Anno 2020 denken mensen nog steeds dat open source juridisch riskant is

| AE 11972 | Intellectuele rechten | 15 reacties

Via Bert Boerland op Twitter las ik:

Bijzonder lachwekkend (tot tranen toe!) stukje over #opensource (#cms-en) en licenses. Microsoft deed dit truukje (“Fear, Uncertainty and Doubt) zo’n 10 jaar geleden nog, maar is op het rechte pad. Lang geleden dat ik zo’n tenenkrommend stuk over proprietary vs OSS stuk las

Het gaat om dit artikel van geslotensourcecmsmaker Plate (“Meer met multisites”). In de wereld van contentmanagementsystemen is opensource al lang ingeburgerd dacht ik altijd, met Joomla, WordPress en Drupal als bekendste voorbeelden. Maar zo lees ik dan hier “achter het gemak van open source schuilt namelijk een schimmige wereld van licentievoorwaarden.” Ik heb even gecheckt en het artikel is niet uit 2002 en per abuis opnieuw online gezet. Dus eh, wat krijgen we nou.

Toen open source nog een nieuw verschijnsel was in het zakelijk firmament (eind jaren negentig) ontstond meteen discussie over de bijbehorende licentievoorwaarden. Die waren namelijk nogal anders dan het gebruikelijke licentiegeweld: in tegenstelling tot veel moeten betalen en beperkte rechten krijgen zonder aansprakelijkheid voor fouten, stond in opensourcelicenties dat je niet hoefde te betalen, alles mocht maar dat je (althans soms) wel mee moest doen met de opensourcegedachte. Oh en er was geen aansprakelijkheid voor fouten.

Dat “mee moeten doen” gaf de nodige bedrijven juridische zorgen, want die hadden allemaal net tien jaar geleerd dat geld verdienen met softwarelicenties verkopen het grote ding was. En dan zou je dus die software, die broncode gewoon weggeven en anderen alles laten doen daarmee zonder vergoeding? Kon niet waar zijn. De ietwat principiële opstelling van de Free Software Foundation hielp ook niet echt; nadat een stel slimmeriken de zakelijke term “open source” erop plakten en webbrowser Netscape vrijgaven onder zo’n licentie werd het iets makkelijker maar de twijfels bleven.

Die zorg over geheimhouding van je waardevolle software zien we ook meteen in dit artikel terug:

Stel je daarbij voor dat als je een opdracht hebt gegeven om aanvullend maatwerk te laten ontwikkelen op een Joomla platform, waarin een belangrijk deel van een businessproces in is verwerkt, de kans bestaat dat dit maatwerk vrijgegeven moet worden door de ontwikkelaar.

Ik noem dit altijd de IP-reflex: we hebben een stukje software dat we van onszelf zien (en dat noemen we IP) en dús moet dat waardevol zijn en dus geheim gehouden worden. Voor juristen heel normaal, je leert namelijk dat rechten van iemand zijn, en dus te beschermen. Maar de achterliggende zakelijke afweging – de onderliggende waardering – die blijft dan buiten beschouwing.

Zo ook hier: waarom is het waardevol om die businessprocesinformatie geheim te houden? Is het écht voordeliger voor het bedrijf om dat stukje software voor eeuwig in-house te houden, zelf te onderhouden en bij te werken? Wat voor superwaardevol bedrijfsproces heb je dan? Ik ben heel benieuwd.

Dit nog los van het juridische punt dat de GPL (want dat is de Joomla-licentie) helemaal niet eist dat als je maatwerk ontwikkelt, je dit vrij moet geven of terug moet leveren aan de Joomla community. De GPL zegt: wanneer jij maatwerk (voortbouwend op Joomla) levert aan een derde, dan moet die derde het maatwerk onder GPL kunnen gebruiken.

Maar in de meeste gevallen ga je een CMS helemaal niet aan derden leveren. Je installeert het CMS op je eigen server, voegt daar maatwerk aan toe en zet het ding aan. Er is dan geen situatie waarin de GPL enige eisen stelt. Wie een open source CMS inzet, hoeft zich nul zorgen te maken over het vrijgeven van enige maatwerkcode. Echt nul. Ik vind het echt kwalijk dat men anno 2020 nog steeds wat anders beweert.

Oh ja, inbreuk op rechten van derden. Dat zou zomaar kunnen, blijkt dat je Joomla in gebruik hebt en dat je de GPL schendt. Of dat je leverancier dat heeft gedaan. Dan krijg jij de claim. In theorie een probleem maar in de praktijk nog nooit voorgekomen, en ook iets waar je niet meteen een schádeclaim voor krijgt. In de opensourcegemeenschap is compliance het toverwoord: men eist dat je de licentie naleeft, maar naar de rechter voor een gebruiksverbod of schadevergoeding komt niet voor.

