Kent u de risico’s rond het gebruik van software?

Henri Hensen
Een organisatie die software in gebruik neemt, wil er zeker van zijn, dat die software gedurende lange tijd ongestoord blijft werken. Daarvoor zijn veel redenen. Een eerste reden is dat op vrijwel alle gegevens die met die software worden vastgelegd bewaarplichten rusten. Die bedraagt voor wat betreft de fiscus minimaal 7 jaar. Voor medische gegevens bedraagt die 15 jaar, maar voor data (en software) voor PPS projecten bedraagt de bewaartermijn 30 jaar. Hiermee samen hangt de angst voor een informatiebreuk. Een vervangend softwarepakket werkt meestal niet met de gegevensbestanden van het uitgevallen pakket. Een tweede reden is het kostenaspect. Uitval van software leidt tot schade en vervanging van software is kostbaar, ook vanwege de doorgaans grote gevolgen voor de organisatie: medewerkers moeten opgeleid worden en procedures moeten aangepast worden. Een derde reden is reputatieschade en ten slotte is er nog de bestuurdersaansprakelijkheid. Wat kun je doen om de ongestoorde langdurige werking van software veilig te stellen?  In dit artikel komen een aantal hoofdzaken, beknopt, aan bod die onderdeel zijn van het antwoord op die vraag.
Op software rust auteursrecht. Het auteursrecht is in de gehele levenscyclus van software van essentieel belang. Het is een belangrijke bescherming voor de investeringen die een softwareontwikkelaar moet doen. Uit de bundel van rechten, die het auteursrecht is, krijgt de softwaregebruiker er doorgaans eigenlijk maar één belangrijke. Althans, via de overeenkomst. Dat is een gebruiksrecht op de digitale versie van een computerprogramma (de objectcode). Met deze versie kun je het programma niet onderhouden, geen fouten verhelpen, of het programma door ontwikkelen. Als je dat wilt, heb je de broncode nodig, maar die krijg je niet als softwaregebruiker. Dat moet je regelen bijvoorbeeld met de IT-notaris die de Software Borg regeling aanbiedt.
Rechten van de licentiegever: 
1. Gebruiken  2. Onderhouden 3. Verveelvoudigen 4. Aanpassen 5. Doorontwikkelen 6. Bestuderen 7. Testen 8. Decompileren 9. Openbaar maken 10. Exploiteren 11. Stellen van voorwaarden aan gebruik 12. Beschikken (overdracht/verkoop)
Rechten van de licentienemer:
1. Gebruiken 2. Maken reservekopie 3. Testen 4. Bestuderen
Die IT-notaris laat nagaan waar het auteursrecht ligt. Nu hebben veel softwareleveranciers een juridische structuur met een holding, een ontwikkel- en een exploitatie B.V. U begrijpt het al: het auteursrecht wordt meestal neergelegd bij de ontwikkel of de holding B.V. Alleen een gebruiksrecht op een verzameling nullen en enen, en dat gebruiksrecht is ook nog eens verstrekt door een partij, die zelf niet over de broncode kan beschikken. Dat is dus een opstapeling van rechteloosheid. De IT-notaris zorgt ervoor, dat deze situatie gerepareerd wordt, zodat u in geval van calamiteiten (bij de licentiegever) door kunt met de software.
Pandrecht op software
Een andere juridische dreiging wordt gevormd door het pandrecht op software. Pandrecht op software, althans de rechten daarop, komt steeds vaker voor. De redenen daarvoor zijn, dat er in hoog tempo steeds meer broncodes op de markt komen en er dus een markt is voor aan- en verkoop van broncodes en de financiering daarvoor. Niet alleen banken, maar ook private investeerders en investeringsconglomeraten vestigen pandrecht op software. Voor een software gebruikende organisatie kan het vervelend zijn, als die plotseling te maken krijgt met een andere eigenaar van een broncode. Denk bijvoorbeeld aan het geval dat er dan niets geregeld is over onderhoud, foutherstel en doorontwikkeling. Ook hier kan een IT-notaris in samenwerking met de Software Borg Stichting er voor zorgen dat de voordelen van pandrecht blijven bestaan, maar de nadelen op juridische en technische wijze correct worden weggewerkt.
Zekerheid informatietechnologie
Een informatiesysteem bestaat altijd uit de volgende vijf componenten: hardware, software, gegevens, gebruikers, procedures. In de beginjaren van de informatiesystemen stond de hardware altijd onder het dak van de gebruikers. Dat is met de komst van “De Cloud” en SaaS (Software as a Service) wel veranderd. Dit betekent, dat ook de gegevens uit een informatiesysteem bij een datacenter of de hostingpartij komen te staan. Op grond van het Databankenrecht kunnen gegevens van zijn klanten zomaar van de hostingpartij zijn. Een overeenkomst waarin de eigendom van data geregeld is, helpt wel. Maar ook de hostingpartij kan om allerlei redenen stoppen met zijn dienstverlening, bijvoorbeeld als hij niet betaald krijgt. En uw gegevens dan? Ook daar heeft de IT-notaris een oplossing voor. Misschien zijn de gegevens wel van zo’n cruciaal belang dat er gekozen moet worden voor eigen hardware in het datacenter. Dan kan daar geen beslag op gelegd worden. En dus ook niet op de daarop aanwezige gegevens.
Een geheel ander aspect aan informatietechnologie en in het bijzonder aan software, is het feit dat het steeds meer samengesteld wordt. De tijd dat (een) programmeur(s) een geheel softwarepakket schrijft (schreven) is allang voorbij. Bij het ontwikkelen van software wordt gebruik gemaakt van kant-en-klare componenten, van Open Source software, en van het internet gehaalde componenten. Overigens zitten aan Open Source weer belangrijke juridische aspecten.
De softwaregebruiker zou moeten willen weten hoe de software is samengesteld en of hij dat zelf zou mogen gebruiken (licenties) in een noodgeval. Een zorgvuldig onderzoek hiernaar en een volledige rapportage behoort onderdeel te zijn van een solide broncode-escrowregeling. Daarmee is dit waarschijnlijk het belangrijkste onderdeel van een calamiteitenplan voor de organisatie.
Kwaliteit aanbieders
Een organisatie die software gebruikt, krijgt te maken met tal van aanbieders. Door de snelle groei en de omvangrijke problematiek van informatietechnologie is er helaas veel ruimte in de markt, naast gerenommeerde aanbieders, voor aanbieders die, ongehinderd door beroepsvoorschriften, producten en diensten bieden, die niet in de eerste plaats zijn gericht op kwaliteit. Belangrijk in dit vlak zijn de vaste waarden, die zijn ontwikkeld zelfs al lang voor het informatietijdperk. Daaronder vallen beroepsverenigingen, beroeps- en gedragsregels, beroepsaansprakelijkheidsverzekeringen en in enkele gevallen zelfs wettelijke regelingen (De Notariswet). Daarnaast is een belangrijke hulp bij de beoordeling natuurlijk de aanwezigheid van normen en “best practices.” Zijn deze bekend en houdt men zich daar aantoonbaar aan?
Met name bij complexe en abstracte dienstverlening waar meerdere wetenschappelijke vakgebieden samenvallen zoals bij informatietechnologie, aan IT-gerelateerd recht en informatiebeveiliging is juist veel ruimte voor zwakkere aanbieders. Oude vertrouwde beroepsbeoefenaren zoals de notaris die zich specialiseert tot IT-notaris, zullen kwaliteit leveren al was het maar om de vertrouwenspositie niet te schaden.
De auteur Henri Hensen is beëdigd informaticadeskundige en bestuurder van Software Borg Stichting.