Dringend advies: Begin met open-source-risicomanagement

Sprak de Federal Deposit Insurance Corporation – een Amerikaanse overheidsorganisatie – vier jaar geleden nog van min of meer dezelfde risico’s voor open en niet-open-sourcesoftware voor financiële instellingen, waarbij de inzet van open-sourcesoftware overigens wel om uniek risicomanagement vraagt. Nu horen we in de Verenigde Staten steeds meer stemmen dat er weldegelijk tevens unieke risico’s aan kleven. Bijvoorbeeld bij uitbesteding van softwaregerelateerd werk. Dat heeft alles te maken met het zogenoemde copyleft-beginsel van sommige open-sourcelicenties, dat verplicht de broncode van gewijzigde software bij distributie openbaar te maken. Maar wat moeten we precies onder verspreiding in juridisch perspectief verstaan?“Niemand weet dat”, zegt Jason Haislmaier, partner bij Holme Roberts Owen. Volgens de advocaat is compliance in het kader van open-sourcesoftware relatief jong en waarschijnlijk pas in 2004 ontstaan.

Hoewel sommigen iedere vorm van kritiek op open-sourcesoftware en vooral de achterliggende juridische constructies nog altijd als FUD (het creëren van angst, onzekerheid en twijfel) afdoen, weten we nu dat er niet alleen in theorie juridische haken en ogen aan open-sourcesoftware kleven. Zo verklaarde softwareproducent McAfee begin dit jaar in zijn verplichte jaarrekeningverklaring voor Security Exchange Commission (SEC) dat open-sourcesoftware risico’s vormen, vooral met betrekking tot onverwachte claims en rechtszaken op grond van het schenden van intellectueel­eigendomsrechten van anderen en het schenden van gebruiksvoorwaarden.
Deze lijn zal zich bij ter beurze genoteerde ondernemingen, tenminste in geval van softwareproducenten doorzetten. Bovendien geldt meer in het algemeen dat gepubliceerde financiële verwachtingen vanwege een plotseling succes van een concurrerend open-sourcepakket eveneens sterk gewijzigd kunnen worden. Ook Microsoft meldde dat eerder aan de Amerikaanse beurswaakhond.

Een minstens zo belangrijk wapenfeit vormen de vier geruchtmakende procedures die de hoofdontwikkelaars van BusyBox, Erik Anders en Rob Landley, met behulp van de Free Software Law Center (FSLC) aanspanden tegen respectievelijk Monsoon Multimedia, Xterasys, Highgain en Verizon. BusyBox betreft een stukje toepassingssoftware, speciaal als executable voor Linux ontwikkeld ten behoeve speciale distributies en embedded systemen.
Monsoon en Xterasys hebben het conflict eind vorig jaar buiten rechte geschikt. Zij namen de rechtsgeldigheid van de GNU General Public Licence versie 2.1 (GPL) aan, zegden toe zich aan de licentievoorwaarden te houden, betaalden schadevergoeding en verplichtten zich tot het aanstellen van een heuse ‘compliance officer’, speciaal voor open-sourcesoftware. Zijn die er wel?

Aan de zaken zitten opmerkelijke kanten. Wie verder kijkt dan zijn neus lang is, ziet dat de FSLC, die wereldwijd over de nakoming van de GPL wil waken, geen willekeurige keuze in de aangesproken open-sourcegebruikers heeft gemaakt. Het zijn namelijk stuk voor stuk ICT-ondernemers en de gedaagden weerspiegelen het hele spectrum: grote, middelgrote en kleine hightechbedrijven.
De intersectorale conflicten hebben gemeen dat het om ongewijzigde GPL-softwarecode in firmware gaat, die zonder broncode werd aangeboden. Geen lastig onderwerp over de interpretatie van individuele clausules dus. Vrijwel zeker ontbrak opzet bij gedaagden en zij blijken nauwelijks verweer te voeren. Bij de geschikte conflicten werd overigens geen geheimhoudingsverklaring getekend. Partijen kunnen dus de inhoud van de akte van dading desgewenst openbaar maken. Dat de Free Software Law Center met de juridische procedures internationaal een showcase wil maken, leidt nauwelijks twijfel.

Interessant is verder de zaak Jacobsen vs. Katzer (2007), waarbij de rechter in eerste instantie oordeelde dat een open-sourcelicentie naar Amerikaans recht in beginsel geen contract is, maar dat zij wel tot een contract kan leiden. Deze rechtsvraag is uitermate belangrijk voor het aangaan van de verbintenis tussen partijen en aansprakelijkheid op grond van wanprestatie. Hoger beroep dient binnenkort. Voor de goede orde: naar Nederlands rechts wordt een open-sourcelicentie zeker als contract gezien, zodat de regels van het Burgerlijk Wetboek voor het aangaan en de uitvoering van de overeenkomst van toepassing zijn.

