Faculteit Economie en Bedrijfskunde
Vakgroep Beleidsinformatie, operationeel beheer en technologiebeleid Voorzitter: Prof. Dr. R. Paemeleire
De invloed van Digital Rights Management op de huidige bedrijfsmodellen door
ir. Wim Provoost
Onder begeleiding van Promotor: Prof. Dr. R. Paemeleire Scriptiebegeleider: Ann Maes Scriptie ingediend tot het behalen van de academische graad van licentiaat in de economische wetenschappen
Academiejaar 2005 - 2006
Faculteit Economie en Bedrijfskunde
Vakgroep Beleidsinformatie, operationeel beheer en technologiebeleid Voorzitter: Prof. Dr. R. Paemeleire
De invloed van Digital Rights Management op de huidige bedrijfsmodellen door
ir. Wim Provoost
Onder begeleiding van Promotor: Prof. Dr. R. Paemeleire Scriptiebegeleider: Ann Maes Scriptie ingediend tot het behalen van de academische graad van licentiaat in de economische wetenschappen
Academiejaar 2005 - 2006
i Toelating tot bruikleen: De auteur geeft toelating deze scriptie voor consultatie beschikbaar te stellen en delen ” van de scriptie te kopi¨eren voor persoonlijk gebruik. Elk ander gebruik valt onder de beperkingen van het auteursrecht, in het bijzonder met betrekking tot de verplichting de bron uitdrukkelijk te vermelden bij het aanhalen van resultaten uit deze scriptie.” Wim Provoost
Voorwoord Een scriptie krijgt vorm door 1 jaar hard te werken. Aan dit jaar zijn echter een aantal jaren voorbereiding voorafgegaan. Ik wil dan ook in het bijzonder de mensen bedanken die zich al 8 jaar inzetten om mij op de meest optimale wijze aan de start van het echte leven te brengen. Dank u wel, ouders, broer en schoonzus
Naast bovenstaande rotsen in de branding zijn er nog talloze vrienden en collega’s die mij altijd gesteund hebben. Dank u wel, kotgenootjes EW-klas en BC-klas Collega’s van DP Europe en Dance-Industries andere vrienden die vanuit alle plaatsen van de wereld steun verlenen
Deze thesis kon evenmin geschreven worden zonder een helpende hand en wijze raad van Doctorandus Ann Maes Marc Van Steyvoort Yves Kerwyn, Jurgen van Duvel van Microsoft De Fruitytech crew Elizabeth Stark en Fred Benenson en vele andere
Als laatste, maar daarom niet als minste, wil ik Professor Dr. Paemeleire bedanken die mij de kans gaf dit onderwerp aan te snijden. ii
Inhoudsopgave Lijst van figuren
vii
Lijst van tabellen
viii
Inleiding
1
1 Wat is DRM?
6
1.1
Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
1.2
DRM, de definitie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
1.2.1
DRM gedefinieerd . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
1.2.2
Het acroniem DRM . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.2.3
Authentificatie vs. authorisatie . . . . . . . . . . . . . . . . . . . . 10
1.3
De geschiedenis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.4
3 pijler structuur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.4.1
De technologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.4.2
De wetgeving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.4.3
Licenties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
1.5
De problemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
1.6
Besluit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2 Bedrijfsprocessen en DRM
28
2.1
Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.2
De mogelijke impact op bedrijfsprocessen in de entertainmentindustrie . . . 29
2.3
2.2.1
Primaire activiteiten . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.2.2
Secundaire activiteiten . . . . . . . . . . . . . . . . . . . . . . . . . 30
De mogelijke impact op bedrijfsprocessen in overige industrie¨en . . . . . . 31 2.3.1
Primaire activiteiten . . . . . . . . . . . . . . . . . . . . . . . . . . 31 iii
Inhoudsopgave 2.3.2 2.4
iv Secundaire activiteiten . . . . . . . . . . . . . . . . . . . . . . . . . 31
Besluit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3 DRM, de bron van vernieuwing in marketing?
35
3.1
Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2
Product . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3.2.1
DRM, een negatieve impact op de willingness to pay (WTP) van de gebruiker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.2.2 3.3
3.4
3.5
Product-differentiatie . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Prijs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.3.1
Oligopolies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.3.2
Prijs-differentiatie . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.3.3
Prijszetting met technologie . . . . . . . . . . . . . . . . . . . . . . 43
Plaats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 3.4.1
Vernieuwde distributiemodellen . . . . . . . . . . . . . . . . . . . . 44
3.4.2
Lidmaatschap versus pay-per-download . . . . . . . . . . . . . . . . 47
3.4.3
De toekomst: superdistributie via P2P-netwerken . . . . . . . . . . 48
Promotie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 3.5.1
Multilevel marketing . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.5.2
Andere marketing opportuniteiten . . . . . . . . . . . . . . . . . . . 53
3.6
Vergelijkende studie van distributiemodellen . . . . . . . . . . . . . . . . . 55
3.7
Besluit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4 Veiligheid en compliance in de bedrijfswereld
59
4.1
Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.2
Insider attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.3
Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.4
DRM, een mogelijke oplossing voor beide problemen? . . . . . . . . . . . . 65
4.5
4.4.1
Beveiliging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.4.2
SOX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.4.3
Basel II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4.4.4
Privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Besluit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Inhoudsopgave
v
5 Onderzoek naar het gebruik van DRM in de praktijk
78
5.1
Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
5.2
De opzet van het onderzoek . . . . . . . . . . . . . . . . . . . . . . . . . . 79 5.2.1
De werkwijze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
5.2.2
De vragen van het interview . . . . . . . . . . . . . . . . . . . . . . 79
5.2.3
De ge¨ınterviewde DRM-experts . . . . . . . . . . . . . . . . . . . . 80
5.2.4
De beperkingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.2.5
De resultaten van het kwalitatief onderzoek . . . . . . . . . . . . . 82
5.2.6
Besluit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Algemeen besluit A Bijkomende informatie over de ge¨ınterviewden
93 100
A.1 Marc Van Steyvoort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 A.2 Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 A.2.1 Jurgen van Duvel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 A.2.2 Yves Kerwyn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 A.3 FreeCulture.org . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 A.3.1 Elizabeth Stark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 A.3.2 Fred Benenson . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 A.4 Jan Van Hooydonck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Bibliografie
105
Lijst met afkortingen B2B
Business to Business
B2C
Business to Consumer
CEO
Chief Executive Officer
CFO
Chief Financial Officer
CSS
Content Scrambling System
DAT
Digital Audio Tape
DMCA
Digital Millennium Copyright Act
DMP
Digital Media Pact
DRM
Digital Rights Management
EDRM
Enterprise Digital Rights Management
ERM
Enterprise Rights Management
HIPAA
Health Insurance Portability and Accountability Act
IRM
Information Rights Management
MPAA
Movie Picture Association of America
OCC
Outbound Content Compliance
ODRM
Open Digital Rights Management
OMA
Open Mobile Alliance
P2P
Peer to Peer
RIAA
Recording Industry Association of America
SOA
Service-Oriented Architecture
SOX
Sarbanes-Oxley
WIPO
World Intellectual Property Organization
WTP
willingness to pay
XrML
eXtensible rights Markup Language
vi
Lijst van figuren 1
Overzicht van het aantal opgepikte blog-posts door Technorati in de laatste 360 dagen. [Technorati, 2006a] [Technorati, 2006b] . . . . . . . . . . . . . .
2
2
Aantal berichten over DRM en SOA. [Technorati, 2006a] [Technorati, 2006c] 3
1.1
De DRM 3 pijler structuur. [Bechtold, 2004] . . . . . . . . . . . . . . . . . 13
1.2
De functionele architectuur. [Iannella, 2001] . . . . . . . . . . . . . . . . . 14
1.3
De informatie architectuur. [Iannella, 2001]
1.4
Een model om rechten uit te drukken. [Iannella, 2001]
1.5
De verschillende stakeholders. [NetLight Consulting AB, 2002] . . . . . . . 18
2.1
Het waardeketen model van Porter. [van Raalte, 2000] . . . . . . . . . . . 28
3.1
Voorstelling van vraag en aanbod. [Petrick, 2004] . . . . . . . . . . . . . . 39
3.2
Prijs-differentiatie. [Petrick, 2004]
3.3
Multilevel marketing. [Tyrv¨ainen et al., 2004] . . . . . . . . . . . . . . . . 50
3.4
De invloed van dynamic forward pricing. [Schmidt, 2006]
3.5
Papers worden gratis aangeboden in ruil voor gegevens van de gebruiker. [Langin, 2005]
. . . . . . . . . . . . . . . . . 15 . . . . . . . . . . . 16
. . . . . . . . . . . . . . . . . . . . . . 43
. . . . . . . . . 51
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.1
DRM en insider attacks. [Cho, 2005] . . . . . . . . . . . . . . . . . . . . . 63
4.2
Beveiliging aan de hand van ERM. [Yu & Chiueh, 2004] . . . . . . . . . . . 68
vii
Lijst van tabellen 2.1
De invloed van DRM op de verschillende bedrijfsprocessen. . . . . . . . . . 33
3.1
Overzicht van de invloed van DRM op verschillende distributiemodellen. . 55
3.2
De invloed van DRM op de marketing mix. . . . . . . . . . . . . . . . . . . 58
4.1
Vergelijking tussen ERM en andere beveiligingsmethodes. . . . . . . . . . . 67
viii
Inleiding Bijna dagelijks komen we in contact met de digitale wereld. De PC is alom tegenwoordig en zelfs tv kijken gebeurt tegenwoordig digitaal. Om een DVD te huren hoef je het huis niet meer uit. Via een simpele klik krijg je de film thuis en wordt de betaling geregeld. Muziek kan nu eveneens gemakkelijk en legaal gedownload worden naar een PC of draagbare MP3-speler. De mogelijkheid van digitale kopijen heeft voor een grote ommezwaai gezorgd in de wijze waarop copyright houders controle hebben over het gebruik van hun bestanden. Computers, andere digitale apparaten en (P2P) netwerken bezorgen de wereld de mogelijkheid om op eenvoudige en goedkope wijze digitale bestanden op een al dan niet legale manier te verspreiden via het internet. De snelheid waarbij gegevens gecre¨eerd, opgeslagen en verhandeld worden is gigantisch toegenomen. Het onder controle houden van al deze bits en bytes is een markt op zich geworden. Bovendien krijgt deze markt steeds meer invloed op de bedrijven, hun bedrijfsprocessen, gebruikers en wetgeving. De meeste gebruikers zijn zich echter niet bewust van alle procedures en software voor het beheren van al deze inhoud. Een groot en steeds stijgend aantal gebruikers neemt het ook niet zo nauw met het digitale copyright. Maandelijks duikt er in de krant wel een bericht op over piraterij waarbij de bedragen die gevorderd worden niet mals zijn. 3 ” maanden celstraf voor het downloaden van 3 films”[Fox News, 2005], 67-jarige opa wordt ” gedagvaard voor het downloaden van films door zijn kleinzoon”.[ABC News, 2005] Niet enkel via de rechtbank werd gepoogd om deze piraterij aan banden te leggen, ook op technologisch vlak werd er grote vooruitgang geboekt in het beschermen en beveiligen van digitale bestanden. Een oplossing voor dit probleem kwam er onder de vorm van DRM (Digital Rights Management). Vaak worden gebruikers echter niet geconfronteerd met het feit dat er een DRM actief is. Dit verhoogt de gebruiksvriendelijkheid en de aantrekkelijkheid voor de copyright houders. Enkel wanneer de limieten van het DRM
1
Inleiding
2
in werking treden, wanneer een gebruiker bijvoorbeeld probeert een beveiligde CD te kopi¨eren, wordt hij mogelijks gewaar dat er ’een hogere macht’ is die de controle heeft over wat je met de CD kunt doen. Niet alleen voor gebruikers betekent DRM een aanpassing, tevens moeten bedrijven een aantal bestaande bedrijfsprocessen overboord gooien om mee te kunnen met deze digitale revolutie. De aanpassingen van bedrijven aan deze nieuwe uitdaging vormt het kernthema van deze thesis. DRM heeft namelijk op bijna alle bedrijven die gebruik maken van digitale bestanden een invloed. Bij bepaalde industrie¨en wordt zelfs via de wet vastgelegd hoe men digitale bestanden moet behandelen. DRM kan niet alleen een oplossing bieden voor wettelijke vereisten zoals het beschermen van de privacy van gebruikers of financi¨ele gegevens. Tevens kan het een bron zijn voor een nieuwe soort marketing- of distributietechnieken. Dat DRM niet enkel een theoretisch concept is maar wel degelijk een technologie is die ’hot’ is, kan bewezen worden aan de hand van een aantal kleine feiten. DRM werd op het World Economic Forum Annual Meeting 2006 meermaals vermeld en had zelfs een eigen sessie A New Democracy in Digital Rights Management”.[World ” Economic Forum, 2006]
Figuur 1: Overzicht van het aantal opgepikte blog-posts door Technorati in de laatste 360 dagen. [Technorati, 2006a] [Technorati, 2006b]
Een belangrijke evolutie is het aantal artikels dat over DRM online verschijnt. In figuur 1, die poogt een beeld te geven van de belangrijkheid van DRM aan de hand van het
Inleiding
3
aantal berichten opgepikt door Technorati1 (http://www.technorati.com), wordt in het linkerpaneel het aantal berichten per dag weergegeven door alle bronnen. De rechterkant geeft hetzelfde weer maar nu enkel voor de bronnen die door Technorati als belangrijk worden beschouwd. Hetgeen onmiddellijk opvalt, is dat het aantal berichten over DRM in het laatste jaar sterk gestegen is zowel bij belangrijke blogs als bij alle blogs samen. DRM zit dus in de lift. Een tweede vaststelling is dat er een aantal hoge pieken zijn in beide grafieken. Dit zijn belangrijke gebeurtenissen. De belangrijkste is het Sony/BMG fiasco [Woellert, 2005] in november 2005. De toename van belangrijkheid van DRM wordt pas echt duidelijk als we het vergelijken met de berichten omtrent Service-Oriented Architecture (SOA), d´e technologie van 2005 volgens verschillende belangrijke sites [Meehan, 2005] [Marks, 2005]. In figuur 2 wordt aan de linkerkant het aantal berichten over DRM afgebeeld en aan de rechterkant het aantal artikels over SOA. Terwijl SOA op een niveau van 150 berichten per dag zit, is DRM doorgegroeid van rond de 50 tot boven de 200 berichten per dag. Het is dus duidelijk dat DRM in het afgelopen jaar belangrijker geworden is dan SOA.
Figuur 2: Aantal berichten over DRM en SOA. [Technorati, 2006a] [Technorati, 2006c]
De DRM-markt is slechts de laatste jaren aan een echte opmars bezig. RNCOS [RNCOS, 2005] voorspelt dat de DRM-markt zal groeien van 96 miljoen dollar in 2000 tot 3,5 miljard in 2005 en 5 miljard dollar in 2007. Het is dan ook gegrond om vanuit economisch standpunt DRM van naderbij te bekijken. 1
Technorati is een site die nieuwe artikels van blogs indexeert volgens de inhoud. Het geeft dus ongeveer
weer hoeveel mensen er een artikel schrijven over dat onderwerp.[Technorati, -] Er moet opgemerkt worden dat Technorati geen wetenschappelijke bron is maar eerder gezien moet worden als een waardemeter van welke technologie¨en en idee¨en belangrijk zijn.
Inleiding
4
Een tweede reden waarom dit onderwerp gekozen werd, is omdat ik zelf mede-eigenaar ben van een distributieplatform dat zich specialiseert in het verdelen van elektronische muziek. Ik ben dus nauw betrokken bij het reilen en zeilen binnen de muziekindustrie. Uit gesprekken met deze industrie komt het belang van DRM voor hen naar voor. Aangezien DRM een technologie is die eigenlijk aan het doorbreken is, is het moeilijk om hierover veel informatie te vinden. Veel informatie komt dan ook uit interviews, blogs van toonaangevende nieuwssites, publicaties van onderzoeksbureaus, (nog) niet gepubliceerde artikels en papers van conferenties. Het uitgangspunt van deze thesis, in tegenstelling tot vele andere publicaties, is de invloed die DRM heeft en zal hebben op bedrijfsmodellen. De totale invloed op deze bedrijfsmodellen wordt bekomen door bedrijven op te splitsen in kleinere bedrijfsprocessen. Op dit niveau kan de invloed van DRM op ieder bedrijfsproces afzonderlijk nagegaan worden. Het eerste hoofdstuk geeft de definitie van wat DRM is en gaat dieper in op de kernidee¨en omtrent DRM. Hierbij wordt vertrokken van de 3 pijler structuur waaruit DRM opgebouwd is. Het is nodig om dit toch wel lijvige deel op te nemen want er bestaan verschillende opvattingen omtrent DRM, zelfs binnen bedrijven. Dit komt vooral doordat DRM een nieuw opkomend fenomeen is dat te pas en te onpas gebruikt en misbruikt wordt. Daarnaast wordt ingegaan op de wetgeving in Amerika en Europa en de verschillen er tussen. Europa werd gekozen vanwege het feit dat de richtlijnen, uitgevaardigd door Europa, een invloed hebben op de Belgische wetgeving. Frankrijk werd eveneens toegevoegd vanwege het feit dat de Franse wetgeving recent in het nieuws gekomen is. Amerika werd gekozen vanwege de grote invloed die dit land heeft op de entertainmentindustrie en de voortrekkersrol die het heeft in de bestrijding van piraterij. Privacy, fair use en first sale zijn een aantal belangrijke termen omtrent de wetgeving. Het tweede hoofdstuk geeft de opsplitsing weer volgens het bedrijfsmodel van Porter in kleine bedrijfsprocessen. Vervolgens wordt voor elk van deze bedrijfsprocessen nagegaan wat de invloed is of zal zijn van DRM. Al vlug werd duidelijk dat er best een bijkomende opsplitsing gebeurde volgens sector. De eerste sector, de amusementssector, zal DRM namelijk voor andere dingen gebruiken dan alle overige sectoren. Voor beide opsplitsingen afzonderlijk werd de invloed per bedrijfsproces nagegaan. Vermits er voor elke opsplitsing enkele processen zijn waar DRM voornamelijk een rol speelt, is het logisch dat deze processen van naderbij bekeken worden in de volgende hoofdstukken. Een derde hoofdstuk benadert de aanpassingen van bedrijven in de amusementssector
Inleiding
5
zoals de film- en de muziekindustrie op het gebied van marketing. Om de volledige invloed in kaart te brengen werd geopteerd de marketing op te splitsen volgens het marketing mixmodel. Voor elke P (product, prijs, plaats en promotie) binnen de marketing mix wordt de invloed nagegaan. Het vierde hoofdstuk is gewijd aan alle overige bedrijven die niet tot de amusementssector behoren. Bij deze bedrijven is de invloed op de verschillende bedrijfsprocessen gelijklopend. De methodes voor het beveiligen van klantengegevens, financi¨ele gegevens, gevoelige bedrijfspresentaties en de beveiliging van de gegevens van ziekenhuispati¨enten verschillen niet veel. Er wordt dan ook voornamelijk gefocust op de rol die DRM speelt in de compliance- en beveilingsproblematiek. Het vijfde hoofdstuk is een eigen kwalitatief onderzoek. Dit hoofdstuk is gebaseerd op interviews. Er worden vragen voorgelegd over DRM en de invloed op bedrijven aan mensen binnen de DRM-wereld. Dit zowel in de entertainmentindustrie als in overige industrie¨en.
Hoofdstuk 1 Wat is DRM? Dit eerste hoofdstuk is een inleiding over DRM. Hierbij wordt vertrokken van de definitie van DRM. Dit gebeurt aan de hand van de definitie gegeven door belangrijke spelers op de markt. Verder wordt in dit hoofdstuk een kort overzicht gegeven van de nog jonge geschiedenis van DRM. DRM bestaat uit een 3 pijler structuur: technologie, wetgeving en licenties. Elk van deze pijlers komt aan bod in dit hoofdstuk. Een laatste paragraaf schetst een aantal problemen met DRM. Kortom, dit hoofdstuk legt een basis zodat de rest van de hoofdstukken te begrijpen zijn.
1.1
Inleiding
Het is belangrijk om te beginnen met een beschrijving en definitie van DRM. Via gesprekken met mensen van Microsoft Belgi¨e werd duidelijk dat er binnen belangrijke ICTbedrijven zelfs geen duidelijkheid is hoe men DRM precies moet invullen.[telefonisch gesprek met de heer Kerwyn Y., 5 december 2005] Vaak hangt het van het departement af welke inhoud men aan het acroniem DRM geeft. De ene heeft het over een beperkte groep technologie¨en terwijl het andere departement DRM beschouwt in de ruimste zin van de letterlijke betekenis. De andere ziet DRM als technologie die alle mogelijke vormen van digitale rechten beheert. Het is daarom van belang een duidelijke definitie op te stellen die volledig is en alle aspecten van DRM bedekt. E´en van de redenen waarom er zoveel verschillende definities van DRM bestaan, komt door het feit dat DRM een acroniem is dat duidelijk in de lift zit.
6
Hoofdstuk 1. Wat is DRM?
1.2
7
DRM, de definitie
1.2.1
DRM gedefinieerd
Een strikte definitie van wat DRM precies inhoudt is moeilijk te geven. DRM is namelijk een concept, een verzamelnaam voor een aantal technologie¨en met eenzelfde doel. Daarom volgt een opsomming van de definities die een aantal belangrijke spelers eraan geven: Windows Media digital rights management (DRM) is a proven platform to protect ” and securely deliver content for playback on a computer, portable device, or network
device. It offers increased flexibility to support a wide range of business models that provide consumers even greater access to protected audio and video content.”Microsoft[Microsoft, 2006a] ”Digital rights management (DRM) is the umbrella term referring to any of several
technologies used to enforce pre-defined policies controlling access to software, music, movies, or other digital data. In more technical terms, DRM handles the description, layering, analysis, valuation, trading and monitoring of the rights held over a digital work. In the widest possible sense, the term refers to any such management.”Wikipedia[Wikipedia, 2006b] DRM encompasses everything that can be done to define, manage, and track rights ” to digital content.”-DRMWatch[Rosenblatt & Dykstra, 2003] Digital Rights Management (DRM) is the collection of technologies for electroni” cally enforcing business rules on digital information. Using DRM, commercial and
non-commercial content owners can publish their digital content securely, as they can set and enforce policies that govern how third-parties can use their content. DRM also enables stakeholders in enterprise value chains to distribute their digital content safely, ensuring privacy. ”-Intertrust[Intertrust, 2006] De definitie voor DRM, die in deze thesis gebruikt wordt, luidt als volgt: Eigen definitie: DRM (Digital Rights Management) is een verzameling oplossingen om de ongeautoriseerde toegang, duplicatie en distributie van digitale bestanden te vermijden en die, indien mogelijk, de acties die op een bestand toegepast worden, bijhoudt.
Hoofdstuk 1. Wat is DRM?
