Inkoop en IT: de patstelling

8 januari 2016

U heeft als inkoper de plicht om de behoeften van uw organisatie zorgvuldig in kaart te brengen om deze vervolgens zo goed mogelijk in te vullen. Dat is niet anders als het de inkoop van IT betreft. IT is echter complex en vergt aanvullend onderzoek. Wat zijn bijvoorbeeld de risico’s van het gebruik van werken in de Cloud? Houdt u bij het inkoopproces rekening met de verschillende bewaarplichten, die uw organisatie heeft. Houdt u rekening met de privacywetgeving? Tal van onderwerpen, die niet elke inkoper van nature in zijn portefeuille heeft. Er is ten slotte dan ook behoefte aan multidisciplinaire ondersteuning.

Inleiding

Dat het gebruik van software veel voordelen kan bieden, hoeft tegenwoordig geen betoog meer. Maar elk product dat wordt gebruikt, brengt zijn eigen risico’s met zich. Een huis kan afbranden en met een auto kun je botsen. Software kent zijn eigen en toenemende risico’s. De eigen risico’s liggen voor een deel in de aard van het product zelf. Zo schaf je software aan om betere informatie te krijgen met minder mankracht. Software doet dat, maar veroorzaakt daardoor tegelijkertijd grote afhankelijkheid. Een weg terug is er niet. Als de software uitvalt, is dat een hartstilstand in het informatiesysteem. Immers de met software vastgelegde gegevens kunnen alleen met diezelfde software worden ontsloten. Daarom eist één van de drie basisprincipes van informatiebeveiliging dat de continuïteit van het informatiesysteem moet zijn geregeld (de andere twee zijn integriteit en exclusiviteit).

Er is ook een categorie toenemende risico’s. Die worden enerzijds veroorzaakt door de snelle technologische ontwikkelingen zoals onder meer SaaS en de Cloud, wat consequenties heeft voor de toegankelijkheid van de data. En anderzijds door de toenemende wet- en regelgeving, zoals bijvoorbeeld op het gebied van privacy en de voortschrijdende inzichten als gevolg van jurisprudentie.

De patstelling

Dat informatiebeveiliging continuïteit eist, leidt tot een patstelling. Dit is een gevolg van het feit dat op het product software auteursrecht rust. Dat product software omvat de complete uitwerking van een idee. Dus vanaf het functionele ontwerp tot en met het programma dat een gebruiker ontvangt in de vorm van nullen en enen en alle tussenstappen.

Op grond van het auteursrecht maakt de ontwikkelaar van software alleen de laatste stap, de digitale versie, openbaar. Dat doet hij door een gebruikerslicentie te geven op dat laatste onderdeel van het gehele ontwikkeltraject. Alles wat daaraan vooraf is gegaan, blijft geheim en dat noemen we de broncode.

Nu is de broncode absoluut nodig voor onderhoud en doorontwikkeling aan de programmatuur. Software moet frequent worden aangepast aan de voortdurende ontwikkelingen in hard- en software (operating systems), aan wet- en regelgeving en voortschrijdende inzichten bij gebruikers zelf. Normaal gesproken wordt dit opgelost met een onderhoudsovereenkomst. Maar wat nu als de licentienemer in een situatie komt, dat hijzelf het onderhoud moet (laten) uitvoeren? Zoiets kan zich na jaren gebruik (en in al die jaren opgebouwde databestanden) zomaar voordoen. Bijvoorbeeld doordat de softwareleverancier fuseert, wordt overgenomen, ophoudt te bestaan (ZZP), failliet gaat, winstgevender marktsegmenten gaat bedienen of de software gewoon aan het eind van zijn levenscyclus is, etc. Bovendien kan er gewoon een juridisch conflict ontstaan.

De continuïteit van het informatiesysteem moet dus solide geregeld zijn. Het is de basis voor informatiebeveiliging. Om die te waarborgen is een licentieovereenkomst beslist niet voldoende. Zo’n overeenkomst geeft een hele zwakke rechtspositie en in elk geval geen recht op de broncode van de software. Hoewel elke vergelijking verder mank gaat, lijkt het gebruik van software op basis van alleen een licentieovereenkomst op het leasen van een auto zonder motor. Als licentienemer van software zou je dus willen beschikken over de broncode. De ontwikkelaar van software geeft die niet af en hoeft dat ook niet, vanwege het auteursrecht. Dit is dus een patstelling. Er is een oplossing mogelijk omdat de broncode voor dagelijks gebruik niet nodig is.

