Nieuwe risico's bij softwaregebuik
Elk product dat wordt gebruikt brengt zijn eigen risico's met zich. Een huis kan afbranden en met een auto kun je botsen. Software kent zijn eigen toenemende risico's.
Dit artikel is verschenen in Accountant nr. 10, 2011
Bekijk alle artikelen uit dit nummer
Henri Hensen
De risico's van software nemen onder invloed van wet- en regelgeving en andere maatschappelijke ontwikkelingen nog steeds toe. En dit wordt verergerd door een gebrek aan kennis over het ‘product’ software en het auteursrecht dat daar op rust.
Voor accountants, dus niet-juristen, moet dit zorgwekkend zijn. Zij komen in het Burgerlijk Wetboek voor in de volgende tekst: ‘De accountant brengt omtrent zijn onderzoek verslag uit aan de raad van commissarissen en aan het bestuur. Hij maakt daarbij tenminste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking.’ Deze wettelijke bepaling geldt nagenoeg voor elke rechtspersoon (nv, bv, cv, vof, stichting, vereniging). Vooral uitspraken over de continuïteit kunnen lastig zijn voor accountants, met name vanwege dat juridische aspect.
Broncode
De handel in software is vooral een handel in rechten. Dit is een gevolg van het feit dat op het product software auteursrecht rust. Dat product software omvat de complete uitwerking van een idee. Dus vanaf het functionele ontwerp tot en met het programma dat een gebruiker ontvangt in de vorm van nullen en enen en alle tussenstappen.
Op grond van het auteursrecht maakt de ontwikkelaar van software alleen de laatste stap, de digitale versie, openbaar. Dat doet hij door een gebruikerslicentie te geven op dat laatste onderdeel van het gehele ontwikkeltraject. Alles wat daaraan vooraf is gegaan, blijft geheim en dat noemen we de broncode.
Nu is een bekende nare eigenschap van software, dat je er afhankelijk van wordt. Logisch natuurlijk, want met behulp van software wil je besparen, op arbeid, en meer of betere informatie krijgen. Een weg terug is er dus eigenlijk niet. Daar komt nog bij dat je gegevens alleen kunt benaderen en bewerken met de software waarmee ze zijn vastgelegd.
De software van een gebruiker moet dus te allen tijde beschikbaar zijn. Bijvoorbeeld ook in verband met de fiscale bewaarplicht (zie kader ‘Broncode en fiscus’). Die positie gecombineerd met zijn speciale vaardigheden als het titelonderzoek, vestigen van zekerheden en de samenwerking met IT-deskundigen voor zaken als controles, verzorgen overdraagbaarheid en controleverslagen, bieden ook de accountant maximale zekerheid.
Vertrouwenspersoon
De continuïteit van het informatiesysteem is dus van groot belang. Om die te waarborgen is een licentieovereenkomst beslist niet voldoende. Zo'n overeenkomst geeft een hele zwakke rechtspositie en in elk geval geen recht op de broncode van de software. Hoewel elke vergelijking verder mank gaat, lijkt het gebruik van software op basis van alleen een licentieovereenkomst op het leasen van een auto zonder motor. Als licentienemer van software zou je dus willen beschikken over de broncode. De ontwikkelaar van software geeft die niet af en hoeft dat ook niet, vanwege het auteursrecht. Dit is dus een patstelling. Er is een oplossing mogelijk omdat de broncode voor dagelijks gebruik niet nodig is. Die oplossing bestaat er uit, de broncode bij een vertrouwenspersoon in bewaring te geven. Daarvoor is de gespecialiseerde IT-notaris de aangewezen persoon. Want zijn standplaats kan niet failliet gaan en zijn akte kun je niet aanvechten. Voor een continuïteitsregeling zijn dat essentiële voorwaarden. Er zijn ook nog veel bijkomende voordelen. Zo is de IT-notaris een professionele beroepsbeoefenaar die gebonden is aan gedrags- en beroepsregels en een beroepsaansprakelijkheidsverzekering heeft. Daarnaast beschikt de beroepsgroep over een sterke wetenschappelijke basis.
Door zijn positie in het maatschappelijk verkeer kan de IT-notaris specifieke diensten bieden, zoals het titelonderzoek en het vestigen van zekerheden. Door de samenwerking met IT-deskundigen voor enerzijds de controles van de broncodes op overdraagbaarheid, bruikbaarheid en volledigheid en anderzijds het leveren van de bijbehorende controleverslagen, kan de IT-notaris maximale zekerheid bieden aan de accountant.
Software Borg Stichting
Een groep IT-notarissen heeft in samenwerking met beëdigde informaticadeskundigen het Software Borg Systeem ontwikkeld. Deze samenwerking bestaat al sinds 1992 en is in de loop der tijd geperfectioneerd. De te deponeren broncode wordt door beëdigde informaticadeskundigen en IT-auditors gecontroleerd op volledigheid, overdraagbaarheid en getest op bruikbaarheid. Als het tot afgifte van de broncode komt, op een in de Software Borg Overeenkomst opgenomen afgiftegrond, dan geeft de IT-notaris de broncode af aan de Software Borg Stichting, die uitvoering geeft aan de zorgplicht van de IT-notaris.
De samenwerking van IT-notarissen en software-deskundigen biedt ook voordelen bij het inspelen op de ontwikkelingen in de IT-sector. Voorbeelden daarvan zijn de opkomst van de Application Service Providing/ Software as a Service-systemen, de cloud, en de juridische ontwikkelingen in de wereld van open source software (zie kader ASP/SaaS en open source software).
