Wacht even, open source is dus niet voor eeuwig gelicentieerd?

johnhain / Pixabay

In vervolg op mijn blog van maandag over open source bij de overheid kreeg ik vele vragen over het waarom. De TK als opdrachtgever wilde immers eigenaar van alle software worden, zodat ze kon voorkomen dat een licentie zou vervallen en de leverancier dan lekker binnen kon lopen met een nieuw contract. Hoe kan dat, aldus de diverse vraagstellers (dank, allen) als het open source is? Dat is toch voor eeuwig en onherroepelijk gelicentieerd?

De bedoeling van open source is inderdaad dat de software voor altijd onder duidelijk vastgelegde voorwaarden beschikbaar is. Maar letterlijk “voor eeuwig en altijd” (juristen houden van dubbele herhalingen, twee keer genaaid houdt beter)

De BSD licentie bevat bijvoorbeeld helemaal niets over de looptijd of intrekbaarheid, dat is simpelweg een “je gaat je gang maar binnen dit kader” verklaring. Hetzelfde voor de Mozilla Public License, en daar zit veel meer juridisch geweld in. In de Apache 2.0 licentie vind je weer wel “perpetual” bij de licentieverlening. en de GPL (versie 3) noemt de licentie “irrevocable”. Hier staat dan ook meteen het voorbehoud dat verklaart waarom deze term niet standaard genoemd wordt:

All rights granted under this License are granted for the term of copyright on the Program, and are irrevocable provided the stated conditions are met.
Dit is het instrument voor de handhaving: OSS licenties vervallen zodra je de voorwaarden schendt. (Sommige hebben automatische herstelbepalingen als je de schending opheft.) Daarmee is voortgezet gebruik van de software een inbreuk op auteursrechten, waar een enorm arsenaal aan handhavingsbepalingen uit de kast voor kan worden gehaald. Dus logisch dat OSS licenties niet letterlijk “perpetual and irrevocable” vermelden.

Dat gezegd hebbende, de strekking van die licenties is dat natuurlijk wel. Er staat geen harde termijn, en het is ook niet echt de bedoeling dat er na ${periode} opnieuw een licentie moet worden aanvaard of iets dergelijks. Naar Nederlands recht zouden we van een licentie voor onbepaalde tijd spreken. Die zijn in principe opzegbaar, mits met voldoende opzegtermijn en/of zwaarwegende reden en/of opzegvergoeding (je moet er 2 kiezen, succes George Boole) tenzij de strekking van de licentie anders is. En dat laatste lijkt me hier wel opgaan.

Blijft echter over de gekke randgevallen, en dat is waar juristen voor leven. Het voor de hand liggende randgeval is overlijden of faillissement van de rechthebbende. De auteursrechten komen dan bij een ander terecht, en het is geen uitgemaakte zaak dat de licenties dan meegaan. Voor juristen: de vraag is of een licentie een goederenrechtelijk recht is of slechts een persoonlijk recht, en het lijkt dat laatste te zijn. Je kunt als licentienemer dan alleen een schadeclaim indienen, in juridische termen heb je dan dikke pech met je concurrente vordering op een failliete boedel.

Langs een ander argument kom je bij hetzelfde probleem uit: via het Nebula- en Berzona-arrest is verdedigbaar dat de curator een licentie mag schenden (wanpresteren) wanneer dat in het belang is van de boedel. En daaronder valt dan het te gelde maken van het onderliggende auteursrecht. Hoewel daar de nodige nuances bij te maken zijn, is het zeer zeker niet uitgesloten dat er een route is waarmee een curator hiermee wegkomt. En dat wil je dan natuurlijk voorkomen met je inkoopvoorwaarden.

En ja, dit voelt als schieten met een kanon op een mug: hoe vaak gebéurt het nou dat er OSS uit de markt gaat omdat de rechthebbende/maintainer overlijdt of failliet raakt, waarna hebberige familieleden of bedrijfskopers de hoofdprijs gaan vragen? Je moet allereerst weten dat je overleden tante Agaath uit Nebraska met zo’n project bezig is, vervolgens een familierechtadvocaat met IE-kennis vinden om de rechten te krijgen én ruimte zien voor een businesscase om daar geld te gaan halen bij partijen die de software nu gratis gebruiken, terwijl je niet weet wie dat zijn. Ik zie het niet gebeuren, maar dat heeft nog nooit een inkoopvoorwaardenschrijvende jurist tegengehouden.