8
In deze thesis wordt DRM dus in de ruime zin beschouwd. In de enge zin zal men enkel de duplicatie verhinderen. Onder deze definitie verstaan we verschillende methodes:[Bruun, 2004][Wikipedia, 2006b] Watermarking: bij watermarking wordt er een voor de gebruiker onopvallend water-
merk toegevoegd aan het bestand. Er bestaan 2 soorten watermarking: forensic en denial watermarking. Bij forensic watermarking worden er een aantal bits aan het bestand toegevoegd die aanduiden dat het bestand beschermd is. Men zal dus niet verhinderen dat het bestand gekopieerd kan worden. Dit soort bescherming wordt vooral gebruikt bij afbeeldingen die op internet staan. Bij denial watermarking wordt het kopi¨eren wel degelijk verhinderd. Wanneer het digitale bestand geopend wordt op een andere speler, zal deze dienst weigeren. De meest gebruikte toepassing van denial watermarking is waarschijnlijk de DVD. Een DVD kan namelijk enkel afgespeeld worden in de regio waarvoor ze bestemd is.[Bruun, 2004] Fingerprinting: fingerprinting is gebaseerd op watermarking. Net zoals bij water-
marking wordt er informatie toegevoegd aan het bestand. Het grote verschil is dat bij fingerprinting informatie over de eigenaar van het bestand toegevoegd wordt aan het bestand zelf. Als men bijvoorbeeld bij http://www.belgianmusiconline.be een MP3 aankoopt dan krijg je een unieke, gepersonaliseerde MP3. Het watermerk dat in deze MP3 ingewerkt zit, bevat onder meer de naam van de koper, het ip-adres van de PC waar de aankoop gedaan werd en het tijdstip van aankoop. Wanneer de koper van de MP3 deze illegaal verspreidt, kan getraceerd worden wie de MP3 heeft toegevoegd op het P2P-netwerk. Bij het aankopen van de MP3 gaat men namelijk akkoord dat men zelf verantwoordelijk is voor de MP3. Belgianmusiconline kan dus een compensatie vragen voor de verloren inkomsten.[FruityTech, 2003] Encryptie: de data van het bestand worden versleuteld met een geheime sleutel. Dit
is onder meer het geval bij DVD’s. Content Scrambling System (CSS) is ´e´en van de eerste vormen van DRM die ontwikkeld werd. De data op DVD’s zijn versleuteld met een geheime sleutel die enkel gekend is door het DVD-consortium. Om de sleutel te kunnen bemachtigen moesten makers van DVD-toestellen een contract tekenen waardoor ze verplicht waren bepaalde opties op DVD-spelers zoals een digitale
Hoofdstuk 1. Wat is DRM?
9
output achterwege te laten. Ondertussen is de code al gekraakt.[Bruun, 2004] Een andere manier van werken, in plaats van de sleutel in te bouwen in de hardware, is de sleutel ter beschikking stellen wanneer men de juiste licentie heeft. Deze manier van werken wordt onder meer gebruikt in de meeste grote downloadsites zoals iTunes en Rhapsody van RealNetworks.[iTunes, 2006a] [RealNetworks, 2006b] Het gebruik van dit soort technieken gaat heel ver, soms te ver. Besturingssystemen worden gehacked zodat het beeldscherm of de diskdrive onder controle van het DRM staat. Dit kan zware gevolgen hebben zoals instabiliteit van de PC of groter gevaar op virussen.[Wikipedia, 2006a] Broadcast flag: bij digitale streams zal men een bepaalde bit-combinatie, de broad-
cast flag, activeren. Hierdoor wordt aangegeven dat de stream copyright materiaal bevat. De stream mag dan bijvoorbeeld niet opgeslagen worden om later gedistribueerd te worden. Vermits de status binair is, gaat het vaak om 1 bepaalde bit in de stream die de flag behelst. Dit kan echter uitgebreid worden om bijvoorbeeld analoge opnames toe te laten maar digitale opnames te verbieden. Dit soort DRM wordt vooral gebruikt bij digitale televisie- of radio-uitzendingen.[Bruun, 2004] Product activatie: product activatie is een methode die veel gebruikt wordt bij
software. Bij het in gebruik nemen moet men een code ingeven om het product te activeren. Tijdens deze registratie kijkt men op de server of de code nog geldig is. Indien een positief antwoord gegeven wordt, kan de software gebruikt worden.[Bruun, 2004] Fysische bescherming: in de jaren ’80 waren een aantal programma’s beschermd
met dongles. Dit zijn kleine hardware apparaten die verbonden werden met een computer voor de authorisatie van een softwarepakket. De dongle bevatte meestal een essentieel deel van de code van het programma. Wanneer de dongle niet verbonden was met de computer werkte de software niet. Wegens de hoge kost om een dongle te reproduceren werd piraterij ontmoedigd.[Wikipedia, 2006c] DRM bestaat dus uit een systeem dat hardware, software, diensten en technologie¨en behelst en dat onderscheid kan maken tussen gebruik door geauthorizeerde en nietgeautorizeerde gebruikers. Complexe DRM-systemen bieden eveneens controle- en betalingsmogelijkheden aan.
Hoofdstuk 1. Wat is DRM?
1.2.2
10
Het acroniem DRM
Een eerste belangrijke opmerking is dat DRM niet enkel bekend staat onder de naam DRM. Microsoft gebruikt bijvoorbeeld het acroniem IRM [Microsoft, 2006b], Information Rights Management, voor het systeem dat actief is binnnen Office. De reden hiervoor is dat DRM een negatieve connotatie heeft gekregen door de sterke restrictie die het soms oplegt aan de gebruiker.[telefonisch gesprek met de heer Kerwyn Y., 5 december 2005] E(D)RM, Enterprise of Electric (Digital) Rights Management is een andere benaming die soms gebruikt wordt voor wat behoort tot het kader van DRM. ERM houdt zich echter specifiek bezig met het beschermen van digitale bedrijfsgegevens zoals financi¨ele gegevens. ERM is een specifieke benaming voor B2B doeleinden terwijl DRM naast B2B ook B2C gericht is. Een laatste subgroep van DRM is OMA DRM. OMA DRM is de standaard in de mobiele telefonie en werd door Open Mobile Alliance (OMA) ontwikkeld. OMA DRM zorgt er via een forward-lock voor dat gedownloade content niet doorgezonden kan worden naar anderen.[Smith, 2003] Een tweede opmerking omtrent het acroniem is dat er een stroming binnen de IT-wereld in opmars is die het acroniem verklaart als Digital Restriction Management of Digital Roadblock Management. Men wijst hiermee op het feit dat de rechten van consumenten niet in acht genomen worden. Volgens hen draait DRM om het opleggen van restricties op het gebruik van bestanden.[Glass, 2003] Dezelfde stroming zou DRM liefst omdopen tot Content Restriction Annulment and Protection (CRAP).[Berlind, 2006] Het mag dus duidelijk zijn dat er naast voorstanders ook een steeds groter wordende stroming is die sterke anti-DRM gevoelens heeft.
1.2.3
Authentificatie vs. authorisatie
Een belangrijke opmerking die gemaakt moet worden en die zorgt voor de nodige verwarring is het verschil tussen authentificatie en authorisatie. Het doel van authentificatie is nagaan wie de gebruiker is. Bij een authentificatieproces zal men namelijk nagaan of men wel degelijk de persoon is die men opgeeft. Het doel van authorisatie is echter niet hetzelfde. Authorisatie bepaalt of men toegang moet krijgen eens men geauthentificeerd is. Concreet wil dit zeggen dat men nagaat of een persoon tot een bepaalde groep behoort die recht heeft op toegang, of men betaald
Hoofdstuk 1. Wat is DRM?
11
heeft of bijvoorbeeld of men de juiste licentie heeft. Wie men precies is, speelt geen rol. Men maakt geen onderscheid tussen gebruikers die binnen dezelfde groep zitten. DRM heeft op zich niets te maken met authentificatie. Zo wordt DRM in sommige middens gelinkt met het beheer van de persoonlijke gegevens en de bijhorende rechten voor gebruikers en plichten voor beheerders van de informatie. Men heeft het hier inderdaad eveneens over het beheer van digitale rechten. Toch valt dit niet onder de noemer DRM. Zo behoort bij een paspoort op het Microsoft MSN-framework een hoop gegevens omtrent de gebruiker. De gebruiker heeft in Belgi¨e het recht om deze opgeslagen informatie op te vragen, het recht op inzage en het recht om eventuele fouten te verbeteren.[Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, Belgisch Staatsblad, 1999] Met dit paspoort zal men in de toekomst bijvoorbeeld toegang krijgen tot andere frameworks zoals dat van de bank. De overdracht van de rechten verbonden aan een paspoort tussen beide frameworks, dat van MSN en de bank, behoort niet tot het kader van DRM daar dit persoonlijk is en gebaseerd is op authentificatie en niet op authorisatie.
1.3
De geschiedenis
DRM is een tamelijk nieuw fenomeen. Het beschermen van digitale bestanden kwam voor het eerst aan bod in de wereld van de software ontwikkeling en de audio-visuele electronica zoals de decoders voor betaal-tv en recorders. In het midden van de jaren ’80 hadden Sony en Philips reeds DAT (Digital Audio Tape)-recorders op de markt die het mogelijk maakten digitale kopie¨en te maken van een CD. Bij deze kopie werd een copy-bit aangezet die ervoor zorgde dat de DAT-kopij niet verder gedupliceerd kon worden.[Grassmuck, 2003] Slechts een tijd later ontstond de mogelijkheid om via licenties, verbonden aan het bestand, het onrechtmatige gebruik te verhinderen. Het eerste echte commerci¨ele DRM product kwam er in 1994 door IBM en Electronic Publishing Resources. De term werd echter gelanceerd door InterTrust.[Grassmuck, 2003] Een tweede mijlpaal kwam er in 1998 met de Digital Right Management Association die begon met het actief te ontwikkelen van een DRM-standaard voor digitale inhoud.[Bruun, 2004] E´en van de eerste en meest gebruikte DRM-systemen was het Content Scrambling System
Hoofdstuk 1. Wat is DRM?
12
(CSS) dat gebruikt wordt om DVD-films te versleutelen.[Wikipedia, 2006b] Hierdoor is het mogelijk om een DVD enkel in bepaalde regio’s te laten werken en het kopi¨eren tegen te gaan. Een derde mijlpaal is de lancering van het FairPlay DRM door Apple in 2003. Dit systeem wordt gebruikt door de iPod en iTunes muziekwinkel.[Bruun, 2004] Ondertussen is iTunes de grootste speler op de legale downloadmarkt. In februari 2006 werd de kaap van 1 miljard gedownloade liedjes gerond.[Wikipedia, 2006d] Een laatste mijlpaal in de DRM-geschiedenis is minder positief voor DRM. In november 2005 raakte bekend dat Sony BMG voor zijn DRM op CD’s gebruik maakte van rootkittechnologie. Dit soort technologie stelt hackers in staat op eenvoudige wijze virussen en wormen te installeren op een computer. Tevens was het niet mogelijk om deze software te verwijderen. Sony BMG besliste alle 8 miljoen CD’s met dit soort DRM terug te nemen. Dit was echter nog niet het einde van het verhaal. Sony BMG werd namelijk door verschillende landen aangeklaagd.[Wikipedia, 2006a] Naast de kopers van de CD’s waren ook de artiesten furieus. E´en van de betrokken artiesten zakte van plaats 887 naar positie 25.802 in de Amazon.com lijst van meest gekochte CD’s van dat moment.[Woellert, 2005] Sommige nieuwssites spraken zelfs over de PR-nachtmerrie van het jaar 2005.[ZDNet, 2005] Het feit dat de CEO van Sony BMG Music weggepromoveerd werd door de fout in het Sony-rootkit-debacle is een bewijs van de impact die een verkeerde beslissing inzake DRM kan hebben.[BoingBoing, 2006b]
1.4
3 pijler structuur
E´en van de belangrijkste redenen waarom tegenwoordig zoveel interesse bestaat voor DRM is omdat het een mogelijkheid biedt om het kopi¨eren van bestanden tegen te gaan. Vooral na het oprichten van P2P-netwerken (Peer to Peer) en Napster ontstond er een gat in de wet. Eens dit soort software ge¨ınstalleerd was, was het vrij eenvoudig om muziek en films met anderen te delen. Vroeger gebeurde dit ook met cassettes, maar het feit dat digitale kopijen geen verlies aan kwaliteit hebben, maakte dit soort verspreiding interessant voor de thuisgebruiker. Door de daling van de inkomsten zag de muziekwereld zich echter genoodzaakt rechtszaken aan te spannen tegen dit soort technologie¨en. In de eerste jaren was de wet omtrent het intellectueel eigendom echter niet uitgebreid genoeg om een oplossing te bieden aan deze nieuwe manier van distributie. De eigenaars
Hoofdstuk 1. Wat is DRM?
13
van beschermde werken wilden met de tweede generatie DRM niet op dezelfde problemen stuiten als vroeger. Daarom werd er vanaf het begin voor geopteerd om met een drie pijler structuur te werken: technologie, wetgeving en licenties.
Figuur 1.1: De DRM 3 pijler structuur. [Bechtold, 2004]
1.4.1
De technologie
Er bestaan 2 belangrijke architecturen bij het beschrijven van een DRM. De eerste is de functionele architectuur. Deze beschrijft de verschillende functionele blokken die samen het complete systeem vertegenwoordigen. De tweede architectuur is deze van de informatie. Deze architectuur beschrijft de verschillende bouwstenen. In deze thesis gaan we uit van het model dat ontwikkeld werd door Iannella[2001]. De functionele architectuur De functionele architectuur van een DRM valt uiteen in 3 functionele componenten (figuur 1.2): creatie, management en gebruik. Bij elke component spelen veiligheid en authentificatie een belangrijke rol. Management bij de creatie van digitale werken: een DRM moet de mogelijkheid
Hoofdstuk 1. Wat is DRM?
14
Figuur 1.2: De functionele architectuur. [Iannella, 2001]
geven om op eenvoudige wijze het management te voorzien van de rechten tijdens de creatie van digitale content. Tevens biedt deze component de mogelijkheid aan om rechten aan te maken bij het hergebruiken van bestaande content door andere gebruikers. Het gaat hier bijvoorbeeld over sampling. Hierbij wordt eveneens nagegaan of het wel toegelaten is om op basis van het bestaande content nieuwe te cre¨eren.[Iannella, 2001] Management van de inhoud van bestanden: dit functioneel blok omschrijft hoe
moet, mag of kan omgegaan worden met de inhoud van bestanden. Dit omvat onder meer hoe en waar het opgeslagen mag worden en van wie content aanvaard kan worden. Verder neemt deze blok ook de taak op zich om de metadata omtrent het werk zelf en de rechten verbonden aan het gebruik van het bestand zoals bijvoorbeeld de verschillende toegelaten gebruikers met hun gebruikersmogelijkheden en de mogelijke prijszetting bij te houden. Een DRM moet het namelijk mogelijk maken om verschillende prijzen te vragen bij verschillend gebruik.[Iannella, 2001] Gebruik van de content: deze component houdt zich bezig met het management
bij het gebruik van het bestand. Dit houdt onder meer in dat deze component de toegang tot het bestand verschaft wanneer de gebruiker de juiste licentie heeft. Bovendien bepaalt deze component wat de gebruiker verder kan doen met het bestand.
Hoofdstuk 1. Wat is DRM?
15
Een gebruiker kan bijvoorbeeld de toegang hebben tot een document maar mag het document niet afdrukken. Een tweede functie van deze component is het bijhouden van het gebruik van een bestand. Zo kan er een licentie aangekocht zijn die toelaat dat een film maar 10 keer bekeken kan worden. Dit moet dan ook bijgehouden worden en na de tiende keer zal gevraagd worden om de licentie te verlengen. Dit zal dan weer gebeuren binnen de voorgaande module.[Iannella, 2001] De informatie architectuur De informatie architectuur geeft weer hoe de verschillende entiteiten gemodelleerd worden binnen het DRM en wat de onderlinge relaties zijn. Binnen het DRM zijn er 3 entiteiten: gebruikers, rechten en inhoud. De verschillende relaties tussen deze 3 entiteiten is te zien in figuur 1.3. De gebruikers zijn alle mensen die gebruik maken van DRM. Dit zijn de consumenten maar tevens de houders van de rechten en de auteurs. Inhoud is de informatie die men wil beschermen en kan eventueel geaggregeerd zijn. De rechten zijn uitdrukkingen over het gebruik. We onderscheiden daarin toelating, verplichtingen en limitering.[Iannella, 2001]
Figuur 1.3: De informatie architectuur. [Iannella, 2001]
Een tweede aspect is het uitdrukken van deze rechten tussen gebruikers en inhoud. Hiervoor maakt men gebruik van een right expression language. Het is dan ook ´e´en van de belangrijkste componenten van een DRM. Een probleem dat optreedt, is de snelle toename van de complexiteit van de rechten. Rechten moeten expliciet vermeld worden. Indien ze niet expliciet gedefinieerd zijn, moet men er van uit gaan dat de rechten niet toegestaan zijn. De right expression language moet in staat zijn om volgende rechten uit te drukken:
Hoofdstuk 1. Wat is DRM?
16
Toelating: het toestaan van bepaalde acties zoals kopi¨eren, samplen, afdrukken of
afspelen. Beperkingen: het moet mogelijk zijn om de toelating te beperken zodat een bestand
enkel toegankelijk is tijdens de werkuren. Een ander voorbeeld is dat het bestand maar ´e´en keer bekeken kan worden en dat het daarna ontoegankelijk wordt. Verplichtingen: er kunnen verplichtingen, zoals betalingen, opgelegd worden waar-
aan voldaan moet zijn alvorens de toelating gegeven wordt om een bestand te openen.
Figuur 1.4: Een model om rechten uit te drukken. [Iannella, 2001]
Kortom een right expression language moet in staat zijn om uit te drukken dat bijvoorbeeld een bestand ´e´enmaal afgespeeld mag worden en dat daarna een licentie aangekocht moet worden die enkel toelaat om het bestand op een Europese computer af te spelen maar niet te kopi¨eren. Wil men het bestand kopi¨eren dan moet een extra licentie aangekocht worden die toelaat om het bestand ´e´enmaal te kopi¨eren. De meest gekende right expression language is eXtensible rights Markup Language (XrML), een op XML gebaseerde specificatie om rechten uit te drukken. Deze specificatie wordt
Hoofdstuk 1. Wat is DRM?
17
ondermeer gebruikt als basis om de rechten binnen MPEG uit te drukken.[XrML.org, 2005] De stakeholders DRM is een totaal pakket dat invloed heeft op verschillende stakeholders. Daarom is het nodig om de verschillende spelers en hun rol op dit gebied eens van dichterbij te bekijken. Een belangrijke opmerking vooraf is dat niet elk systeem alle DRM-stakeholders heeft en dat de verschillende rollen door eenzelfde instantie of persoon ingevuld kunnen worden. Een typisch DRM omvat volgende stakeholders:[NetLight Consulting AB, 2002] Een auteur: de persoon die de inhoud samenstelt of maakt. De eigenaar van de rechten: vaak geeft een auteur de rechten tot reproductie en
distributie aan een derde partij zoals een platenlabel in de muziekwereld. Een DRM-klant: een klant is een persoon die gebruik maakt van het bestand.
Binnen de categorie klanten moet er een onderscheid gemaakt worden tussen geautoriseerde klanten en niet-geautoriseerde klanten. De eerste hebben wel toegang tot het bestand, de tweede echter niet. De scheiding tussen deze twee soorten klanten is niet definitief. Een niet-geautoriseerde klant wordt na betaling van de licentie bijvoorbeeld een geautoriseerde klant. Een verpakker: de entiteit die de inhoud verpakt in een bestandsformaat dat aan
bepaalde formaliteiten voldoet zoals een beveiliging tegen kopi¨eren. Een beheerder van de licentie: de beheerder van de licentie zorgt voor het beheer
van de licenties voor alle door hem beheerde bestanden en activeert of controleert de DRM-licentie bij aanvraag van de klant. Hij verleent geautoriseerde gebruikers de toegang. Een clearing-huis: het clearing-huis is de instantie dat alle financi¨ele transacties
verwerkt met betrekking tot het verkrijgen van een licentie. Een content server: de content server verdeelt de bestanden naar de klanten. Een netwerk operator: de netwerk operator zorgt voor een netwerk waarlangs het
bestand afgeleverd kan worden. Dit kan zowel vast als draadloos zijn.
Hoofdstuk 1. Wat is DRM?
18
Figuur 1.5: De verschillende stakeholders. [NetLight Consulting AB, 2002]
Bovenstaande wordt weergegeven in figuur 1.5. Om deze figuur concreet te maken, volgt een voorbeeld uit de realiteit: de aankoop van de nieuwe single van Clouseau op het Belgische http://www.belgianmusiconline.be. Clouseau, de auteur, verleent via zijn platenlabel EMI, de website Belgianmusiconline het recht om de nieuwe single te verkopen. Een klant koopt de MP3 en ontvangt een link naar zijn MP3. Belgianmusiconline is in dit geval niet alleen content server maar tevens beheerder van de licentie en verpakker. Aan elke download wordt namelijk een watermerk toegevoegd met persoonlijke informatie van de koper. Het clearing-huis is in dit geval de betalingsmogelijkheid van de website. De netwerkoperatoren zijn de verschillende ISP’s waarlangs het bestand tot bij de gebruiker komt. Er zijn nog 2 rollen die niet aan bod gekomen zijn in bovenstaande opsomming en die zeker vermeld moeten worden: De ontwerpers van het DRM dat gebruikt wordt bij het verpakken van de content.
Zij leveren een licentie af aan de verpakker zodat het DRM gebruikt mag worden voor het versleutelen van de inhoud. Ontwerpers van apparaten die gebruikt worden om de digitale bestanden te stoc-
keren of te bekijken. Zij moeten rekening houden met de verschillende DRM’s en moeten dus beslissen welke DRM’s ze via een bepaald toestel willen ondersteunen. Hiervoor moeten ze een licentie aankopen bij de ontwerpers van het DRM.
Hoofdstuk 1. Wat is DRM?
1.4.2
19
De wetgeving
Naast de technische pijler werd ook een juridische pijler toegevoegd aan DRM. DRMsystemen beloven namelijk een hoge graad van technische bescherming. Toch is geen enkel systeem 100% veilig. Tot nu toe is elke technische beveiliging reeds gebroken en dit zal niet veranderen in de toekomst. Om de beveiliging van DRM aanzienlijk te verhogen werden speciale wetten gestemd die het omzeilen van technologische bescherming en de productie en distributie van hard- of software die DRM kunnen omzeilen illegaal maken. Op internationaal vlak werden hiervoor in 1996 twee maatregelen uitgevaardigd door het World Intellectual Property Organization (WIPO).[Bechtold, 2004] In verschillende landen werden deze maatregelen verder afzonderlijk uitgewerkt waardoor een specifieke wetgeving geldt voor elk land. Zelfs in Europa is men er niet in geslaagd om ´e´en sluitende wetgeving op poten te zetten. In de volgende paragrafen worden verschillende wetgevingen omtrent DRM kort uiteengezet. Andere landen, naast deze die besproken worden, zijn ook bezig met het aanpassen van hun wetgeving maar dit zou ons te ver leiden. USA Een belangrijk jaar voor de bescherming van de digitale werken in Amerika is 1998 met het invoeren van de Digital Millennium Copyright Act (DMCA):[Copyright Office, 1998][The UCLA Online Institute for Cyberspace Law and Policy, 2001] Er worden straffen voorzien voor het omzeilen van een DRM. Het maken, verkopen of distribueren van apparaten die de code kunnen kraken om
zo software illegaal te kopi¨eren is onwettig. DMCA laat toe om het copyright te breken voor encryptie onderzoek, interopera-
biliteit mogelijk te maken en de veiligheid te testen. DMCA laat een aantal uitzonderingen toe om beveiliging te omzeilen onder andere
voor non-profit bibliotheken en archieven om na te gaan of ze de werken willen aankopen. DMCA bouwt de verantwoordelijkheid af van service providers en non-profit orga-
nisaties voor copyright schendingen via hun service of leden.
