Een laptop met illegale software, is die nonconform eigenlijk? Joh!

| AE 13019 | Ondernemingsvrijheid | 10 reacties

Free-Photos / Pixabay

Stel je bestelt bij een klein IT-bedrijf een tweedehands laptop met het verzoek er software voor “tekeningen voor metaalconstructies” op te zetten, zodat je als zzp’er direct kunt gaan werken. Oh ja, en het mag 150 euro kosten. Zou je dan gek opkijken als er op zeker moment claims van de rechthebbende op die software komen, mede omdat de echte versie 6000 euro kost en een phone-home functie heeft? Afgaande op dit arrest komt dat voor, met daarbij dus de vraag of er geleverd is wat er besteld was.

De discussie bij de rechter spitste zich toe op wat er nu besteld was: een laptop geschikt voor AutoCAD Solidworks, een laptop met een trial zodat je kon zien dat die software erop zou werken, een laptop met een illegale (gekraakte) full versie of een geheel legale full versie? Het bedrag van 150 euro maakt dat laatste een tikje onwaarschijnlijk, maar het idee van een trial versie is misschien zo gek gedacht nog niet. Hoewel, de Nederlandse distributeur in de mail:

De enigen die ene trialversie kunnen regelen bij [softwarebedrijf] in NL zijn: [licentiebedrijf] , [naam 1] en [naam 2]. Dit is niet bedoeld voor doorverkoop, maar om te kijken of de software aansluit bij de wensen van de potentiële  klant. (…) Daarnaast zijn wij vanuit [licentiebedrijf] niet op de hoogte dat er een trialversie door [handelsnaam appellant] is geregeld. Dit kan het beste bij [softwarebedrijf] zelf worden gecheckt.
Het [licentiebedrijf] sprak de [handelsnaam appellant] van de laptop vervolgens aan op [illegaal] gebruik, waarna werd geschikt. Dat is dan meteen de reden voor het aanspreken op nonconformiteit natuurlijk, het verhalen van het schikkingsbedrag.

Het Gerechtshof kwam tot de tussenconclusie dat de klant maar moest bewijzen wat er precies besteld was. Als dat een legale versie van Solidworks was, dan zou de leverancier tekort geschoten zijn. Echter, zou dat niet de afspraak zijn geweest, dan waren alle gevolgen voor rekening en risico van de klant. De klant kwam daarop met een getuige, een van zijn werknemers:

Tegen [de leverancier] heb ik gezegd dat ik een laptop zocht met SolidWorks. Ik heb uitdrukkelijk gezegd dat het om SolidWorks ging. [De leverancier] zou gaan kijken of hij dat voor mij kon regelen. Er is op dat moment niet specifiek gesproken over een legale of illegale versie. Er is ook niets gezegd over een trialversie, alleen dat het om SolidWorks ging. [De leverancier] zei dat hij ervoor kon zorgen. Hij zou in eerste instantie kijken of hij aan mijn wensen kon voldoen om een laptop met die software te leveren. Er is bij de aflevering van de laptop nog gesproken over SolidWorks. Hij heeft aan de keukentafel bij mijn schoonouders gedemonstreerd dat er SolidWorks op de laptop zat. Hij heeft laten zien dat het programma er op zat door het programma te openen maar niet laten zien hoe het werkte. Er is niet gesproken over de versie van SolidWorks op het moment van aflevering.
Verder was niet gesproken over de aard van de Software. De klant kende deze niet, maar de software werd aangeraden door een zakenrelatie (een tekenaar) en men had geen idee wat het moest kosten, maar kan het voor 1000 euro?

Meer bewijs was er dus niet. Het Gerechtshof trekt vervolgens zelf de conclusie dat een bedrijf dat vraagt om een laptop met zakelijke software, normaal de bedoeling heeft om daarmee te werken. Dan heb je een legale, volledige versie nodig. Als je zonder nader overleg dus dit bestelt bij een leverancier, dan moet die begrijpen dat de volledige, legaal gekochte software erop moet. Geen trials en al helemaal geen gekraakte/illegale versies.

Natuurlijk kan dat wel eens te duur zijn – de standaardlicentie is 6000 euro. Maar zoiets even uitzoeken is toch echt deel van je zorgplicht als IT-leverancier. Je moet dus even doorvragen, en het is dan prima als je zegt “dit kan niet voor jouw budget want die licentie is zes keer wat jij hebt”. Of “dit gaat niet maar ik kan de open source FreeCAD er wel op zetten”. Of “ik heb een trial erop gezet, want die software kost 6000 euro en ik weet niet of je dat wel wil”. Of “wil je even bijbetalen dan koop ik die licentie voor je”. Maar niet leveren en achteraf zeggen:

Midden September 2017 heb ik een 2e hands laptop voor jou geregeld en geleverd, met daarop de trialversie van [softwareprogramma] . (…) Vanaf begin November 2017 is het gebruik van een niet legitieme software op een IP-adres gelokaliseerd van de gebruiker van de laptop. Dit is ruim anderhalf maand later, ik weet niet wat er in de tussentijd met de laptop is gebeurt en als het daadwerkelijk om de desbetreffende laptop gaat. Ik heb de laptop sinds midden September 2017 niet meer in mijn bezit en ik ben niet verantwoordelijk voor wat er in de tussentijd op de laptop gezet is en ermee gedaan word.
Nonconforme laptop dus, en/of wanprestatie onder de overeenkomst. Dat betekent betalen. Alleen, hoe veel?

