Mag je licentie-incompatibele dependencies meeleveren met je software?

| AE 9144 | Open source, Software | 34 reacties

Een lezer vroeg me:

Bij veel opensourcepakketten heb je allerlei extra software nodig, zogeheten dependencies. Soms is deze extra software meegeleverd met het pakket, maar vaak niet. Je moet dan maar hopen dat het via de repository van je Linux-distributie beschikbaar is. Ik had vernomen dat dat soms een juridische keuze is, hoe zit dat?

Het lijkt zo logisch om, als je eigen software afhankelijk is van andermans open source, die open source mee te leveren. Het is immers gewoon toegestaan om open source software te verspreiden, dat is het hele punt van open source. Het doet dus wat raar aan dat je bepaalde open source niet mee mag leveren.

De reden dat het soms toch niet kan, zit hem in de licentievoorwaarden. Sommige opensourcelicenties (met name de GNU GPL) eisen dat zogeheten afgeleide werken alleen mogen worden gedistribueerd onder die licentie. Als de licentie van het andere werk dit niet toestaat – zogeheten licentie-incompatibiliteit – dan is het dus niet mogelijk die twee samen te verspreiden.

Wat precies een afgeleid werk is, is al decennia een lange discussie, maar goed verdedigbaar is dat gebruik van een dependency daaronder valt. Heb je een specifiek ander stuk software nodig, dan bouw je voort op dat andere stuk software en dus ben je daar een afgeleide van. Hoewel ook goed verdedigbaar is dat je dan alleen functionaliteit aanroept, en dat valt buiten het auteursrecht en dus ook buiten de licentiescope. Maar als je dus zegt dat inroepen van dependencies jouw software een afgeleid werk daarvan maakt, dan moeten de licenties van de software en de dependencies allemaal compatibel met elkaar zijn.

Het gekke is dat het wél toegestaan is – ongeacht compatibiliteit – om te melden welke dependencies er gelden en de gebruiker die zelf te laten downloaden en installeren. Dat mag je zelfs automatiseren met een handig installatiescript of package manager-functionaliteit. Opensourcelicenties zijn namelijk distributielicenties, oftewel de voorwaarden gelden pas bij distributie. Wie alleen downloadt en gebruikt, heeft dus niets te maken met compatibiliteit van eventuele licenties.

Arnoud

Ik wil niet namens mijn werkgever akkoord gaan met Microsoft’s EULA

| AE 9075 | Arbeidsrecht, Software | 15 reacties

eula-ridge-trail-bordje-sign-flickr-oregon-brandon.jpgEen lezer vroeg me:

Deel van mijn werk is het uitrollen van Office 365. Eén van de installatiestappen is het akkoord gaan met de hele riedel gebruiksvoorwaarden en privacy condities van de firma Microsoft. Dit snap ik niet. Waarom moet dat, als wij al een contract hebben? En hoe voorkom ik dat ik straks privé akkoord ga of zo?

Het is compleet onzinnig dat een bedrijfsmatige installatie van reeds gelicentieerde software zou vereisen dat je akkoord gaat met op het scherm gepresenteerde gebruiksvoorwaarden. Precies om de reden die de vraagsteller noemt: de licentienemer hééft al akkoord gegeven op voorwaarden, zij het ouderwets op een stuk papier en niet met een klik. Maar dat doet er niet toe.

(En breek me de bek niet open over akkoord op privacyverklaringen. Dat slaat écht helemaal nergens op. Privacyverklaringen verklaren. Ze zijn verplicht op grond van de Wbp ter toelichting op wat je gaat doen. Maar een akkoord daarop is net zo relevant als akkoord op de dienstregeling van de NS.)

Die software is echter geprogrammeerd om bij installatie die voorwaarden te tonen, en doet dat dus vrolijk ook al betekent het niets. Maar daar staat tegenover dat klikken dus op zich ook niets betekent, afgezien van 5 seconden extra moeite. (Ik herinner me dat er opties zijn bij zakelijk installeren om dit te skippen, wie ‘m weet mag het roepen!)

Sowieso ben je niet privé gebonden, dit installeren doe jij zakelijk dus handel jij namens je werkgever. Jij als persoon bestaat niet, onder de wet. Jij bent een hand van je werkgever en niets dat die hand doet, kan bindend worden op de persoon achter die hand.