Hoofdstuk 1. Wat is DRM?
20
DMCA laat het toe aan de eigenaar om een kopie te maken van zijn eigendom ter
herstelling van zijn computer. DMCA bepaalt bovendien dat fair use ondergeschikt is aan het copyright. ”...
[n]othing in this section shall affect rights, remedies, limitations, or defenses to copyright infringement, including fair use...”[The UCLA Online Institute for Cyberspace Law and Policy, 2001]
DMCA heeft grote aanpassingen gemaakt in de wetten omtrent copyright om zo aangepast te zijn aan de digitale wereld en de daar bijhorende uitdagingen. De wetgeving is er vooral gekomen onder druk van de Recording Industry Association of America (RIAA) en de Movie Picture Association of America (MPAA). Deze vragen de mogelijkheid om hackers in te huren om P2P en andere netwerken met illegale bestanden plat te leggen. Dit werd onder andere bewezen door het toevoegen van een rider, via lobbywerk, aan een antiterrorismewet die hen toeliet om virussen te verspreiden en netwerken die vermoedelijk illegale inhoud bevatten neer te halen. Vooral het feit dat er geen bewijs nodig was, maar enkel een vermoeden doet toch wel enige vragen oproepen. Tot op heden is dit er niet doorgekomen maar de druk van de MPAA en RIAA op politici blijft toenemen.[Bechtold, 2004] Europa In de Europese Unie werden verschillende richtlijnen uitgevaardigd ter bescherming van het copyright. E´en van de belangrijkste is artikel 7 van de Software richtlijn (1991) die het verbiedt om software te bezitten of te verspreiden met als primordiaal commercieel doel het omzeilen van de technische copyright beperkingen.[Bechtold, 2004] Een tweede belangrijke datum is 1995 toen de Europese Commissie de paper Copyright and Related Rights in the Information Society presenteerde. Het doel van deze paper was het scheppen van een achtergrond waartegen vragen omtrent het copyright en de digitale maatschappij opgelost konden worden. E´en van de vragen was het cre¨eren van een nieuwe wetgeving hiervoor.[Helberger et al., 2004] Een tweede belangrijke richtlijn is de Conditional Access richtlijn uit 1998 waarin het verbod wordt uitgevaardigd op de productie, distributie en promotie van onwettige apparaten die beveiliging omzeilen.[Bechtold, 2004]
Hoofdstuk 1. Wat is DRM?
21
De belangrijkste richtlijn is de Copyright Richtlijn van 2001 die gerealiseerd moest worden voor het einde van 2002. Deze richtlijn verbiedt namelijk het omzeilen van technologische maatregelen die gebruikt worden door houders van de intellectuele rechten om deze rechten te waarborgen. Verder worden ook een aantal activiteiten aan banden gelegd zoals het verspreiden, produceren of promoten van instrumenten met commercieel oogmerk en die het omzeilen van beveiligingen als primair doel hebben. Hoewel de Europese richtlijn in 2005 omgezet is in Belgisch recht, is men in de meeste Europese landen nog altijd volop bezig om deze richtlijn nationaal aan te passen. In Belgi¨e is de omzetting zonder veel problemen gebeurd.[Bechtold, 2004] [Wet houdende de omzetting in Belgisch recht van de Europese Richtlijn 2001/29/EG van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij, Belgisch Staatsblad, 2005] Frankrijk De Franse wetgeving lag in maart 2006 zwaar onder vuur wegens de implementatie van de Copyright Richtlijn. Het parlement heeft er een wet goedgekeurd die aanbieders van bestanden ertoe zou verplichten om informatie over hun DRM aan concurrenten kenbaar te maken. Op deze manier zou ervoor gezorgd kunnen worden dat alle MP3’s die legaal gekocht werden, afgespeeld kunnen worden op alle MP3-spelers. Hierdoor zou de verticale integratie die Apple uitgebouwd heeft tenietgedaan worden want bestanden die via iTunes aangekocht werden zouden dan ook op de toestellen van de concurrenten afgespeeld kunnen worden. Op deze manier wordt de dominantie van ´e´en verkoper of toestel op de markt vermeden. Vooral Apple reageerde furieus en zei dat de wet ”piraterij gesponsord door de staat” betekende.[Mills, 2006] Hoe Apple zal reageren wanneer deze wet door de senaat geraakt is onduidelijk. Er wordt gespeculeerd dat Apple misschien zelfs zou wegtrekken uit de Franse markt in plaats van hun FairPlay DRM open te stellen voor concurrenten.[Mills, 2006] Europa en Amerika: de wetgeving vergeleken Het mag duidelijk zijn dat de voorgaande paragrafen slechts een summiere samenvatting zijn van de belangrijkste wetten en rechtspraak. Uit een vergelijkende studie tussen
Hoofdstuk 1. Wat is DRM?
22
Amerika en Europa, blijkt dat Amerika veel verder gaat dan Europa. Waar Amerika zich richt op alle mogelijke vormen van kraken van beveiliging, zowel commercieel als niet-commercieel, wil Europa zich vooral toeleggen op commercieel misbruik. In Europa is het bijvoorbeeld toegestaan om een product dat ontwikkeld werd voor educatieve doeleinden uit te brengen. In Amerika is dit niet toegestaan. Fair use en First sale Een belangrijke rechtsterm die hier zeker vermeld moet worden is fair use. Het probleem is dat het onderscheid tussen fair use en schending van het copyright moeilijk te maken is. Bovendien hangt fair use af van de interpretatie van de rechter.[Bechtold, 2004] Fair use behelst onder meer het maken van een back-up, het uitlenen aan vrienden en bijvoorbeeld het breken van de DRM-beveiliging voor educatieve doeleinden. Doordat een DRM ervoor kan zorgen dat een bestand niet gekopieerd kan worden, kunnen bijvoorbeeld bibliotheken geen kopie maken voor het geval dat de originele versie beschadigd raakt. Het is dan ook niet verwonderlijk dat tegenstanders van DRM liever watermarking als standaard zouden zien dan een DRM waarbij versleuteling wordt toegepast. Dit omdat bij forensic watermarking nog altijd een kopie kan gemaakt worden.[Bechtold, 2004] Een tweede belangrijk begrip dat eveneens een uitzondering vormt op het exclusieve copyright is first sale. Het copyright staat de eigenaar enkel toe de verkoop van een kopie te regulariseren en dus niet de herverkoop na aankoop.[Petrick, 2004] DRM kan op dat gebied een aanval betekenen op de rechten van de consument omdat het door een DRM onmogelijk gemaakt kan worden om het aangekochte bestand nog verder te verkopen. Hierdoor gaat dus de competitie verloren tussen de eerste en tweede markt en worden de goederen dus duurder.[Petrick, 2004] Voor de bedrijven die content verdelen is DRM echter een zegen op dit gebied. Bij het aanvaarden van de gebruiksvoorwaarden wordt er namelijk een privaat copyright ingevoerd dat veel strenger is dan het algemeen geldende copyright. Het verschil tussen privaat copyright en normaal copyright is dat privaat copyright enkel bindend is voor de eigenaar en de gebruiker, terwijl normaal copyright een relatie vormt tussen de ganse wereld en de eigenaar van de rechten. Iemand die een illegale kopie weet te bemachtigen valt niet onder het privaat copyright maar wel onder het normaal copyright. De kopieerder is namelijk geen contract aangegaan met de eigenaar van de rechten toen hij de kopie maakte. Privaat copyright zal dus nooit volledig het algemeen geldend copyright kunnen
Hoofdstuk 1. Wat is DRM?
23
verdringen. Door de contracten die de gebruikers aangaan, komt het wettelijke fair use en first sale in gedrang. Het is dan ook niet verwonderlijk dat een aantal groeperingen zoals bijvoorbeeld FreeCulture.org ijvert voor het boycotten van DRM omdat ze de rechten van de gebruiker niet respecteren. Zij zijn tevens bang dat op deze manier innovatie een halt zal worden toegeroepen omdat onder andere onderzoek naar DRM zich op de rand van de illegaliteit bevindt.[von Lohmann, 2002] Het feit dat het contract, dat in het boekje bij de CD staat, pas zichtbaar is nadat de CD gekocht is, vinden ze een stap te ver. Ze vinden dat de koper op voorhand, v´o´or de aankoop, op de hoogte moet gebracht zijn over het gebruikscontract dat hij zal aanvaarden bij het afspelen van de CD of DVD om op deze manier onverwachte situaties te vermijden.[Copyleft-Music, 2006] DRM zal dus in de toekomst moeten voldoen aan fair use en first sale. Alleen is de wetgeving niet expliciet en blijft een oordeel van de rechter nodig. Op deze manier blijft een ambigu¨ıteit bestaan en kiest elke partij de voor haar voordeligste interpretatie. Limieten aan DRM bescherming Een onopgelost probleem omtrent bescherming van het copyright door DRM zijn de wettelijke limieten. Naast fair use zijn er nog limieten aan het copyright. Een voorbeeld: het copyright vervalt 70 jaar na de dood van de auteur. Indien men gebruik maakt van een DRM dat de toegang ontzegt, kan men dit niet of toch tenminste met enorm veel moeite implementeren. Elke dag zou de interne lijst met beschermde werken bijgewerkt moeten worden. Bovendien staat er geen limiet op wat men allemaal met DRM kan beveiligen. Men zou zelfs dingen kunnen beschermen die niet met een copyright bezwaard zijn. Het DRM mag echter vanwege de wet niet omzeild worden. Men zou eventueel via een wet dit soort misbruik van DRM tegen kunnen gaan. Het ligt voor de hand dat eigenaars van beschermde werken liever zo weinig mogelijk uitzonderingen toelaten omdat het de code die de bestanden beschermd, kwetsbaarder maakt. Op dit gebied is er echter nog veel werk aan de winkel en is het laatste woord nog niet gezegd.[Bechtold, 2004]
Hoofdstuk 1. Wat is DRM?
24
Privacy DRM en privacy is een tweesnijdend zwaard. Aan de ene kant kan DRM de privacy van mensen verhogen, zoals het beschermen van klantengegevens van een online muziekwinkel. Aan de andere kant verzamelt het DRM gegevens van de gebruikers. Hierdoor vrezen consumentenorganisaties dat de privacy van gebruikers in het gedrang zal komen. Ook de EU heeft zijn zorgen hieromtrent kenbaar gemaakt.[Best, 2005] Het blijft niet enkel bij het uiten van zorgen. Apple is bijvoorbeeld in 2006 op de vingers getikt wegens het mogelijk niet respecteren van de privacy van klanten.[BoingBoing, 2006a]
1.4.3
Licenties
Verschillende DRM’s zijn beschermd door patenten. Producenten van apparaten die het DRM willen gebruiken zijn dus verplicht om een licentie te nemen. Hierbij ontstaat een contractuele band tussen de producent en de ontwikkelaar van het DRM. Op deze manier kan de ontwikkelaar ervoor zorgen dat enkel betrouwbare producenten, die de nodige bescherming van het DRM kunnen garanderen, het DRM mogen gebruiken. Hierdoor wordt het DRM veel betrouwbaarder en zal het dus minder snel gebroken kunnen worden. Meestal zal men in de licentie opnemen dat er een som moet betaald worden indien jouw apparaat ervoor zorgt dat het DRM gebroken wordt. Op deze manier zorgt de industrie er tevens voor dat in alle apparaten die op de markt komen voldoende beveiliging ingebouwd wordt.[Bechtold, 2004] Toch is de content industrie niet oppermachtig zoals uit vorige paragraaf zou kunnen blijken. Elke technologie is pas succesvol als er inhoud is die toegankelijk is voor een groot aantal gebruikers. Indien de prijs voor een licentie te hoog ligt, zullen weinig producenten een apparaat op de markt brengen die de content en dat specifieke DRM ondersteunen. Dit heeft als gevolg dat de content niet verspreid geraakt en dat de winst daalt voor zowel de ontwerper van het DRM, die per gebruikte verpakking een vergoeding krijgt, als voor de eigenaar van de rechten. Vaak vereist het gebruik van ´e´en licentie ook het gebruik van een tweede. Op deze manier moeten ontwikkelaars van DVD-spelers niet alleen de CSS-licentie ondertekenen maar moeten ze ook de licentie voor de regiocode aanvaarden. Omdat deze licenties op elkaar afgesteld zijn, wordt de beveiliging over de ganse keten van artiest, auteur tot consument aanzienlijk verhoogd.
Hoofdstuk 1. Wat is DRM?
25
Licenties worden onder meer verkocht aan producenten van MP3-spelers en aanverwante elektronica, computers, opslag media en software ontwikkelaars.
1.5
De problemen
Uit bovenstaande feiten zou kunnen blijken dat DRM enkel goed nieuws met zich meebrengt. Toch zijn er een aantal problemen die zeker en vast opgelost zullen moeten worden wil DRM doorbreken op alle fronten. De grootste problemen die er op dit ogenblik zijn, zijn problemen met de interoperabiliteit, de standaardisatie en het fair use principe, kortom de gebruiksvriendelijkheid. E´en van de grootste struikelblokken op dit moment is het feit dat de meeste DRMsystemen geen interoperabiliteit ondersteunen. Interoperabiliteit betekent dat verschillende systemen, componenten en technologie¨en compatibel zijn met elkaar en zodus probleemloos samenwerken.[Van Tassel, 2005] Dit is op dit moment niet het geval en kan verklaard worden doordat er geen standaard DRM is. Het gebrek aan interoperabiliteit was de reden om DRM te gebruiken. Eigenaars van content wilden een exclusief karakter en wilden zich op deze manier van elkaar onderscheiden.[Fulton, 2006] Indien men een MP3 aankoopt bij iTunes kan men die enkel afspelen op een computer waarop een iTunes account werd ge¨ınstalleerd en een iPod en dus niet op producten van concurrerende bedrijven zoals de Zen van Creative. De problemen treden dus vooral op wanneer bestanden van verschillende leveranciers worden samengevoegd.[Van Tassel, 2005] E´en van de belangrijkste redenen waarom verschillende DRM’s niet compatibel zijn met elkaar is het bestandsformaat. iTunes, Windows en Real Media gebruiken bijvoorbeeld allemaal een verschillend formaat. Enkel de spelers die een licentie hebben, kunnen het desbetreffende formaat afspelen. Het verkrijgen van een licentie is dan ook een moeilijke zaak omdat hiervoor code moet vrijgegeven worden aan anderen. Hackers zouden hiervan gebruik kunnen maken om het DRM te omzeilen.[Geer, 2004] Een bijkomend probleem is de veiligheid en het gebrek aan vertrouwen ten opzichte van de andere bedrijven. Zolang men binnen zijn eigen netwerk blijft kan men op eenvoudige wijze verzekeren en monitoren of de bescherming voldoende is. Om DRM’s toch compatibel met elkaar te maken moet men dus de DRM-regels gaan vertalen tussen de verschillende producten. Dit leidt dan weer tot een grotere kans om een gat te hebben in de beveiliging
Hoofdstuk 1. Wat is DRM?
26
dat misbruikt kan worden door anderen. Volgens velen is het feit dat DRM-systemen niet op elkaar afgesteld zijn ´e´en van de redenen waarom gebruikers naar P2P-netwerken teruggrijpen.[Van Tassel, 2005] Bestanden vanop dit soort netwerken werken op alle computers en alle draagbare MP3-spelers. De vraag naar een standaard DRM groeit dan ook. Dit kan onder meer teruggevonden worden in het oprichten van werkgroepen zoals het Digital Media Project (DMP) [DMP, 2005], het Open Digital Rights Management project (ODRM) onder leiding van het W3C [Iannella, 2000] en de samenwerking van 5 grote spelers met name Intertrust Technologies, Matsushita Electric Industrial (Panasonic), Royal Philips Electronics, Samsung Electronics en Sony Corporation [Extreme Tech, 2004], met het oog een DRM-standaard te ontwikkelen. Toch denken experts dat een standaard nog niet voor de eerste jaren is.[Geer, 2004] Het op de lange baan schuiven is geen optie want dan is er veel kans dat de wetgever een einde maakt aan het getouwtrek en zelf met een voorstel komt en dit willen de grote spelers liever vermijden.[Van Tassel, 2005] Er moet echter wel opgemerkt worden dat een standaard DRM met enige omzichtigheid moet behandeld worden. In het verleden is namelijk al gebleken dat het hebben van een standaard ervoor zorgt dat bij het doorbreken van het DRM een heus probleem ontstaat. Het beste voorbeeld hieromtrent is wel de DVD-standaard. Toen deze gebroken werd, lag de weg voor DVD-piraterij compleet open en kon er niets meer gedaan worden om het gat te dichten. Daarom is het beter om te werken met standaard componenten die op elkaar afgestemd kunnen worden. Op deze manier zorgt een breuk in de beveiliging van ´e´en van de componenten er niet voor dat het volledige DRM weggegooid moet worden. Het volstaat in dat geval om een andere component te gebruiken die nog niet gebroken is en eveneens compatibel is met de reeds bestaande componenten.[Rump, 2004]
Hoofdstuk 1. Wat is DRM?
1.6
27
Besluit
DRM is een bloeiende markt die bestaat uit een verzameling van technieken die in het leven geroepen zijn om ervoor te zorgen dat, in de enge zin, bestanden niet gekopieerd kunnen worden zonder toelating. In de brede zin wordt er aan het DRM meer functionaliteit toegevoegd zoals de mogelijkheid om de acties die op het bestand uitgevoerd worden te loggen. DRM is meer dan technologie alleen. De technische kant wordt ondersteund door een sterk ontwikkelde wettelijke kant. Het grote probleem op dit vlak is dat ieder land een verschillende wetgeving op poten zet. Het derde facet van een DRM is de licentie die afgeleverd wordt aan partners. DRM heeft het voordeel ten opzichte van de vroegere beveiligingen dat het een vangnet heeft onder de vorm van wetten en licenties indien de technische beveiliging faalt. Toch is niet iedereen tevreden met de bestaande DRM-systemen. Een groeiende groep gebruikers klaagt onder andere het gebrek aan gebruiksvriendelijkheid aan. Andere pijnpunten vormen het invoeren van een privaat copyright waardoor het fair use en fair sale op de helling komt te staan. DRM is dus veel meer dan de laatste vorm van beveiliging van bestanden. Door DRM verschuift de beveiliging weg van distributiekanalen, zoals de CD, en slaat men de weg in waarbij men de inhoud van het bestand zelf beveiligd. Dit is te wijten aan de immense mogelijkheden die er zijn in de distributie via internet.[Rump, 2004]
Hoofdstuk 2 Bedrijfsprocessen en DRM Na een eerste hoofdstuk waarin de basis van DRM werd uiteengezet, wordt in dit hoofdstuk de link gelegd met de verschillende bedrijfsprocessen die aanwezig zijn binnen bedrijven. Hiervoor wordt een beroep gedaan op de waardeketen theorie van Michael Porter.[Porter, 1985]
2.1
Inleiding
Dit hoofdstuk moet gezien worden als een introductie tot de invloed van DRM op bedrijfsmodellen. Hiervoor worden bedrijven opgesplitst in verschillende processen. Er wordt vervolgens nagegaan op welke bedrijfsprocessen DRM allemaal een invloed heeft aan de hand van de waardeketen van Porter.[Porter, 1985]
Figuur 2.1: Het waardeketen model van Porter. [van Raalte, 2000]
De waardeketen (2.1) valt uiteen in volgende onderdelen: 28
Hoofdstuk 2. Bedrijfsprocessen en DRM
29
Primaire activiteiten: Ingaande logistiek: het ontvangen, opslaan en verspreiden van basisproducten Operaties: omzetten van grondstoffen in eindproduct Uitgaande logistiek: het ontvangen, opslaan en verspreiden van het eindproduct Marketing en verkoop: reclame, prijszetting, ... Service: installatie, reparatie, training, ...
Secundaire activiteiten Verwerving: de inkoopfunctie Technologie-ontwikkeling: procedures, knowhow, procestechnologie, ... Human resources: werving, selectie, training, ... Infrastructuur: algemeen management, planning, financieel beheer, boekhouding,
...
In volgende paragrafen wordt duidelijk hoe DRM de verschillende bedrijfsprocessen be¨ınvloedt. Omdat er een groot verschil bestaat tussen de invloed die DRM heeft op de entertainmentindustrie en de andere industrie¨en, werd ervoor geopteerd om een opsplitsing te maken.
2.2
De mogelijke impact op bedrijfsprocessen in de entertainmentindustrie
2.2.1
Primaire activiteiten
Zowel voor de ingaande als voor de uitgaande logistiek zal DRM een rol spelen. De ingaande logistiek zal namelijk rekening moeten houden met de verticale interoperabiliteit. Het is namelijk zo dat, om bestanden op de meest optimale omstandigheden te beveiligen, het nodig is om ze vanaf de bron te versleutelen. Het probleem op dit vlak ligt in een gebrek aan verticale interoperabiliteit, het feit dat iedere stap in het verkoopsproces een
Hoofdstuk 2. Bedrijfsprocessen en DRM
30
ander DRM gebruikt. Door ´e´en enkel DRM te gebruiken in de waardeketen kan men beter piraterij bestrijden. Een voorbeeld van optimale verticale integratie vinden we terug bij Apple. Zij zijn erin geslaagd om een dienst, de website, een apparaat, de iPod en een grote hoeveelheid bestanden aan te bieden aan de hand van ´e´en DRM, FairPlay.[Van Tassel, 2005] Vooral de uitgaande logistiek is belangrijk. Een DRM dat totaal niet gebruiksvriendelijk is, zal niet gebruikt worden. Het is dus nodig een evenwicht te vinden tussen enerzijds copyright beveiliging en overdraagbaarheid naar andere apparaten, vrijheid en gebruiksgemak anderzijds. De verkeerde keuze van DRM kan zware gevolgen hebben zoals een boycot van het product.[Copyleft-Music, 2006] Marketing zal voor de entertainmentindustrie het belangrijkste bedrijfsproces zijn waar DRM een rol in speelt. De keuze van het DRM dat men gebruikt zal dan ook een belangrijke rol spelen in het succes van de onderneming. De keuze van het DRM hangt voor een groot deel samen met de marketing die men wil toepassen. Dankzij DRM kunnen nieuwe distributie- en marketingmodellen uitgedacht worden en kan product- en prijs-differentiatie op eenvoudige wijze aangeboden worden. DRM zal eveneens een belangrijke rol spelen bij de aangeboden diensten. Concurrenten zullen zich meer en meer differenti¨eren door verschillende diensten aan te bieden. Om de concurrentie een stap voor te blijven zal men steeds nieuwe en uitgebreidere diensten moeten aanbieden. DRM zal hierin een rol spelen omdat het de mogelijkheid aanbiedt om gegevens in verband met de consumptie te verzamelen.
