Moeten we echt elk jaar de copyrightvermelding in onze broncode updaten?

| AE 9248 | Software | 23 reacties

Een lezer vroeg me:

Alle broncodes binnen ons bedrijf hebben een copyrightvermelding, als volgt:
Copyright © 2016 $NAAM
THIS SOURCE CODE IS THE UNPUBLISHED AND CONFIDENTIAL PROPERTY OF $NAAM<
AND MAY NOT BE COPIED, MODIFIED OR DISTRIBUTED WITHOUT PRIOR WRITTEN AUTHORIZATION.
(Iets ingekort in verband met leesbaarheid.) Nu moet ik al die notices aanpassen want het is 2017. Kan dat echt niet anders?

Vrijwel alle broncode heeft een copyright notice, maar juridisch is dat eigenlijk nergens voor nodig. Heel formeel bestaat een copyrightvermelding uit drie elementen, in deze volgorde:

  • Het woord "copyright", de afkorting "copr." of het C-in-een-cirkel symbool ©. Allebei is dus eigenlijk dubbelop, en wie "(C)" doet is eigenlijk fout bezig.
  • Het jaar van eerste publicatie van het werk. Als het gaat om een aangepaste versie, dan moeten de jaren van elke wijziging ook worden vermeld. Zo geeft "1985, 1987-1989" bijvoorbeeld aan dat het werk gemaakt is in 1985 met wijzigingen in 1987, 1988 en 1989. Onze vraagsteller hoeft dus niet álle bestanden aan te passen, maar alleen bij de eerste wijziging in 2017 dat jaar toe te voegen.
  • De naam van de auteur. Dit mag een afkorting of pseudoniem zijn, zolang de auteur maar te identificeren is. In dit geval mag de statutaire naam worden gevoerd, of een andere handelsnaam die het bedrijf gebruikt.

Het punt is alleen dat geen enkele wet een copyrightvermelding eist als voorwaarde om auteursrecht te hebben op die software. Auteursrecht ontstaat namelijk enkel door het werk te maken, ongeacht wat er bij staat aan naams- of copyrightvermeldingen.

In de VS was het tot 1978 wél verplicht om zo'n vermelding te doen, anders was je werk niet beschermd. Maar juristen zijn een conservatief stel mensen, en bovendien het stáát heel juridisch dus laten we het maar doen. Cargo culting dus. Hetzelfde geldt voor all rights reserved.

Een naamsvermelding van de rechthebbende is natuurlijk wel zo handig, en een waarschuwing dat zonder licentie deze broncode niet mag worden verspreid kan ook geen kwaad. (Alleen graag zonder hoofdletters, dat leest beter.) Het is dus prima om vanaf nu "Copyright $NAAM" zonder jaartal te doen, dan hoef je er nooit meer aan te komen (tenzij je de auteursrechten verkoopt uiteraard.)

Arnoud

Google moet wél buitenlandse e-mails overdragen aan de FBI

| AE 9261 | Privacy, Software | 19 reacties

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse justitie. Daarmee is vooral de kans levensgroot geworden dat dit naar de Supreme Court gaat, dat zo een definitieve uitspraak moet gaan doen over of Amerikaanse cloudbedrijven nog zaken mogen doen met Europese klanten.

De zaak begon relatief simpel: de FBI had twee warrants bij Google neergelegd om e-mails te vorderen van verdachten in twee strafzaken. De verdachten woonden in de VS, de strafzaken waren in de VS begaan en de andere partijen bij de mails waren ook allemaal Amerikaans. Om technische redenen bleek Google een deel van de maildata toch buiten de VS te hebben opgeslagen, en met een beroep op het Microsoft-precedent van vorig jaar weigerden ze daar dan ook inzage in te geven.

De rechter die de warrant had afgegeven, bepaalt nu dat ook die buitenlandse data gewoon afgegeven moet worden. Het Microsoft-precedent lag anders. Daar was de data in beheer bij een Ierse dochter. Als je daar als Europees burger zaken mee doet, dan sta je wel héél raar te kijken als de FBI je data meeneemt. Dat raakt dan aan je privacyverwachting, en de regels over warrants zijn uiteindelijk geschreven om de privacy van de burger te beschermen.