Onder de rechter is ook nog Firestar vs. Red Hat, een juridisch conflict dat op 28 juni 2006 (kort na de overname van JBoss door Red Hat) begon. Dit geschil gaat over octrooien; naast licenties een ander heikel punt voor de softwaresector. Brad Smith, Microsofts hoofd Juridische Zaken, pleitte op OSBC2008 voor aanpassing van het huidige octrooisysteem in de Verenigde Staten.

“Octrooien op softwarecode zijn harde kwesties”, aldus Smith. Microsoft wordt zelf continu gedaagd in octrooiconflicten en voert naar eigen zeggen verreweg de meeste rechtszaken over deze materie; dus niet omdat het zelf naar de rechter stapt.

Maar juridische problemen zijn er om opgelost te worden en de complexiteit van open-sourcelicenties – er zijn er nu meer dan zeventig door de Open Source Initiative gecertificeerd – blijkt in de praktijk niet of nauwelijks een drempel voor toepassing te zijn. Conferentievoorzitter Matt Asay wijst op gebruikersorganisaties die voor het eerst in groten getale in de zaal zitten. Ongeveer 40 procent van achthonderd deelnemers vertegenwoordigde dit jaar de eindgebruikerskant. “Logisch, want open-sourcemodellen creëren betere sofwareproducten”, aldus Asay, directeur bij open-sourceaanbieder Alfresco.

Dat standpunt wordt gedeeld door Jim Whitehurst, president en CEO van Linux-distributeur Red Hat. “Open source biedt low-cost, high-quality softwarecode.” En ronduit verrassend is zijn toevoeging. “Amerika heeft vandaag de dag een slechte naam in de wereld. Dan is het geen goed signaal om enorme hoeveelheden licentiegelden voor computerprogramma’s te ontvangen. Geef softwarecodes weg aan de wereld.”

Of alle open-sourceontwikkelaars deze visie onderschrijven, weet niemand. Wel volgen uit een begin maart uitgevoerd onderzoek onder de 160 man tellende OpenLogic Expert Community enkele opmerkelijke feiten. Van de vijftig respondenten, die overigens allemaal aan verschillende open-sourceprojecten bijdragen, werkt de helft bij een gewoon, dus niet-open-sourcebedrijf. Amerikanen noemen dat tegenwoordig een ‘proprietary software company’. 72 procent gaf aan dat er overlap bestaat tussen hun werk overdag en ’s avonds.

De helft van de ontwikkelaars zegt dat er geen commercieel bedrijf betrokken is bij het project waar ze aan werken en 84 vindt dat dit in beginsel niet noodzakelijk is voor breedtoegepaste open-sourcesoftware. Hoewel 52 procent van de respondenten aangaf dat geld een belangrijke drijfveer vormde om deel te nemen aan de OpenLogic-ontwikkelgemeenschap, sloot 64 procent zich aan om open-sourcesoftware te ondersteunen.

Aandachtspunten
1 Ten minste één Amerikaanse federale overheidsorganisatie signaleerde vier jaar geleden dat open-sourcesoftware om een uniek risicomanagement vraagt. Nu neemt de aandacht voor de unieke juridische risico’s toe.
2 Compliance – in overeenstemming handelen – met open-sourcelicentes wordt zowel bij leveranciers als gebruikersorganisaties nog steeds onderschat en vormt een aanzienlijk bedrijfsrisico.
3 Softwareleveranciers hebben te maken met lock-in ten opzichte van de gekozen open-sourcelicentievoorwaarden (inbound & outbound licensing) en dat kan hun commerciële bewegingsvrijheid beperken.
4 Onderlinge compabiliteit van open-sourcelicenties vormt een lastig vraagstuk in de markt.
5 Nog minder dan leveranciers, beseffen gebruikers dat zij gebonden zijn aan open-sourcelicenties en op grond hiervan ook verplichtingen hebben (zoals het meeleveren van de gewijzigde broncode bij distributie).
6 Verreweg de meeste gebruikersorganisaties hebben geen beleid ontwikkeld om open-sourcesoftware feitelijk (technisch en organisatorisch) en juridisch te managen en risico’s te beperken.
7 Bovendien komt open-sourcesoftware nogal eens onbewust bij leveranciers en gebruikersorganisaties naar binnen via een derde partij, bijvoorbeeld als embedded sofware in apparatuur.
8 Open-sourcesoftware moet echter vooral bewust gebruikt worden en dat vraagt om een gemengd team van techneuten, commerciële mensen en juristen dat de inzet ervan in goede banen leidt.
9 In de Verenigde Staten worden meer rechtszaken over open-sourcesoftware verwacht, omdat met name succesvolle developers - al dan niet met steun van de Free Software Law Center of investeerders – over meer geld beschikken om naar de rechter te stappen.
10 Ondertussen gaan de juridisch procedures over octrooien in softwarecode (open source en andere computerprogramma’s) door en zullen verder stijgen.