Misverstanden over open source software (OSS)

30 maart 2023, laatst geüpdatet 11 september 2024
Zonder dat je het door hebt bestaan veel platforms en software die door bedrijven en instellingen worden gebruikt geheel of (vaker) gedeeltelijk uit open source software. Veel afnemers van dergelijke producten vinden dat eng en zijn daar op tegen. Ook investeerders schrikken vaak af als ze horen dat er sprake is van OSS. Maar is dat terecht? Nee. In dit artikel staan wij stil bij enkele misvattingen over OSS.
Ernst-Jan van de Pas 
Ernst-Jan van de Pas 
Advocaat - Managing Partner
Jeroen Lubbers 
Jeroen Lubbers 
Advocaat - Senior
In dit artikel

OSS erg belangrijk geworden

Steeds meer softwareontwikkelaars maken gebruik van open source software (hierna afgekort tot: OSS) of verwerken zulke software in hun eigen producten. Enkele voordelen van OSS zijn dat iedere ontwikkelaar mee kan werken aan OSS-projecten waardoor de software snel verbeterd wordt. In de meeste gevallen zijn geen licentiekosten verbonden aan gebruik van OSS. Uit onderzoek van de EU blijkt zelfs dat het gebruik van OSS goed is voor de economische groei.

Misverstand #1: Op OSS rust geen auteursrecht

Klopt niet. OSS wordt wel degelijk beschermd door intellectuele eigendomsrechten, met name door het auteursrecht. De auteursrechten komen (op een aantal uitzonderingen na) in beginsel toe aan de auteurs (ontwikkelaars) van de desbetreffende software. Bij OSS projecten kan dat dus een onderneming of stichting zijn, maar vaak juist een grote gemeenschap van individuele ontwikkelaars .

Misverstand #2: Met OSS mag je doen wat je wil

Nee. OSS wordt beschikbaar gesteld onder bepaalde licentievoorwaarden waarin toestemming voor gebruik, aanpassing, en exploitatie aan spelregels wordt gekoppeld die in acht moeten worden genomen. Door gebruik te maken van bepaalde OSS ga je als gebruiker akkoord met die licentievoorwaarden en dus met de daarin opgenomen spelregels. Er bestaan heel veel verschillende OSS licentievoorwaarden die belangrijke verschillen kennen, variërend van zeer beperkte tot zeer ruime mogelijkheden voor exploitatie, distributie en bewerking (bijvoorbeeld doorontwikkeling). Op internet circuleren overzichten van verschillende veel gebruikte OSS licenties. Maar kijk wel uit! Bekijk zelf ook altijd de achterliggende licentievoorwaarden als je er mee te maken hebt. Daar zitten namelijk soms wel grote verschillen tussen wat je mag en moet doen. Van sommige OSS licenties circuleren ook verschillende versies die onderling verschillen. Let bovendien goed op als je meerdere OSS componenten gebruikt waarop verschillende licentievoorwaarden van toepassing zijn. Hoewel de meeste OSS licenties naast elkaar gebruikt kunnen worden, zijn er combinaties van OSS licenties die onderling kunnen conflicteren, zoals de GPL (v2) en de GPL (v3), die vanwege hun virale karakter (zie #4) allebei kunnen voorschrijven dat jouw afgeleide software onder dezelfde licentie ter beschikking wordt gesteld.

Misverstand #3: OSS software is gratis en heeft dus geen commerciële waarde

Onzin! Ten eerste is OSS niet per definitie gratis. Een belangrijke oneliner die vaak wordt gebruikt is: ‘free as in free speech not as in free beer’. Verder hoeven afgeleide werken meestal ook niet gratis (als in kosteloos) beschikbaar te worden gesteld aan anderen. Maar dit is wel echt afhankelijk van de inhoud van de toepasselijke OSS licentievoorwaarden. In veel gevallen is het prima mogelijk een vergoeding te vragen voor software waar OSS componenten in verwerkt zitten. Kijk alleen wel uit bij verstrekkende licentievoorwaarden, bijvoorbeeld met een viraal karakter (zie misverstand #4). Het is dus belangrijk om te begrijpen met welke OSS licentievoorwaarden je te maken hebt. In de praktijk ontstaan vaak bij fusies en overnames, maar ook bij (her)financieringen nog wel eens discussies over de waarde van bepaalde vermogensbestanddelen (assets), bijvoorbeeld als software grotendeels bestaat uit open source componenten.

Misverstand #4: Als ik OSS toepas moet ik mijn software altijd ter beschikking stellen aan de gemeenschap

Dat is meestal niet het geval. Een specifiek aspect van enkele (maar zeker niet alle) OSS licenties dat veel aandacht trekt, is het zogenaamde ‘virale karakter’. Dit betekent dat je de door jou aangepaste of verbeterde versie van de OSS ook onder diezelfde licentievoorwaarden ook weer ter beschikking moet stellen aan de gemeenschap. De reden daarvoor is dat de schrijvers van dit type licenties willen voorkomen dat iemand OSS wijzigt om het vervolgens als 'gesloten' (closed source), dat wil zeggen niet-open, software te exploiteren. Aanpassingen of verbeteringen moeten dus opnieuw open zijn. Het gebruik van OSS waarop een ‘virale’ OSS licentie van toepassing is in een onderdeel (module, bibliotheek, etc.) binnen een meeromvattend softwareproject, kan ook tot gevolg hebben dat daardoor het gehele project wordt ‘besmet’ met diezelfde verplichting tot openbaar maken.