De klant had de volledige € 7.500 in rekening gebracht, en het Hof erkent dat dat nu eenmaal de schade is. Dat men voor een echte licentie ook dik 6000 euro had moeten neerleggen, is dan niet relevant: bij een correcte nakoming had de klant niets aan Solidworks of haar distributeur hoeven te betalen. (Hetzij omdat de IT-leverancier de kosten in rekening had gebracht, hetzij omdat deze magischerwijs een licentie voor 1000k had kunnen kopn, hetzij omdat de klant had gezegd “ben je betoeterd, 6000 euro, doe maar FreeCAD”.) Bijgevolg komt die volledige 7500 ook echt voor rekening van de leverancier.

Het bevestigt het beeld van die zorgplicht: niet zelf bedenken wat de klant wil (of niet), maar onderzoeken en navragen. En natuurlijk op papier zetten (al is het maar de e-mail) wat de klant heeft gezegd.

Arnoud

 

Kun je een CISO persoonlijk aansprakelijk stellen voor prutserniveau beveiliging?

| AE 12861 | Ondernemingsvrijheid | 14 reacties

Courtany / Pixabay

Bij het bedrijf Solarwinds, waardoor vorig jaar een enorme cyberaanval mogelijk bleek, is nu de CEO en CISO persoonlijk aangeklaagd door aandeelhouders. Dat las ik bij Secureworld, dankzij Henri Koppen’s Linkedin-discussie. Een CISO persoonlijk aansprakelijk stellen maakt het beroep nu niet bepaald aantrekkelijker, zegt deze terecht. Tegelijkertijd, als het wáár is wat ik lees (wachtwoord: solarwinds123, geen UAC, geen securityteam onder de CISO, geen documentatie) dan snap ik wel dat je die CISO meer wilt verwijten dan “wat jammer dat je gehackt bent”.

Het gaat hier om een rechtszaak door aandeelhouders. Die zagen de koers van hun aandelen omlaag duikelen na de hack, en zij menen dat dat onterecht is omdat zij mochten rekenen op een sterk securitybeleid uitgevoerd door een daadkrachtige CISO. Dat noemen we dan aandelenfraude: mensen misleiden over de kwaliteit van je bedrijf zodat ze je aandelen kopen (of niet verkopen). Everything is securities fraud, elk probleem met je bedrijf is ergens wel te herleiden tot “en daardoor gingen de aandelen ten onrechte omlaag en dat is misleiding”.

Hoe je het bedrijf daarvoor aansprakelijk stelt, dat zie ik wel. Prutswerk in je core business én daarover niet eerlijk zijn, dat is ergens wel misleidend of frauduleus te noemen. Prima. Maar om een bestuurslid persoonlijk aansprakelijk te stellen voor wanprestatie van het bedrijf, daar is wel meer voor nodig zou je zeggen.

En dat is ook zo, zowel in Nederland als in de VS. Bij ons is het criterium kort gezegd dat

in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.
In de praktijk gaat het dan meestal om bestuurders die verplichtingen aangaan waarvan ze weten dat het bedrijf die niet kan dragen, bijvoorbeeld door vlak voor een faillissement nog even dingen te kopen of schuldeisers onder druk zetten om te betalen (wetende dat er dan niet meer geleverd gaat worden vanwege dat faillissement). Dit heet de Beklamel-norm. Daarnaast zijn er meer mogelijkheden, zoals IE-inbreuk of het opzettelijk en willens en wetens aansturen op het schenden van contractuele afspraken:
Van een persoonlijk ernstig verwijt kan ook sprake zijn indien de bestuurder heeft bewerkstelligd of toegelaten dat de vennootschap haar wettelijke of contractuele verplichtingen niet nakomt (zie Hoge Raad 8 december 2006, HR:2006:AZ0758 (Ontvanger/Roelofsen) en Hoge Raad 18 februari 2000, NJ 2000/295 New Holland-arrest).
Hier gaat het echter niet om contractuele tekortkomingen of schendingen van specifieke rechten, maar om het verstrekken van misleidende informatie aan aandeelhouders. Dat ligt een stuk moeilijker:
… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.
De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.

In de VS is er wellicht meer mogelijk, maar vaak zie je dat zulke claims worden gemaakt puur om het bedrijf meer onder druk te zetten. Als de CISO (en de CEO natuurlijk) hun eigen vermogen onder druk zien staan, dan zal men wellicht sneller aansturen op een schikking vanuit het bedrijf.

