De toegangscode van een brandmelder opeisen

brandmelderIets dat we steeds vaker gaan zien: je wilt van je installateur of beheerder af, maar die heeft de toegangscodes of wachtwoorden en die wil hij niet zomaar afgeven. Sta je dan in je recht om ze op te eisen? Dat is een juridisch lastige vraag, want zo’n code is niets. Het is immers niet meer dan data. Maar in een recente rechtszaak vond de rechter toch een praktische oplossing.

Uit het vonnis blijkt dat een onderhoudsbureau een onderaannemer had ingehuurd die onder meer de brandmelder had geplaatst in het Rotterdam The Hague Airport Wings Hotel (hierna: “het hotel”, sorry wat een mond vol).

Die melder functioneerde niet naar behoren volgens de klant, maar de onderaannemer was stellig dat er niets aan de hand was. Weliswaar stond permanent het storingslampje aan, maar dat bleek een spookmelding te zijn zonder daadwerkelijke gevolgen. Ook kon een extern bureau geen grote problemen vinden. De rechter ziet dan ook geen problemen met de levering door die onderaannemer, dus die moet gewoon betaald krijgen voor zijn diensten.

Tussen de regels door krijg ik het gevoel dat het bureau klachten kreeg van het hotel omdat het ding maar bleef piepen of moeilijk doen. Zo ging de melder een keer af toen het buiten 45 graden was op een extra zonnige dag, of door douchestoom. Dus dan voelt het als een logische volgende stap om toch van die onderaannemer af te willen.

Met een ander verder gaan mag, ook als er geen echte klachten zijn. Maar nu wordt het ICT-spannend: wil je dat brandmeldsysteem onderhouden, dan heb je een code nodig (hierna: “de code”) en die wilde de onderaannemer niet zomaar afgeven. Na enig aandringen toch wel, maar dan alleen onder de volgende voorwaarden:

acceptatie van de gevolgen van de overdracht van de code aan een andere installateur door [het bureau];
verval van garantie en iedere aansprakelijkheid van [gedaagde1] voor de BMI;
afstand van aansprakelijkheid, korting of verrekening als gevolg van terugzetten code;
finale kwijting ter zake de BMI.

Dit zijn op zich gebruikelijke eisen. Alleen, mág je dat wel stellen als voorwaarde om een toegangscode, hierna: “de code”, te moeten afgeven? Nou nee, want nergens in het contract staat geregeld dat je alleen dan de code hoeft af te geven.

De spanning stijgt: op welke grond houdt de onderaannemer de code nu onder zich? De rechter komt uit bij het retentierecht. Je mag spullen onder je houden die van een ander zijn zolang die ander een afspraak niet nakomt. Alleen, in het contract stond dat het retentierecht niet ingezet mag worden, dus dat kan de onderaannemer vergeten. Code afgeven, einde oefening.

Echter, dit is wel raar, want het retentierecht geldt voor fysieke zaken en een toegangscode is dat niet. Oh pardon, toch wel:

Hierbij wordt opgemerkt dat de voorzieningenrechter de code beschouwt als een zaak als genoemd in artikel 3:290 juncto 3:2 BW, nu de code in deze gelijk te stellen aan een fysieke sleutel.

Dat klopt formeel niet helemaal, maar praktisch gezien wel. En voorzieningenrechters zijn er voor praktische oplossingen. En het is ergens ook wel te verdedigen dat een sleutel een zaak is: hij is voor menselijke beheersing vatbaar, vertegenwoordigt waarde en is in de praktijk uniek/verplaatsbaar. Codes deel je maar in beperkte mate en meestal is er maar een iemand die hem weet (als het goed is, wordt hij na overdracht snel gewijzigd immers). Dus dan klopt het ook formeel.

Arnoud

Mag je code snippets zomaar gebruiken in je software?

Een lezer vroeg me:

Ik werk als softwareontwikkelaar bij een groot bedrijf. Nu kan ik wel steeds opnieuw het wiel gaan uitvinden, maar op allerlei sites staan snippets, kleine stukjes code die handige functies bieden die vaak precies zijn wat ik nodig heb. Mag ik die gebruiken?