Hier lag dat anders: als je als Amerikaan met een Amerikaan mailt via de Amerikaanse dienst Gmail, dan wéét je dat de FBI jurisdictie heeft en zo nodig je mails kan opvorderen met een warrant. Dat er dan toevallig op de achtergrond af en toe een blokje van je data in het buitenland staat, maakt dan niet meer uit. Voor hetzelfde geld was die morgen weer terug in de VS en dan hadden we deze hele discussie niet gehad. Dus niks privacyverwachting.

Op zich een begrijpelijke uitkomst, maar het creëert wel weer een hoop onzekerheid over waar we nu staan met de Europese cloud. Want zou het ook zo uitpakken als een van de partijen Europees was? Dat is alweer een stapje verder richting het mogen opvragen van ieders data.

In ieder geval, we hebben nu twee tegengestelde uitspraken over data in het buitenland. En de kans is daarmee levensgroot dat de zaak naar de Supreme Court gaat voor een definitieve beslissing. Of dat goed nieuws is, kun je je afvragen: de Supreme Court is niet perse positief over privacy van buitenlanders. Daar staat tegenover dat zolang er 8 rechters in zitten (in plaats van de gebruikelijke 9) de kans op een ‘hung court’ groot is, en dan blijft het precedent van Microsoft in stand. Dát zou erg waardevol nieuws zijn, want alleen met zo’n uitspraak kan de cloud in stand blijven.

Arnoud

Kun je als freelancer de aansprakelijkheid voor je werk afschuiven op de opdrachtgever?

| AE 9189 | Aansprakelijkheid, Software | 8 reacties

Een lezer vroeg me:

Sel dat je als freelancer aan een (software)project werkt voor een opdrachtgever, en om de een of andere reden is wat je aan het bouwen bent niet legaal. Misschien niet heel evident maar je ziet wel twijfels. Moet je daar dan nader onderzoek naar doen, juridisch advies inwinnen of kun je dat bij je opdrachtgever neerleggen in bijvoorbeeld de opdrachtbevestiging of algemene voorwaarden?

Dit is zo heel algemeen natuurlijk lastig te zeggen. Je kunt in een zakelijke overeenkomst veel doen, inclusief aansprakelijkheden voor van alles en nog wat verleggen naar je opdrachtgever. Je zult daar wel expliciet over moeten zijn en het is natuurlijk maar de vraag waarom je opdrachtgever daarmee akkoord zou gaan.

Voor mij zou een belangrijke zijn of wat je aan het bouwen bent nooit legaal kan zijn of juist soms. Een goksite kan illegaal zijn, maar als de opdrachtgever keurig een vergunning weet te krijgen, dan is er niets aan de hand. Als de opdrachtgever je vraagt iets te maken om zijn ex permanent te kunnen volgen, dan is de legale optie iets minder goed voorstelbaar.

Ook zou het nogal uitmaken hoe ernstig de illegaliteit is. Als een webwinkelier zijn btw-nummer niet op de site wil (dat is immers ook zijn BSN), dan is dat een wetsovertreding maar dat is van een iets andere orde dan die spyware. Ik zou daar minder moeite mee hebben om in mee te gaan als ontwikkelaar.

Hetzelfde geldt voor de vraag wiens idee het was, die illegale feature. Standaard het btw-nummer weglaten omdat het de klant zijn privacy raakt (het is immers zijn BSN) vind ik heel wat anders dan op klantverzoek en na discussie dat nummer weglaten. Of bij implementatie van iemands analytics geen cookietoestemming vragen omdat de cookiewet idioot is en toch niemand het leest. Dat mag je vinden, maar dat is een beslissing van je klant.

In de security-wereld kennen ze dit probleem al langer: veel security-onderzoek botst tegen de grijze randjes van computervredebreuk aan. Hiervoor is het instrument van de pentest waiver uitgevonden, waarin de opdrachtgever kortweg zegt dat het onderzoek mag en dat hij van iedereen toestemming heeft en je vrijwaart van claims van de hele wereld.