2.2.2
Secundaire activiteiten
DRM zal een invloed hebben op de verwerving. Indien men als aanbieder van bestanden een DRM gebruikt dat het copyright minder goed beveiligd zal men niet gauw geneigd zijn als auteur of eigenaar van de rechten om de bestanden te laten verdelen door deze aanbieder. De sterkte van het DRM zal dus een verklarende variabele zijn voor het aantal bestanden die men zal aanbieden. Dit effect wordt nog versterkt door het feit dat een platform met veel auteurs nog meer auteurs aantrekt. Gebruikers zien er namelijk tegenop om zich lid te maken van verschillende websites. DRM zal waarschijnlijk de technologie-ontwikkeling van de entertainmentindustrie aanzwengelen. DRM’s worden constant onderworpen aan aanvallen van hackers. Het is dus
Hoofdstuk 2. Bedrijfsprocessen en DRM
31
nodig om steeds verder te gaan met de ontwikkeling van het DRM om de beveiling te verbeteren en bovendien nieuwe diensten te kunnen aanbieden. Human resources van de grote firma’s zullen beveiligd worden met een DRM om zo de privacy te waarborgen. DRM zal eveneens zijn intrede doen op het management niveau en het financi¨ele departement. Het gaat hier vooral om het verzekeren van de beveiliging en het voldoen aan de wetgeving.
2.3
De mogelijke impact op bedrijfsprocessen in overige industrie¨ en
2.3.1
Primaire activiteiten
Zowel logistiek als operationeel zullen slechts weinig worden be¨ınvloed door DRM. Verplichtingen opgelegd door de wetgeving, sectororganisaties en interne reglementen kunnen ervoor zorgen dat er regels zijn waaraan voldaan moet worden. Service zal be¨ınvloed worden. Het DRM dat er bijvoorbeeld voor zorgt dat bij conversaties tussen arts en pati¨ent de gegevens confidentieel blijven, moet gebruiksvriendelijk zijn. Een DRM dat totaal niet gebruiksvriendelijk is, zal niet gebruikt worden en kan tot verlies van klanten leiden. Marketing zal waarschijnlijk geen grote invloed ondervinden op korte termijn. De enige mogelijke invloed die marketing kan ondervinden, zal het digitaliseren van de reclamefolders zijn. Deze folders zouden dan beveiligd worden met een DRM. Dit zou dan bijvoorbeeld enkel de coupons laten afdrukken wanneer de consument zijn gegevens ingeeft. Veel zal natuurlijk afhangen van de spitsvondigheid waarmee reclamemensen nieuwe idee¨en hieromtrent ontwikkelen. Een tweede mogelijk pad waar DRM zou gebruikt kunnen worden is bij het verdelen van nieuwe versies van originele bestanden. Het DRM zou dan controleren of men het product aangekocht heeft en op die manier recht heeft op de vernieuwde versie.
2.3.2
Secundaire activiteiten
Alle secundaire activiteiten zullen be¨ınvloed worden door DRM. De meest gereguleerde activeiten zoals financieel beheer, boekhouding en het management zullen een grondige
Hoofdstuk 2. Bedrijfsprocessen en DRM
32
verandering ondergaan. Het invoeren van een DRM lijkt standaard te worden om te voldoen aan de opgelegde wetgeving terzake.[Liquid Machines Inc., 2004b] [Pinder, 2006] Deze activiteiten zijn voornamelijk te vinden onder infrastructuur. Vooral de beveiliging van gegevens is en zal een uitdaging blijven. Het gaat hier om bedrijfskritische gegevens zoals financi¨ele gegevens of bijvoorbeeld aquisitieplannen. De human resources departementen zullen eveneens be¨ınvloed worden door DRM. De aanpassingen zullen echter op een lager niveau liggen dan bij de vorige departementen. Bij HR zal voornamelijk de mogelijkheid om de privacy beter te beschermen het gebruik van DRM aanmoedigen. Techologie-ontwikkeling zal door DRM be¨ınvloed worden omwille van de beveiliging van de bestanden. De knowhow kan door middel van DRM veel beter beschermd worden. De procestechnologie en processen zullen om dezelfde reden waarschijnlijk gebruik maken van DRM. De verwervingsactiviteiten zullen het minst be¨ınvloed worden door DRM al kan DRM toch ook hier een rol spelen door het invoeren van bedrijfsreglementen. Zo zullen gegevens van leveranciers eveneens beveiligd moeten worden. Het gaat hier vooral om interne reglementering die ervoor moet zorgen dat de workflow optimaal is.[Liquid Machines Inc., 2004a]
Hoofdstuk 2. Bedrijfsprocessen en DRM
2.4
33
Besluit
Zoals uit voorgaande paragrafen blijkt, heeft DRM op alle bedrijfsprocessen invloed.
Entertainment Overige Primaire activiteiten Ingaande logistiek
+
+
Operaties
+
+
++
+
+++
+
++
++
+
+
+++
++
Human resources
+
++
Infrastructuur
+
+++
Uitgaande logistiek Marketing Service Secundaire activiteiten Verwerving Technologie-ontwikkeling
Tabel 2.1: De invloed van DRM op de verschillende bedrijfsprocessen.
Binnen de entertainmentindustrie heeft DRM voornamelijk invloed op de primaire activiteiten terwijl in de overige sectoren eerder de secundaire activiteiten be¨ınvloed zullen worden. De invloed van DRM op elk bedrijfsproces wordt schematisch weergegeven in tabel 2.1. De primaire activiteiten die het meest be¨ınvloed zullen worden door DRM zijn de uitgaande logistiek, de service maar vooral de marketing. Hieraan wordt een volgend hoofdstuk gewijd onder de benaming ’DRM, de bron van vernieuwing in marketing’. De sector waar dit hoofdstuk zich op toespitst is de digitale entertainmentsector. Specifiek wordt de aandacht gericht op de muziekindustrie maar veel idee¨en en concepten zijn perfect toepasbaar op andere takken van deze industrie. Bij de secundaire activiteiten springt vooral de invloed op de infrastructuur, de technologieontwikkeling en de human resources in het oog. Maar eigenlijk loopt er een rode draad door alle activiteiten met name beveiliging van gegevens. Het is dan niet meer dan logisch dat ook hier een volledig hoofdstuk aan gewijd wordt onder de noemer ’Veiligheid en com-
Hoofdstuk 2. Bedrijfsprocessen en DRM
34
pliance in de bedrijfswereld’. Specifiek wordt gekeken naar beursgenoteerde bedrijven en bank- en kredietinstellingen maar hier zijn de idee¨en en concepten eveneens toepasbaar op andere bedrijven die omgaan met data die beveiligd moeten worden.
Hoofdstuk 3 DRM, de bron van vernieuwing in marketing? Er wordt verwacht dat DRM een grote verandering zal teweegbrengen in de marketing van bedrijven. Vooral de entertainmentindustrie zal in de komende jaren waarschijnlijk een grondige metamorfose ondergaan. Hoe DRM de marketing zal be¨ınvloeden wordt in dit hoofdstuk nagegaan aan de hand van het 4 P marketing mixmodel.
3.1
Inleiding
Door de introductie van nieuwe producten en diensten begint de entertainmentindustrie aan een nieuwe periode in de digitale wereld. Het wordt namelijk meer en meer belangrijk om in te spelen op nieuwe consumententrends en hiervoor de juiste keuzes te maken. Door producten zoals draagbare MP3-spelers met gigabytes aan opslagruimte worden nieuwe manieren van zaken doen mogelijk en kunnen nieuwe initiatieven zoals online muziekwinkels gelanceerd worden. Het steeds sneller wordende internet geeft eveneens aanleiding tot grote verschuivingen. Een eerste belangrijke maar woelige omwenteling was de opkomst van P2P-netwerken waardoor het verspreiden van muziek in quasi perfecte kwaliteit een fluitje van een cent werd. Door de steeds sneller wordende connecties werden geleidelijk aan films verspreid, eerst in erbarmelijke kwaliteit met de grootte van een GSM-scherm, tegenwoordig in DVDkwaliteit. Nog is de revolutie niet gedaan. Waar downloaden van films en muziek bijna tot het verleden behoort, is de toekomst weggelegd voor streaming. 35
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
36
Op dat gebied schat men in dat het groeipotentieel enorm is. Er wordt verwacht dat de muziekindustrie tussen 2002 en 2006 jaarlijks met 33% groeit. Die groei zou voornamelijk komen door betere beveiliging van de bestanden, nieuwe bedrijfsmodellen en marketingstrategie¨en.[RNCOS, 2005] Precies die mogelijkheid tot innovatie van de huidige marketing door middel van DRM wordt besproken in dit hoofdstuk. Traditioneel wordt marketing opgesplitst in 4 delen, ook wel de 4 P’s genaamd [Kotler, 2004]: Product: vari¨eteiten, kwaliteit, ontwerp, ... Prijs: prijszetting, prijs-differentiatie, ... Plaats: distributie, kanalen, ... Promotie: direct marketing, reclame, ...
De eerste P in het rijtje van 4 P’s staat voor product. Bij DRM wordt dan voornamelijk gedacht aan entertainmentproducten: films, muziek en computerspelletjes. De tweede P behandelt de prijszetting en eventuele prijs-differentiatie. De derde P refereert naar de plek waar het product verkocht wordt. Hieronder vallen zaken als distributieopbouw. De laatste P beschrijft de promotiemogelijkheden zoals advertenties, publiciteit en persoonlijke verkoop.
3.2
Product
3.2.1
DRM, een negatieve impact op de willingness to pay (WTP) van de gebruiker
Dankzij DRM is er een opvallende trend aan de gang die ervoor zorgt dat muziek en films niet meer als product worden gezien maar meer als een service naar de consumenten toe.[Fox, 2004] Gebruikers willen echter waar voor hun geld. Er is bijvoorbeeld een ganse generatie opgegroeid met de idee dat muziek gratis is. Wil men deze generatie overhalen tot betalen dan zal men rekening moeten houden met hun verwachtingen.[Berry, 2002] Een uitgebreide keuze: de gebruiker wil vinden wat hij zoekt en liefst zo snel moge-
lijk. De keuze moet dus voldoende groot zijn.
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
37
Flexibel gebruik: men wil het bestand op verschillende toestellen kunnen gebruiken
met zo weinig mogelijk restricties. Het product moet eenvoudig te gebruiken ´en betrouwbaar zijn. Een faire prijs: gebruikers zijn opgegroeid met de idee dat muziek gratis is. Men zal
dus met dit gratis alternatief moeten concurreren. 79% van de downloaders in 2004 betaalde niet voor de muziek die ze hadden gedownload.[Fox, 2004] Men verwacht dat dit cijfer zal dalen door het invoeren van het groter aantal mogelijkheden tot legaal downloaden. Een tweede reden waarom de prijs niet te hoog kan liggen is omdat de gebruiker de prijs van substituten kent. Een hogere prijs vragen voor een product dat minder flexibel is, zal niet als faire prijs aanzien worden. Door het invoeren van een DRM zal men de willingness to pay (WTP) naar beneden halen omdat het nut van de consumptie voor de gebruikers daalt. Het invoeren van een DRM moet dus weloverwogen worden. [Sundararajan, 2004]
3.2.2
Product-differentiatie
Doordat DRM toelaat restricties op te leggen aan het gebruik, slaagt het erin om op eenvoudige wijze product-differentiatie te verwezenlijken. Onder product-differentiatie moet niet enkel het verschil in kwaliteit tussen de aangeboden bestanden worden verstaan. De gepercipieerde kwaliteit die de gebruiker ervaart zal echter veel belangrijker worden. Men kan differenti¨eren op volgende manieren: Verschillende kwaliteit: de meest voor de hand liggende differentiatie bekomt men
door bestanden in verschillende kwaliteit aan te bieden. Naargelang de licentie zal dan een betere kwaliteit ondersteund worden door het DRM. Bij video’s zou men bij een hogere prijs een grotere resolutie kunnen krijgen.[Lerouge et al., 2005] Apparaatafhankelijkheid: via DRM kan men ervoor zorgen dat er een differenti-
atie ontstaat naar het gebruikte apparaat om af te spelen. Het gebruik van een MP3 op een GSM is namelijk anders dan indien de MP3 beluisterd wordt op een iPod of ingeladen wordt in de (muziek)computer in een danscaf´e. De muziek op de computer in het danscaf´e bereikt namelijk een veel groter publiek dan deze op
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
38
de MP3-speler. Echt nieuw is deze opdeling niet. Eenzelfde soort opdeling, afhankelijk van de grootte van het publiek wordt reeds toegepast bij het innen van het auteursrecht.[SABAM, 2006] Soort handelingen: zoals in de informatie architectuur van hoofdstuk ´e´en werd be-
schreven moet DRM in staat zijn verschillende rechten te defini¨eren. Dit laat toe om te differenti¨eren volgens deze rechten. De toelating tot kopi¨eren, afdrukken of afspelen kan telkens verbonden zijn met een bepaalde prijs. Het is namelijk logisch dat het samplen van een werk een hogere prijs heeft dan het louter afspelen.[Petrick, 2004] Overige beperkingen: men kan beperkingen opleggen aan de toelating die verstrekt
wordt. Men kan bijvoorbeeld de toelating tot beluisteren of kopi¨eren beperken tot 5 maal. Na 5 keer moet de gebruiker opnieuw betalen. T-Mobile geeft klanten de optie om een korte clip te downloaden van muziekbestanden die ze verkopen. Na deze tweemaal te hebben beluisterd, vervalt de licentie en moet het volledige bestand aangekocht worden.[T-Mobile, 2006a] Naast een differentiatie aan de hand van het aantal keer dat een bestand kan gespeeld of gekopieerd worden, kan men bijvoorbeeld een hogere prijs vragen voor een bestand dat gelijk wanneer afgespeeld kan worden. Een digitale aanbieder van films zou bijvoorbeeld een lagere prijs kunnen vragen voor een film die enkel tijdens de werkuren af te spelen is. Dit zou de verkoop van dit soort bestanden bij nietwerkenden kunnen vergroten. Het spreekt voor zich dat de ondervonden kwaliteit en bijgevolg het nut voor de gebruiker lager ligt wanneer de beperkingen strenger zijn. Op deze manier kan men bijna het perfecte product aanbieden aan elke gebruiker. Verschillende producten wil ook zeggen dat men verschillende prijzen kan vragen.
3.3 3.3.1
Prijs Oligopolies
De digitale retail-wereld wordt gekenmerkt door oligopolies.[Petrick, 2004] Een artiest is meestal exclusief verbonden aan een label. Albums en liedjes van andere artiesten zijn,
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
39
tot op zekere hoogte, geen perfecte concurrenten voor elkaar. Dit geldt evenzo voor films. Pay-per-download websites verdelen bestanden met een DRM zodat ze bijvoorbeeld enkel op het apparaat, dat gepromoot wordt door de webshop, werken. De iPod van Apple is hiervan het beste voorbeeld. Door het beperkt aantal grote concurrenten op deze markt, kan ook hier gewag gemaakt worden van oligopolies. De diensten die MP3’s beschikbaar stellen op basis van een maandelijks bedrag zijn eveneens geen perfecte concurrenten van elkaar. Eenmaal je bij de ene aansluit, is de kost om van netwerk te veranderen groot. De liedjes die gedownload werden op het oude netwerk moeten allemaal terug gedownload worden op het nieuwe netwerk. Kortom, een grote kost om te switchen. Er moet echter wel rekening gehouden worden met het feit dat er illegale, quasi gratis bestanden zijn die concurrentie vormen met de legale bestanden. Vooral bij de prijsvorming moet hierbij rekening gehouden worden. Men kan de prijs niet te hoog leggen omdat consumenten dan een illegale kopie aanschaffen of het product links laten liggen. Een tweede reden waarom de prijs niet te hoog mag zijn, is omdat er een zekere kruiselingse elasticiteit is tussen producten die zich op hetzelfde doelpubliek richten. Er kan dus gesteld worden dat websites die met een lidmaatschap werken, eveneens oligopolies zijn. [Petrick, 2004].
Figuur 3.1: Voorstelling van vraag en aanbod. [Petrick, 2004]
Figuur 3.1 geeft de vraag en het aanbod weer zoals het door een eigenaar van de rechten wordt gezien. D is de vraagcurve zonder rekening te houden met andere concurrerende
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
40
producten en illegale bestanden. DN is de nieuwe vraagcurve waarbij wel met beiden rekening gehouden werd. DN is vlakker dan D wegens de kruiselingse elasticiteit tussen producten met hetzelfde doelpubliek. Deze elasticiteit is eveneens een bewijs van de aanwezigheid van oligopolies. MRN is de marginale vraagcurve. P is de gevraagde prijs, CM de marginale kost zodat het grijze deel de winst voorstelt. Omtrent figuur 3.1 dienen een aantal opmerkingen gemaakt te worden. Imperfect ge¨ınformeerde consumenten: muziek, films en software zijn experience
goederen. Dit wil zeggen dat de gebruiker het moet consumeren alvorens er een juiste waarde kan worden op gekleefd.[Peitz & Waelbroeck, 2003] Dit impliceert echter ook dat piraterij niet noodzakelijk een negatief effect heeft. Er worden immers meer mensen blootgesteld aan het product en dus zal de verkoop automatisch stijgen. Een andere manier om aan informatie te geraken is het te ontlenen aan vrienden. Op deze manier kan de gebruiker te weten komen of het product interessant is.[Peitz & Waelbroeck, 2003] Fair use biedt hiervoor een oplossing maar, zoals eerder gezegd, legt DRM het fair use gebruik aan banden waardoor het gebrek aan informatie van consumenten wordt versterkt. Aanpassingen van een DRM aan het fair use gebruik ligt moeilijk. Niet alleen technisch maar vooral omdat de wetgeving de interpretatie van de rechter eist.[Petrick, 2004][Bechtold, 2004] Er dient echter een verschil gemaakt te worden tussen pay-per-download sites en sites die met een lidmaatschap werken. Vermits consumenten die lid zijn toegang hebben tot alle bestanden, kunnen ze zich informeren door het bestand te openen en dit zonder meerkost. Pay-per-download biedt echter geen optie om een bestand volledig te bekijken of te beluisteren alvorens het te downloaden. Vooral bij films kan dit een nadeel zijn.[Petrick, 2004] Uitbreiding van de oligopoliepositie: DRM eerbiedigt het first sale niet waardoor de
eigenaar in staat is een hogere prijs te vragen op de primaire markt. De secundaire markt is namelijk onbestaand. Men kan tot op heden een met een DRM beveiligd bestand niet doorverkopen aan een derde persoon. Hierdoor wordt de positie als oligopolie versterkt en verschuift DN naar rechts. [Petrick, 2004] Het feit dat het invoeren van een DRM de secundaire markt vernietigt, hoeft niet noodzakelijk problematisch te zijn. Aan de huidige, courante prijzen voor singles,
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
41
1$ per liedje, lijkt het bijna onmogelijk om een bloeiende secundaire markt te hebben.[Petrick, 2004] Transactiekosten: aan de ene kant zal DRM de transactiekosten doen dalen. Ten
opzichte van de fysische distributie kan men namelijk besparen op distributiekosten. Dankzij DRM kan men de kosten verbonden aan het stockeren en transporteren van de fysische drager vermijden. DRM kan echter ook een stijging van de kosten met zich meebrengen.[Lin, 2005] Bestanden die beveiligd worden met een DRM zullen de server meer belasten zodat er misschien nood zal zijn aan nieuwe, sterkere servers. Daarnaast moet een DRM aangekocht worden of binnenshuis ontwikkeld worden. De kost van de aankoop of de ontwikkeling moet doorgerekend worden aan de klant. Men kan een klein bedrag vragen per verkocht bestand of men kan een licentie kopen tegen een vaste prijs. Het resultaat is in beide gevallen hetzelfde. De marginale kostencurve verschuift naar boven ten opzichte van het geval waar er geen DRM was. Extra kosten: het invoeren van een DRM brengt nog extra kosten met zich mee.
