Vrijwel altijd te weinig licenties

3 december 2010

Volgens het jaarlijkse onderzoek van BSA en IDC is er in Nederland voor 28 procent van de geïnstalleerde softwarepakketten geen geldige licentie en dus zijn die illegaal (Seventh annual BSA/IDC global software piracy study 09, mei 2010). Uiteraard betekent dit niet dat in elke organisatie 28 procent van de gebruikte software illegaal is. Maar is een organisatie in staat deze stelling te weerleggen en het bewijs op tafel te leggen?

In veel organisaties is het moeilijk aan te tonen dat alle licenties van de software die in gebruik is, zijn aangeschaft. Het ontbreekt aan inzicht in welke en hoeveel licenties zijn gekocht. Dat komt enerzijds doordat licenties op verschillende plekken in de organisatie worden aangeschaft, bijvoorbeeld zowel door de IT-afdeling als door de gebruikersorganisatie. Soms wordt software ook meegeleverd met de hardware. Ook al is er een centrale inkoopafdeling, dan zal deze wel het inkoopproces begeleiden en over de prijs onderhandelen, maar niet bijhouden hoeveel licenties in het verleden zijn gekocht en wat het totale aantal is. Dat voor één softwarepakket verschillende licentievormen, versies, varianten (basis, professional, enterprise) of softwarebundels (bijvoorbeeld office-suites) kunnen worden gekocht, maakt de zaak niet eenvoudiger.

Een verdere complicatie is de enorme variatie in licentievoorwaarden, die niet alleen per leverancier, maar vaak ook per product verschillen. Om te weten hoe vaak software geïnstalleerd of gebruikt mag worden, zullen de licentievoorwaarden per licentie goed gelezen moeten worden. Daaruit blijken vaak beperkende voorwaarden voor het gebruik, bijvoorbeeld (mede)gebruik door dochterondernemingen, klanten of leveranciers. Ook blijkt daaruit hoe het aantal gebruikte licenties moet worden geteld, bijvoorbeeld:

  • aantal installaties op pc’s of servers;
  • aantal gebruikers met toegang tot de applicatie;
  • aantal gelijktijdige gebruikers;
  • aantal CPU’s.

Er zijn talloze varianten die soms op elkaar lijken maar in details verschillen. Voor elk van deze situatie zal een betrouwbare telmethode moeten worden gevonden. Dat lijkt gemakkelijker dan het is, omdat veel geautomatiseerde tools niet alle installaties kunnen meten. Voorbeelden zijn: pc’s zonder netwerkverbinding, smartphones, handmatig geïnstalleerde software.

Natuurlijk zijn er ook licentievoorwaarden waarvoor het aantal licenties niet geteld hoeft te worden omdat de licenties voor alle gebruikers in de organisatie gelden. Dit geldt vaak voor open-sourcesoftware en gratis software. Wel gelden daarbij vaak beperkingen, zoals uitsluitend niet-commercieel gebruik.

In veel organisaties zijn de taken rond licentiemanagement verdeeld over verschillende organisatieonderdelen, zoals business/gebruikersorganisatie, inkoop, ICT et cetera. Daardoor ontbreekt een totaaloverzicht en voelt niemand zich eindverantwoordelijk. Wanneer vervolgens een concreet licentieprobleem optreedt, waaraan grote financiële gevolgen verbonden zijn, ontstaat in de praktijk de situatie dat organisatieonderdelen elkaar de zwarte piet toeschuiven. Dit staat een oplossing van het probleem in de weg. Het vastleggen van beleid en verantwoordelijkheden rond licentiemanagement kan dat zwartepieten voorkomen. De realiteit is dat dit pas prioriteit krijgt als er al problemen zijn, hoewel we steeds meer zien dat organisaties dit thema ook op andere momenten oppakken, bijvoorbeeld bij migraties van werkplekken.

Alleen organisaties die een goed, actueel en volledig inzicht hebben in aangeschafte en gebruikte licenties kunnen er zeker van zijn te voldoen aan de geldende wet- en regelgeving. Daarbij moeten per licentie bewijsstukken, zoals aankoopfacturen of licentiecertificaten, vlot overgelegd kunnen worden. Onvoorbereid zal het bij een audit door een leverancier niet lukken om deze boven tafel te krijgen. Als tijdens een audit door een leverancier blijkt dat niet voldoende licenties zijn gekocht, moeten deze alsnog worden aangeschaft tegen lijstprijzen (dus zonder gebruikelijke kortingen) en dreigen schadeclaims. Dit resulteert in veel hogere kosten dan bij reguliere aanschaf.

Mocht een leverancier een redelijk vermoeden hebben dat onvoldoende licenties zijn aangeschaft, dan kan hij – afhankelijk van de licentievoorwaarden – een audit uitvoeren. Een leverancier kan ook via de rechter om een onderzoek vragen. Dat leidt tot een inval, waarbij alle computers worden ‘veiliggesteld’, zodat geen illegaal geïnstalleerde software kan worden gewist. In veel organisaties zal daardoor het primaire bedrijfsproces stil komen te liggen. De schade loopt dan natuurlijk snel op. Echter, wanneer de organisatie zelf al een goed gedocumenteerd overzicht heeft van aangeschafte en gebruikte software, zal een audit of een inval niet lang duren.

