Kun je als freelancer de aansprakelijkheid voor je werk afschuiven op de opdrachtgever?

| AE 9189 | Aansprakelijkheid, Software | 6 reacties

Een lezer vroeg me:

Sel dat je als freelancer aan een (software)project werkt voor een opdrachtgever, en om de een of andere reden is wat je aan het bouwen bent niet legaal. Misschien niet heel evident maar je ziet wel twijfels. Moet je daar dan nader onderzoek naar doen, juridisch advies inwinnen of kun je dat bij je opdrachtgever neerleggen in bijvoorbeeld de opdrachtbevestiging of algemene voorwaarden?

Dit is zo heel algemeen natuurlijk lastig te zeggen. Je kunt in een zakelijke overeenkomst veel doen, inclusief aansprakelijkheden voor van alles en nog wat verleggen naar je opdrachtgever. Je zult daar wel expliciet over moeten zijn en het is natuurlijk maar de vraag waarom je opdrachtgever daarmee akkoord zou gaan.

Voor mij zou een belangrijke zijn of wat je aan het bouwen bent nooit legaal kan zijn of juist soms. Een goksite kan illegaal zijn, maar als de opdrachtgever keurig een vergunning weet te krijgen, dan is er niets aan de hand. Als de opdrachtgever je vraagt iets te maken om zijn ex permanent te kunnen volgen, dan is de legale optie iets minder goed voorstelbaar.

Ook zou het nogal uitmaken hoe ernstig de illegaliteit is. Als een webwinkelier zijn btw-nummer niet op de site wil (dat is immers ook zijn BSN), dan is dat een wetsovertreding maar dat is van een iets andere orde dan die spyware. Ik zou daar minder moeite mee hebben om in mee te gaan als ontwikkelaar.

Hetzelfde geldt voor de vraag wiens idee het was, die illegale feature. Standaard het btw-nummer weglaten omdat het de klant zijn privacy raakt (het is immers zijn BSN) vind ik heel wat anders dan op klantverzoek en na discussie dat nummer weglaten. Of bij implementatie van iemands analytics geen cookietoestemming vragen omdat de cookiewet idioot is en toch niemand het leest. Dat mag je vinden, maar dat is een beslissing van je klant.

In de security-wereld kennen ze dit probleem al langer: veel security-onderzoek botst tegen de grijze randjes van computervredebreuk aan. Hiervoor is het instrument van de pentest waiver uitgevonden, waarin de opdrachtgever kortweg zegt dat het onderzoek mag en dat hij van iedereen toestemming heeft en je vrijwaart van claims van de hele wereld.

Het belangrijkste lijkt me om in zulke twijfelgevallen vast te leggen wat de zorg is, hoe daarover gesproken is en wat de conclusie was. Dat sluit ook aan bij je zorgplicht als opdrachtnemer (art. 7:400 BW). Als een opdrachtgever willens en wetens een bepaald risico neemt, dan kan hij daarna moeilijk nog een claim bij de ontwikkelaar leggen. Het vergt dus meer dan alleen een zin “alle aansprakelijkheid op het resultaat ligt bij de klant”.

Hebben jullie wel eens een opdracht gehad waarvan je dacht, dit lijkt me niet legaal?

Arnoud

Mag je licentie-incompatibele dependencies meeleveren met je software?

| AE 9144 | Open source, Software | 34 reacties

Een lezer vroeg me:

Bij veel opensourcepakketten heb je allerlei extra software nodig, zogeheten dependencies. Soms is deze extra software meegeleverd met het pakket, maar vaak niet. Je moet dan maar hopen dat het via de repository van je Linux-distributie beschikbaar is. Ik had vernomen dat dat soms een juridische keuze is, hoe zit dat?

Het lijkt zo logisch om, als je eigen software afhankelijk is van andermans open source, die open source mee te leveren. Het is immers gewoon toegestaan om open source software te verspreiden, dat is het hele punt van open source. Het doet dus wat raar aan dat je bepaalde open source niet mee mag leveren.

De reden dat het soms toch niet kan, zit hem in de licentievoorwaarden. Sommige opensourcelicenties (met name de GNU GPL) eisen dat zogeheten afgeleide werken alleen mogen worden gedistribueerd onder die licentie. Als de licentie van het andere werk dit niet toestaat – zogeheten licentie-incompatibiliteit – dan is het dus niet mogelijk die twee samen te verspreiden.

Wat precies een afgeleid werk is, is al decennia een lange discussie, maar goed verdedigbaar is dat gebruik van een dependency daaronder valt. Heb je een specifiek ander stuk software nodig, dan bouw je voort op dat andere stuk software en dus ben je daar een afgeleide van. Hoewel ook goed verdedigbaar is dat je dan alleen functionaliteit aanroept, en dat valt buiten het auteursrecht en dus ook buiten de licentiescope. Maar als je dus zegt dat inroepen van dependencies jouw software een afgeleid werk daarvan maakt, dan moeten de licenties van de software en de dependencies allemaal compatibel met elkaar zijn.

Het gekke is dat het wél toegestaan is – ongeacht compatibiliteit – om te melden welke dependencies er gelden en de gebruiker die zelf te laten downloaden en installeren. Dat mag je zelfs automatiseren met een handig installatiescript of package manager-functionaliteit. Opensourcelicenties zijn namelijk distributielicenties, oftewel de voorwaarden gelden pas bij distributie. Wie alleen downloadt en gebruikt, heeft dus niets te maken met compatibiliteit van eventuele licenties.