Een derde punt dat wordt aangedragen, is de beveiliging. Daar zou je niemand op aan kunnen spreken. En ja dat klopt, opensourcelicenties zeggen dat de makers nergens voor aansprakelijk zijn. Maar veel gesloten licenties zeggen dat ook (ik heb de Plate licentie niet gezien noch de SLA, dus ik weet niet hoe veel aansprakelijkheid zij aanvaarden voor securityfouten), dus in hoeverre dit uniek OSS aan te wrijven is?

Natuurlijk, met geslotensoftwareleveranciers kun je afspraken maken. En vooral: die kun je aansprakelijkheid en een vrijwaring opdringen, dus dan is het geregeld. Dat is de juridische mindset, wij zijn eigenlijk een soort tovenaars: zeg hoe het moet zijn, laat een handtekening zetten en bracchiabindo, we hebben het geregeld.

Ik sprak ooit een inkoper van IBM die bij leveranciers altijd vroeg om volledige aansprakelijkheid en een onbeperkte vrijwaring. Toen ik zei dat hij dat niet kreeg van mijn klant, was zijn reactie “mooi, want wie dat geeft die vertrouw ik voor geen cent”. Want leuk en aardig dat het op papier staat, maar wat is dat papier waard? Kan deze leverancier die kwaliteit leveren, heeft hij de expertise om de veiligheid echt goed op te lossen? Ja, het is hun product dus dan zullen ze het echt snappen. Precies, dat zeiden ze bij Zoom ook.

En dan de uitsmijter: “Het gebruik van closed source software maakt een organisatie minder kwetsbaar voor claims van buitenaf.” Dat is niet mijn ervaring, als je in de rechtspraak kijkt dan zie je eigenlijk alleen zaken tussen closedsourceleveranciers over inbreuk op elkaars licenties of rechten. Opensourcepartijen die procederen, dat komt gewoon niet voor.

Maar ach, leuk he weer eens terug naar hoe men vorig decennium dacht?

Arnoud

Vijf auteursrechtelijke mythes die ook maar eens naar de prullenbak moeten

| AE 6621 | Intellectuele rechten | 25 reacties

mythe-verhaalMijn blog over vijf juridische mythes riep veel reacties op. Dus ik dacht, tijd voor nog wat meer mythes die naar de prullenbak moeten, en dan nu over het onderwerp auteursrecht.

  1. Je mag iemands werk gebruiken als je maar bronvermelding doet (en niet commercieel bent.) Nope. De auteurswet kent geen algemene regel dat je een werk mag overnemen. De eis van naamsvermelding komt uit het citaatrecht, maar dat staat je niet toe een geheel werk te gebruiken. Er was een persexceptie maar die is de facto afgeschaft omdat je met een simpel “Alle rechten voorbehouden” de pers kunt verbieden je werk over te nemen. Alleen voor eigen gebruik (thuiskopie) mag je een werk overnemen, bijvoorbeeld een foto naschilderen voor je schildercursus of een artikel kopiëren om het later nog eens te lezen.
  2. Als je iets op een Amerikaanse site doet, valt dat onder Amerikaans auteursrecht (fair use). Nope. De locatie van de server is niet relevant bij de vraag welk recht (welke wet) van toepassing is. Het gaat erom in welk land je iets verspreidt (openbaar maakt) of kopieert. En dat kan best in meerdere landen tegelijk zijn. Als Google vanaf haar Amerikaanse serverfarm andermans werk als doodle opvoert bij Google.nl, wordt dat onder de Nederlandse auteurswet beoordeeld.
  3. Als er geen copyright-notice of watermerk bij staat, dan mag je het gebruiken (mits met bronvermelding). Nope. De auteurswet is duidelijk: je hebt toestemming nodig, of een wettelijke uitzondering. Het maakt niet uit of de maker bekend is of zijn auteursrechten actief claimt. En dat het zonder makernaam lastig is deze te vinden, is jouw probleem en niet dat van de maker.
  4. Als je een auteursrecht schendt, moet de rechthebbende je eerst waarschuwen voordat hij een schadeclaim mag doen. Nope. Juridisch gezien is het schenden van iemands auteursrecht hetzelfde als het bekrassen van iemands auto. Je moet de schade vergoeden, en de ander hoeft niet eerst te waarschuwen dat je daarmee op moet houden. Dat systeem van waarschuwingen (“notice/takedown”) bestaat wel maar dan alleen voor hostingproviders en andere tussenpersonen die niet zelf auteursrechten schenden. Zij hoeven geen schadeclaims te betalen als ze na klachten over hun klanten meteen ingrijpen.
  5. Als je de film al hebt gekocht, mag je deze ook downloaden. Dit is een subtiele. Downloaden uit illegale bron mag niet (meer), en iets van zeg Bittorrent afhalen is downloaden uit illegale bron. Of streamen met Popcorn Time. Dit wordt niet anders omdat je ook een dvd hebt gekocht met hetzelfde werk. De dvd-aankoop geeft je rechten met betrekking tot de film op de dvd, maar geen recht om uit eender welke bron een kopie van die film te betrekken. De dvd rippen naar een digitaal formaat mag wél.