Er zijn inderdaad vele vele sites die oplossingen voor concrete probleempjes of handige trucjes om iets te bereiken aanbieden. Zulke ‘snippets’ code zijn vrijwel meteen te kopieplakken in je eigen code, maar of dat juridisch mag, is niet eenvoudig te zeggen.

De eerste vraag is altijd of er auteursrecht op een snippet zit. Dat is geen automatisme. Ook kleine werken kunnen beschermd zijn, zo weten we uit het Infopaq-arrest. Elf woorden overnemen telde in die zaak als inbreuk. Wel moet de combinatie van die woorden creatief zijn, zo zal een lijstje met elf hoofdsteden niet beschermd zijn.

Bij software is het lastiger te zeggen of iets beschermd is. Software bevat namelijk altijd een stevig stuk functionaliteit, sterker nog het ís primair functionaliteit en pas secundair creativiteit. En zeker bij kleine stukjes code heb je maar bar weinig ruimte om creativiteit te uiten. Zo veel manieren om met een SQL database te connecten of een quicksort te doen zijn er simpelweg niet. Een vuistregel (uit het Amerikaans recht maar werkt bij ons ook wel denk ik) is dat als twee programmeurs dezelfde code zouden maken gegeven het probleem, de code niet beschermd is.

Als een snippet lang en creatief genoeg is, dan is deze beschermd en mag je deze niet overnemen zonder toestemming. Sommige snippetsites erkennen dit en vermelden een standaardlicentie voor alle snippets die je daar kunt vinden. Maar andere laten het aan de auteur over, en dan moet je maar hopen dat die er “Do whatever you want” bij heeft gezet, of iets dergelijks. Staat er niets bij, dan moet je het navragen bij de auteur.

Natuurlijk, je kunt je afvragen of een auteur van tien regels code jou een factuur gaat sturen als je die code overneemt. Als hij er al achterkomt natuurlijk dat die code in jouw product zit. Maar formeel heb jij het probleem als blijkt dat je code gebruikt zonder licentie.

Oh, en vergeet niet te documenteren welke licentie erbij stond toen je de snippet overnam. Als die licentie een paar jaar later verandert, dan zit jij met een bewijsprobleem – erg lastig als de nieuwe licentie ineens jouw vorm van gebruik verbiedt.

Arnoud

12 maanden cel voor computervredebreuk

12 maanden cel voor de ‘gamehacker’, zoals Bright hem noemt. De hacker had in januari en februari bij diverse gamesbedrijven, waaronder Darkfall, ingebroken en code gestolen. Van de 12 maanden zijn er acht voorwaardelijk, en omdat de man al vier maanden in voorarrest had gezeten komt hij direct op vrije voeten.

Planet legt uit:

De verdachte heeft hij bij twee bedrijven, Aventurine en Zenimax, de computer gehackt om op die wijze online een nog niet op de markt gebracht of geheel ontwikkeld computerspel te kunnen spelen. Bij Aventurine ging het om de MMORPG Darkfall Online. Daarnaast heeft hij bij een derde bedrijf de computer gehackt om vertrouwelijke productgegevens en broncodes van software over te nemen. Bij een vierde bedrijf heeft verdachte in de computer ingebroken om een inkomstengenererende clickbanner te kunnen instaleren.

Eerder schreef Peter Olsthoorn op Netkwesties over de zaak:

Het zou een belangwekkende zaak worden met een hoge straf als afschrikking voor andere potentiële computerkrakers. Te meer daar buitenlandse partijen tot de gedupeerden behoorden, het bewijs rond was en een bekentenis daar. Maar Peter de R. kwam er genadig vanaf. Hij had al zo geleden in het Huis van Bewaring.

Zo loopt deze op het oog indrukwekkende strafzaak toch min of meer met een sisser af. Peter de R., tot deze zaak nog met een blanco strafblad, krijgt een voorwaardelijke straf als stok achter de deur om niet in herhaling te vervallen.

Arnoud