Misverstand #5: Schending van OSS licentievoorwaarden maakt niets uit

Nou, pas maar op. Het schenden van deze licentievoorwaarden kwalificeert niet alleen als een tekortkoming van de licentievoorwaarden maar ook als schending van het auteursrecht (inbreuk). Dat betekent dat de rechthebbenden (veelal vertegenwoordigd in een stichting of vereniging) allerlei bevoegdheden kunnen inroepen die het auteursrecht hen toekennen. Denk daarbij aan een verbod om software te blijven gebruiken of exploiteren, maar ook afdracht van de met de inbreukmakende software genoten winst of schadevergoeding. Ook is het mogelijk om beslag te leggen op inbreukmakende software (ook bij klanten). Dat kan dus echt vervelend uitpakken. In veel gevallen wordt overigens niet geschuwd om de (social) media op te zoeken en inbreukmakers langs die weg aan te pakken (naming and shaming-campagnes) wat echt heel schadelijk kan zijn voor de reputatie van partijen. Kortom: je moet OSS dus niet te lichtzinnig behandelen.

Misverstand #6: Ach joh, er wordt nooit opgetreden tegen schendingen van OSS-licenties

Ook dit is niet waar. In de praktijk wordt wel degelijk in rechte opgetreden tegen schendingen maar het is ook weer zo dat een en ander schering en inslag is. Dit heeft te maken met een aantal praktische/juridische factoren, zoals welk recht is eigenlijk van toepassing en welke rechter is bevoegd, kun je bewijzen wie de rechthebbenden zijn, kan een individuele ontwikkelaar optreden of moeten alle ontwikkelaars gezamenlijk optreden, en zijn alle ontwikkelaars dan bereid om mee te doen? Dergelijke praktische en juridische bezwaren maken dat er relatief weinig procedures worden gevoerd, terwijl ongetwijfeld veel OSS in strijd met de licentievoorwaarden wordt gebruikt. Toch raden wij gebruik van OSS in strijd met de licentievoorwaarden af. Er ontstaan namelijk meer en meer (claim)stichtingen en procesfinanciers die geld inzamelen om op te kunnen treden tegen inbreukmakers. Het gaat dan doorgaans om het aanpakken van grote bedrijven.

Misverstand #8: OSS is onveilig, iedereen kan een achterdeur bouwen

Meestal niet waar. Grote OSS projecten worden vaak onderhouden door een grote gemeenschap van ontwikkelaars, die tevens elkaars werk controleren. Kwaadaardige wijzigingen kunnen opgemerkt worden. Een individuele ontwikkelaar kan in veel OSS projecten dus niet zomaar (ongezien) een achterdeurtje inbouwen, hoewel dat – met name bij OSS projecten met een onduidelijke governancestructuur – niet is uitgesloten. Wel maakt het open karakter van OSS het makkelijker voor een aanvaller om een exploit (bug die uitgebuit kan worden) in de code van OSS te vinden. Daar staat tegenover dat bugs (en dus exploits) meestal snel hersteld kunnen worden door het OSS project.

Gerelateerd

Gebalanceerde stenen

Langjarige samenwerkingscontracten: het nut van een goede balansbepaling

Samenwerkingscontracten worden vaak voor langere tijd (>5 jaar) aangegaan. Vaak wordt een bepaalde mate van exclusiviteit afgesproken maar dat kan ook gaan...
vrouw justitia

De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

Welke inspanning mag van een IT-leverancier verwacht worden? De beantwoording van die vraag wordt gekleurd door de zorgplicht van een IT-leverancier. En deze...

Hoe goed is jouw bedrijf beveiligd?

Alle computerschermen op zwart, een natuurramp, of een inbraak midden in de nacht. Het is de nachtmerrie van iedere bestuurder. Voor belangrijke organisaties,...

Opnieuw verbod op tracking cookies in kort geding

Nadat onlangs Criteo al een verbod kreeg om tracking cookies te plaatsen zonder toestemming, is nu ook aan Microsoft, LinkedIn, MIOL en Xandr een verbod...

Aandachtspunten bij het gebruik van AI in de zorg (deel II)

Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan...

Verplichte basisverzekering arbeidsongeschiktheid voor zelfstandigen: een stap dichterbij een gelijker speelveld voor werknemers en zelfstandigen met huidig wetsvoorstel?

Op 11 juni 2024 is de internetconsultatie gestart voor het wetsvoorstel Wet basisverzekering arbeidsongeschiktheid zelfstandigen.
No posts found