Overheidsorganisaties
Voor accountants die werken voor overheidsorganisaties is het van belang te weten dat de overheid in 2010 nieuwe inkoopvoorwaarden heeft opgesteld. Daarin is in artikel 47 bepaald dat softwareleveranciers die aan overheidsorganisaties software leveren, een broncode-escrow-regeling moeten hebben. Deze moet voor wat betreft de kwaliteit voldoen aan hetgeen in Nederland gebruikelijk is. Daarover is een uitgebreid artikel verschenen in het NOREA-blad ‘de IT-Auditor’ (1/2011). Vanwege de nog grote onbekendheid met deze materie is er nog weinig kwaliteitsbesef op dit gebied. Maar het lijkt niet moeilijk in te zien dat de IT-notaris op grond van zijn bijzondere positie in ons rechtsbestel in elk geval in staat is een norm te stellen voor de kwaliteit van deze belangrijke maatregel, die de juridische en praktische basis legt onder informatiebeveiliging. Bovendien is het Software Borg Systeem gecertificeerd conform SAS 70, hetgeen voor accountants de mogelijkheid biedt zich zekerheid te verschaffen of de geclaimde kwaliteit van de broncode-escrow regeling ook daadwerkelijk geboden wordt en voldoet aan internationale normen.
Noot
Henri J.J. Hensen is directeur van de Software Borg Stichting. Hij is beëdigd informaticadeskundige, lid van de Nederlandse Vereniging van Beëdigde Informaticadeskundigen. Hij heeft veel ervaring met werkzaamheden op het grensvlak van IT en recht.
Nebula-arrest
Door de sterke wetenschappelijke basis van het notariaat is het goed mogelijk de ontwikkelingen op het grensvlak van IT en Recht te volgen en (nog belangrijker) daaraan de juiste conclusies te verbinden. Zo heeft de Hoge Raad in dit land het Nebula-arrest gewezen. Dit arrest betreft een huurkwestie. Het heeft echter ook gevolgen voor de softwarewereld. Dit arrest stelt een curator in staat alle overeenkomsten van een failliet bedrijf te beëindigen. Dus ook de licentieovereenkomst met een failliet softwarebedrijf.
De IT-notarissen hebben daarom nu de Licentiegarantiegeïntroduceerd. Dat is nodig omdat anders de onzinnige situatie kan ontstaan, dat een licentienemer wel over de broncode kan beschikken, maar de daarbij horende objectcode (zijn programma dus) niet meer mag gebruiken.
ASP/SAAS en open source software
Ook bij ASP/SaaS-systemen blijft het noodzakelijk een recht op de broncode te hebben. Maar daar komt dan de vraag bij hoe het zit met de gegevens. Toegang tot de gegevens onder alle omstandigheden moet natuurlijk mogelijk zijn. Hier komt nog bij dat voor sommige gegevens de Wet bescherming persoonsgegevens geldt. De IT-notaris en/of de deskundige juristen van de Software Borg Stichting hebben kennis en ervaring op dit gebied.
Bij open source softwarewordt vaak gedacht dat er geen eigenaar zou zijn. Dit is onjuist. En de eigenaar kan gebruikslicenties van toepassing verklaren die vervelende bepalingen kunnen bevatten. Er bestaat zelfs het risico dat de afgifte van een broncode kan worden geblokkeerd door bepalingen die rusten op een klein stukje open source software in de broncode. Dat is de reden dat de Software Borg Stichting op verzoek open source compliance audits uitvoert.
Broncode en fiscus
Op alcoholhoudende dranken zit accijns én btw. Ruwweg tachtig procent van de consumentenprijs bestaat uit belasting. Deze bedrijfstak wordt daarom buitengewoon scherp in de gaten gehouden door de fiscus. Een softwareproducent in deze branche besloot het onderhoud op zijn programma te stoppen. Hij ging na deze aankondiging nog twee jaar door met het onderhoud.
De belastingplichtige bedrijven moeten hun gegevens echter nog zeven jaar bewaren én toegankelijk houden. Nadat het onderhoud was gestopt, heeft de notaris waar de broncode was gedeponeerd volgens het Software Borg Systeem, deze afgegeven. Software Borg heeft volgens een zorgvuldige afgifteprocedure de broncode met toebehoren gedistribueerd.
Gerelateerd
Invoeren financiële dashboards lastiger dan gedacht
Deel 2 van een tweeluik over de meerwaarde van financiële dashboards, geschreven door accountancystudenten en docenten van de Hogeschool Utrecht. Dit tweede deel...
Van schoenendoos naar dashboard
Deel 1 van een tweeluik over de meerwaarde van financiële dashboards, geschreven door accountancystudenten en docenten van de Hogeschool Utrecht. Dit eerste deel...
Van de aktetas naar de cloud?
Zijn mkb-accountantskantoren al zo ver dat digitalisering en automatisering volledig worden omarmd? Kunnen ordners en aktetas worden vervangen door de cloud? Verkennend...
FD: Softwarehuizen houden opdrachtgevers in een 'wurggreep'
De chief information officers (cio's) van ruim honderd grote bedrijven waarschuwen voor monopolistisch gedrag van grote softwareleveranciers. Techreuzen als Microsoft,...