Het DRM moet ook af en toe aangepast worden. De upgrade-kost kan hoog oplopen vooral omdat tijdens het upgraden van de software de site niet toegankelijk is. Een nog veel grotere kost kan ontstaan wanneer blijkt dat alle bestanden ontoegankelijk worden omdat het nieuwe DRM niet compatibel is met het voorgaande DRM. Dit leidt tot ongelukkige gebruikers.[Feldman, 2005] Een laatste punt in verband met extra kosten en waar eveneens mee rekening gehouden moet worden is de kost die het stoppen van de service met zich mee zal brengen. Indien een website die met lidmaatschap werkt stopt, zal het zich aan een hoge rekening mogen verwachten van de leden die ontevreden zijn. Naast het stopzetten van de service moet men eveneens rekening houden met de altijd aanwezige kans dat het DRM gekraakt wordt. Er moet dan tijd en geld gestoken worden in het ontwikkelen van een nieuw en veilig DRM en in het indekken van de schade ten gevolge van de breuk in de beveiliging. Onderproductie van nieuwe werken: het invoeren van DRM brengt met zich mee
dat het moeilijker wordt of zelfs technisch onmogelijk wordt om afgeleide werken
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
42
te cre¨eren door middel van sampling. Op dit moment worden artiesten die gebruik maken van andermans werk om een nieuwe creatie te maken niet verplicht een som te betalen. Bij DRM wordt de intentie om andermans werk te gebruiken reeds belast. Hierdoor zal een artiest een wel overwogen keuze moeten maken vooraleer de nodige licenties aan te schaffen. Men vreest dat dit de creativiteit van de artiesten zal belasten. Bovendien vreest men dat de eigenaar van de rechten van het originele werk aan winst zal inboeten omdat er minder gebruik zal gemaakt worden van zijn werk om nieuwe werken te cre¨eren.[Petrick, 2004] Nog erger is het gesteld wanneer men werken waarvan het copyright reeds verstreken is, beveiligt met een DRM. Alhoewel deze werken eigendom zijn van de gemeenschap kan men ze toch niet gebruiken, tenzij een som wordt betaald, omdat DRM het onmogelijk maakt om ze te ’recycleren’. Men gaat ervan uit dat de geaggregeerde kost voor de muziekindustrie wel eens zeer groot zou kunnen zijn.[Petrick, 2004]
3.3.2
Prijs-differentiatie
Sell your product at different prices to different consumers according to how much they ” are willing to pay for it” is ´e´en van de aanraders van Shapiro en Varian [Shapiro & Varian, 1999]. Omdat men via DRM op een eenvoudige wijze, zie voorgaande sectie, een verschil kan cre¨eren in kwaliteit, heeft DRM de mogelijkheid geschapen om prijs-differentiatie te bewerkstelligen. Op deze manier kan men een veel grotere omzet en winst bereiken. Figuur 3.2 is een uitbreiding van figuur 3.1 en geeft weer hoe prijs-differentiatie de winst verhoogt. DRM geeft de mogelijkheid om de markt op te splitsen door van eenzelfde origineel product verschillende versies te lanceren aan een verschillende prijs. Zoals op figuur 3.2 te zien is, slaagt de oligopolist erin om verschillende prijzen langs de vraagcurve te bereiken. Dit heeft twee gevolgen. Ten eerste kan er een grotere winst geboekt worden door een hogere prijs te vragen aan de mensen die vroeger de oligopolieprijs betaalden. Ten tweede bereikt men nu ook het deel van de markt dat voor het invoeren van het DRM en de product-differentiatie de prijs te hoog vond. Aan dat deel van de markt wordt namelijk een product aangeboden van lagere kwaliteit. Het kan bijvoorbeeld maar ´e´en keer beluisterd worden, maar daartegenover staat een prijs die lager ligt dan de oorspronkelijke oligopolieprijs.[Petrick, 2004]
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
43
Figuur 3.2: Prijs-differentiatie. [Petrick, 2004]
E´en van de problemen die optreedt bij prijs-differentiatie is dat gebruikers verward geraken door de complexe prijsstructuur. De verschillende prijzen verhinderen ook de transparantie waardoor het voor de consument moeilijker wordt om concurrerende prijzen te vergelijken. Deze moeilijkheid zou ervoor kunnen zorgen dat potenti¨ele kopers afhaken omdat het voor hen te moeilijk is.[Groffmann, 2005]
3.3.3
Prijszetting met technologie
Door het invoeren van internet als distributiekanaal werd de prijs niet meer gevormd door de kosten plus een marge. Vermits de kosten zo sterk gedaald zijn, weerspiegelden ze niet meer de prijs. Er moest dus een andere manier gevonden worden om de prijs te bepalen: het nut. [Groffmann, 2005] Een tweede factor die de prijs be¨ınvloedt, is het invoeren van een DRM. In Park & Scotchmer [2005] wordt bewezen dat een DRM de prijzen doet dalen ten opzichte van de oligopolieprijs die kan gevraagd worden wanneer er geen gevaar is voor piraterij. Dit kan verklaard worden doordat prijzen moeten dalen om te concurreren met de aanwezigheid van illegale kopie¨en maar ook omdat mensen minder willen betalen voor een met DRM beveiligd bestand wegens de restricties. Alhoewel de prijs door het invoeren van het DRM zakt, wordt op deze manier de grootste winst gegenereerd voor de eigenaar van de rechten. Men kan een gemeenschappelijk DRM
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
44
aankopen om zo kosten te besparen. Een nadeel is dat het DRM echter interessanter wordt om te doorbreken.[Park & Scotchmer, 2005] Gebruikers hebben een WTP, θ ∈ [0, 1], die uniform verdeeld is. Met een bestand van prijs p wordt het aantal kopers gegeven door θ ≥ p, met kans 1 − p. Het consumentensurplus Rθ wordt gegeven door s(p) = (θ − p)dθ = 21 (1 − p)2 . Wanneer er dus geen piraterij is, is p
de winstmaximaliserende prijs p∗ = 21 .[Park & Scotchmer, 2005] Indien er echter wel piraterij optreedt, is het nodig om een DRM in te voeren met sterkte e ∈ <+ . Hierbij stelt e naast de sterkte van het DRM tevens de kost om het DRM te omzeilen voor. Als e > p∗ dan is de optimale prijs p∗ omdat de kost voor het omzeilen toch te hoog ligt. Indien e < p∗ dan zal men de prijs laten zakken zodat de prijs p = e. Op deze manier zal men het verschil tussen de winst en de kost van het DRM maximaliseren op een niveau e∗ dat lager ligt dan p∗ . De aanwezigheid van piraterij zorgt ervoor dat er een DRM moet ingevoerd worden en dat de prijs daalt. Op lange termijn kan het invoeren van een DRM zelfs meer winst opleveren dan in het geval zonder piraterij. Dit kan verklaard worden door het feit dat het wettelijke copyright beperkt is in tijd, terwijl een DRM geen beperking heeft in tijd.[Park & Scotchmer, 2005]
3.4 3.4.1
Plaats Vernieuwde distributiemodellen
Het distributiemodel met verdeling van fysieke dragers zoals CD’s en DVD’s is op de terugweg. Dankzij DRM is de haalbaarheid van distributie via internet toegenomen wat vervolgens leidde tot nieuwe distributiemodellen. Een eerste vorm, het broadcasting model, geeft muziek gratis weg. Bij twee andere modellen moet betaald worden. Aan de ene kant zitten de pay-per-download winkels zoals iTunes en Belgianmusiconline en aan de andere kant de sites met een lidmaatschap zoals Napster en Helix van RealNetworks. Het broadcasting model Het broadcasting model is te vergelijken met een commercieel tv- of radiostation. Door middel van reclame kan de inhoud gratis aangeboden worden. Muziek wordt dus aangeboden als een gratis service. Dit model gaat ervan uit dat de echte waarde van muziek het publiek is dat de muziek beluisterd en niet de muziek op zich. Het is precies dit publiek
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
45
waar de adverteerders in ge¨ınteresseerd zijn. Men gebruikt dus de muziek om informatie te verzamelen over het publiek. Deze informatie is voor adverteerders van goudwaarde omdat ze zo gerichter kunnen adverteren.[Fox, 2004] Het is precies DRM die het mogelijk maakt om informatie op te vragen aan de gebruiker alvorens bestanden afgespeeld worden. Bij het downloaden zou bijvoorbeeld een vragenlijst aangeboden kunnen worden. Enkel wanneer de vragenlijst ingevuld is, wordt het bestand afspeelbaar. Aan de hand van de informatie kan men dan bijvoorbeeld producten voorstellen aan de gebruiker. Dit model kan interessant zijn voor wereldberoemde groepen. Men zou een eerste MP3 gratis kunnen weggeven maar de gebruiker moet aanvaarden dat hij elke week een mail krijgt met nieuwe merchandise van de groep of tickets voor hun concert. De verkoop van de merchandise producten en tickets zouden dan de kost van het gratis aanbieden van de muziek moeten compenseren. In een ander model zou het aanbieden van de MP3 gratis kunnen zijn terwijl de videoclip tegen betaling zou zijn. Met de opkomst van de draagbare videospelers is dit een logische strategie.[Fox, 2004] Een andere mogelijkheid is om, telkens de MP3 afgespeeld wordt, een advertentie af te beelden op het scherm. De advertenties kunnen gebaseerd zijn op demografie, geografie of andere eigenschappen eigen aan de consument. Bovendien kan op deze manier in real-time gemeten worden wat de impact van de advertentie is op de consument.[Fox, 2004] Het nadeel van dit model is dat de grote spelers nooit in dit systeem zullen stappen omdat zij muziek nog altijd als een product zien en niet als een service tegen betaling. Bovendien veroorzaakt het gratis weggeven van muziek moeilijkheden voor de modellen die bestanden niet gratis weggeven omdat consumenten de prijs van bestanden die niet gratis zijn lager zullen inschatten. Bovendien blijft de vraag of deze modellen winstgevend genoeg zijn.[Fox, 2004] Het enige netwerk dat op deze manier muziek aanbood, Playj, is reeds van de markt verdreven. Wat overblijft zijn sites die bestanden aanbieden van onbekende artiesten of via advertenties gesponsord worden. Een voorbeeld hiervan is http://www.dance-industries. com dat ongekende dance en trance artiesten promoot. Pay-per-download sites Pay-per-download winkels bieden zowel aparte liedjes als complete albums aan tegen een vaste prijs. De gebruiker bezoekt de site en downloadt na betaling de bestanden. Vanaf
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
46
dan is men eigenaar van het bestand. Deze eigendom is niet beperkt in de tijd maar kan wel na verloop van tijd gewijzigd worden. De webportals hebben namelijk in hun contract met de gebruiker opgenomen dat de voorwaarden waaronder men het bestand mag gebruiken variabel zijn.[Lin, 2005] Het is precies hier dat DRM zijn werk doet. DRM laat toe om de bestanden te consumeren maar verplicht ondertussen de consument het contract dat afgesloten werd bij het downloaden te respecteren. Zonder DRM zou het bijvoorbeeld mogelijk zijn om het bestand naar een oneindig aantal verschillende PC’s te kopi¨eren.[iTunes, 2006b] Lidmaatschap Uit onderzoek blijkt dat er ongeveer 11 miljoen mensen interesse hebben in dit model.[Fox, 2004] Bij subscription sites moet de gebruiker per afgesproken periode betalen. Dit is meestal per maand of per jaar. Gedurende de ganse periode waarbij men zijn lidgeld betaalt, krijgt de gebruiker de kans om nieuwe bestanden te downloaden. DRM speelt hierin een rol door na te gaan of men nog steeds lid is van de site. Het zou dus theoretisch mogelijk zijn om te downloaden ook al is men geen lid. Het DRM zorgt er echter voor dat wanneer men een bestand afspeelt het lidmaatschap gecontroleerd wordt. Als men niet betaald heeft, zal men geen sleutel ontvangen om het bestand te ontsleutelen. De bestanden zijn dus waardeloos.[RealNetworks, 2006a] Dit soort sites vist in hetzelfde marktsegment als de illegale netwerken die gratis zijn. Ze lokken leden door, naast een legale oplossing, betere service en muziek aan betere kwaliteit aan te bieden. De belangrijkste redenen om zich bij een legaal netwerk in te schrijven zijn de betere kwaliteit qua bitrate en stabiele downloads en de zekerheid dat de gedownloade MP3 het bestand is dat men zoekt en geen virus bevat. Betere service is onder andere het aanbieden van suggesties zoals playlists van andere gebruikers.[Berry, 2002][Fox, 2004] Sites met een lidmaatschap zijn aantrekkelijk omdat ze mensen aantrekken die meer geld zouden uitgeven aan muziek en films indien het eenvoudiger was om ze aan te kopen. Bovendien hebben ze dankzij het online aanbieden een veel grotere keus dan in de platenwinkel om de hoek.[Fox, 2004] Lidmaatschap heeft voor de gebruikers ook wel nadelen. Ten eerste zit men vast aan de PC of draagbare MP3-speler. Men kan namelijk de gedownloade bestanden niet naar een CD schrijven zonder een extra licentie aan te kopen.[Lin, 2005] Een tweede probleem is de mogelijkheid dat gebruikers op verschillende netwerken een
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
47
abonnement moeten nemen. Er moet namelijk telkens een overeenkomst gesloten worden tussen de eigenaar van de rechten en het desbetreffende netwerk. Dit probleem treedt op wanneer bepaalde artiesten exclusief op een netwerk verschijnen.[Fox, 2004]
3.4.2
Lidmaatschap versus pay-per-download
De meest sterke en gebruikte bedrijfsmodellen op dit moment zijn lidmaatschap en payper-download. Experten zijn het er niet over eens welke van de twee modellen de mooiste toekomst te wachten staat.[Fox, 2004] Het subscription model valt of staat met het aantal gebruikers die lid zijn. Het zal er dus op aan komen om een zo groot mogelijk deel van de markt in te nemen zodat de prijs gedrukt kan worden. Sites met een lidmaatschap die een groot en gevarieerd aanbod hebben zullen bijzonder in trek zijn bij gezinnen omdat de kost van het lidmaatschap over verschillende gezinsleden kan gespreid worden.[Robinson, 2004] Een voordeel van sites met een lidmaatschap is dat men alles kan proberen wat men wil. Dit is bijzonder gebruiksvriendelijk. Men hoeft als gebruiker geen energie te steken in het bepalen of men een bestand zal aankopen. Dit zorgt ervoor dat gebruikers het aangenamer vinden. Men kan zich volledig concentreren op de consumptie.[Robinson, 2004] Een ander voordeel van lidmaatschap is dat men niet moet bang zijn dat men zijn aankoop verliest. Indien bijvoorbeeld de harde schijf van de computer waarop al de aangekochte bestanden van iTunes staan het begeeft, zal men al deze bestanden opnieuw moeten aankopen. Bij lidmaatschap moet men de bestanden niet opnieuw betalen indien men ze verliest.[Robinson, 2004] Het grote voordeel van pay-per-download sites is dat men wel degelijk de rechten op het bestand aankoopt in plaats van huurt. Na een eenmalige betaling kan men altijd genieten van de aankoop. Indien men echter stopt met het betalen van het lidgeld is men alle muziek kwijt.[Fox, 2004] Een bijkomend nadeel van sites die via lidgeld werken is dat ze niet toelaten om muziek naar een CD weg te schrijven. speler.[Robinson, 2004]
Men blijft dus vastzitten aan de PC of MP3-
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
3.4.3
48
De toekomst: superdistributie via P2P-netwerken
Men neemt aan dat distributie via download sites zoals we ze nu kennen, dankzij DRM een grote stap voorwaarts heeft kunnen zetten.[Robinson, 2004] E´en van de redenen waarom DRM op dit moment enorm ’hot’ is, is de steeds groter wordende populariteit van P2Pnetwerken zoals Napster, Bittorent en Kazaa. Legale distributie op grote schaal via P2Pnetwerken is echter nog niet voor morgen. Door de P2P-netwerken werd het illegaal verspreiden van bestanden een echte plaag. In eerste instantie probeerde men om deze netwerken te sluiten. Veel beter zou het echter zijn om de sterke punten van deze netwerken in hun eigen voordeel te gebruiken. De voordelen van de online distributie ten opzicht van fysieke distributie kunnen als volgt samengevat worden: In tegenstelling tot fysieke dragers zoals DVD’s en CD’s geraken via internet aange-
boden media-bestanden niet uitgeput en kunnen ze via enkele simpele klikken van de muis thuis aangekocht worden. De bestanden worden ook quasi onmiddellijk afgeleverd.[Androutsos et al., 2006] Het gebruik van digitale distributie is tevens veel goedkoper dan niet-digitale distributie. Er is immers geen nood aan een fysische drager en de kost van het vervoer tussen het bedrijf waar de drager geproduceerd wordt en de winkel kan worden vermeden.[Lin, 2005] Distributie via internet heeft het voordeel dat men geen stock moet aanleggen en dat er geen schatting van de verkoop moet gemaakt worden.[Lin, 2005] Dankzij een ingebouwd DRM kan het copyright veel beter beschermd worden. Het
is namelijk veel eenvoudiger om een CD te rippen dan om een DRM te kraken.[Lin, 2005] Een bijkomend voordeel is dat het dankzij het DRM mogelijk wordt om aanbevelin-
gen te maken per klant. Het DRM kan bijvoorbeeld bijhouden welke bestanden de gebruiker een vorige keer gedownload heeft. Het systeem kan dan zelf met suggesties komen zodat de verkoop stijgt.[Lin, 2005] Het gebruik van superdistributie heeft ook voordelen ten opzichte van de huidge distributievormen via het internet. Het grote voordeel van P2P-netwerken ten opzichte van de
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
49
nu bestaande downloadsites ligt in het feit dat de kans op een complete black-out veel kleiner is omdat de P2P-netwerken gedistribueerd werken. De prijs die hiervoor betaald wordt is een hoeveelheid aan extra informatie die bij het zoeken optreedt.[Androutsos et al., 2006] Een tweede nadeel is dat het bij P2P-netwerken iets langer duurt vooraleer moeilijk te vinden bestanden gedownload zijn. Het downloaden van commerci¨ele artiesten zou dan weer veel sneller moeten zijn bij P2P-netwerken omdat het bestand van verschillende gebruikers simultaan gedownload kan worden.
3.5 3.5.1
Promotie Multilevel marketing
Dankzij DRM wordt het mogelijk om bestanden aan de man te brengen via multilevel marketing. Mutilevel marketing (MLM) is een vorm van directe verkoop. Het nieuwe aan deze vorm van distributie is dat de promotie en reclame voor de bestanden gebeurt door persoonlijke communicatie. Het is precies deze persoonlijke aanbeveling die ervoor zorgt dat MLM een enorm winstgevend potentieel heeft. Men heeft eerder de neiging om iets te kopen dat aanbevolen werd door een vriend dan door een affiche langs de kant van de weg.[Tyrv¨ainen et al., 2004] De incentive om MLM te gebruiken komt voort uit het feit dat je ondanks de kleine bedragen grote winst kan boeken omdat je als verkoper een procent krijgt op de verkoop van elke sub-verkoper die voor je werkt.[Tyrv¨ainen et al., 2004] Figuur 3.3 toont vereenvoudigd de werking van MLM. Men heeft een distributeur die verkoopt aan verschillende partijen (A, B en C). Al deze partijen verkopen ook producten. Zoals in figuur 3.3 te zien is, krijgt partij A dus een deel van de winst van de verkoop van zijn kinderen, A1, A2 en A3. DRM zal in de ontwikkeling van deze vorm van marketing en distributie een belangrijke rol spelen. Elke koper zal namelijk door de aankoop van een bestand verkoper kunnen worden. Bij de aankoop van een bestand zal telkens een unieke code, de verkoperscode, aangebracht worden. De koper kan op eenvoudige wijze geld verdienen door bijvoorbeeld zijn MP3 te verspreiden op een P2P-netwerk of ze aan zijn kennissen aan te bieden. Het DRM verhindert dat zijn kennissen gratis het bestand kunnen consumeren omdat het
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
50
versleuteld is. Indien ze eveneens beslissen het bestand aan te kopen en dus te ontsleutelen, wordt de unieke code van de verkoper meegezonden. Het clearing-huis zal daar rekening mee houden en zal een deel van de winst doorsturen naar de verkoper en de verkopers er boven. Vanaf dan wordt de kennis eveneens verkoper. Op figuur 3.3 is te zien hoe B1A een bestand koopt. Het clearing-huis zal dus uitbetalen aan B1, aan B en aan de eerste aanbieder van het bestand, de distributeur. Dit kan bijvoorbeeld de auteur of een online muziekwinkel zijn.[Tyrv¨ainen et al., 2004]
Figuur 3.3: Multilevel marketing. [Tyrv¨ainen et al., 2004]
Twee belangrijke parameters die gezet moeten worden door de beheerder van de bestanden zijn de prijs van de download en de verdeling van de winst naar de verkopers. Schmidt [2006] geeft de invloed weer van dynamic forward pricing op de winst van de originele aanbieder en de incentive om te kopen van de klanten. Bij dynamic forward pricing is de prijs van het bestand geen constante in de tijd. De prijs zal namelijk bepaald worden door de verzadiging van de markt. Deze verzadiging treedt op omdat men ervan uitgaat dat het aantal consumenten die het bestand kopen niet oneindig groot is. Hoe meer mensen het bestand gekocht hebben, hoe verzadigder de markt is.[Schmidt, 2006]
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
51
De verwachte gemiddelde monetaire opbrengst vi (t) die gelijk is aan de incentive op tijdstip t voor een nieuwe klant is gelijk aan de opbrengsten uit de verkoop door onderliggende klanten vr (t) verminderd met de prijs π(t) van het bestand. vi (t) = vr (t) − π(t)
(3.1)
Deze klanten, die tevens verkoper zijn, noemen we ook agenten. Met n(t) ˙ gelijk aan de instroom van agenten wordt vr (t), rekening houdend met de concurrentie tussen de verschillende klanten en met γ(t0 ) het aandeel in de opbrengst van later toekomende agenten, bepaald door: Z vr (t) = t
∞
γ(t0 )π(t0 ) 0 0 n(t ˙ )dt n(t)
Aan de hand van vergelijking 3.1 en 3.2 kan men figuur 3.4 berekenen.
Figuur 3.4: De invloed van dynamic forward pricing. [Schmidt, 2006]
(3.2)
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
52
Op de y-as staat de prijs, de x-as stelt de verzadiging van de markt voor. De streepjeslijn stelt de gevraagde prijs voor terwijl de kleine zwarte lijn de verwachte verkoopsopbrengst voorstelt. De dikke zwarte lijn stelt de incentive van de verkopers voor.[Schmidt, 2006] Op het eerste paneel (a) wordt de prijs constant gehouden onafhankelijk van de verzadiging. Het tweede paneel geeft een situatie weer zoals die vaak voorkomt in de realiteit. De eersten krijgen een korting en de laatsten betalen de volle prijs. Op deze manier probeert men vroege gebruikers tot de aankoop te overhalen. Vermits de markt steeds meer verzadigd geraakt, worden mensen die het bestand laat aankopen tweemaal gestraft. Ze betalen meer ´en hun incentive om te verkopen is lager. Een derde paneel (c) laat de prijs terug zakken wanneer de markt bijna verzadigd is. De plaats van het minimum en de diepte kan arbitrair bepaald worden zodat ervoor gezorgd kan worden dat (c) een beter optie is dan (b). Paneel (d) geeft de invloed weer van de verdeling van de winst. Zoals uit figuur 3.4 blijkt, is de plaats waar de incentive om te verkopen negatief wordt, slechts weinig onderhevig aan een wijziging in het aandeel van de winst.[Schmidt, 2006] Via integratie kan men dus als eerste aanbieder de totale opbrengst, vr (t), maximaliseren. Men moet dan natuurlijk wel een schatting kunnen maken over de verzadiging van de markt om op die manier de maximaliserende prijs op elk moment te kunnen opleggen. Dit is echter niet eenvoudig.[Schmidt, 2006] Vermits de entertainmentwereld sterk wordt gedreven door sociale netwerken en mond aan mond reclame, heeft MLM veel kans op slagen.[Carey, 2006] Men zit namelijk met producten met een lage verkoopprijs waardoor het moeilijk is om veel geld te besteden aan grote marketingcampagnes, tenzij voor artiesten waar men zeker van is dat men het bestede budget zal terug verdienen. Directe marketing is wegens dezelfde reden vaak moeilijk.[Tyrv¨ainen et al., 2004] Men geeft aan elke koper de incentive om het werk te verkopen, waardoor de verkoper reclame zal maken voor het bestand. Uit onderzoek is reeds gebleken dat gebruikers meer geneigd zijn om muziek te kopen die aangeprezen wordt door vrienden dan muziek die geprezen wordt in campagnes.[Carey, 2006] Tevens wordt de piraterij op deze manier teruggedrongen omdat men bij piraterij geen mogelijkheid heeft om zijn investering terug te verdienen. Piraterij wordt dus minder aantrekkelijk dan een legale aankoop.[Schmidt, 2006]
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
53
Een aanpassing van het model zou bijvoorbeeld kunnen gebeuren door kopers de mogelijkheid te geven om van het aangekochte bestand een versie te maken met een lagere kwaliteit. Bij aankoop van de versie met goede kwaliteit zou de eerste koper dan een procent verdienen. Een andere manier om de promotor van het bestand te vergoeden zou kunnen gebeuren door bijvoorbeeld tickets te geven voor concerten van de artiest of korting op andere bestanden van dezelfde artiest.[Aichroth et al., 2004]
3.5.2
Andere marketing opportuniteiten
MLM is niet de enige nieuwigheid die mogelijk wordt dankzij DRM. Vooral de reclame ter promotie van de inhoud van bestanden zal grondig door elkaar gehaald worden. Dankzij DRM wordt directe marketing namelijk een stuk goedkoper omdat men de gebruiker beter kan identificeren. Men kan namelijk de toegang tot een bestand afhankelijk maken van regels. Deze toegangsregels kunnen bijvoorbeeld bestaan uit het ingeven van gegevens eigen aan de gebruiker. Hierdoor kan de eigenaar van de rechten een profiel opstellen van de gebruiker. Hierdoor kan men gericht reclame sturen naar de groepen die men als doel heeft. Dit betekent dan ook een grote kostenreductie ten opzichte van de huidige directe marketing.[Walter, 2000] Een voorbeeld van dit soort acties is het gratis aanbieden van papers in ruil voor gebruikersgegevens en antwoorden op vragen van het bedrijf dat de paper geschreven heeft. Afbeelding 3.5 is een voorbeeld van hoe http://www.bitpipe.com papers verdeelt. Een ander mooi voorbeeld van de positieve impact van dit soort acties is de kerstmisactie van de website http://www.hotauthors.com. Deze website verspreidde, in ruil voor een donatie aan een goed doel, stukken uit toekomstige romans van bekende auteurs. Naast de donatie werd in ruil gevraagd om email, naam en kredietkaart op te geven. Hierna kon men de publicatie ontsleutelen. Tevens werd het doorgeven van de publicaties naar vrienden gepromoot. Deze konden dan in ruil voor een donatie en eigen gegevens de publicatie bekijken. De actie was een succes want op deze manier kon http://www.hotauthors.com nagaan welke auteurs goed in de markt lagen, of MLM werkt en konden voortrekkers ge¨ıdentificeerd worden. Bovendien kon voor elke auteur een mailinglijst opgesteld worden aan de hand van de emailadressen.[Walter, 2000] Een andere mogelijkheid ter promotie zal zijn dat labels een met DRM beveiligd bestand afgeven aan de radiostations. Dit MP3-bestand kan door de radiostations afgespeeld wor-
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
54
Figuur 3.5: Papers worden gratis aangeboden in ruil voor gegevens van de gebruiker. [Langin, 2005]
den ter promotie van de artiest. Wanneer de offici¨ele releasedatum van de single voorbij is, zal de MP3 niet meer afspeelbaar zijn tenzij het radiostation de MP3 aankoopt. Dit soort acties is niet enkel toepasbaar op radiostations maar ook op de gewone gebruikers.[Rump, 2004] Dankzij DRM kan men ook gericht advertenties aanbieden door een advertentie mee te geven op basis van het bestand dat men wil bekijken.[Walter, 2000] Dit zijn slechts enkele voorbeelden van wat met DRM mogelijk is op het gebied van muziekpromotie.
