Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

| AE 8962 | Security | 13 reacties

norm-security-beveiliging-certified-gecertificeerdEen lezer vroeg me:

In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe standaarden geïmplementeerd moeten zijn?

Dit is een persoonlijke frustratie van mij, maar de wet kent eigenlijk überhaupt geen eis dat je enige security-standaard moet volgen, of zelfs maar dat je product enige security moet hebben. Fysieke veiligheid wel (productveiligheid, art. 6:186 BW) maar je informatiebeveiliging mag volstrekt brak zijn. Ik weet niet waarom.

De enige echte uitzondering is die van systemen die persoonsgegevens verwerken. Daar bepaalt de Wet bescherming persoonsgegevens (art. 13 Wbp) dat je “passende technische en organisatorische maatregelen” moet nemen “om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

De in 2013 geformuleerde beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens adviseren te handelen binnen een plan­do­check­act­cyclus: beoordeel de risico’s, gebruik erkende beveiligingsstandaarden en controleer en evalueer de resultaten. Er wordt wel naar standaarden verwezen, maar dat laat meteen zien waarom dat niet werkt: het document is uit februari 2013 en de daarin genoemde norm ISO 27002:2007 werd in oktober 2013 ingetrokken.

Uiteindelijk zal het altijd neerkomen op een evaluatie achteraf als het mis blijkt te zijn gegaan. Had dit redelijkerwijs voorkomen kunnen worden met wat voorhanden was, was het redelijkerwijs te verwachten dat deze standaard gevolgd zou worden en hadden we al redelijkerwijs mogen verwachten dat er zou worden geupgrade of was dat gezien de kosten nog niet redelijk? (Met excuses aan de vraagsteller die me nadrukkelijk vroeg de term ‘redelijk’ te vermijden maar dat is ben ik bang een MUST in de zin van RFC 2119.)

Arnoud

Wanneer mag je een auteursrechtelijk beschermde standaard toepassen?

| AE 8577 | Innovatie, Intellectuele rechten | 12 reacties

standard-standaardEen lezer vroeg me:

Hoe zit het nu met auteursrecht en patent op standaarden? Ik had altijd begrepen dat het vrij simpel is; je hebt auteursrecht op de tekst van de standaard, en daarnaast heb je eventueel octrooi op de implementatie. Maar nu hoor ik dat er daarnaast ook nog het intellectueel eigendom is, het onderliggende idee, en dat je daar toestemming voor nodig hebt los van het auteursrecht. Hoe zit dat nu?

Standaarden an sich zijn alleen via auteursrecht te beschermen, en dat raakt dan alleen de tekst. Die mag je niet kopiëren of herpubliceren. Implementeren van een standaard is altijd toegestaan, tenzij er patent zit op de implementatie. Dus ook bij “vastgelegde” methodes, cursussen, procedures of technieken. Alleen een patent of octrooi kan toepassen van iets verbieden. (en merk kan je dwingen een andere naam te kiezen, en een modelrecht kan je verplichten andere hulpmiddelen te ontwikkelen.)

Sommige patenten zijn zo breed dat ze álle implementaties afdekken, en daar komt de hele discussie vandaan over open standaarden: met zo’n essentieel octrooi kan niemand de standaard toepassen zonder schatplichtig te zijn aan de patenthouder. Maar het principe blijft hetzelfde: het patent gaat over implementatie – toevallig alle implementaties, maar nog steeds over implementatie.

Een veelgehoord misverstand is dat er zoiets is als “intellectueel eigendom”. Of nou ja, dat is er wel maar dat is een rechtsgebied net zoals arbeidsrecht of internetrecht. Je kunt dat bestuderen, je kunt je erin specialiseren en zelfs een universitaire vakgroep voor oprichten, maar het is geen ding dat je hébt. Ik beroep mij niet op mijn arbeidsrecht naar mijn werkgever toe, en ik zet niet een internetrecht in wanneer ik een claim krijg. Net zo min als ik het intellectueel eigendom heb op een tekst of foto (of technische innovatie). Ik ga bínnen die rechtsgebieden op zoek naar een manier om een recht te halen (of onderuit te halen).

De oorzaak van dat misverstand is denk ik de term “IE-recht”, suggererend dat er een recht is op dingen van intellectuele eigendom. Derhalve zullen die dingen ook wel iets zijn. Maar dat klopt dus niet. Een IE-recht is een vakterm uit dat vakgebied IE over het soort rechten dat ze daar behandelen. Het is geen recht op een IE. Rechten op intellectuele creaties an sich bestaan niet.

