf werkt, kan daar een voorbeeld van zijn. En dat kan gebeuren met zo’n snippet, denk aan een security-advies over hoe de firewall te configureren (“zo werkt het bij ons en dat gaat best goed”). Een stukje code posten van de eigen codebase van het werk, is natuurlijk om diezelfde reden ook best een probleem.

Arnoud

In mijn tijd had je niet eens Deliveroo op je telefoon als scholier

| AE 11709 | Ondernemingsvrijheid | 26 reacties

De school als afleveradres voor maaltijdbezorging en postpakketten: sommige scholen willen het niet meer hebben. Dat meldde NRC onlangs. Leerlingen mogen dan dus geen maaltijden meer bestellen via bijvoorbeeld Deliveroo, UberEats en Thuisbezorgd. Ik voel me echt oud als ik dan bedenk dat ik op de middelbare school hooguit een zak chips bij een supermarkt een eind verderop kon kopen, of (als ie al open was) ergens een frietje. Maar goed, ik krijg er vragen over (ja, echt) of een school dat wel mag – en omdat men met een app bestelt vanaf een smartphone is dit internetrecht, dus ik ga een antwoord schrijven.

Het korte antwoord is natuurlijk dat een school dit mag reguleren, om de eenvoudige reden dat zij bepalen wie er op hun terreinen mogen komen. Het is immers hun eigendom (ook als ze het huren, slimmerik uit 5vwo ergens in Gouda). Als zij niet willen dat bezorgers van post dan wel voedsel op het terrein komen, dan is dat hun goed recht en dat jij als scholier ze hebt gevraagd, doet daar niet aan af. Je bent niet bevoegd mensen uit te nodigen op andermans terrein.

Die ene middelbare school uit Overijssel die (blijkens een boze mail van een 14-jarige havist) aankondigde dat “wie Deliveroo op zijn telefoon open heeft op school, de telefoon mag inleveren voor de dag” gaat wat mij betreft dan weer een stapje te ver. Het innemen van een telefoon als sanctie kan alleen als dat a) in het schoolreglement benoemd is als sanctie bij bepaald gedrag en b) die sanctie proportioneel is gezien dat gedrag. We hebben hier meer discussies over gehad, en ik denk dat dat alleen kan als je echt onrechtmatige dingen doet met de telefoon zelf. Ik wil nog net daaronder rekenen dat je overlast veroorzaakt in de klas, maar op een rustig moment en buiten de les een vette hap bestellen voor op school kan ik niet als overlast zien.

Ook het laten bezorgen van pakketten komt voor, aldus NRC. „De school is een uitermate goede plek om dingen af te laten leveren waarvan je niet wilt dat ze ouders ze zien”, zegt directeur De Zoete. „Maar ook dat willen we liever niet hebben.” Eh ja, ik word oud inderdaad. U ook?

Arnoud

Hoe moet de universiteit Maastricht omgaan met de Clop ransomware?

| AE 11695 | Ondernemingsvrijheid, Security | 37 reacties

De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Dat meldde de NOS eind vorig jaar. Het gaat om ransomware, software die data versleutelt tenzij losgeld wordt betaald – in dit geval het Clop virus. Er is aangifte gedaan en volgens universiteitsblad Observant is een team van zo’n 25 IT-experts dag en nacht bezig om de aanval te ontmantelen. Ik kreeg in de kerstvakantie vele mails van met name studenten over waar ze nu staan met bijvoorbeeld hun afstuderen, maar de interessantste vraag kwam van een lezer die zich afvroeg of de verzekeraar van de universiteit gaat betalen. Dat schijnt namelijk normaal te zijn?

Net voor de kerst werd de universiteit getroffen door het Clop virus, dat zich blijkt te richten op grote instellingen en overheden. Het virus versleutelt niet alleen individuele bestanden (zoals de meeste ransomware) maar ook netwerken: alle dhcp-servers, Exchange-servers, domeincontrollers en netwerkschijven zouden versleuteld zijn. Dan heb je best wel een probleem als organisatie, zoals nu ook blijkt uit de enorme inspanning die de universiteit samen met Fox-IT levert om alles weer te herstellen.

Het plan was om begin januari weer gewoon open te gaan, zij het met natuurlijk nogal wat beperkingen qua netwerkverkeer, toegang tot studie-informatie en ga zo maar door. Er is nog niets over regelingen bekend, maar dit lijkt me zo’n evident geval van overmacht dat zaken als deadlines of inleverdata zonder problemen opgeschoven kunnen worden.

Die ene lezer had nog best een punt: het is niet ondenkbaar dat een verzekeraar het losgeld betaalt wanneer ransomware heeft toegeslagen bij een polishouder. Zakelijk is het immers puur een rekensom: wat kost het om het hele systeem terug te zetten, en hoe hoog is het losgeld? Verrassend genoeg blijken veel ransomware-verspreiders namelijk gewoon de sleutel te geven als je betaalt. Logisch vanuit hun perspectief, want dan gaan de betalende slachtoffers anderen adviseren om ook te betalen. En dit soort misdaad moet het van vele gewillige slachtoffers hebben.

