Software en onzin
Helaas, het komt voor. Het is belangrijk om de beschikbaarheid van software goed te regelen. De noodzaak daarvoor is groot, sommige bedachte oplossingen zijn onzinnig. Als informatiesystemen uitvallen omdat de software niet meer (goed) werkt ontstaat schade en kan niet worden voldaan aan de wet- en regelgeving die op informatiesystemen rust. Denk bijvoorbeeld aan bewaarplichten van gegevens (en het leesbaar/bruikbaar houden daarvan) en vergeetplichten (AVG). Nu kan het beschikbaar houden van software met de mogelijkheid het te kunnen onderhouden niet geregeld worden door de softwarebranche zelf. Softwarebedrijven kunnen zichzelf nu eenmaal niet beschermen tegen alle risico’s die zich kunnen voordoen in de levensloop van een softwarebedrijf of in de levensloop van een broncode. De broncode is niet alleen het belangrijkste bezit van een softwarebedrijf, maar ook de basis voor onderhoud en doorontwikkeling van een softwareprogramma dat in digitale vorm in een informatiesysteem functioneert.
De onzin is nu, dat ooit de stichting is bedacht, waar de broncode in wordt ondergebracht. Deze stichting is onzinnig, omdat het geen oplossing biedt voor het beschikbaar houden van de software. Dat kan het best duidelijk worden gemaakt aan de hand van de vijf kwaliteitscriteria die zijn ontwikkeld voor de Norm software-escrow IT-notaris. Dat zijn:
1) Rechtszekerheid
2) Zekerheid informatietechnologie
3) Bijdrage informatiebeveiliging
4) Kwaliteit aanbieder
5) Nazorg
Aan ieder van deze kwaliteitscriteria kan gemakkelijk een eigen column worden gewijd. Daarom hier slechts enkele opmerkingen.
Over rechtszekerheid (punt 1) gesproken en de zogenaamde eigen stichting, wie voert het absoluut noodzakelijke titelonderzoek uit? En wie zorgt dat deze regeling steeds voldoet aan actuele wet- en regelgeving? En steeds wordt aangepast aan de ontwikkelingen in de levensloop van een broncode? En is deze regeling “curatorproef”?
Bij punt 2 over zekerheid informatietechnologie kunnen we vragen stellen over de kwaliteit van de controlewerkzaamheden, op aspecten zoals volledigheid en overdraagbaarheid van de broncode. En over de onafhankelijkheid en deskundigheid van de controleur(s).
Ook de bijdrage aan informatiebeveiliging (punt 3) die geleverd wordt door een solide broncode-escrowregeling komt er bekaaid van af. Wat is de bijdrage aan compliance? En welke bescherming wordt geboden tegen bestuurdersaansprakelijkheid?
Over de kwaliteit van de aanbieder (punt 4) hoeven we het eigenlijk niet eens te hebben. Die is in vergelijking met de IT-notaris ongeveer niet bestaand. De eigen stichting kan gewoon failliet gaan en de overeenkomsten hebben niet de rechtskracht die de notariële akte heeft.
En ten slotte blijft natuurlijk de belangrijke vraag over voor licentienemers (geen softwaredeskundigen) welke personen de nazorg leveren op basis van de beschikbare broncode. Die nazorg moet bestaan uit juridische en technische nazorg. En bij voorkeur door mensen met ervaring! Nu wordt in de “eigen stichting” natuurlijk geen ervaring opgedaan met calamiteiten. En daar gaat het nou net om!
Samenvattend: De eigen stichting is misleidend voor gebruikers/licentienemers en bereikt geheel niet het beoogde doel. Onzin dus!