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
3.6
55
Vergelijkende studie van distributiemodellen
In onderstaande tabel 3.1 worden een aantal verschillende distributiemodellen voor muziek met elkaar vergeleken. Een eerste distributiekanaal is de traditionele CD. Een tweede distributiemethode is een CD met een DRM. De derde is pay-per-download, PPD, waarbij iTunes [iTunes, 2006a] als referentie wordt genomen. Het vierde model is de grote concurrent, de websites die met een lidmaatschap werken zoals Rhapsody [RealNetworks, 2006b]en dus streaming muziek aanbieden. Een laatste is een eventueel toekomstig distributiekanaal, een P2P-netwerk met een DRM. Als DRM in dit laatste geval nemen we een model dat zoveel mogelijk vrijheid bevat. Dit wil dus zeggen dat de toegang tot het P2Pnetwerk gratis is en dat iedereen bestanden kan aanbieden en downloaden. Elke aanbieder bepaalt zelf in welk formaat en welk DRM de bestanden aangeboden worden. Gebruikers kunnen dan kiezen welk bestand ze downloaden en kunnen na ´e´en luisterbeurt, beslissen of ze het bestand al dan niet aankopen. CD
CD met DRM
PPD
Lidmaatschap
P2P met DRM
0
--
++
+
+++
Eigendom
++
++
+
-
+
Keuzemogelijkheid
--
--
+
+
++
Fair use
+
-
-
-
-
Copyright
--
++
++
++
++
Portabiliteit
Tabel 3.1: Overzicht van de invloed van DRM op verschillende distributiemodellen.
Deze verschillende modellen worden afgewogen ten opzichte van een aantal kenmerken die belangrijk zijn voor de gebruikers of, zoals in het laatste geval, voor de eigenaars van de rechten. Portabiliteit geeft weer of de bestanden naar een ander medium overgezet kunnen worden en met welk gemak dit kan gebeuren. Eigendom geeft de sterkte van de eigendomsrechten van de koper weer. Keuzemogelijkheid geeft weer hoeveel content er beschikbaar is. Fair use geeft weer of het fair use gebruik gerespecteerd wordt. Copyright geeft weer in welke mate het copyright beschermd wordt. Dit laatste is vooral belangrijk voor de eigenaars van de rechten. Een CD met een DRM scoort ongelooflijk slecht op het gebied van portabiliteit. Er zijn genoeg voorbeelden gekend waarbij de CD zelfs niet kan afgespeeld worden op standaard
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
56
apparaten zoals CD-spelers die CD’s kunnen branden, draagbare CD-spelers of DVDspelers.[Copyleft-Music, 2006] Gewone CD’s scoren op dit gebied beter. Men kan ze relatief eenvoudig rippen en zo de CD omzetten naar een MP3. Hiervoor is echter wel extra software nodig om de omzetting te verwezenlijken. P2P en PPD scoren beter omdat ze beiden toelaten de gedownloade bestanden over te zetten naar draagbare spelers en de bestanden weg te schrijven naar CD. P2P steekt er echter boven uit omdat men bestanden van iTunes enkel op een iPod kan afspelen.[iTunes, 2006a] Op het P2P-netwerk wordt verondersteld dat bestanden op alle apparaten afspeelbaar zijn. In praktijk betekent dit dat er op het P2P-netwerk zowel een iPod compatibel bestand aanwezig is als een bestand dat op andere draagbare apparaten kan worden afgespeeld. Lidmaatschap scoort op dit gebied iets slechter omdat men nog altijd vastzit aan de computer of aan een draagbare MP3-speler. Men kan de bestanden niet wegschrijven naar een CD zonder een extra licentie aan te kopen.[RealNetworks, 2006b] CD en CD met DRM scoort het best bij eigendom omdat men een fysische drager heeft. Lidmaatschap scoort op dit gebied het slechtst omdat men namelijk de muziek huurt. Van zodra men stopt met betalen kunnen de bestanden niet meer afgespeeld worden. Men is nooit eigenaar van de rechten. Bij het crashen van de harde schijf zullen ook alle bestanden opnieuw gedownload moeten worden. Men hoeft echter nooit twee keer te betalen voor eenzelfde bestand. PPD en P2P scoren eveneens positief omdat men het bestand en de bijhorende rechten effectief aankoopt. Bij het herformateren zonder een back-up te nemen van de harde schijf verliest men wel alle bestanden en moet men de bestanden terug aankopen. De keuzemogelijkheid is het grootst op de P2P-netwerken omdat kleine artiesten ook hun werk kwijt kunnen via deze weg. P2P-netwerken zijn voor beginnende of weinig bekende artiesten een ideale weg om toch geld te verdienen met hun werk. Vaak krijgen zij geen toegang tot grote muziekwebsites omdat ze niet genoeg geld opbrengen. Bij het lidmaatschapmodel en PPD moet men namelijk opgenomen worden in de kring van labels en artiesten die mogen toetreden tot het platform. De toegang tot het P2P-netwerk heeft deze drempel echter niet. Iedereen kan bestanden aanbieden. Men bepaalt zelf de prijs voor de MP3 door deze vast te leggen in de toegangsregels van het DRM. Op deze manier kan een kleine artiest toch geld verdienen aan zijn werk. In de muziekwinkel en online CD-winkels kan men slechts een klein aandeel van alle CD’s die uitkomen terugvinden. Bovendien bepalen labels wat uitkomt op CD. De keuze is in dit geval dus beperkter.
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
57
Fair use wordt enkel gerespecteerd bij CD’s zonder DRM. Vanaf het moment dat er een DRM actief wordt, is er geen of slechts weinig sprake van fair use. Het copyright daarentegen wordt het best beschermd wanneer een DRM aanwezig is. CD’s kunnen namelijk op eenvoudige wijze geript worden, waarna niets de illegale verspreiding van deze bestanden nog in de weg staat. Het kraken van een DRM kost echter veel meer moeite.
Hoofdstuk 3. DRM, de bron van vernieuwing in marketing?
3.7
58
Besluit
Het mag duidelijk zijn dat de verwachtingen betreffende de invloed en de veranderingen die DRM met zich mee zal brengen op de marketing van bedrijven groot zijn. Vooral product en prijs ondergaan op dit moment een grote invloed. Een van de belangrijkste troeven van DRM is de eenvoudige wijze waarop product-differentiatie mogelijk is. Hierdoor wordt prijs-differentiatie een interessante optie die de kosten van de implementatie van een DRM waarschijnlijk zal overstijgen. Niet enkel voor de eigenaars van de rechten is DRM een goede zaak, ook de gebruikers ondervinden een positieve invloed van DRM. Ze betalen voor het product dat ze willen. Dit is althans de mening van de voorstanders van DRM. In schril contrast hiermee staan echter de beperkingen die opgelegd worden zoals bijvoorbeeld de beperkte geldigheid van de MP3 op 3 computers. Tevens houden de invoerders van DRM weinig rekening met de rechten van de consument op het gebied van first use en first sale. Stellen dat het invoeren van een DRM positief is voor de gebruikers is een zeer gewaagde uitspraak. Naar de toekomst toe zal de derde P, de plaats, een belangrijke rol gaan spelen. Nieuwe distributiekanalen zoals superdistributie via P2P-netwerken zullen aangesneden worden en hierdoor zal de winst voor de eigenaars van de rechten nogmaals stijgen. Deze keer niet door een wijziging van de prijs maar door een kostenreductie. Tot op dit moment worden deze kanalen nog als vijandig beschouwd. Op dit moment is er slechts een kleine invloed op promotie. Vooral op het gebied van multilevel marketing en directe marketing kan DRM een grote rol spelen. Slechts enkele scenario’s zijn nog maar bedacht maar naar de toekomst toe zullen er zeker nog nieuwe scenario’s bijkomen dankzij de spitsvondigheid van de reclamemensen. Het bovenstaande wordt samengevat in volgende tabel 3.2. Invoed van DRM
Belangrijkste vernieuwingen
Product
++
eenvoudige product-differentiatie
Prijs
++
prijs-differentiatie en zodus uitbreiding van de markt
Plaats
+(+)
superdistributie via P2P-netwerken
Promotie
+(+)
mulitilevel marketing en betere directe marketing
Tabel 3.2: De invloed van DRM op de marketing mix.
Hoofdstuk 4 Veiligheid en compliance in de bedrijfswereld Steeds meer bedrijven kiezen ervoor om op verschillende plaatsen een filiaal te bouwen of gedecentraliseerd te werken. Hierbij is het internet ´e´en van de belangrijkste manieren om informatie uit te wisselen tussen de verschillende filialen. Dit brengt echter met zich mee dat bedrijfsbestanden bloot staan aan nieuwe bedreigingen op het gebied van beveiliging. Naast beveiliging is er nog een tweede kracht, compliance, die DRM waarschijnlijk vooruit zal stuwen.
4.1
Inleiding
Volgens studies blijkt dat 93% van de informatie binnen bedrijven tegenwoordig digitaal is.[Liquid Machines Inc., 2006] Gemiddeld meer dan 70% van de marktwaarde van een bedrijf wordt bepaald door de intellectuele eigendom die het bedrijf bezit.[Liquid Machines Inc., 2006] Het is dan ook niet verwonderlijk dat IT-security en beveiliging ´e´en van de meest belangrijke bedrijfsprocessen is en zal blijven in alle grote bedrijven. De laatste paar jaar hebben bedrijven ongelooflijk veel tijd, energie en geld ge¨ınvesteerd in het verbeteren van de beveiliging van hun netwerken tegen aanvallen van buitenaf door hackers en virussen. Er werd echter weinig rekening gehouden met de diefstal door mensen van binnen het bedrijf, de zogenaamde insider attacks. Uit recent onderzoek blijkt dat ongeveer 60 tot 70% van de aanvallen op de beveiliging van digitale data worden uitgevoerd door mensen van binnen het bedrijf.[Apani Networks, 2005] Het databedrijf Acxiom Corporation is ´e´en van de slachtoffers van diefstal door een 59
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
60
werknemer. Het bedrijf berekende dat de diefstal van de paswoordbestanden hen in totaal meer dan 5,8 miljoen dollar gekost heeft aan security audits, encryptie software, reisonkosten en tijd van werknemers.[Apani Networks, 2005] Indien zo’n bericht de pers bereikt ondervindt het aandeel een serieuze klap. Het aandeel van ChoicePoint daalde na het bekend maken van een diefstal met net geen vijfde.[Apani Networks, 2005] Het is dan ook niet verwonderlijk dat de overheid, onder invloed van de steeds groter wordende overheidsregulering en versterking van het beleid van bedrijven, voor het probleem van insider attacks aandacht kreeg. Het studiebureau IDC becijferde dat de markt voor het detecteren en voorkomen van het naar buiten brengen van bestanden die de bedrijfs-, overheids- en industrievoorschriften schenden een gigantische markt is. Deze Outbound Content Compliance (OCC) markt alleen al zou goed zijn voor ongeveer 1,9 miljard dollar in 2009.[IDC, 2005] Het is op deze snel groeiende markt dat DRM, en in het bijzonder hetgeen men onder Enterprise Digital Rights Management (EDRM) verstaat, de belangrijkste component zal zijn in het voldoen aan alle regels. Voor de eenvoud wordt EDRM vaak afgekort tot Enterprise Rights Management (ERM). In dit hoofdstuk worden de termen DRM, EDRM en ERM door elkaar gebruikt. Alle termen slaan telkens op DRM-oplossingen voor bedrijven. Er zijn twee redenen waarom de naam DRM niet gebruikt wordt. Een eerste reden is het feit dat DRM een negatieve bijklank heeft.[telefonisch gesprek met de heer Kerwyn Y., 5 december 2005] Een tweede reden is omdat ERM veel verder gaat dan de meeste standaard DRM’s die gebruikt worden in de entertainmentwereld. DRM in de entertainmentwereld dient om het kopi¨eren van bestanden tegen te gaan door ongeautoriseerde gebruikers, terwijl een ERM zich echter richt op het onrechtmatig gebruik door geautoriseerde gebruikers. In tegenstelling tot andere beveiligingsmaatregelen is ERM in staat om data niet alleen te beschermen terwijl het getransporteerd wordt maar ook terwijl het bewerkt wordt in applicaties.[Conry-Murray, 2003] Meestal dient de bescherming niet zozeer om kwaadaardige gebruikers tegen te gaan maar vooral om fouten, die bijna dagelijks door werknemers gebeuren, te vermijden.[Voelker, 2004] Het soort data dat men op deze manier beveiligd, is sterk uiteenlopend. Dit gaat van contracten, financi¨ele gegevens en rapporten over de verkoop tot iets meer bedrijfskritische data zoals onderzoek over overnameplannen en klantendetails. Tevens worden er verschillende bestandsformaten beveiligd. Het gaat van emails, PDF’s, Microsoft Office
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
61
bestanden tot databanken en bedrijfsspecifieke bestanden. Niet enkel PC’s worden beschermd maar de bescherming is eveneens van toepassing op USB-sticks, MP3-spelers en andere draagbare media.[Voelker, 2004] Aangezien er zoveel op het spel staat, is het niet verwonderlijk dat compliance net als security een grote hap uit het IT-budget neemt.
4.2
Insider attacks
Zoals reeds in de inleiding aangetoond werd, mogen insider attacks niet onderschat worden. Het is nog maar recentelijk dat men gestart is met de bescherming van data tegen diefstal door werknemers. Vroeger ging men er namelijk van uit dat buitenstaanders de grootste bedreiging vormden omdat de cijfers ervan veel hoger lagen dan deze van de insider attacks. E´en van de grote redenen hiervoor was dat bedrijven er niet voor gewonnen waren om data omtrent diefstallen naar buiten te brengen. Wegens de grote gevolgen die de diefstal kan hebben, denken we maar aan de gevolgen die de diefstal van bankgegevens kan hebben op de slachtoffers, worden bedrijven meer en meer verplicht om dit soort gegevens openbaar te maken. Canada en Amerika zijn op dit gebied voorlopers. De Belgische privacy wet verplicht bedrijven echter nog niet om diefstal van data bekend te maken. Er moet echter wel een passend beveiligingsniveau verzekerd worden, rekening ” houdend, enerzijds, met de stand van de techniek en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potenti¨ele risico’s”.[Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, Belgisch Staatsblad, 1999, p.11] Uit een studie van de Amerikaanse overheid [National Threat Assessment Center & Software Engineering Institute Carnegie Mellon University, 2005] blijkt dat de meeste diefstallen door ex-werknemers met een technische functie werden uitgevoerd. In 87% van de gevallen bestaat de diefstal uit eenvoudige acties zoals het kopi¨eren naar een diskette en in 92% van de gevallen waren er geen verdachte activiteiten voor de diefstal. In de meeste gevallen gebeurde de diefstal buiten de gewone werkuren en vaak zelfs niet binnen de kantoormuren maar via een toegang van op afstand. Dankzij de kennis die de insiders hebben kunnen ze ook meer schade aanrichten. 75% van de bedrijven ondervond een vorm van schade aan bedrijfsprocessen zoals: schade wegens het heropstarten van servers, routers, etc ...
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
62
verlies in de verkoop wegens het feit dat verkoopsapplicaties niet werken of onbe-
reikbaar zijn of doordat gegevens van klanten verdwenen zijn klagende gebruikers omdat bijvoorbeeld hun paswoord gewijzigd is schade doordat belangrijke bedrijfsgeheimen of vitale bedrijfsinformatie gestolen
zijn schade aan het imago van het bedrijf of daling van het vertrouwen van de klant
De schade door een daling van het vertrouwen van de klant is een heel belangrijke factor. Niet alleen voor het bedrijf in kwestie maar bijvoorbeeld ook voor de ganse sector. Een belangrijk voorbeeld hiervan is internetbankieren. Indien de beveiliging bij het internetbankieren niet gewaarborgd wordt, zal internetbankieren gegarandeerd uit de markt verdwijnen. Een misschien nog meer voorkomende vorm van informatie lekken is de onopzettelijke verspreiding van informatie. Het verzenden van een email naar een groep mensen in plaats van naar ´e´en persoon van de groep is waarschijnlijk iedereen al overkomen. Soms gebeurt het ook dat een oude versie van een document door onoplettendheid terug in omloop wordt gebracht. Tegen al deze problemen kan men zich wapenen door een geschikt DRM in gebruik te nemen. Een voorstelling van de situatie wordt gegeven in figuur 4.1. Een bedrijfsnetwerk bestaat uit een thrusted, grijze omgeving die in verbinding staat met een unthrusted, zwarte omgeving er buiten. Vanuit deze laatste omgeving wordt het netwerk aangevallen door hackers. De gewone beveiliging onder de vorm van firewalls en virusscanners zorgt ervoor dat hackers geen toegang hebben tot het netwerk. Andere partijen in de unthrusted omgeving zijn partners en gebruikers van het bedrijf die bijvoorbeeld thuis werken. In de thrusted omgeving bevinden zich de gebruikers binnen het netwerk van het bedrijf, een server met gegevens en bestanden en een beheerder van de licenties. Een gebruiker zendt een bestand met daarin alle kredietgegevens van de klanten naar een medewerker. Deze medewerker ontvangt een versleuteld bestand en omdat hij de toelating heeft om het bestand ook te bekijken zal de server die de licentie aflevert de juiste sleutel geven zodat het bestand ontsleuteld kan worden. De tweede gebruiker wil het bestand doorspelen naar mensen die geen toestemming hebben om het te bekijken. Zij krijgen dus ook het versleutelde bestand. Wanneer ze het
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
63
Figuur 4.1: DRM en insider attacks. [Cho, 2005]
willen openen, komt het DRM in actie. Het vraagt een licentie aan en de licentieserver geeft een negatief antwoord. Men kan dus niets doen met het bestand. Een partner van het bedrijf zal echter wel toegang krijgen omdat in de licentie staat dat deze partner wel toegang moet krijgen. Hij zal dus een sleutel toegezonden krijgen om het bestand te ontsleutelen. In de figuur 4.1 worden de mensen die wel toegang hebben tot het systeem in het licht grijs aangeduid, de personen die geen toegang hebben in het wit.
4.3
Compliance
Compliance is voldoen aan regels.[Bluebill Advisors Inc., 2004] Deze regels kunnen opgelegd zijn door buitenstaanders via wetten zoals door de overheid, overkoepelende vakverenigingen of het bedrijf zelf. Vooral de laatste jaren is de controle op hoe bedrijven met risico’s omgaan door de wetgeving sterk toegenomen. Amerika is op dit gebied een voortrekker. Voorbeelden hiervan zijn Sarbanes-Oxley Act (SOX) en de Health Insurance Portability and Accountability Act (HIPAA).[Bluebill Advisors Inc., 2004] Het ingrijpen van de overheid via de wetgeving is vooral gegroeid in sectoren die afhangen van informatie, zoals de bankwereld, of die informatie produceren, zoals de ziekenhuis-
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
64
sector. Compliance is ook een breed gegeven, het gaat van het beheer van informatie tot het cre¨eren van transparantie en aansprakelijkheid. De regelgeving kan gerelateerd zijn aan belastingsregels, regels omtrent veiligheid, milieu en privacy. [Bluebill Advisors Inc., 2004] Basel II is een voobeeld van een regelgeving die door een vakvereniging in het leven werd geroepen. Hier is het een comit´e dat beslist aan welke regels er door alle leden moet worden voldaan.[BIS, 2005] Interne reglementen cre¨eren eveneens een nood aan compliance. Het gaat hier om een breed spectrum van regels over verschillende departementen heen. Alle bedrijven hebben interne regels over wie precies toegang moet krijgen tot de financi¨ele gegevens van het bedrijf of wie de R&D-resultaten kan inkijken. Ook voor minder bedrijfskritische gegevens bestaan er regels. Niet iedereen hoeft immers toegang te krijgen tot HR-data zoals de loonbriefjes van collega’s.[Bluebill Advisors Inc., 2004] Compliance kan echter eveneens een belangrijke rol spelen in de werking van het bedrijf zelf. Zo kunnen er interne regels opgesteld worden die bepalen dat een product maar een maximaal aantal dagen in stock mag blijven. Het is dus niet enkel op het vlak van gegevens dat ERM in het spel komt maar het gebruik van een ERM kan ook een fysische invloed hebben.[Bluebill Advisors Inc., 2004] Een ander voorbeeld van een interne regel is dat bankinstellingen vaak hun werknemers verbieden rekeningnummers door te sturen via email. Indien een werknemer toevallig of opzettelijk tegen deze regel zou zondigen, kan het ERM dit soort gegevens eenvoudig uit een email filteren omdat rekeningnummers een vast patroon hebben.[Liquid Machines Inc., 2006] Vroeger was compliance de verantwoordelijkheid van het departement waarop de wetgeving specifiek gericht was. Tegenwoordig is compliance iets van het ganse bedrijf. Bijna elk departement moet wel in regel zijn met ´e´en of andere wetgeving. In plaats van elk departement afzonderlijk te laten werken is het dus beter een algemeen overkoepelend systeem in te voeren, een ERM. Niet alleen horizontaal, tussen verschillende departementen, maar tevens verticaal, van de desktop van de bediende tot het bureau van de CEO, moet de compliance gegarandeerd worden. Men neemt aan dat dankzij een ERM waarschijnlijk aan alle compliancevraagstukken ineens een oplossing geboden kan worden. Een bijkomend voordeel dat verwacht kan worden is dat compliance op deze manier ook beter te beheersen is en er dus kosten zullen bespaard worden.[Jinnett, 2004]
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
4.4
65
DRM, een mogelijke oplossing voor beide problemen?
DRM biedt een oplossing voor zowel het garanderen van de beveiliging als voor het waarborgen van de compliance. Het biedt namelijk de mogelijkheid om de regels op te stellen:[Liquid Machines Inc., 2006] hoe informatie opgeslagen wordt wie toegang heeft tot de informatie wat men kan doen eens men de toegang heeft
Beveiliging en compliance zijn een zaak van de gehele onderneming. De grootste risico’s liggen in de communicatiemethodes die werknemers gebruiken zoals emails en niet beveiligde documenten.[Neogy, 2004] Buiten beveiliging zijn er nog andere aspecten die nodig zijn voor een goed werkend ERM.[Alapan & Hutchison, 2005] Voortdurende beveiliging onafhankelijk van de plaats waar de data zich bevinden. Communicatie en transacties moeten mogelijk blijven tussen verschillende bedrijven
ondanks een verschillend ERM. Time en Space shifting: een gebruiker moet indien hij gemachtigd is altijd en overal,
zelfs zonder internet, toegang hebben tot de data. Format en Platform shifting: het ERM mag de gebruikers niet afhankelijk maken
van een besturingssysteem en bestandsformaat. Het moet mogelijk blijven om een stuk van de data te kopi¨eren naar een ander
bestand. ERM moet bestaande applicaties uitbreiden zodat gebruikers zo weinig mogelijk
aanpassingen moeten ondergaan. Vaak maakt het bedrijf trouwens gebruik van software op maat zodat een andere applicatie onmogelijk is. Het moet eenvoudig zijn om rechten verbonden aan een bestand te wijzigen zelfs
nadat het bestand verdeeld werd. Wanneer een gebruiker het bedrijf verlaat moeten de rechten van gedistribueerde bestanden aangepast worden.