Je ziet dit misverstand ook wel eens in contractuele afspraken over bijvoorbeeld een boek. Dan wordt er gezegd, het auteursrecht gaat over naar de klant maar het IE blijft bij de auteur. Dat is dus juridisch onzinnig, waarom zou een vakgebied ergens blijven? (Wat mensen dénken dat ze hiermee bedoelen, is me overigens ook nog steeds niet duidelijk.)

Dus nee. Het maakt niet uit hoe je de standaard opschrijft, wat voor teksten je erin zet en hoe vaak je deze deponeert of registreert bij welke “bescherm uw idee”-club ook. Je hebt alleen een auteursrecht op je tekst, misschien heb je de naam als merk vastgelegd en heel misschien heb je patent op (een) dan wel alle uitvoering(en) daarvan. Maar dat is het, meer is er niet.

Arnoud

Mag je een productnaam noemen zonder toestemming van het bedrijf?

| AE 6634 | Ondernemingsvrijheid | 11 reacties

http-www-url-merk-adres-hand.pngEen opmerkelijke tweet zag ik gisteren voorbij komen: automatiseerder Centric meldt aan concullega Zaaksysteem.nl dat het gebruik van Centric’s productnamen niet toegestaan is zonder haar toestemming. Opmerkelijk, want het gaat hier om een opsomming van koppelingen naar onder meer Centric-producten en niet om de verkoop van concurrerende producten onder die namen. Mag dat nu ook al niet meer?

Update (09:21) Centric reageert in de comments:

We betreuren het dat er een onjuist beeld is ontstaan van ons verzoek aan Zaaksysteem.nl. Onze zorg betrof niet zozeer het vermelden van onze productnamen, maar de combinatie met de informatie die via het aanklikken van onze productnamen beschikbaar is gesteld. Wij hadden hier graag vooraf afstemming over gehad met zaaksysteem.nl , omdat het belangrijk is dat de vermelde koppelinformatie actueel en betrouwbaar is. Inmiddels hebben de heer Moen van Zaaksysteem.nl en Pierro Baas van Centric telefonisch contact gehad. Onze reactie op de berichtgeving vindt u op onze website: http://www.centric.eu/NL/Default/Branches/Lokale-overheid/Reactie-op-berichtgeving-over-vermeldingen-productnamen

Als de productnaam niet als merk is gedeponeerd, dan is deze vogelvrij. Je kunt nagaan bij het Beneluxmerkenregister of een naam als merk is gedeponeerd. Houd er rekening mee dat de spelling in het depot af kan wijken. En als het depot een plaatje (beeldmerk) blijkt te zijn, krijg je mogelijk eerst de discussie over beschrijvende termen in beeldmerken.

Welke merken Centric heeft, is me onduidelijk. Zo vind ik bijvoorbeeld een beeldmerk voor eHerkenning maar dat staat niet op naam van Centric. De merken die ik vind op deposantnaam Centric zie ik dan weer niet terug in de klachtmail. Maar goed.

Als iemand andermans merk gebruikt voor concurrerende producten of diensten, dan is dat een probleem. Daar is het merkenrecht voor gemaakt: geen concurrentie middels een beschermde merknaam. Ga je eigen naam verzinnen of zo.

Echter, niet elk gebruik door een concurrent is verboden. Met name uitgezonderd zijn verwijzingen naar merkproducten om de bestemming of het beoogde gebruik van je eigen product aan te geven. “Past op alle Bosch-stofzuigers” of “vereist Windows 8.1” bijvoorbeeld. En volgens mij is dat precies wat hier gebeurt: die Zaakherkenning-software heeft koppelingen (API’s) voor diverse Centric producten, en daarbij worden de namen van die producten genoemd. Dat mag.

Het zou problematisch worden als de verwijzing zo prominent wordt dat je in de war kunt raken over wiens dienst het is, of over de relatie tussen de twee bedrijven. Heel klein “compatibel met” en dan “Windows 8.1!” heel groot is merkenrechtelijk dus verkeerd. Maar dat zie ik niet bij deze site.

Afijn. Gevalletje merkenrechtelijk blaffen lijkt me. Het verbaast me wel dat dat nog vaker voor lijkt te komen dan auteursrechtelijk blaffen. Zijn mensen banger voor merken dan voor auteursrechten?

Arnoud

Mag Wikipedia beschermde bronnen overtypen?

| AE 6088 | Intellectuele rechten | 18 reacties

Een lezer vroeg me: Ik zat laatst te bedenken hoe er heel veel informatie op wikipedia wordt samengesteld uit andere bronnen en deze vervolgens op wikipedia worden gepubliceerd onder een “Creative Commons Attribution-ShareAlike License”. Een voorbeeld is de landencodelijst ISO 3166 die zomaar op Wikipedia staat. Mag dat zomaar, integraal zo’n lijst overnemen als je… Lees verder