Arnoud

Ik wil niet namens mijn werkgever akkoord gaan met Microsoft’s EULA

| AE 9075 | Arbeidsrecht, Software | 15 reacties

eula-ridge-trail-bordje-sign-flickr-oregon-brandon.jpgEen lezer vroeg me:

Deel van mijn werk is het uitrollen van Office 365. Eén van de installatiestappen is het akkoord gaan met de hele riedel gebruiksvoorwaarden en privacy condities van de firma Microsoft. Dit snap ik niet. Waarom moet dat, als wij al een contract hebben? En hoe voorkom ik dat ik straks privé akkoord ga of zo?

Het is compleet onzinnig dat een bedrijfsmatige installatie van reeds gelicentieerde software zou vereisen dat je akkoord gaat met op het scherm gepresenteerde gebruiksvoorwaarden. Precies om de reden die de vraagsteller noemt: de licentienemer hééft al akkoord gegeven op voorwaarden, zij het ouderwets op een stuk papier en niet met een klik. Maar dat doet er niet toe.

(En breek me de bek niet open over akkoord op privacyverklaringen. Dat slaat écht helemaal nergens op. Privacyverklaringen verklaren. Ze zijn verplicht op grond van de Wbp ter toelichting op wat je gaat doen. Maar een akkoord daarop is net zo relevant als akkoord op de dienstregeling van de NS.)

Die software is echter geprogrammeerd om bij installatie die voorwaarden te tonen, en doet dat dus vrolijk ook al betekent het niets. Maar daar staat tegenover dat klikken dus op zich ook niets betekent, afgezien van 5 seconden extra moeite. (Ik herinner me dat er opties zijn bij zakelijk installeren om dit te skippen, wie ‘m weet mag het roepen!)

Sowieso ben je niet privé gebonden, dit installeren doe jij zakelijk dus handel jij namens je werkgever. Jij als persoon bestaat niet, onder de wet. Jij bent een hand van je werkgever en niets dat die hand doet, kan bindend worden op de persoon achter die hand.

Arnoud

Ben ik nog aansprakelijk als ik het IE op mijn software overdraag?

| AE 9038 | Aansprakelijkheid, Software | 7 reacties

Een lezer vroeg me: Voor een klant heb ik maatwerksoftware ontwikkeld. Zij willen nu het intellectueel eigendom daarop verkrijgen. Op zich prima, alleen wil ik dan geen aansprakelijkheid meer voor fouten. Ik heb er dan immers geen controle meer over. Daar reageerden ze heel verbaasd op. Maar dit is toch geen gekke vraag? Nee, een… Lees verder

Fabrikanten mogen van EU-Hof pc’s met geïnstalleerde software verkopen

| AE 8952 | Software | 21 reacties

Computerfabrikanten mogen gewoon pc’s blijven verkopen met bijvoorbeeld Windows vooraf geïnstalleerd. Dat meldde Nu.nl onlang. Ze hoeven geen alternatief te bieden zonder de geïnstalleerde software. Dit volgt uit een uitspraak van het Hof van Justitie (zaaknr C-310/15) naar aanleiding van een Franse rechtszaak over de vraag of dit een oneerlijke handelspraktijk was. Een Franse consument… Lees verder

Je bent als bedrijf aansprakelijk voor stiekem geïnstalleerde software door je werknemer

| AE 8865 | Arbeidsrecht, Software | 28 reacties

Een werkgever is aansprakelijk voor illegale software geïnstalleerd door een werknemer, en daarbij maakt het niet uit of dat expliciet verboden was door de werkgever. Dat maak ik op uit een recent vonnis (via) van de rechtbank Rotterdam. Er is sprake van zogeheten risico-aansprakelijkheid: ongeacht wat je doet, je draait op voor eventuele inbreuken op… Lees verder

Mag een browserextensie je waarschuwen voor oplichters?

| AE 8707 | Meningsuiting, Software | 20 reacties

Afgelopen maand heb ik in de avonduren een chrome extensie ontwikkeld die op elke webpagina zoekt naar IBAN, telefoonnummer, e-mailadressen, las ik (dank, tipgever) bij Gathering of Tweakers. De poster was slachtoffer van oplichting geworden en ontdekte dat hij dit had kunnen voorkomen door even dergelijke gegevens door Google te halen. Vandaar de extensie: de… Lees verder

Mag Revolv gewoon apparaten bij mensen thuis uitzetten?

| AE 8700 | Innovatie, Software | 61 reacties

Revolv, een smarthome-hub van Googles zusterbedrijf Nest, stopt ermee. Dat meldde Tweakers alweer een tijdje geleden. Gebruikers hebben dan ook niets meer aan de 300 dollar kostende hardware waarmee ze hun huis hadden geautomatiseerd. Zeg maar dat je stofzuiger niet meer zuigt omdat Philips haar afdeling Huishoudelijke Apparaten opheft. Kun je daar wat aan doen… Lees verder

Maakt die Google/Oracle-uitspraak de GPL krachteloos?

| AE 8683 | Open source, Software | 33 reacties

Je kunt je mooie GPL vaarwel kussen, las ik bij Ars Technica vorige week. Die Google/Oracle uitspraak die een API fair use verklaarde, gaat namelijk de GPL en consorten onderuit schoffelen. Oké, het was de advocaat van Oracle die dat schreef, maar er zit een argumentatie bij. Dus laten we die eens nader bekijken. In… Lees verder