Arnoud

Mag Spotify mijn SSD-schijven tot prut reduceren?

| AE 9077 | Informatiemaatschappij | 15 reacties

ssd-schijf-opslagOeps. De afgelopen vijf maanden (zo niet langer) heeft de Spotify app zo hard staan schrijven naar de ssd-schijven in telefoons dat deze járen aan levensduur zijn kwijtgeraakt. Dat las ik bij Ars Technica. Frequent schrijven naar ssd schijven is serieus Niet Handig aangezien dat voor grote slijtage zorgt. En nee, het ging niet om overijverig downloadende gebruikers: dit was een oeps foutje bedankt van Spotify. De nieuwste versie lost het op, maar de schade is niet ongedaan te maken. Kan dat zomaar?

We hebben natuurlijk de productaansprakelijkheid in de wet, en die opent met een veelbelovend artikel:

De producent is aansprakelijk voor de schade veroorzaakt door een gebrek in zijn produkt, tenzij: (…)

Alleen gaat dat ‘gebrek’ vervolgens alleen over fysieke veiligheid, zeg maar ontploffingen en dergelijke. Overmatige slijtage is moeilijk te zien als een veiligheidskwestie, behalve misschien bij autogordels. Bovendien is een app zoals Spotify geen ‘product’ (al dan niet met een k), want dat moet een roerende zaak zijn. Dus daarmee komen we er niet.

Wanprestatie dan. De app doet niet wat je ervan mag verwachten, dus geen conformiteit dus herstel & vergoeding van schade. En ja, dit geldt ook voor software – het Beeldbrigade-arrest van de Hoge Raad bepaalde in 2014 expliciet dat standaardsoftware onder de kooptitel valt en daarmee aan de conformiteitseis moet voldoen. Alleen hm: is er wel sprake van een koop? Je koopt immers niet de app, die krijg je gratis. Je betaalt voor de dienst van Spotify, en dat zie ik als wezenlijk wat anders.

Onrechtmatige daad? Strijd met een wettelijke plicht of inbreuk op een recht, die zie ik niet. Dus dan houd ik over de maatschappelijke zorgvuldigheid, zeg maar dit dóe je gewoon niet. Dit is niet netjes, ook al staat het niet als verbod in de wet. Dat kan altijd, maar sterk vind ik ‘m niet.

Oké, er is een oplossing maar helemaal lekker zit het me niet. Ik vermoed dat dit zo’n ding is waar niemand ooit over nagedacht heeft. Sinds wanneer kan software immers hardware pijn doen (HCF daargelaten)

(Ongetwijfeld staat er in de Spotify EULA iets over geen aansprakelijkheid voor welke schade dan ook, maar ongezien mijn juridische hoela voor zo’n voorwaarde.)

Arnoud

Wiens verantwoordelijkheid is een mobiel abonnement met computer?

| AE 2492 | Ondernemingsvrijheid | 20 reacties

Als je bij een telecomshop een actiecombinatie bestelt van een mobiel abonnement, een telefoon en een computer, wie moet dan zorgen dat je die alledrie krijgt? Dat was de vraag waar de kantonrechter in Rotterdam zich over moest buigen. Een consument had bij Typhone.nl een Vodafoneabonnement gesloten, omdat hij dan een gratis multimediacomputer zou krijgen…. Lees verder

Hoe kom je van een falend IT-project af?

| AE 2375 | Intellectuele rechten | 32 reacties

De op één na ergste openingszin in mijn inbox is toch wel “een tijd geleden zijn wij een IT-project gestart, maar…” Ik weet niet wat het is, maar het lijkt wel of elk IT-project gruwelijk faalt: gemiste deadlines, vele extra rekeningen (liefst terwijl een vaste prijs bedongen was), eindeloos gesoebat over specificaties, maandenlange vertraging bij… Lees verder

Laptop vervangen, maar data terug kost geld (2) (gastpost)

| AE 1264 | Informatiemaatschappij | 2 reacties

In ‘Laptop vervangen, maar data terug kost geld’ vroeg Arnoud zich af of de fabrikant ASUS aansprakelijk kon worden gesteld voor het verloren raken van gegevens bij de reparatie van een laptop. Volgens de fabrikant was reparatie niet mogelijk, maar de koper hoefde zich geen zorgen te maken: de laptop werd vervangen. Maar er zat… Lees verder

De (on)bindendheid van de consumenten geschillencommissie (gastpost)

| AE 912 | Ondernemingsvrijheid | 4 reacties

Wie overeenkomsten sluit krijgt er vroeg of laat mee te maken: geschillen. De partijen kunnen het dan onderling niet eens worden over een oplossing. Zij kunnen dan aan de rechter vragen om met een uitspraak te komen. Hier zitten echter wel een aantal negatieve consequenties aan vast. Allereerst is de rechtsgang erg duur. Voor rechtszaken… Lees verder