Arnoud

Mag je een elearning blijven geven als de docent ondertussen overleden is?

Via Twitter:

HI EXCUSE ME, I just found out the the prof for this online course I’m taking died in 2019 and he’s technically still giving classes since he’s literally my prof for this course and I’m learning from lectures recorded before his passing ……….it’s a great class but WHAT
Het blijkt te gaan om een student aan Concordia University, die zijn professor mailde met een vraag naar aanleiding van een online videocollege. Als reactie kreeg hij een autoreply met diens overlijdensbericht. Dat voelt inderdaad wat gek, omdat de student al enige weken dingen bekeek, las en hoorde van deze professor. Dat is toch anders dan een boek opentrekken waarvan de hoofdauteur vijf jaar geleden van ons heengegaan is.

Het bronartikel in Slate kiest de insteek van de overwerkte UD die feitelijk het werk doet, maar de professor de eer en glorie moet laten gaan:

Tenured faculty might teach a few classes, but student work is often graded by underpaid graduate student teaching assistants or graders. At prestigious research universities, discussion sections are also led by graduate students. Many more classes are taught by part-time faculty, who are cobbling together a living, or other short-term contracted faculty, like visiting assistant professors or postdocs. Digital technologies like recorded video lectures allow for the appearance of continued traditional instruction while cutting costs.
Ik heb niet het idee dat het in Nederland ook zo werkt, en zeker in een online leergang zie je natuurlijk gewoon wie je lesgeeft. Toegegeven, je weet niet wie uiteindelijk je opdracht nakijkt of het discussieforum beheert maar over het algemeen gebeurt dat toch echt met open vizier volgens mij. En er lijkt me niets mis mee dat de professor de colleges geeft en een collega of assistent het dag-tot-dag contact met de studenten doet.

Behalve als de professor ondertussen overleden is, natuurlijk. Dan voelt het inderdaad wat raar: je bent dan videocollege aan het volgen en dat wekt toch ergens de indruk dat je deze persoon nu, hier, live in actie ziet. Ontdek je dan langs onverwachte weg (een mail dus naar de professor) dat zhij er niet meer is, dan voelt dat gek. Ergens sowieso gek van die universiteit, dat ze kennelijk de persoonspagina van de professor laten staan en ook diens emailadres blijven vermelden in het universiteitsbrede adresboek. Maar dat terzijde.

Maar mag het? Juridisch gezien liggen de rechten op de video bij de werkgever van deze professor, de universiteit dus. (Voor diens wetenschappelijk werk ligt dat in Nederland waarschijnlijk anders, maar dat terzijde.) Deze kan op grond van het auteursrecht beslissen wat ermee te doen, en in beginsel maakt het daarbij niet uit of de ‘acteur’ in het videowerk ondertussen overleden is. De regel is hetzelfde als bij films en televisieprogramma’s, ook daar is een overleden hoofdrolspeler geen bezwaar tegen heruitzending of uitgave op dvd.

Er is mogelijk een haakje voor de nabestaanden, want de zogeheten persoonlijkheidsrechten (artikel 25 Auteurswet) kunnen door een “aan de door de maker bij uiterste wilsbeschikking aangewezene” worden uitgeoefend. Dat vereist dus wel dat de professor expliciet iemand bij testament of codicil heeft aangewezen, enkel erfgenaam zijn is hiervoor niet genoeg. Dit omdat de auteursrechten niet bij de professor liggen, een beetje extra documentatie is dan wel echt handig.

Wel moet er dan natuurlijk sprake zijn van een situatie waarin die rechten worden geschonden. Enkel het herpubliceren van de video lijkt me zeker niet genoeg. Hetzelfde krijg je bij het portretrecht, dat ook na overlijden van de geportretteerde blijft bestaan (tot tien jaar na overlijden). Welk redelijk belang wordt er dan geschonden? Je beroepen op privacy en eer en goede naam van een overledene zie ik niet opgaan. Identiteitsfraude kan ik het ook niet echt noemen, tenzij je de bizarre situatie zou hebben dat een collega vanuit de mailbox van de prof gaat reageren of dat er een botje onder diens naam reacties gaat plaatsen op het forum, bijvoorbeeld.