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
66
Het gebruik van het bestand moet bijgehouden kunnen worden in een log zodat men
weet wie, wanneer en wat men gedaan heeft. Zelfs al voldoet ERM aan voorgaande vereisten, toch blijven er een aantal problemen die ervoor zorgen dat de veiligheid en compliance niet verzekerd is. Mensen moeten het systeem gebruiken. Indien de gebruiker zelf de rechten niet instelt dan kan het systeem niet werken. Hetzelfde geldt voor gebruikers die vertrekken of beginnen in het bedrijf. Bij de ene moeten de rechten verwijderd worden, terwijl de andere juist rechten moet krijgen. Indien hier nonchalant mee omgesprongen wordt, is het ERM nutteloos en een kostelijke geldverspilling.[Digital ID World, 2004]
4.4.1
Beveiliging
Het probleem bij de traditionele beveiliging zit in het feit dat ze geen bescherming biedt tegen het misbruik door geautoriseerde gebruikers. Neemt men bijvoorbeeld een Excelbestand met de financi¨ele gegevens van het bedrijf dat beveiligd is met een paswoord dan kan een malafide gebruiker die het paswoord kent eenvoudigweg het bestand opslaan onder een andere naam en vervolgens doorzenden via email naar de concurrentie. Eenzelfde probleem treedt op als het bestand in een beveiligde map op een sterk beveiligde server staat. Eens de gebruiker toegang heeft tot het document is er geen mogelijkheid om het gebruik op te volgen.
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
67
Indien men ERM vergelijkt met een aantal andere courante methodes die gebruikt worden ter beveiliging komt de kracht ervan pas echt tot zijn recht. Beveiligingsmethode
ERM kan beter zijn omdat ..
Bestanden met een paswoord
dit soort beveiliging wel bescherming biedt tegen ongeautoriseerde gebruikers maar geen beveiliging biedt tegen ongeautoriseerde acties van geautoriseerde gebruikers.
Versleuteling van bestanden
eens het bestand ontsteuteld is er geen controle meer is op het gebruik van het bestand.
Document management systemen
traditionele document management systemen enkel bescherming bieden wanneer documenten zich bevinden binnen het document management systeem.
Emailbeveiliging
emailbeveiliging enkel bescherming biedt tijdens het versturen van emails en niet na ontvangst.
Netwerkbeveiliging
netwerkbeveiliging geen bescherming biedt tegen insider attacks.
Tabel 4.1: Vergelijking tussen ERM en andere beveiligingsmethodes.
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
68
In figuur 4.2 wordt weergegeven hoe ERM ervoor zorgt dat de beveiliging verzekerd wordt.
Figuur 4.2: Beveiliging aan de hand van ERM. [Yu & Chiueh, 2004]
Indien de gebruiker een bestand cre¨eert dat beveiligd dient te worden, zal de applicatie waarmee het bestand gemaakt is de inhoud van het bestand versleutelen. Tevens wordt een licentie opgesteld. Deze gebruikerslicentie bevat de regels waaraan gebruikers van het bestand zich moeten houden. Aan de ene zijde bevat de gebruikerslicentie dus de gebruikers die toegang hebben tot het document, aan de andere kant bevat het wat men ermee kan doen en eventueel bijkomende restricties zoals een vervaldag. De applicatie zal de gebruikerslicentie en de sleutel verzenden naar de centrale server. Deze zal een certificaat terugzenden zodat men zeker is dat de auteur correct is. Dit certificaat bevat een versleutelde versie van de originele sleutel en een publicatielicentie op basis van de gebruikerslicentie opgesteld door de auteur. De gebruiker kan nu het bestand en de door de centrale server ondertekende publicatielicentie verspreiden zoals hij dit normaal zou doen.[Liquid Machines Inc., 2006][Conry-Murray, 2003] Wanneer een tweede gebruiker nu het bestand opent zal de licentie samen met zijn authentificatiegegevens naar de server gezonden worden. Deze bepaalt op basis van de licentie en de gegevens van de gebruiker of deze toegang kan krijgen. Indien de gebruiker toegang krijgt, zal de server de originele sleutel ontsleutelen en doorzenden naar de gebruiker zo-
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
69
dat het bestand ontsleuteld kan worden. Tevens zal een gebruikerslicentie teruggezonden worden op basis van de publicatielicentie. Op deze manier weet de applicatie die het bestand opent wat de gebruiker allemaal mag doen met het bestand. Bij elke actie die de gebruiker uitoefent op het bestand zal tevens een bericht naar de server worden gestuurd. Wanneer de gebruiker probeert een actie te verrichten die niet toegestaan wordt door zijn gebruikerslicentie zal dit door de applicatie niet toegelaten worden. Tevens zal dit doorgegeven worden aan de server. Deze houdt alle acties bij in een logbestand.[Liquid Machines Inc., 2006][Conry-Murray, 2003] Wanneer een derde gebruiker nu toevallig het bestand te pakken krijgt en het probeert te openen zal de server hem op basis van zijn gebruikersgegevens en de publicatielicentie de sleutel niet toezenden. Het bestand blijft dus versleuteld.[Liquid Machines Inc., 2006] Naast bovenstaand model is er nog een model dat gebruikt wordt. Dit tweede model verschilt slechts in weinig aspecten van het eerste. Het verschil zit hem in het feit dat de rechten niet meegezonden worden met het bestand. Er komt dus geen publicatielicentie aan te pas. Het is namelijk de server zelf die bijhoudt wat met het bestand mag gedaan worden. Het voordeel van het eerste model is dat gebruikers niet telkens met de server verbonden moeten zijn willen ze een bestand openen. Op deze manier wordt de gebruiker enige mobiliteit aangeboden en kunnen bijvoorbeeld USB-sticks toch gebruikt worden. Het nadeel is wel dat men voor een stuk de controle verliest over het beheer van de rechten omdat ze pas zullen ge¨ updatet worden wanneer de gebruiker terug verbonden is met de server.[Conry-Murray, 2003]
4.4.2
SOX
De Sarbanes-Oxley (SOX) wetgeving is er gekomen naar aanleiding van een aantal beursschandalen zoals WorldCom en Enron in de USA. Deze wetgeving reguleert de accounting en de financi¨ele rapportering van beursgenoteerde bedrijven.[Liquid Machines Inc., 2004] De belangrijkste artikels zijn artikel 302 en 404: Artikel 302 bepaalt dat de chief executive officer (CEO) en chief financial officer
(CFO) bij elk verslag een certificaat moeten meeleveren dat de gegevens juist zijn en de controle correct is gebeurd.[The American Institute of Certified Public Accountants, -]
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
70
Artikel 404 bepaalt de regels voor de interne controle en de financi¨ele rapportering.
Het management is verantwoordelijk voor deze rapportering en de controle. De CEO en CFO moeten verklaren dat de rapportering opgesteld is volgens deze regels en de auditeur moet dit bevestigen. Indien later blijkt dat deze verklaringen onjuist waren worden de bestuursleden schuldig geacht en kunnen er geldboetes en zelfs gevangenisstraffen uitgesproken worden.[The American Institute of Certified Public Accountants, -] Naast het financieel jaarverslag worden er dus ook verklaringen afgelegd omtrent de controle op en de juistheid van de cijfers. De SOX-wetgeving geldt voor alle Amerikaanse bedrijven die op de beurs genoteerd zijn. Dochtermaatschappijen of buitenlandse filialen van deze bedrijven die niet in Amerika gevestigd zijn of daar op de beurs actief zijn, worden ook verplicht om aan de SOXwetgeving te voldoen. Dit houdt dus in dat ook alle afdelingen van Amerikaanse bedrijven in Belgi¨e moeten voldoen aan SOX.[Liquid Machines Inc., 2004] In Amerika groeit tevens de verplichting voor buitenlandse bedrijven, indien ze in Amerika zaken willen doen, om aan de SOX-wetgeving te voldoen zelfs al wordt dit door de wet niet ge¨eist.[Liquid Machines Inc., 2004] Zo is AXA Belgi¨e bezig met de voorbereidingen om hun SOX-certifikaat te behalen.[Vacature, 2006] ERM zal een belangrijke rol spelen in de SOX-compliance binnen het gebied van beveiligen en controleren van financi¨ele data. Hierbij moet vooral gedacht worden aan emails die verzonden worden met gegevens die niet voor iedereen zichtbaar mogen zijn. Door een ERM in te voeren kunnen er automatisch regels ingevoerd worden afhankelijk van de verzender, de ontvanger of tegenwoordig zelfs op basis van de inhoud van de email zelf. Hiervoor worden systemen ingezet die de inhoud van de emails kunnen interpreteren.[Liquid Machines Inc., 2004] Excelbestanden en andere spreadsheets zullen eveneens beveiligd worden met ERM. Bovendien biedt ERM de mogelijkheid om eventuele fouten te melden aan de gebruiker. Hierbij wordt ondermeer gedacht aan het automatisch controleren van ingevulde formules. Een andere bescherming wordt geboden tegen het invullen van verkeerde data. Indien bijvoorbeeld de data gedefinieerd is in miljoenen terwijl de spreadsheet miljarden verwacht, zou het bestand kunnen weigeren de wijzigingen op te slaan.[Liquid Machines Inc., 2004] Uit onderzoek blijkt namelijk dat 20 tot 40% van de spreadsheets fouten bevatten.[Liquid
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
71
Machines Inc., 2004] Een ander onderzoek ontdekte dat van de 54 spreadsheets er 49, of meer dan 90% fouten bevatten. Bovendien kan men dankzij een ERM ook bijhouden wie wijzigingen aangebracht heeft en wanneer.[Liquid Machines Inc., 2004] Een voorbeeld kan misschien veel verduidelijken. Gebruiker A, die op de financi¨ele dienst werkt van een bedrijf dat onder de SOX-wetgeving valt, maakt een nieuw bestand aan maar geeft de financi¨ele gegevens in in dollar in plaats van in euro. Omdat gebruiker A lid is van het financi¨ele departement wordt het bestand automatisch beveiligd zodat enkel de mensen van binnen het departement het kunnen wijzigen en slechts enkelen het kunnen bekijken. Het hoofd van de financi¨ele dienst, die het document kan bekijken maar niet wijzigen, merkt echter de fout op. Het bestand wordt aangepast en een nieuwe versie wordt op de gemeenschappelijk schijf geplaatst. Deze keer geeft het diensthoofd zijn goedkeuring. Hierdoor wordt het eerste, foute bestand automatisch ongeldig verklaard. Op het einde van het boekjaar kan de CFO met een gerust hart verklaren dat de gegevens correct zijn. Het ERM heeft ervoor gezorgd dat de gegevens enkel gewijzigd konden worden door mensen van binnen de dienst. De gegevens zijn bovendien geldig verklaard door het diensthoofd. Er kunnen ook geen oude, foute versies rondzwerven op de server omdat het ERM ervoor zorgt dat deze niet toegankelijk meer zijn na een update van het bestand. Op deze manier kan compliance gegarandeerd worden. Indien er toch onregelmatigheden zouden opgetreden zijn doordat de fout bijvoorbeeld niet opgemerkt zou zijn dan kan men altijd nagaan in het logbestand wat er precies fout is gelopen en wie de verantwoordelijkheid draagt.[Liquid Machines Inc., 2004] Een laatste reden waarom ERM enorm aan belang wint, komt door het feit dat meer en meer IT-taken uitbesteed worden. Dit ’outsourcen’ gebeurt zelfs meer en meer naar het buitenland. Het is dan ook belangrijk, als bedrijf dat onderworpen is aan SOX, om ook deze uitbestede taken te controleren zodat aan SOX voldaan is. Men blijft namelijk uiteindelijk verantwoordelijk voor alles wat er gebeurt binnen het bedrijf, dus inclusief de bedrijven waarnaar IT-taken uitbesteed worden. Vooral de mogelijkheid tot het loggen van wat met bestanden gebeurt, is hier de doorslaggevende factor voor het invoeren van een ERM. Deze verantwoordelijkheid geldt echter niet alleen voor de SOX-wetgeving maar ook voor de Basel II-regelgeving.[Liquid Machines Inc., 2004] [Pinder, 2006]
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
4.4.3
72
Basel II
Basel II beoogt een internationaal gestandaardiseerd stelsel van regels te geven voor het bepalen van de kapitaalsvereisten van banken zodat de kapitaalvoorraad beter aansluit met het risico waar de instelling aan bloot staat. Het is de bedoeling dat dit systeem door alle kredietinstellingen en investeringsmaatschappijen zal worden gehanteerd.[Pinder, 2006] Het Basel II-akkoord is opgebouwd uit 3 pijlers:[Dobber, 2002] pijler 1: de eerste pijler heeft als doel het risico dat instellingen lopen beter in te
schatten. Het betreft hier markt-, krediet- en operationele risico’s. pijler 2: de tweede pijler richt zich op het reguleren en controleren van de eerste
pijler. Men zal dus nagaan of instellingen op een correcte manier de risico’s inschatten. pijler 3: de derde pijler richt zich op het verspreiden van informatie omtrent de
instelling naar de buitenwereld. Banken zullen verplicht worden te rapporteren over de verschillende risico’s die zij lopen, per land, per sector en over de verliezen. Het doel van deze pijler is het bevorderen van de verslaggeving over risico’s. In de eerste pijler zal ERM waarschijnlijk een kleine rol spelen. ERM zou er bijvoorbeeld voor kunnen zorgen dat de data juist ingegeven worden. [Pinder, 2006] In de tweede pijler is de rol van ERM veel groter. ERM is uitermate geschikt om de regelgeving die in de tweede pijler opgesteld wordt te implementeren. Het gaat hier dan bijvoorbeeld om regels die ervoor zorgen dat bepaalde vereisten in verband met de workflow gerespecteerd worden en dat alle regels die door Basel II opgelegd worden in verband met de berekening van het risico gerespecteerd worden.[Pinder, 2006] In de derde pijler zal ERM ook een rol spelen door het opleggen van bepaalde vereisten aan documenten die publiek gemaakt worden zodat deze correct en volledig zijn. Naast documenten zullen ook emails door het ERM gecontroleerd worden zodat er geen informatie naar buiten kan lekken.[Pinder, 2006][Dobber, 2002] Pinder [2006] bepaalt 2 gebieden waar ERM een invloed zal uitoefenen door het invoeren van Basel II: mensen, processen en systemen. Een groot deel van het werk binnen banken wordt door mensen gedaan. Mensen maken fouten en ERM kan ervoor zorgen dat het risico op menselijke fouten zo gering mogelijk is. Een risico treedt bijvoorbeeld op wanneer
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
73
werknemers de gegevens kunnen downloaden naar een laptop of PDA. Indien de laptop gestolen wordt, moet ervoor gezorgd worden dat de data niet meer toegankelijk zijn. Hier kan er bijvoorbeeld voor gezorgd worden dat vooraleer belangrijke informatie bekeken kan worden eerst contact moet gemaakt worden met de server.[Neogy, 2004] Een ander veel voorkomend probleem is dat iemand met een specifieke functie, voor deze functie toegang moet hebben tot verschillende bronnen met gevoelige informatie. Het is belangrijk dat men toch enige controle kan houden over de gegevens waartoe deze personen toegang hebben. Niet enkel om te verhinderen dat de persoon bij het verlaten van het bedrijf een deel van de gevoelige klantengegevens meeneemt, maar ook om ervoor te zorgen dat indien de gegevens fout blijken er niet meer met de foute gegevens gewerkt wordt.[Neogy, 2004] Binnen processen en systemen zal er ook een grote rol weggelegd zijn voor ERM. Om bijvoorbeeld een beslissing te bekomen wordt vaak een workflow ge¨ıntroduceerd waarbij meerdere mensen hun fiat moeten geven. In dit soort omgeving komt ERM tot zijn recht. Men kan namelijk deze flow opnemen als regel in het ERM.[Neogy, 2004] De processen binnen banken moeten voldoen aan de regels van Basel II. E´en van de regels is de minimale kapitaalvereiste van 8%. Een ERM kan ingevoerd worden om ervoor te zorgen dat men niet onder deze limiet kan zakken. Wanneer een gebruiker een actie zou ondernemen die deze minimale kapitaalvereiste zou ondergraven, zou dit onmogelijk gemaakt worden door het ERM. [Owen, 2004]
4.4.4
Privacy
Voor bedrijven is het moeilijk om de bestaande en nieuwe regels ter bescherming van de privacy te respecteren. Vooral omdat deze compliance over verschillende departementen heen gaat. Gegevens van klanten worden door meerdere departementen gebruikt. Elk van die departementen moet specifieke regels opgelegd krijgen over wat ze kunnen zien en mogen doen met de data.[Korba et al., 2005] In de banksector zal ERM bijvoorbeeld ingevoerd worden om de privacy van de klanten te garanderen. Zo verbieden een aantal banken rekeningnummers te verzenden via email. Dankzij ERM zou dit wel kunnen omdat men kan garanderen dat de enige persoon die de email kan lezen de bestemmeling is. Een nog grotere invloed zal ERM hebben op de ziekenhuissector. Voor deze sector is
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
74
privacy van immens belang. In Europa is men nog volop bezig om de privacy wetgeving aan te passen aan de digitale wereld waarin e-health een centrale rol speelt. In Amerika staat men echter al veel verder op dit gebied door de invoering van de Health Insurance Portability and Accountability Act (HIPAA), die ervoor moet zorgen dat de gegevens van pati¨enten in een ziekenhuis beveiligd worden zodat de privacy gegarandeerd wordt.[Krohn, 2002] Volgens het Health Privacy Project” is 70 percent van de Amerikanen bang dat per” soonlijke informatie omtrent hun gezondheid ten onrechte gebruikt zou worden.[Veniegas, 2006] Deze persoonlijk informatie houdt onder meer in: adresgegevens en telefoonnummers gegevens over de gezondheid financi¨ele gegevens en gegevens over de hospitalisatieverzekering
Deze gegevens staan bloot aan gevaar wanneer ze vanuit het ziekenhuis verzonden worden naar de thuispraktijk van de behandelende arts. Het is daarom nuttig om een ERM in te voeren die ervoor zorgt dat indien de boodschap onderschept wordt de inhoud niet te bekijken is. Deze beveiliging kan ook gebruikt worden bij de nieuwe vorm van consultatie die in Amerika in opgang is. Pati¨enten verkiezen namelijk meer en meer een email te verzenden met hun klachten. Deze virtuele vorm van consultatie moet enigszins beveiligd worden zodat niet iedereen de conversatie kan meelezen. Bovendien zorgt het ERM ervoor dat bestanden met gegevens van de pati¨enten niet gestolen kunnen worden door het ziekenhuispersoneel zelf en het ERM houdt in een log bij wie welke bestanden bekeken heeft.[Veniegas, 2006] Een voorbeeld kan ook hier veel duidelijkheid scheppen. Een arts laat scans nemen van de pati¨ent. Hij twijfelt echter over de diagnose en zendt de scans via email door naar een collega. Het ERM, dat elke mail scant, bemerkt echter dat de email scans bevat en op basis van de interne reglementen wordt de email gemerkt. Het ERM zendt vervolgens een email naar de ontvanger van de originele mail dat er een boodschap is voor hem maar dat deze opgehaald moet worden aan de hand van de webmail van het ziekenhuis. Op deze manier blijft het ERM de controle houden over de scans. Een ander groot voordeel van een ERM is dat het ingevoerd kan worden zonder dat gebruikers zich moeten aanpassen. Het kan bovendien niet alleen gebruikt worden voor de
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
75
pati¨ent-dokter communicatie maar tevens voor de communicatie met andere ziekenhuizen of laboratoria. Niet alle vormen van ERM zijn echter geschikt voor gebruik binnen de ziekenhuiswereld. Het toepassen van een watermarking op foto’s van pati¨enten kan ervoor zorgen dat er kleine artefacten optreden in de foto’s. Op het eerste gezicht zijn deze artefacten niet zichtbaar maar het zou kunnen dat bij een vergroting van de foto deze artefacten wel degelijk zichtbaar worden en de arts een foute diagnose stelt. Het is daarom nodig om andere vormen van digitale watermarkering te voorzien of om te werken met licenties om het probleem van artefacten te vermijden.[Woo et al., 2005] DRM kan gegevens van pati¨enten beschermen maar aan de andere kant kan DRM de privacy van gebruikers schenden. Dit zou echter niet mogen want men moet nog altijd de wet op de privacy naleven. Men moet dan ook omzichtig omgaan met de data die men via het DRM bekomt zodat men de privacy van de gebruikers kan waarborgen. Het gaat hier dan voornamelijk om de privacy van de intellectuele consumptie. Vermits DRMsystemen erin slagen om lijsten aan te leggen van wat men met welke bestanden doet, heeft een DRM de mogelijkheid om de wijze waarop mensen goederen consumeren te wijzigen.[Cohen, 2003] Echter niet elke wijze waarop DRM zich mengt in de consumptie schendt de privacy. Men moet onderscheid maken tussen technologie¨en die beperkingen opleggen, die logs aanleggen en die mensen leren omgaan met intellectuele goederen.[Cohen, 2003] De eerste soort technologie die mensen beperkingen oplegt om bijvoorbeeld bestanden waar ze geen toegang tot hebben af te spelen, vormt over het algemeen geen probleem voor de privacy.[Cohen, 2003] Erger is het gesteld met technologie¨en die rapporteren over wat de gebruikers doen met de bestanden. Deze data kunnen gebruikt worden om gebruikersprofielen op te stellen. Hierbij wordt vaak geflirt met de rand van de privacywetgeving omdat men binnendringt in de persoonlijke levenssfeer van mensen. Een belangrijke vraag die gesteld moet worden, is of de informatie een persoon kan identificeren en of de gegevens mogelijks toegankelijk zijn voor derden, eventueel tegen betaling.[Cohen, 2003] Een derde soort technologie is zo ontworpen dat ze bij misbruik een straf oplegt. Een voorbeeld: indien het programma een illegaal bestand aantreft, weigert de computer nog bestanden in dat formaat af te spelen, zelfs indien ze legaal zijn. Ook deze technologie
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
76
flirt met de privacywetgeving omdat privacy ruimte laat voor het experimenteel gedrag van mensen. Dankzij dit soort DRM-systemen is het niet meer mogelijk om dit gedrag uit te oefenen.[Cohen, 2003] DRM is een nieuwe technologie en doordat het binnensluipt in de woonkamer en op die manier in de ruimte komt waar de individuele privacy geldt, dient de wetgeving hieraan aangepast te worden. Het debat hieromtrent is nog maar begonnen en het zal dus nog wel een aantal jaar wachten zijn vooraleer de impact van DRM op de privacy zal duidelijk worden.[Cohen, 2003]
Hoofdstuk 4. Veiligheid en compliance in de bedrijfswereld
4.5
77
Besluit
Uit dit hoofdstuk is duidelijk naar voor gekomen dat DRM meer is dan alleen een technologie die ervoor moet zorgen dat entertainmentbestanden niet gekopieerd worden. ERM, de bedrijfsversie van DRM, speelt een belangrijke rol in het afdwingen van compliance binnen het bedrijf. Hierbij moet niet alleen gedacht worden aan het respecteren van de wetgeving zoals deze opgelegd wordt door SOX, maar ook aan de privacywetgeving. Naast wetgevende regels kunnen ook sectorverenigingen hun leden bepaalde regels opleggen. Hierbij kan gedacht worden aan het Basel II-akkoord dat van toepassing is op alle kredietinstellingen en investeringsmaatschappijen. Interne regelgeving is een laatste vorm van regelgeving waarvoor ERM perfect gebruikt kan worden. Het gaat hier dan onder meer om het vastleggen van een bepaalde workflow waarbij bestanden van de ene naar de andere gebruiker gaan in een vastgelegde volgorde. Naast compliance blijft security ´e´en van de belangrijkste factoren binnen bedrijven. De laatste jaren werd vooral aandacht besteed aan het gevaar dat van buitenaf dreigde. Tegenwoordig wordt de aandacht echter meer toegespitst op de zogenaamde insider attacks. Dit soort beveiligingslekken is moeilijker te dichten met de conventionele beveiliging. ERM kan hiervoor de oplossing bieden want het geeft enkel geautoriseerde gebruikers de toegang, maar bovendien kan men instellen wat die gebruiker allemaal met het bestand kan doen. Op deze manier kan men verhinderen dat gevoelige informatie zoals financi¨ele gegevens of aquisitieplannen naar buiten lekken. De bestanden die op deze manier beveiligd worden, zijn niet enkel bestanden met financi¨ele gegevens maar bijvoorbeeld ook emails en rapporten. Het ERM zorgt dus voor een end-to-end beveiliging die meereist met het bestand. Aangezien de hoeveelheid digitale informatie binnen bedrijven blijft groeien, kan verwacht worden dat de invloed van ERM in de toekomst een steeds grotere rol zal spelen. De juiste keuze van ERM zal ook hier een belangrijke rol spelen al is de standaardisatie reeds bezig binnen de ERM-markt. Vooral de grote vraag naar interoperabiliteit is hier de drijvende kracht.