Oplossing IT-notaris

Die oplossing bestaat er uit, de broncode bij een vertrouwenspersoon in bewaring te geven. Daarvoor is de gespecialiseerde IT-notaris de aangewezen persoon. Want zijn standplaats kan niet failliet gaan en zijn akte kun je niet aanvechten. Voor een continuïteitsregeling zijn dat essentiële voorwaarden. Er zijn ook nog veel bijkomende voordelen. Zo is de IT-notaris een professionele beroepsbeoefenaar die gebonden is aan gedrags- en beroepsregels en een beroepsaansprakelijkheidsverzekering heeft. Daarnaast beschikt de beroepsgroep over een sterke wetenschappelijke basis.

Door zijn positie in het maatschappelijke verkeer kan de IT-notaris specifieke diensten aanbieden, zoals het titelonderzoek en het vestigen van zekerheden. Door de samenwerking met IT-deskundigen voor enerzijds de controles van de broncodes op overdraagbaarheid, bruikbaarheid en volledigheid en anderzijds het leveren van de bijbehorende controleverslagen voor gebruikers en het bieden van nazorg aan de door een calamiteit getroffen gebruikers, kan de IT-notaris maximale zekerheid bieden. Zowel op het vlak van recht als IT.

Historie Software Borg Stichting en Stichting IT-notaris

Een notaris en een beëdigd informaticadeskundige ontwikkelden in 1988 een modelovereenkomst waarmee het mogelijk werd om de broncode van een computerprogramma bij een notaris te deponeren. Die modelovereenkomst is in de loop der jaren uitgegroeid tot een kwalitatief hoogwaardig product dat de basis vormt voor diverse afgeleide producten en diensten. In 1992 wordt besloten tot de oprichting van de Software Borg Stichting. De missie luidt: Het borgen van de continuïteit van informatiesystemen in de meest brede zin.

Nadat in 2011 het initiatief was genomen om een webportal voor IT-notarissen op te zetten, bleek al snel dat een aantal notarissen zich wilden verenigen in een onafhankelijke stichting. Dit heeft vervolgens geleid tot de oprichting van Stichting IT-notaris. Stichting IT-notaris heeft zich zelf als doel gesteld om de rechtszekerheid in de informatiemaatschappij te bevorderen.

Ruim vijfentwintig jaar na de eerste modelovereenkomst blijkt de samenwerking tussen notarissen en Software Borg hechter dan ooit en, onder meer de basis van tal van optimale broncode-deponeringsregelingen (escrow). De Koninklijke Notariële Beroepsorganisatie (KNB) heeft de Stichting IT-notaris officieel erkend als specialisatieorgaan.

De samenwerking tussen IT-notarissen, IT-juristen en IT-deskundigen biedt ook voordelen bij het inspelen op de ontwikkelingen in de IT-sector. Voorbeelden daarvan zijn de opkomst van de SaaS – systemen, de Cloud, Smart Industry en de juridische ontwikkelingen in de wereld van privacy.

Overheidsorganisaties

Voor inkopers die werken voor overheidsorganisaties is het van belang te weten dat de overheid eigen inkoopvoorwaarden heeft, de zogenaamde ARBIT-voorwaarden. Daarin is in artikel 47 bepaald dat softwareleveranciers die aan overheidsorganisaties software leveren, een broncode escrow regeling moeten hebben. Deze moet voor wat betreft de kwaliteit voldoen aan hetgeen in Nederland gebruikelijk is. Vanwege de nog grote onbekendheid met deze materie is er nog weinig kwaliteitsbesef op dit gebied. Maar het lijkt niet moeilijk in te zien dat de IT-notaris op grond van zijn bijzondere positie in ons rechtsbestel in elk geval in staat is een norm te stellen voor de kwaliteit van deze belangrijke maatregel, die de juridische en praktische basis legt onder informatiebeveiliging.

Meer informatie

Meer weten over dit onderwerp, neem dan eens vrijblijvend contact met ons op. Lees ook deze blogs van onze partner De IT-Jurist, die interessant zijn voor de inkoper:

Een checklist bij de beoordeling van softwareovereenkomsten

Europees aanbesteden van ICT

Checklist voor software escrow

Meer nieuws