Ik ben het onmiddellijk eens met iedereen die nu roept dat dit dus betekent dat auteursrecht niet goed samengaat met internet.

Misschien moet ik maar eens een mythische woensdag instellen?

Arnoud

Vijf juridische mythes die nu echt eens naar de prullenbak moeten

| AE 6542 | Informatiemaatschappij | 23 reacties

mythe-verhaalMet enige regelmaat wind ik me op over juridische mythes en verhalen die ik her en der tegenkom op internet. Vandaag eens een poging er een paar te weerleggen.

Nederlands recht geldt niet vanwege je domeinnaamextensie Zo simpel ligt het niet. Een website valt onder Nederlands recht wanneer de site zich richt op Nederland. Dat is een afweging gebaseerd op een optelling van factoren. De extensie kán een factor zijn, maar weegt niet zwaar: niemand kan serieus ook maar één seconde beweren dat Bol.com niet onder Nederlands recht zou vallen met haar boekwinkel.

Hetzelfde wordt wel beweerd op basis van de locatie waar de servers staan. Het criterium blijft echter hetzelfde voor de wet. Richt je site zich op Nederland, dan val je onder Nederlands recht. Je bent nu echter óók onderworpen aan het recht van het land waar je server staat.

Je bent niet aansprakelijk voor auteursrechten zolang je maar meteen ingrijpt na klachten Deze mythe heeft een kern van waarheid: een tussenpersoon die een klacht krijgt over auteursrechtschendingen door een van zijn gebruikers, ontloopt financiële aansprakelijkheid als hij direct ingrijpt. Maar wie zelf iets publiceert, is geen tussenpersoon. Het is al discutabel of een forumeigenaar een ‘tussenpersoon’ is.

Hoofdregel uit de auteurswet is dat wie rechten schendt, de schade moet vergoeden. Ook als hij dat zonder commercieel oogmerk deed. Ook als hij niet wist wie de rechthebbende was. Ook als de rechthebbende niet eerst eist dat de foto of tekst wordt verwijderd. Ook als het origineel zonder watermerk online staat. Ook als de naam van de rechthebbende er niet bij stond of er geen “Alle rechten voorbehouden” bij staat. Ook als.. nou ja, u snapt het punt.

EULA’s zijn niet rechtsgeldig Een EULA is een overeenkomst voor (eind-)gebruikers van software of internetdiensten. Daar is juridisch weinig spannends aan, dus in beginsel is dat gewoon rechtsgeldig. Natuurlijk moeten die voorwaarden wel tijdig zijn gemeld aan de gebruiker (voor of bij het sluiten van de overeenkomst) en wel zodanig dat de gebruiker deze kan opslaan of printen. Inhoudelijk mogen de voorwaarden niet onredelijk bezwarend zijn, maar zeggen dat daarom categorisch álle EULA’s niet rechtsgeldig zijn, gaat te snel.

Deze mythe komt denk ik voort uit juridische analyses waarbij een EULA niet te lezen was tot na aankoop (de shrinkwrap- of krimpfolielicentie); dat is natuurlijk niet rechtsgeldig. En er is in het Amerikaans recht de constructie van het contract of adhesion, waarmee een opgedrongen contract eerder aanvechtbaar is. Die constructie bestaat bij ons niet.

Akkoord vragen op privacyverklaringen Nee. Houd daarmee op. Een privacyverklaring legt uit wat je doet en waarom, maar kan geen basis zijn óm iets te mogen doen. Je moet toestemming hebben (en die kun je niet opeisen in een privacyverklaring of algemene voorwaarden), of je moet je kunnen beroepen op “uitvoering van de overeenkomst” of een eigen dringende noodzaak. En in die beide gevallen is toestemming vragen overbodig.

E-maildisclaimers Onzin. Echt onzin.

Weten jullie er nog meer?

Arnoud