Kun je de stagiair aansprakelijk houden voor 600 te vervangen sloten?

We kennen allemaal het stagiair-excuus: bij de meest uiteenlopende problemen (vaak de beschamende) wordt er dan gauw gezegd dat de stagiair het heeft gedaan. Lekker makkelijk, denk ik dan altijd, het is jóuw stagiair dus daar had je wel even mogen opletten. Maar bij dit Duitse geval weet ik het even niet. Deze stagiair was zo blij met zijn nieuwe werkplek dat hij trots via WhatsApp een foto stuurde naar zijn vrienden. Met de hoofdsleutel (loper) in zijn handen. En is dat een probleem? Eh ja, reageren nu alle securityminded lezers van deze blog: dan kunnen derden die foto gebruiken om de loper na te maken. Eh, echt, reageren nu de overige lezers. Ja, echt. En het ging hier om de hoofdsleutel van de gevangenis van Heidering (Duitsland).

Als je met een beetje recente smartphone een foto maakt, staat die standaard op een enorm aantal megapixels ingesteld. Deel je dat dan via WhatsApp of ander medium, dan gaan al die megapixels mee ook al toont je scherm maar een 13×5 centimeter versie. Maar 8 megapixels is bijvoorbeeld al tot 90×60 centimeter nog perfect op een poster te drukken, en met een béétje pixels dus meer dan een vierkante meter.

Zo’n formaat is méér dan genoeg voor een reproductie in een 3d printer, waar de app KeyMe reclame voor maakt. Of zoals hier met gewoon ouderwets knutselwerk en een blanco sleutel. Menig slotenmaker waarschuwt dan ook tegen het publiceren van zulke foto’s. (Oh ja, ook omdat veel eenvoudige sloten een genummerde sleutel hebben die je gewoon kunt bijbestellen.)

Omdat het hier gaat om de hoofdsleutel van een gevangenis, wil je geen risico lopen. Alle sloten vervangen dus, en dat is een dure grap: volgens experts kost zo’n omvangrijke operatie ongeveer 50.000 euro. Wat ik wel wil geloven, hoewel ik me wel af zit te vragen waarom juist in een gevangenis sleutels worden gebruikt die kennelijk zo makkelijk te kopiëren zijn. Er zijn immers ook beveiligde/gecertificeerde sloten, die bijvoorbeeld een chip van binnen hebben of aan twee kanten aparte patronen hebben. En dan is een foto van één zijde niet genoeg.

Afijn, de juridische vraag was dus of de kosten verhaald kunnen worden. Dat lijkt me sterk. Werknemers – en stagiairs rekenen we voor het gemak daaronder als dat zo uitkomt – zijn in principe namelijk gewoon niet aansprakelijk voor hun fouten, dat is de werkgever. Slechts bij opzet of bewuste roekeloosheid is verhalen mogelijk, en dat is een héle hoge lat. Bewust roekeloos is het juridisch gezien pas als je wist van het risico maar dacht dat de kans aanzienlijk groter was dat er niets zou gebeuren (Pollemans/Hoondert, voor de juristen). De werkgever moet minimaal kunnen aantonen dat objectief gezien de werknemer zich daadwerkelijk bewust moest zijn van het roekeloze karakter (Dieteren/Express).

Dat argument zie ik hier niet opgaan. Weliswaar wordt er dus op allerlei plekken gewaarschuwd voor dit risico, maar ik heb desondanks niet het idee dat ‘men’ in het algemeen dit weet, en dat is zo ongeveer wel wat je nodig hebt. Ik ken iemand die een tijdje de gewoonte had om bij Instagramfoto’s van sleutels bij nieuwe woningen (“Yesss op mezellef”) daar een 3d printje van op te sturen als waarschuwing. Maar dat werd nooit ontvangen als “oh ja da’s waar ook, slordig van me”.

Dit nog even los van het idiote idee dat een stagiair 50.000 euro heeft of dat iemand ermee geholpen is dat een stagiair jarenlang gaat betalen om dit goed te maken.

Arnoud

Een medewerker heeft onze software ge-opensourcet, wat nu?

Een lezer vroeg me:

Wij zijn een klein softwarebedrijf dat snel wil groeien, dus we hebben recent een aantal mensen aangenomen. Nu blijkt eentje daarvan in zijn vrije tijd aan een opensourceproject te werken. Op zich prima, alleen brengt hij code in dat project die hij voor zijn werk geschreven heeft. Hij zegt dat het standaardcode is en dat we er alleen maar baat bij hebben, maar volgens mij bepaal ik nog altijd wat wij hier open sourcen. Wat kan ik nu doen?

Een werknemer kan inderdaad niet zelfstandig besluiten dat software die eigendom is van de werkgever, onder een opensourcelicentie beschikbaar mag zijn voor derden. Dat is een bedrijfsbeslissing. En als het bedrijf daarin volgens de werknemer de verkeerde beslissing neemt, dan heb je dat als werknemer te accepteren.

Hier is het duidelijk dat de code van de werkgever is, de software is voor het werk geschreven. Maar er zijn genoeg situaties met twijfelgevallen: het is niet letterlijk dezelfde code, maar men schrijft gelijksoortige code in eigen tijd. Of men schrijft volledig eigen code maar wel aan een project dat werkgerelateerd is. Een webbouwer die in zijn vrije tijd PHP modules ontwikkelt bijvoorbeeld. Dan kom je in de discussie of het werk binnen het kader van het dienstverband valt of niet. En dat is geen kwestie van “het was na 17 uur gemaakt” of “ik gebruikte mijn privélaptop”.

Goed, dus de code is van de werkgever. In principe kan deze nu gewoon naar het opensourceproject stappen en eisen dat deze de code verwijdert. Het project gebruikt de code immers zonder toestemming van de rechthebbende, inbreuk op auteursrecht dus.

Of niet? Het project zou kunnen zeggen, wij mochten erop vertrouwen dat deze werknemer gemachtigd was dit te doen. De wet kent namelijk een beschermingsconstructie voor situaties als deze. Als de werkgever de indruk heeft gewekt bij het project dat de werknemer dit mocht, dan zegt 3:61 BW dat het bedrijf gebonden is aan de licentie, ook als in feite de werknemer niet gemachtigd was dat te doen.

Wat kan zo’n indruk nu opwekken? Enkel dat de werknemer het doet, lijkt me niet genoeg. Een verklaring op de site van het bedrijf dat men open source steunt en belangrijk vindt in combinatie met gebruik van het zakelijke mailadres van de werknemer, dat zou ik wel een moeilijke vinden om te weerleggen. Dat het bedrijf het opensourcepakket (met werknemersbijdragen) zelf in producten stopt, lijkt me ook wel een overtuigend verhaal.

Los daarvan kun je je afvragen of je echt een discussie moet starten bij het opensourceproject. Dat gaat een hoop gedoe en negatieve PR opleveren. Is dat je code echt waard?

Arnoud<br/> PS meer weten over open source? Volg ons webinar open source de 28e.