Arnoud

Waarom EULA’s allemaal zo verschrikkelijk onleesbaar zijn

| AE 9049 | Contracten | 12 reacties

eula-naam.jpgMooi stuk bij BoingBoing: onze digitale economie zit vol met licenties (EULA’s, end user license agreements) maar geen hond die ze leest. Is dat luiheid van de consument? Onoplettendheid in het bestelproces? Nee. Dit zit fundamenteler.

Het concept van licenties – verlening van toestemming – is natuurlijk al veel ouder dan internet. De visvergunning is gewoon een rivier-EULA, en wie met een radio wil uitzenden heeft daar ook toestemming voor nodig. Maar dergelijke vergunningen of licenties waren relatief simpel. Je mocht iets dat je eerst niet mocht, met hooguit een aantal specifieke randvoorwaarden zoals dat je alleen bij daglicht mag vissen of dat de politie mag komen kijken of je je wapens (onder je schiet-EULA) wel veilig opbergt.

Die voorwaarden waren dus best duidelijk. Dat kon, omdat die situaties specifiek waren en verder duidelijk omlijnd. Ook had de opsteller van die EULA – de overheid – een belang bij duidelijkheid. Als je elke dag onduidelijke vergunningen moet gaan handhaven, dan is dat een verspilling van tijd en belastinggeld.

Bij internetdiensten en software zitten er andere factoren. Allereerst gaat het hier om private partijen met een particulier belang: je wilt dat mensen je dienst gebruiken, maar je wilt geen gezeik. Dus ga je je dienst dichttimmeren met voorwaarden in jouw voordeel. Ten tweede is er niemand die een tegengeluid laat horen. De vereniging van sportvissers gaat echt wel piepen als de hengel-EULA ineens zes pagina’s algemene voorwaarden krijgt, maar consumenten van internetdiensten doet dat niet.

Het BoingBoing-artikel (eigenlijk het boek The End of Ownership: Personal Property in the Digital Economy) noemt nog een derde factor die ik intrigerend vind. Omdat consumenten niet in staat zijn EULAs op waarde te schatten, is er geen prikkel om ze beter te maken. Voor juristen is er dus weinig eer aan te behalen, áls je al als jurist wordt gevraagd om een EULA op te stellen (hoe vaak ik niet de vraag krijg, ik heb een EULA op internet gevonden, kun je die even checken in een kwartiertje of zo).

Ook weegt een stukje conservatisme mee. Een belachelijk eenzijdige clausule kan geen kwaad, maar de clausule weglaten misschien wél. Als je zegt “wij zijn niet aansprakelijk voor zover wettelijk toegestaan” dan heb je netjes je aansprakelijkheid ingeperkt. Laat je die zin weg, dan is er misschien een situatie waarin iemand een claim indient die je met die zin had kunnen pareren. Helemaal als je collega’s dat ook allemaal doen. Dus een perverse prikkel om het zo eenzijdig mogelijk te houden.

Wel vraag ik me af of de auteurs gelijk hebben als ze hier een sinistere opmars van beperkende maatregelen menen te bespeuren. Zouden bedrijven echt redeneren, oei, dat recht een backup te maken is gevaarlijk voor ons businessmodel, kan dat even uitgesloten worden in de licentie? Ik heb heel sterk het gevoel dat dit soort dingen semi-automatisch door de jurist zelf worden ingevuld. Je wilt er toch iets van maken, en consumentenrechten uitsluiten waar dat kan, is dan toch een beetje je werk. Maar ik geloof niet dat dat na zorgvuldig overleg op directieniveau is verzonnen. Ook de directie leest de EULA niet.