Voor een individueel slachtoffer is het dus niet gek om gewoon te betalen, hoewel maatschappelijk gezien dat natuurlijk buitengewoon onwenselijk is. Voor een verzekeraar voelt het gekker: die heeft meer klanten die mogelijk slachtoffer kunnen worden, en veroorzaakt zo meer claims bij zichzelf (en concullega’s). Maar voor het individuele geval zou het ook bij de verzekeraar een prima oplossing kunnen zijn.

Ik ken geen wet die expliciet verbiedt dat een verzekeraar losgeld betaalt. Als de verzekeraar dit in de polis zet als recht, dan zou dat waarschijnlijk in strijd met de openbare orde of goede zeden zijn (art. 3:40 BW). Maar dat levert volgens mij alleen op dat de klant de verzekeraar niet kan dwingen te betalen (een dergelijke verbintenis is immers nietig) of dat de verzekeraar het geld als onverschuldigd betaald kan terugvorderen bij de ransomware-verspreider (en dat heeft geen betekenis). Ik ken geen artikel uit het wetboek van strafrecht dat je tegen zo’n betalende verzekeraar in kunt zetten. Waarschijnlijk is het nooit verboden omdat niemand er aan gedacht heeft dat dit grootschalig een ding kon worden – bij traditionele gijzelingen is de politie er meestal bij betrokken, en die kan dan bepalen wat wijsheid is.

Arnoud

Mag Sonos een speaker in recycle oftewel deurstoppermodus zetten?

| AE 11692 | Informatiemaatschappij, Ondernemingsvrijheid | 12 reacties

Sonos’s “recycle mode” intentionally bricks good devices so they can’t be reused. Dat twitterde Ralph waldo cybersyn onlangs. Alle mooie woorden over sustainability en minimale impact op het milieu ten spijt blijkt de maker van de slimme netwerkmuziekspelers apparaten in de “recycle mode” gewoon keihard onbruikbaar te maken en weg te gooien. Dat gaf de… Lees verder

Als je OSS in het onderwijs wilt, moet je er een SLA bij verkopen

| AE 11688 | Ondernemingsvrijheid | 12 reacties

Tijd om een grens te trekken, stellen de rectores magnifici van de Nederlandse universiteiten. Die oproep in de Volkskrant van eind vorig jaar betrof de steeds grotere inzet van commerciële platformdiensten voor onderwijsdoeleinden, van plagiaatcontrole tot learning management systems, die dan lekker goedkoop en handig zijn maar wel ondertussen data van leerlingen of studenten verzamelen…. Lees verder

Wanneer steel je iets bij een zelfscansupermarkt?

| AE 11683 | Ondernemingsvrijheid | 45 reacties

Een lezer vroeg me: Ik vroeg me zo af, nu winkelketens zoals de AH inzetten op zelfstandig scannen en afrekenen, wat doet dat met de aansprakelijkheid? Een vergissing van de kassa medewerker in uw voordeel (of nadeel) lijkt mij opeens heel anders te liggen wanneer je het zelf doet. Dit is ingewikkelder dan je denkt;… Lees verder

Kan ik nu eindelijk mijn personeel MDM software opdringen?

| AE 11674 | Ondernemingsvrijheid, Privacy | 21 reacties

Een lezer vroeg me: Ik las je blog van maandag over een boete bij een bedrijf omdat personeel WhatsApp-chats wiste. Dat lijkt me het perfecte argument om alle werknemers gewoon mobile phone beheersoftware (MDM) op te leggen, ook op hun privételefoon. Als je als werkgever zúlke schade kunt oplopen door gewiste gesprekken, dan is je… Lees verder

Hongarije geeft Facebook miljoenenboete voor pretenderen gratis te zijn

| AE 11654 | Ondernemingsvrijheid | 7 reacties

De Hongaarse concurrentiewaakhond Hungarian Competition Authority heeft een boete uitgedeeld aan Facebook voor het pretenderen een gratis dienst te zijn. Dat las ik bij Nu.nl. De boete bedraagt ruim 3,5 miljoen euro en is gebaseerd op het idee dat je betaalt met je persoonsgegevens, als ik de bron Bloomberg goed begrijp (mijn Hongaars is wat… Lees verder

Moet je als hostingbedrijf AVG-verzoeken voor klanten honoreren?

| AE 11648 | Ondernemingsvrijheid, Privacy | 25 reacties

Een lezer vroeg me: Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen? Sinds de AVG zijn… Lees verder

Doe mij eens wat meer van die boetes van 5000 euro

| AE 11637 | Ondernemingsvrijheid | 5 reacties

De Belgische privacywaakhond heeft twee boetes van 5000 euro opgelegd aan lokale politici, las ik bij Tweakers. De politici gebruikten gegevens die ze in hun ambt hadden verkregen (“burgers die een beroep op hen als burgemeester/schepen deden”) om ze politieke reclame te sturen. Dat is in strijd met het beginsel van doelbinding aldus de Gegevensbeschermingsautoriteit,… Lees verder