Arnoud PS over elearning gesproken, je kunt je weer inschrijven voor mijn elearning AI in de praktijk: Compliance & Governance, we starten op 3 mei en 20 september weer.

Wat doen we met zijn profiel na overlijden? Facebook, Twitter en de digitale erfenis

Hoe ga je om met de berichten en foto’s van een dierbare na diens overlijden? Met die vraag opende de Volkskrant vorige week vrijdag. Sociale media gaan steeds vaker fungeren als online begraafplaatsen, je digitale nalatenschap. De journalist ging op onderzoek uit naar de vragen die dat oproept, waaronder dus juridische vragen en ik kreeg een klein beetje gekromde tenen van sommige antwoorden.

“Van wie zijn je berichten en foto’s nadat je overlijdt”, zo begint het eerste kopje bijvoorbeeld. Een redelijke clichévraag met volgens mij een bekend antwoord: van niemand, want data bestaat juridisch niet. Facebook is een butler met een ijzeren geheugen, en als de butler ontslag neemt krijg je nooit meer die mooie verhalen van wat opa allemaal uithaalde. Alleen dan met foto’s. Het is dus niet zo dat Facebook zich eigenaar maakt van je foto’s: het is gewoon data, en data gaat weg als de hostende partij dat wil. Of toegang ertoe gaat geld kosten. Juridisch niet raar, wel vervelend als je moet betalen om de foto’s van je ouders in de lucht te houden.

Een hele creatieve vond ik nog om alle chats en dergelijke van de overledene door een machine learning algoritme te halen, om zo een chatbot te maken die klinkt als die persoon. Technisch best een heel eind mogelijk, en die datasets kun je via de AVG te pakken krijgen (net als een kopie van de foto’s trouwens) dus zeker te doen. Maar toch zou ik het nogal raar vinden als mensen dat met mijn blogs gingen doen (postmortem.iusmentis.com, eh nee).

Ik zou niet weten wat ik juridisch daartegen zou kunnen doen. Met name omdat ik dan dood ben natuurlijk, maar er is ook niet echt een juridische remedie. Auteursrechtinbreuk is het volgens mij niet om teksten door zo’n learning algoritme te halen. En mijn privacy – mijn blogs zijn persoonsgegevens – houdt op bij overlijden: de AVG geldt alleen voor levende mensen, niet voor overledenen.

Voor accounts geldt overigens hetzelfde als voor data: je kunt niet zeggen dat die van iemand zijn, want het zijn slechts toegangskaartjes tot die butler. Het beheer van een account en wie er in mag, is dus niet een kwestie van “het is mijn account” of “ik heb het geërfd, laat me erin”. Het is een kwestie van afspreken, en de wet zegt niets over wat er in die afspraken mag staan. Er is van alles te verzinnen – zoals een specifieke machtiging voor je executeur via de notaris – maar praktisch gezien is het wachtwoord in een envelop ergens veilig bewaren een stuk handiger.

Arnoud

Wat moet je geregeld hebben als je als ICT-ondernemer komt te overlijden

Misschien een luguber onderwerp, maar wel iets waar je zakelijk over na moet denken als je een bedrijf hebt. Zeker als je ook personeel of partners hebt, want die worden dan geraakt in hun bedrijfsvoering. Natuurlijk speelt dit bij iedere ondernemer wel, en niet alleen bij ICT-ondernemers, maar er zijn wel een paar speciale aandachtspunten die voor ICT-dienstverlening uniek zijn. Maar het belangrijkste is: denk er over na en regel het ruim voordat het een issue zou kunnen gaan worden. Want anders is het voor je collega’s, personeel of nabestaanden een bijzonder complex, confronterend en ook duur traject.

Het hangt van de rechtsvorm af wat er gebeurt met je bedrijf als je overlijdt. Ben je een eenmanszaak, dan houdt deze op te bestaan na overlijden. Je kunt dat anders regelen, door in je testament op te nemen hoe het verder moet met de onderneming en de bijbehorende bedrijfsmiddelen. (Die zijn namelijk deel van je privévermogen.) Bij een vennootschap onder firma hoort in het VOF-contract te staan wat er gebeurt als een vennoot overlijdt. En bij een besloten vennootschap gaat het primair over de eigendom van je aandelen. Vaak is vastgelegd dat deze naar de andere vennoot gaan, al dan niet tegen een afkoopsom. Maar ga na hoe je wilt dat het verloopt, en leg dat vast.