Afgezien van de financiële impact, dreigt ook imagoschade. Vaak komt non-compliance niet in de openbaarheid. Wanneer er echter een inval plaatsvindt of een rechtszaak, is publiciteit niet te vermijden.

Compliance is nodig om schade te vermijden. Goed licentiemanagement heeft grote voordelen. Ten eerste wordt het mogelijk om beter te sturen op het gebruik van software. Bewuste keuzes om medewerkers toegang te verlenen tot applicaties of deze toegang in te trekken, zijn dan mogelijk. Beleid op de te gebruiken software kan dubbele functionaliteit voorkomen of op den duur wegwerken. Twee pakketten voor een functionaliteit zijn duurder dan één pakket. Daarbij wordt voorkomen dat sommige medewerkers beide pakketten en dus twee licenties nodig hebben en hoeven medewerkers maar voor één pakket te worden opgeleid.

Ten tweede kan met de juiste getallen over gebruik van licenties beter worden onderhandeld over (verlening van) licentiecontracten met leveranciers. Wanneer onderhandelingen zijn gebaseerd op onjuiste gegevens, leidt dit mogelijk tot de keuze van suboptimale licentiemodellen en tot irritatie bij leveranciers als de juiste cijfers bekend worden. Ook kan dit voor een leverancier aanleiding zijn om moeizaam uitonderhandelde kortingen in te trekken en een vergoeding te eisen voor het gebruik in het verleden.

Ten derde bespaart goed inzicht in gebruikte software veel inspanningen en uitzoekwerk bij (werkplek)migraties, bijvoorbeeld naar een volgende versie van Windows. Ook onverwachte extra licentiekosten worden daarmee voorkomen.

Ten slotte kunnen licenties voor software die niet meer wordt gebruikt, worden opgezegd of niet meer worden verlengd. Besparingen van meer dan 5 à 10 procent op het ICT-budget zijn geen uitzondering. Afhankelijk van de omvang van de organisatie kan dit in de miljoenen lopen.

Julius Duijts (julius.duijts@getronics.com) is principal consultant bij Getronics Consulting. Hij houdt zicht primair bezig met governance en compliance en brengt daarbij verschillende disciplines, zoals business, financiën, ICT, internal control en tax, bij elkaar om tot een integrale oplossing te komen.

Valkuilen

▪ Roaming usersWanneer het gebruikers is toegestaan om op meerdere werkplekken in te loggen en hun software te gebruiken én deze wordt lokaal geïnstalleerd, mogelijk zelfs automatisch, dan zal dit leiden tot een groot aantal installaties waarvoor mogelijk licenties nodig zijn.
▪ Citrix/softwarevirtualisatieSoftware mag alleen worden gebruikt binnen de licentievoorwaarden. Niet alle licentieovereenkomsten voorzien de installatie op een virtuele omgeving waarbij meerdere gebruikers van één installatie van de software gebruikmaken.
▪ OTAPVaak zijn voor ontwikkel-, opleidings- en testomgevingen extra licenties nodig, naast die voor de productieomgeving.
▪ Organisatorische veranderingenFusies, overnames en afsplitsingen kunnen grote gevolgen hebben voor de verworven licenties. Sommige leveranciers verplichten de aanschaf van nieuwe licenties na een fusie/overname. Bij anderen volgt de licentie de hardware waarop deze is geïnstalleerd. Wanneer bij een splitsing beide organisaties een applicatie blijven gebruiken, zal dit vrijwel altijd extra licentiekosten opleveren.

Auteursrecht

Software is beschermd op basis van het auteursrecht (EU Directive 2009/24/EC). Het auteursrecht berust bij de juridische maker van de software. Dat zal in de praktijk de organisatie zijn die de software ontwikkelt. Contractueel kunnen echter ook andere afspraken worden gemaakt. Bij uitbesteding kan de opdrachtgever overeenkomen dat de rechten aan hem worden overgedragen.Het auteursrecht beschermt de rechten van de maker, in het bijzonder het vermenigvuldigen en het openbaar maken van het beschermde werk. Installatie en gebruik van de software wordt door juristen gezien als een bijzondere vorm van vermenigvuldiging en/of openbaarmaking.Daarom is gebruik van software alleen toegestaan met toestemming van de maker, in de regel tegen betaling van een vergoeding op basis van een (licentie)overeenkomst.De software kan dan alleen geïnstalleerd en gebruikt worden voor zover dat volgens die overeenkomst expliciet is toegestaan. Wanneer in de licentieovereenkomst alleen sprake is van installatie en gebruik op een lokale pc, zijn installatie en gebruik onder Citrix dus niet zonder meer toegestaan. Installatie en gebruik kunnen ook expliciet worden beperkt, bijvoorbeeld tot een type gebruiker (studenten, thuisgebruik) of geografisch.RisicomanagementNon-compliance met betrekking tot softwarelicenties vormt een significant risico voor elke organisatie. Daarom zou dit bij het risicomanagement in het kader van internal control meegenomen moeten worden. Bijkomend voordeel is dat de borging van het proces, bijvoorbeeld door audits, in het internal control framework opgenomen kan worden. Daarmee is een aparte auditregeling voor licentiemanagement niet nodig.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!