Het belangrijkste lijkt me om in zulke twijfelgevallen vast te leggen wat de zorg is, hoe daarover gesproken is en wat de conclusie was. Dat sluit ook aan bij je zorgplicht als opdrachtnemer (art. 7:400 BW). Als een opdrachtgever willens en wetens een bepaald risico neemt, dan kan hij daarna moeilijk nog een claim bij de ontwikkelaar leggen. Het vergt dus meer dan alleen een zin “alle aansprakelijkheid op het resultaat ligt bij de klant”.

Hebben jullie wel eens een opdracht gehad waarvan je dacht, dit lijkt me niet legaal?

Arnoud

Mag je licentie-incompatibele dependencies meeleveren met je software?

| AE 9144 | Open source, Software | 34 reacties

Een lezer vroeg me: Bij veel opensourcepakketten heb je allerlei extra software nodig, zogeheten dependencies. Soms is deze extra software meegeleverd met het pakket, maar vaak niet. Je moet dan maar hopen dat het via de repository van je Linux-distributie beschikbaar is. Ik had vernomen dat dat soms een juridische keuze is, hoe zit dat?… Lees verder

Ik wil niet namens mijn werkgever akkoord gaan met Microsoft’s EULA

| AE 9075 | Arbeidsrecht, Software | 15 reacties

Een lezer vroeg me: Deel van mijn werk is het uitrollen van Office 365. Eén van de installatiestappen is het akkoord gaan met de hele riedel gebruiksvoorwaarden en privacy condities van de firma Microsoft. Dit snap ik niet. Waarom moet dat, als wij al een contract hebben? En hoe voorkom ik dat ik straks privé… Lees verder

Ben ik nog aansprakelijk als ik het IE op mijn software overdraag?

| AE 9038 | Aansprakelijkheid, Software | 8 reacties

Een lezer vroeg me: Voor een klant heb ik maatwerksoftware ontwikkeld. Zij willen nu het intellectueel eigendom daarop verkrijgen. Op zich prima, alleen wil ik dan geen aansprakelijkheid meer voor fouten. Ik heb er dan immers geen controle meer over. Daar reageerden ze heel verbaasd op. Maar dit is toch geen gekke vraag? Nee, een… Lees verder

Fabrikanten mogen van EU-Hof pc’s met geïnstalleerde software verkopen

| AE 8952 | Software | 21 reacties

Computerfabrikanten mogen gewoon pc’s blijven verkopen met bijvoorbeeld Windows vooraf geïnstalleerd. Dat meldde Nu.nl onlang. Ze hoeven geen alternatief te bieden zonder de geïnstalleerde software. Dit volgt uit een uitspraak van het Hof van Justitie (zaaknr C-310/15) naar aanleiding van een Franse rechtszaak over de vraag of dit een oneerlijke handelspraktijk was. Een Franse consument… Lees verder

Je bent als bedrijf aansprakelijk voor stiekem geïnstalleerde software door je werknemer

| AE 8865 | Arbeidsrecht, Software | 28 reacties

Een werkgever is aansprakelijk voor illegale software geïnstalleerd door een werknemer, en daarbij maakt het niet uit of dat expliciet verboden was door de werkgever. Dat maak ik op uit een recent vonnis (via) van de rechtbank Rotterdam. Er is sprake van zogeheten risico-aansprakelijkheid: ongeacht wat je doet, je draait op voor eventuele inbreuken op… Lees verder

Mag een browserextensie je waarschuwen voor oplichters?

| AE 8707 | Meningsuiting, Software | 20 reacties

Afgelopen maand heb ik in de avonduren een chrome extensie ontwikkeld die op elke webpagina zoekt naar IBAN, telefoonnummer, e-mailadressen, las ik (dank, tipgever) bij Gathering of Tweakers. De poster was slachtoffer van oplichting geworden en ontdekte dat hij dit had kunnen voorkomen door even dergelijke gegevens door Google te halen. Vandaar de extensie: de… Lees verder