Een speciaal punt van aandacht voor ICT-ondernemers is je auteursrecht. Wanneer je als directeur software maakt, of andere werken waar auteursrecht op rust, dan is niet gezegd dat die rechten aan je bedrijf toekomen. Je bent geen werknemer, dus de gewone regel “het is voor werk, dus het is van werk” gaat hier niet op. Heb je niets geregeld in je testament of in een aparte ondertekende akte, dan is het mogelijk dat je auteursrechten naar je erfgenamen gaan in plaats van naar de collega of partner die het bedrijf voortzet. Dat is natuurlijk bepaald onhandig.

Regel dus expliciet (en met handtekening) dat de rechten bij de juiste entiteit komen te liggen. En let op: een algemene zin in je VOF- of managementcontract dat alle bedrijfsmiddelen of “resultaten van vlijt en inspanning” overgaan naar het bedrijf, is niet genoeg. Een auteursrecht draag je alleen over als concreet is vastgelegd om welk werk het gaat. En er moet een handtekening onder staan.

Daarnaast heb je als bedrijf vaak de nodige accounts bij diensten van derden. Dat kan iets simpels als de bedrijfs-Twitter zijn tot een SaaS-dienst waar je als bedrijf van afhankelijk bent. Misschien betaal je die nog steeds met je privé-creditcard, omdat dat handiger was toen je begon. Zet dat even om naar een zakelijke betaalmogelijkheid, net als het gekoppelde telefoonnummer voor accountherstel. En bedenk een manier om het wachtwoord veilig beschikbaar te hebben voor je zakenpartner(s) die met je bedrijf doorgaan.

Bij je zakelijke social media wil je misschien het wachtwoord niet delen. Wat moet een collega immers met jouw Linkedin? Maar wat moet er dan met die dienst gebeuren? Wie gaat namens jou dan het account bevriezen of opheffen? Er is een procedure voor maar misschien is het makkelijker om toch het wachtwoord ergens vast te leggen, zodat iemand bij overlijden snel het account weg kan halen, of juist een bericht kan plaatsen van overlijden.

Hebben jullie nog meer tips?

Arnoud

Duits Hof: Facebook-accounts gaan over op erfgenamen

Wanneer iemand in Duitsland sterft moeten Facebook en andere sociale media de erfgenamen inzage geven in de accounts van de overledene, aldus NRC vorige week op gezag van het Duitse Bundesgerichtshof, de hoogste Duitse rechter. Zo’n account bij Facebook is eigenlijk gewoon een stukje dienstverlening onder overeenkomst, en naar Duits recht wordt zo’n overeenkomst als deel van je vermogen gezien en gaat dus naar je erfgenamen. Daarmee hebben die recht op voortgezette dienstverlening, oftewel toegang tot het account.

In juni vorig jaar werd nog het omgekeerde gevonnist: het zou gaan om persoonsgebonden dienstverlening die eindigt met de dood van de afnemer. Het hoogste Hof oordeelt dus anders, het is ‘gewoon’ dienstverlening en die contractuele relatie erf je (“overgang onder algemene titel”) als erfgenaam.

In Nederland is dat in principe ook zo, artikel 7:410 BW:

De dood van de opdrachtgever doet de opdracht slechts eindigen, indien dit uit de overeenkomst voortvloeit, en dan eerst vanaf het tijdstip waarop de opdrachtnemer de dood heeft gekend.

Probleem is vervolgens wel dat als Facebook besluit het account te bevriezen, je daar weinig aan kunt doen. Dat is dan wat “uit de overeenkomst voortvloeit” en daar is dan geen juridisch argument meer tegen. En omdat een contract als dit geen vermogensrecht is, kun je ook niet spreken van een recht dat in de boedel (de erfenis) belandt en zo opgeëist kan worden.