Maar uiteindelijk maakt dat niet heel veel uit. Het eigenlijke punt blijft staan: door al die EULAs verandert de online markt wezenlijk ten opzichte van de offline. Als ik een boek koop, mag ik het doorverkopen of ermee doen wat ik wil. Als ik een e-book ‘koop’, krijg ik een beperkte licentie die me verbiedt het werk te reproduceren tenzij wettelijk toegestaan, die opmerkt dat het slechts op één apparaat geïnstalleerd mag worden, me bij de gratie gods een backup laat maken (“Doch uitsluitend indien technisch noodzakelijk voor een goede werking van het Werk”), ALLE AANSPRAKEN OP CONFORMITEIT EN JUISTHEID UITSLUIT BEHOUDENS EN VOOR ZOVER IN UW JURISDICTIE ANDERS IS BEPAALD DOCH IN IEDER GEVAL TOT MAXIMAAL HET AANSCHAFBEDRAG OF 5 DOLLAR, WELK MAAR MINDER IS. Sorry, ik liet me even gaan.

Wat is de oplossing? Daar ben ik nog niet uit. Standaardregels in de wet lijken me een goed begin, maar het is geen panacee. Als we vastleggen dat digitale producten net zo mogen worden behandeld als fysieke, en een aantal van de grofste clausules op een zwarte lijst zetten (net zoals bij consumentenkoop de grijze en zwarte lijst), dan zouden we al een heel eind puin ruimen. Maar ik betwijfel of het genoeg is.

Arnoud

Wat als een licentie zichzelf tegenspreekt?

| AE 8780 | Auteursrecht | 27 reacties

Via Twitter: waar sta je als een licentietekst enerzijds zegt “Alle rechten voorbehouden” met standaard blaftekst en anderzijds een keurige Creative-Commonslicentie benoemt, inclusief icoontje? Iets preciezer: Mijn eerste gedachte is: ik zie de tegenspraak niet. Het voorbehoud zegt immers dat er niets mag zonder schriftelijke toestemming. En wat staat er boven dat voorbehoud geschreven? Precies,… Lees verder

Mag een licentie je verbieden Kwaad te doen?

| AE 8555 | Contracten, Open source, Software | 11 reacties

Een lezer vroeg me: Onlangs vond ik de zogehten Do no evil-licentie. De JSON licentie zegt “The Software shall be used for Good, not Evil”. Is zoiets juridisch afdwingbaar, of wat zou de rechter hiermee doen? De licentie voor JSON (een protocol voor data-uitwisseling in Javascript) is voor 94,9% gelijk aan de bekende simpele MIT… Lees verder

Hoe laten we zien dat we oude software hebben gedeïnstalleerd?

| AE 8305 | Software | 23 reacties

Een lezer vroeg me: We hebben (eindelijk) een legacy-softwarepakket kunnen vervangen door iets nieuws. Nu wil de leverancier daarvan de garantie dat we deze volledig hebben verwijderd, en daarvoor willen ze hun auditor langs laten komen. Zijn wij verplicht hieraan gehoor te geven? En mag deze dan ook backups en dergelijke bekijken? Als je een… Lees verder

Waarom garandeert mijn softwarelicentie de afwezigheid van virussen?

| AE 8033 | Software | 13 reacties

Een lezer vroeg me: Vaak zie ik in softwarelicenties iets als dit: “Leverancier garandeert dat de Software geen virussen, achterdeuren, logische bommen of andere kwaadaardige routines bevat.” Waarom doen juristen dat? Het is toch raar dat een leverancier zou zeggen “onze software bevat een virus”? Voor mijn gevoel is de clausule vandaag de dag een… Lees verder

Is embedded software het einde van het concept ‘eigendom’?

| AE 7693 | Innovatie, Software | 38 reacties

Voertuigfabrikanten John Deere en General Motors willen het concept eigendom afschaffen, gilde Wired onlangs. In de VS staat de DMCA ter discussie: welke uitzonderingen op het auteursrecht moeten er in de wet blijven staan, en met name wat gaan we doen met de regels over het omzeilen van technische kopieerbeveiligingsmaatregelen in software. En de reden… Lees verder

Tweedehands software mag worden doorverkocht, en de licentie gaat mee

| AE 7557 | Software | 13 reacties

Een eeuwige softwarelicentie die tegen een eenmalige vergoeding is verstrekt, mag worden doorverkocht ongeacht wat er in die licentie staat. Wel is de koper vervolgens gebonden aan alle bepalingen uit het licentiecontract. Dat staat in een vonnis (via) van de rechtbank Midden-Nederland van vorige week. Hiermee wordt het UsedSoft-arrest uit 2012 bevestigd. In deze zaak… Lees verder