Een interessant argument van Facebook vond ik nog dat zij weigerden omdat hiermee de privacy van de communicatiepartners van de overledene in gevaar zou komen. Die dachten immers met haar te mailen (directmessagen?) en hoefden niet te verwachten dat haar ouders de berichten zouden lezen. Het Hooggerechtshof gaat daar aan voorbij. Dubbel. Dat zou met brieven op haar kamer ook gebeurd zijn, maar het voelt wel raar.

Arnoud

Nu mag je ook al niet meer doodgaan van de algemene voorwaarden

De internetbetaaldienst PayPal heeft een vrouw die onlangs is overleden een brief gestuurd met de mededeling dat haar overlijden in strijd was met de regels. Dat meldde Nu.nl op gezag van de BBC. “You are in breach of condition 15.4(c) of your agreement with PayPal Credit as we have received notice that you are deceased… this breach is not capable of remedy.” meldde de brief. Nadat de weduwnaar de BBC had ingelicht, heeft Paypal de brief ingetrokken onder het maken van excuses. Maar wat krijgen we nou?

Het is me niet helemaal duidelijk welk artikel 15.4 precies wordt bedoeld. De voorwaarden van Paypal Credit zijn anders gestructureerd, en er is nergens een 15.4(c) te vinden. Gezien de context van de brief (een letter of default) gaat het waarschijnlijk om artikel 12, waar voorwaarden in staan waaronder je als klant in verzuim (default) wordt geacht te zijn. Paypal mag dan je krediet ineens opeisen en je account sluiten.

Dit artikel noemt enkele situaties die voor mij vrij standaard zijn, zoals niet tijdig betalen of failliet gaan, maar ook het doen van misleidende verklaringen of niet voldoen aan je informatieplichten. Oké, dat is ergens nog wel te begrijpen, maar dat doodgaan staat er dus ook tussen:

Pass away or become incompetent;

Ik vermoed dat de achterliggende gedachte is dat je iemands kredietovereenkomst op moet kunnen zeggen als die iemand overleden is, er is dan immers geen wederpartij meer. Het is dan ook logisch dat je al het geld terug wilt eisen.

De specifieke uitwerking in dit artikel 12 is een beetje een vieze hack, een soort operator overloading eigenlijk. Artikel 12 regelt wanneer jij iets doet dat niet mag, op grond waarvan Paypal dan mag opzeggen. Dat artikel wordt nu gebruikt om ook de situatie na overlijden te regelen, want de uitkomst is hetzelfde. Maar als side effect gaat er dan een ingebrekestelling uit met als grondslag dat je overleden bent, en dat is natuurlijk weer niet de bedoeling.

Daar is vrij zeker gewoon niet over nagedacht, ook niet toen iemand het sjabloon voor die brief samenstelde en “Pass away” las en daar “you are deceased” van maakte. Het zou me niets verbazen als die zinnen door iemand anders zijn gemaakt dan de persoon die het sjabloon maakte.

De uitkomst (en die brief dus) is complete onzin, maar hoe het kon gebeuren is volkomen logisch.

Arnoud

Toegang tot een mailbox na overlijden?

Een lezer mailde me:

Wie is eigenaar van een zakelijke mailbox wanneer de werknemer ontslag neemt of komt te overlijden. Kunnen nabestaanden de inhoud claimen? Mogen wij als bedrijf daarin kijken? Wat moet je doen met mail die na vertrek of overlijden nog binnenkomt?

Dit is een lastige situatie. In oktober 2007 blogde ik over een artikel van advocate Eva Visser over de contractuele situatie als de eigenaar van een e-mailaccount komt te overlijden. Waarschijnlijk kun je dan als erfgenaam aanspraak maken op voortzetting van het contract, zodat je de toegang tot de mailbox kunt eisen.

Hier ligt het iets anders: het gaat om een zakelijke mailbox, en er is dus geen contract dat je als erfgenaam zou kunnen overnemen. (Een arbeidscontract eindigt automatisch bij overlijden van de werknemer.) Toegang eisen tot privémails uit deze mailbox lijkt me dus iets moeilijker. Ik denk dat je hier eigenlijk alleen op de coulance van het bedrijf kunt gooien.

Een ander punt is wat collega’s mogen doen met die mailbox. Er komen tenslotte zakelijke mails op binnen en het bedrijf moet nu eenmaal verder. Ik adviseer bedrijven altijd dat je dan wel in de mailbox mag kijken, maar dat je wel heel zorgvuldig moet zijn met wat je aantreft. De collega die erin kijkt moet met andere woorden strikt vertrouwelijk omgaan met wat hij in de mailbox aantreft, en het liefst alles weggooien wat niet zakelijk relevant is.

Ik moet nog steeds een lijstje maken met accounts, wachtwoorden en wie te contacteren als ik kom te overlijden. Jullie ongetwijfeld ook. Maar waar begin je met zoiets? En wil je wel dat bv. je ouders in al je mailboxen kunnen om je vrienden te mailen dat je dood bent? Want dan lezen ze wellicht ook mails die ouders niet zouden moeten lezen.

Arnoud

Wanneer overlijdt Arnoud Engelfriet?

overlijdensbericht-sterfdatum-nl.pngBrr, wat een lugubere site. Op Sterfdatum.nl kun je je naam en wat gegevens zoals geboortedatum, links- dan wel rechtshandig zijn en geslacht invullen, en dan “berekent” de site wanneer je doodgaat. Ik in 2053 kennelijk.

Nou is zo’n lugubere grap tot daar aan toe, maar deze site doet meer: ze maken een publiek toegankelijke link die iedereen op kan vragen om te zien wanneer ik (volgens hen) zal komen te overlijden. En dankzij wat klassieke zoekmachineoptimalisatietrucjes scoort die link vervolgens lekker hoog in Google.

En nee, dat mag niet. Ook al is het als grap bedoeld, mensen die serieus hun gegevens invullen, onthullen daarmee persoonsgegevens over zichzelf. Bijzondere persoonsgegevens zelfs: het raakt hun gezondheid. En die mag je niet publcieren behalve met expliciete toestemming, die nergens wordt gevraagd.

Helemaal onderaan staat wel

* De ingevoerde gegevens worden toegevoegd aan onze database en gepubliceerd op deze website.
maar dat is bij lange na niet genoeg.

Ook leuk is deze disclaimer:

De ingevoerde gegevens worden alleen gepubliceerd op sterfdatum.nl en zijn niet te verwijderen.

Maar zo werkt dat niet: de Wet Bescherming Persoonsgegevens zegt duidelijk dat je het wettelijk recht hebt om je gegevens te laten verwijderen.

Dus dan denk je, daar gaan we ze over mailen. Maar dan lees je dit:

Dat je op deze pagina zit en boos wilt mailen geeft al aan dat je een beetje een zeikerd bent. Denk nog even goed na voor je het formulier verstuurd.

wat mij niet veel vertrouwen geeft over de naleving van de WBP.

Of ben ik nu veel te serieus over een luguber bedoeld “grapje”?

Arnoud

Erfenis inclusief Hotmail-account?

Kun je bits erven? Eva Visser, advocaat bij Stibbe, bespreekt de vraag of webmail-aanbieders verplicht kunnen worden tot afgifte van informatie uit een e-mailaccount, indien de gebruiker van dat account is overleden.

Aanleiding voor de vraag was de Amerikaanse zaak Ellsworth vs. Yahoo, waarin de ouders van een overleden militair toegang wilden tot diens mailbox. Yahoo weigerde dat, en wees op de algemene voorwaarden die een gerechtelijk bevel eisten. Probleem daarbij was dat het account na 90 dagen zou worden opgeheven. Uiteindelijk werd de zaak geschikt.

In Nederland valt het afgeven van zulke informatie onder de Wet Bescherming Persoonsgegevens, maar de bescherming vervalt met het overlijden van de persoon in kwestie. Wat dat betreft is er dus geen probleem.

Wat wel vaak een probleem is, is dat de contracten met de e-mail providers meestal geen regeling over dit onderwerp bevatten. Maar, schrijft Visser, in het algemeen is het zo dat de nabestaanden de contracten van de overledenen overnemen, en op die grond zouden zij dus toegang moeten kunnen krijgen tot het webmail account. Alleen, hoe komen ze dan aan het wachtwoord? Volgens Visser zou uit de redelijkheid & billijkheid, het grote vangnet in het recht, moeten volgen dat de provider in die situatie mee moet werken door het wachtwoord op te sturen.

Het artikel staat als PDF online bij Stibbe.

Arnoud