Hoofdstuk 5 Onderzoek naar het gebruik van DRM in de praktijk 5.1
Inleiding
Zoals in de inleiding gezegd werd, is DRM nog maar pas bezig om bekend te worden onder het brede publiek. Dit wordt onder andere gestaafd door figuur 2 uit het inleidende hoofdstuk. Voor het eigen onderzoek werd een kwalitatief onderzoek uitgevoerd. Dit onderzoek poogt het theoretisch deel uit de vorige hoofdstukken te toetsen aan de realiteit aan de hand van interviews met mensen die DRM ontwikkelen, gebruiken of uit de wereld proberen te krijgen. Dankzij deze interviews wordt in dit hoofdstuk nagegaan hoe bedrijven omgaan met deze nieuwe trend. De vragen waar een antwoord op gezocht werd, zijn welke bedrijven het meest be¨ınvloed worden, wat de grootste opportuniteiten en problemen zijn en de eventuele alternatieven. Hiervoor wordt gebruik gemaakt van het marketing mixmodel [Kotler, 2004] en de waardeketen van Porter [Porter, 1985]. Kortom de literatuurstudie wordt aan de werkelijkheid getoetst.
78
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
5.2
79
De opzet van het onderzoek
5.2.1
De werkwijze
Voor het kwalitatieve onderzoek, dat een inschatting maakt van de correctheid van de literatuurstudie, werd beroep gedaan op mensen van binnen de DRM-wereld die (bijna) dagelijks bezig zijn met DRM. Het interview werd opgebouwd rond een aantal vragen uit een vooraf opgestelde lijst. Niet alle vragen werden aan alle personen gesteld omdat sommige niet relevant waren voor de ge¨ınterviewde. Naast deze standaardvragen werd verder gebouwd op de antwoorden van deze mensen om zo meer in detail te kunnen treden. De interviews werden via telefoon, video-chat of aan de hand van een persoonlijk gesprek afgenomen. De verschillende interviews werden vervolgens naast elkaar gelegd om zo de gelijklopende of tegenstrijdige gedachten eruit te halen.
5.2.2
De vragen van het interview
Het basisinterview bestond uit volgende vragen: Op welke bedrijven heeft DRM een belangrijke invloed? Wat is de belangrijkste invloed van DRM op de bedrijfsprocessen (op basis van de
waardeketen van Porter)? Wat is de invloed op de marketing (aan de hand van het marketing mixmodel)? Wat zijn de grootste voordelen/opportuniteiten (prijs-differentiatie, product-differentiatie,
piraterij tegengaan, nieuwe marketing- en distributiemogelijkheden)? Wat zijn de grootste nadelen/problemen (DRM vs Fair Use, DRM vs First sale,
DRM vs privacy, DRM vs creativiteit)? Waarom precies dit DRM. Eventuele voordelen ten opzichte van andere vormen van
DRM? Zal DRM in de toekomst gestandaardiseerd worden? Alternatieven?
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
5.2.3
80
De ge¨ınterviewde DRM-experts
De groep van ge¨ınterviewde personen werd zo breed mogelijk gekozen. Na rondvraag bij verschillende consultancybedrijven in Belgi¨e en Nederland bleek het echter quasi onmogelijk iemand te vinden die ervaring heeft met ERM in de financi¨ele sector ondanks het feit dat er rond Basel II wel degelijk projecten zijn. De projecten met betrekking tot SOX zijn in Belgi¨e dun gezaaid. Bij het IT-consultancybedrijf DP Europe dat zich voornamelijk bezighoudt met compliance kwam slechts ´e´en vraag naar dit soort projecten binnen. Er werd dus jammer genoeg niemand gevonden die ERM heeft toegepast in het kader van SOX. De contactgegevens van de ge¨ınterviewden werden opgenomen in bijlage. De personen die bereid waren een interview af te leggen zijn: Marc Van Steyvoort Marc Van Steyvoort (Bijlage A.1) is verantwoordelijk voor alle DRM-applicaties binnen Alcatel wereldwijd (http://www.alcatel.com). Bovendien is hij zowel technisch als inhoudelijk verantwoordelijk voor alle mobiele tv-zenders van T-Mobile op de Europese markt. Dit alles combineert hij met een actieve rol als partner in het copyleft distributieplatform Dance-Industries (http://www.dance-industries.com). Hij is ´e´en van de enige personen die reeds veel ervaring heeft met DRM in de entertainmentwereld, zowel op het gebied van muziek als tv. Hij wordt dan ook druk geconsulteerd op dit gebied. Yves Kerwyn Yves Kerwyn (Bijlage A.2.2) is Product & Solution Marketing Manager voor Microsoft Benelux. Specifiek houdt hij zich, als Product Manager voor Office, bezig met alles wat Information Rights Management (IRM) betreft. IRM is de naam die Microsoft geeft aan al zijn DRM-toepassingen. IRM wordt door Microsoft gepromoot voor het beschermen van bedrijfsinformatie en -processen. Jurgen van Duvel Jurgen van Duvel (Bijlage A.2.1) is momenteel Product Marketing Manager Windows Client & Mobility bij Microsoft. Daarvoor was hij Technology Specialist voor het bekende Windows besturingssysteem met een specialisatie in Microsoft’s IRM en beveiliging. De heer van Duvel is het best op de hoogte van DRM en ERM binnen Microsoft Belgi¨e.
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
81
Elizabeth Stark en Fred Benenson Beide personen zijn bestuurslid van FreeCulture.org, een groep jonge mensen die zich inzet voor de beweging die gratis cultuur promoot. Verder proberen ze mensen warm te maken om zelf te participeren in cultuur door bijvoorbeeld muziek te maken. FreeCulture.org is een zogenaamde grassroots” beweging. Het is een beweging die opgericht is door het ” gewone volk en niet door politici. FreeCulture.org is vooral actief op campussen van Amerikaanse universiteiten. De beweging heeft zijn roots in de open source beweging en wordt bovendien gesteund door allerlei kunstenaars. De ideale wereld voor hen is een wereld zonder DRM. Ze zijn echter niet tegen het copyright. Ze streven er wel naar om artiesten weg te trekken uit het copyright en ze toe te voegen aan de collectie artiesten die hun werk gratis aanbieden. Elizabeth Stark (Bijlage A.3.1) is de oprichtster van de afdeling van FreeCulture.org aan de Harvard University. Ze is tweedejaarsstudente aan de Harvard Law School en is daar verbonden aan het Berkman Center for Internet and Society. Ze is tevens de Communication Editor van de Harvard Journal of Law Technology en assistent-docent in het vak Cyberlaw. Daarnaast is ze sterk ge¨ınteresseerd in de impact die technologie heeft op de digitale cultuur. Ze heeft tevens gewerkt voor Electronic Frontier Foundation (EFF) en Creative Commons. Fred Benenson (Bijlage A.3.2) is medeoprichter van Free Culture @ NYU, de afdeling van FreeCulture.org aan de Universiteit van New York. Hij is ondermeer de organisator van twee anti-DRM-protesten. Deze personen werden gekozen omdat ze tegen DRM zijn en hiervoor de nodige acties op touw hebben gezet. Het blijft bij hen dus niet enkel bij woorden. Elizabeth Stark is bovendien bijzonder goed op de hoogte van de wereldwijde wetgeving in verband met DRM en copyright. Jan Van Hooydonck Jan Van Hooydock (Bijlage A.4) is de oprichter van FruityTech BVBA, een bedrijf dat zich specialiseert in het beveiligen van muziekbestanden en het garanderen van de security tijdens het versturen van deze bestanden. Tot hun klanten behoren alle grote Belgische platenlabels zoals EMI en BMG Belgium waarvan ze op hun webportal alle muziek aanbieden.
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
82
Het interview met de heer Van Hooydonck werd opgenomen in dit werk omdat zijn firma watermarking als DRM gebruikt en omdat hij een belangrijke, zoniet de belangrijkste, speler is op de Belgische muziekbeveiligingsmarkt.
5.2.4
De beperkingen
Het kwalitatief onderzoek heeft een aantal beperkingen. De ge¨ınterviewden zijn slechts een kleine greep uit de ganse DRM-industrie. Ze zijn dan ook niet lukraak gekozen en geven elk hun eigen visie in het interview. Uit dit hoofdstuk zou kunnen blijken dat alle visies even sterk vertegenwoordigd zijn in de DRM-wereld. Dit is echter niet zo. De strekking die DRM ziet als een product dat ieder bedrijf moet hebben, is zeer sterk aanwezig in de bedrijfswereld. Het is dan ook daarom dat de kritische visie van FreeCulture.org werd opgenomen. FreeCulture.org kan gezien worden als de stem van de consument.
5.2.5
De resultaten van het kwalitatief onderzoek
De sectoren die be¨ınvloed zullen worden Alle experts zijn het ermee eens dat ´e´en van de belangrijkste industrie¨en waar DRM toegepast wordt en zal worden toegepast de entertainmentindustrie is. Alle bedrijven die met digitale media werken die verhandeld worden, zullen ´e´en of andere vorm van DRM gebruiken. De mensen van FreeCulture.org voegen hier alle soft- en hardware bedrijven aan toe omdat ze dankzij DRM consumenten aan zich kunnen binden. De heer Van Hooydonck ziet naast de entertainmentindustrie eveneens de nieuwsindustrie op de kar springen. Hij denkt hierbij aan het beveiligen van beelden en foto’s zodat ze niet vroegtijdig uitlekken door andere persagentschappen. De heren van Duvel en Kerwyn van Microsoft verbreden het toepassingsgebied van DRM nog meer en breiden het uit tot alle bedrijven. Zij zien IRM, de naam die Microsoft geeft aan hun ERM toepassingen, ook toegepast worden op alle bedrijven en halen hiervoor aan dat alle bedrijven de wetgeving moeten volgen en te maken krijgen met audits. Zij zien IRM dus meer als een oplossing voor complianceproblemen.
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
83
De invloed van DRM op de logistiek Ze zijn het allemaal eens dat DRM een grote rol zal spelen op de primaire activiteiten zoals ze gedefinieerd worden door Porter. Al liggen de accenten anders. Voor de ene zal deze impact positief zijn, voor de andere negatief. Voor ERM zien de mensen van Microsoft een belangrijke rol weggelegd op het gebied van de logistieke behandeling. Deze rol zou het mogelijk maken om producten doorheen het bedrijf te volgen en daarenboven de geheimhouding te garanderen. Op het gebied van productie ziet Microsoft een belangrijke rol weggelegd in de productplanning, het beveiligen en verstrekken van interne informatie en marktanalyses. Als voorbeeld halen ze hierbij aan dat het dankzij DRM mogelijk wordt om bestanden onleesbaar te houden voor de lancering van een nieuw product. Op deze manier zou een lancering een grotere impact kunnen hebben omdat alle informatie ineens toegankelijk wordt, zelfs al worden de documenten een maand voor de lancering verstuurd. Binnen hetzelfde kader zien zij ook een rol weggelegd voor documenten met een vervaldatum. Aan de entertainmentzijde voorspelt men ook een grote impact. De heer Van Steyvoort voorspelt dat de opslag van producten meer centraal zal gebeuren en dat er dus levering zal zijn vanaf ´e´en centrale plaats. Dit zou ondermeer de beveiliging van de producten ten goede komen. De heer Van Hooydonck is het hier niet mee eens. Hij ondervindt dat de trend van centralisatie ten einde is en dat er een trend van decentralisatie ontstaan is. Centrale servers houden een te groot risico in, zijn moeilijker te onderhouden en zijn trager. Bovendien zal, volgens hem, de stijgende bandbreedtekost het einde betekenen van de centralisatietrend. DRM en de invloed op marketing Op het gebied van marketing zou volgens de experts vooral de entertainmentsector be¨ınvloed worden. De heer Van Steyvoort voorziet een grote impact op alle aspecten van het marketing mixmodel. Al zou de impact vooral gedreven zijn door de inventiviteit die bedrijven aan de dag leggen. Hij ziet een mooie toekomst voor koop- en huurscenario’s van digitale bestanden. Een voorspelling die hij maakt heeft betrekking op de kwaliteit van de producten. Hij voorspelt dat producten in kwaliteit zullen achteruitgaan. Hierbij moet gedacht worden
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
84
aan bestanden met een beperkte levensduur. Dit zal gecounterd worden met bestanden van hogere kwaliteit die dan weer een stukje duurder zullen zijn. De heer Van Hooydonck protesteert echter. Hij denkt dat de kwaliteit niet achteruit zal gaan, eerder zelfs vooruit. Hij is het ermee eens dat bestanden met restricties van lagere kwaliteit zijn. Hij merkt echter op dat ware muziekliefhebbers geen genoegen zullen nemen met deze lage kwaliteit en dus willen betalen voor een hogere kwaliteit. Mensen die genoegen nemen met bestanden van lage kwaliteit, zouden vandaag toch de CD niet kopen. Op het gebied van producten zijn beiden het wel eens. Ze zien een mooie markt weggelegd voor bestanden die slechts een aantal uur toegankelijk zijn, bijvoorbeeld enkel tijdens de nachturen. De mensen van FreeCulture.org verwachten eveneens een impact. Deze is in hun ogen echter negatief. Product-differentiatie zal in hun ogen niet werken. Dit werd volgens hen al bewezen met de verschillende versies van het Windows operating system. Mensen aanvaarden niet dat ze niet alle opties kunnen gebruiken. Bovendien kan een MP3 die met een DRM beveiligd werd, niet op tegen een onbeveiligde MP3 die volledig gratis op internet verschijnt. Prijs-differentiatie zien zij om dezelfde reden eveneens niet zitten. Pay-per-view, waarbij telkens wordt betaald als men het bestand afspeelt, zal volgens hen niet werken. De heer Van Steyvoort is het hiermee eens. De trends in de distributie Op het gebied van de distributie ziet de heer Van Steyvoort twee sterke trends. Aan de klantenzijde zou worden gewerkt met plug-ins. Hij ondervindt dat de vraag naar plug-ins groter is dan die naar ´e´en overkoepelende standaard. Bij de distributeur zelf zou DRM ertoe leiden dat alle bestanden centraal beheerd worden. Men zou dan rekening houden met de plaats om de kost te drukken. Er dient echter wel rekening gehouden te worden met het sociologisch klimaat dat heerst binnen het land. In de toekomst ziet hij China naar voor komen als kandidaat. De terughoudendheid die er nu nog heerst, door het welig tieren van piraterij in Azi¨e, zou weggewerkt worden door alle bestanden op de server met een DRM te beveiligen zodat werknemers of anderen de bestanden niet kunnen stelen. FreeCulture.org ziet dit niet zitten en schiet eveneens distributie via P2P-netwerken af. Volgens hen zal een P2P-netwerk waarop alle bestanden beschermd worden via DRM enkel leiden tot verwarring voor de gebruiker. Omdat het als te moeilijk ervaren wordt zal de
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
85
gebruiker blijven downloaden van P2P-netwerken die bestanden zonder DRM aanbieden. Met de bestanden van die netwerken hoeft hij geen rekening te houden met het aantal keer dat het bestand al afgespeeld werd of het aantal kopie¨en die reeds gemaakt werden. DRM, een mogelijkheid tot innovatieve promotie? De heer Van Steyvoort vindt het moeilijk om de impact die DRM op promotie zal hebben te voorspellen. Hij ziet toch een aantal trends naar voor komen. Een eerste trend is het ontstaan van device marketing. Hierbij wordt reclame gemaakt voor bestanden die afspelen op ´e´en welbepaald apparaat of ´e´en groep van apparaten zoals draagbare mediaspelers. Een tweede trend die volgens hem zeker naar voor zal komen is het aanbieden van gratis bestanden. DRM zou in combinatie met publieke draadloze netwerken een ideale manier zijn om muziek en films te promoten. De heer Van Hooydonck is het hiermee eens omdat entertainmentgoederen nu eenmaal experience goederen zijn. Beiden denken hierbij aan fastfood restaurants, tankstations en shoppingcenters die uitgerust zouden worden met een draadloos netwerk. Men zou dan bijvoorbeeld tijdens het eten van een hamburger gratis naar een film kunnen kijken. Andere mogelijkheden ziet de heer Van Steyvoort in het duwen van muziek naar het apparaat van de consument. Indien men langs een muziekwinkel loopt, zou automatisch de nieuwe single van bijvoorbeeld de Red Hot Chili Peppers naar de MP3 speler van de langslopende klant verzonden worden. Dit bestand zou dan de hele dag gratis te beluisteren zijn. De basisgedachte achter dit soort promoties is dat het aanbieden van bestanden met beperkte levensduur en lage kwaliteit voor het gebruik op GSM’s of andere apparaten, de aankoop van duurdere producten stimuleert. Een derde trend die hij verwacht is het optreden van superdistributie en multilevel marketing. Hierbij ziet hij een bloeiende markt voor het verzamelen van entertainmentbestanden waar iedereen toegang zou hebben tot een ruime databank. Daaruit selecteert de gebruiker een aanbod voor andere eindgebruikers. Deze persoonlijke collectie” zou dan ” ineens aangekocht kunnen worden door derden. De samensteller van de collectie zou dan een kleine vergoeding krijgen. Men zal dus overal in de wereld persoonlijke The best of ” the fifties” CD’s zien verschijnen. Deze compilatie zou dan bestaan uit de beste liedjes volgens de aanbieder. FruityTech biedt reeds een beperkte vorm van multilevel marketing aan. Radiostations
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
86
en websites kunnen bij hen een shop aanvragen. Op deze manier verdienen ze geld met producten die ze verkopen. In schril contrast hiermee staat de visie van FreeCulture.org. Multilevel marketing zal volgens hen niet werken. Het is volgens hen een sluikse manier om binnen te dringen in het sociale netwerk om dankzij dit netwerk geld te verdienen. Dit zal echter niet werken omdat gebruikers die van hun vriend een uitnodiging krijgen om het bestand te downloaden dit aanbod minder zullen vertrouwen indien ze weten dat hij er geld voor krijgt. Indien er geen geld gegeven wordt voor het promoten van muziek weet men dat de vriend eerlijk is. Bovendien zal op deze manier een nieuwe vorm van spam ontstaan. FreeCulture.org vreest dat we bestookt zullen worden met bestanden van lage kwaliteit die we tegen betaling kunnen omzetten naar een kwaliteitsvollere versie. De tweede trend waarbij muziek met een DRM gratis verspreid wordt, zien zij eveneens niet werken. De reden hiervoor is dat gebruikers het te moeilijk zullen vinden om een MP3 van lage kwaliteit om te zetten naar een MP3 van hogere kwaliteit. Vooral het feit dat er gratis” versies zijn met een hoge kwaliteit op P2P-netwerken zal het verwarrend maken. ” Het zal voor de gebruikers eenvoudiger zijn om onmiddellijk de versie van hoge kwaliteit te downloaden. Bovendien zullen verschillende mensen afkerig staan ten opzichte van bestanden met een DRM zodat het publiek dat het bestand ontvangt kleiner is. Hierdoor zou de verkoop dus dalen. De trend waarbij bestanden in ruil voor gebruikersgegevens gratis worden weggegeven zien zij eveneens niet werken. Ze denken dat het voor gebruikers onnatuurlijk zal blijven om gegevens in te geven in ruil voor een bestand. Bovendien zullen de ingevulde gegevens vaak niet correct zijn. Het gebruik van deze gegevens om bijvoorbeeld een studie op te baseren zou wel eens verkeerde resultaten kunnen geven. De heer van Hooydonck ziet nog andere mogelijheden waartoe DRM als promotiemiddel kan aangewend worden. Zijn technologie laat het vandaag de dag reeds toe om, indien je een nummer hoort waarvan je de naam niet weet, naar de server te bellen terwijl het stukje muziek afgespeeld wordt. Men zou dan vervolgens een SMS terug krijgen met de titel en auteur en de optie om het aan te kopen. Volgens de heer van Duvel zou van ERM op het gebied van marketing niet echt een omwenteling verwacht moeten worden. De enige mogelijkheid die hij zich onmiddellijk kon voorstellen was het gebruiken van een update functie. De gebruiker zal enkel de maandelijkse updates krijgen indien hij het product aangekocht heeft. Het DRM zou dan
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
87
de technologie zijn die nagaat of men een legale versie heeft of niet. De secundaire activiteiten Op het gebied van de secundaire activiteiten was de invloed op alle bedrijven gelijklopend. DRM zou gebruikt worden om bestanden zoals contracten, facturen en interne documenten te beveiligen. De opportuniteiten geboden door DRM Volgens de heer van Duvel liggen de grootste opportuniteiten in de ERM-wereld op het gebied van het wegwerken van grenzen tussen bedrijven en het tegengaan van informatielekken. ERM biedt namelijk een flexibele manier aan om met verschillende bedrijven samen te werken. Men kan namelijk op eenvoudige wijze verschillende rechten geven aan verschillende firma’s zoals op het niveau van departementen. De heer Van Steyvoort vulde aan dat er een belangrijke opportuniteit ligt in het vereenvoudigen van het distributienetwerk. De entertainmentproducten kunnen rechtstreeks naar de eindklant verscheept worden. De heer Van Hooydonck ziet nog bijkomende voordelen voor het gebruik van DRM. Hij krijgt vaak klanten over de vloer die vragen om na te gaan hoeveel maal en wanneer hun radiospot wordt gespeeld. Door een watermerk toe te voegen aan de radiospot kan gecontroleerd worden wanneer de spot werd uitgezonden. Men laat een computer luisteren naar de radio en deze registreert wanneer de spot werd gespeeld. Men zal dus een vorm van informatie kunnen samenstellen over het gebruik en de verspreiding van het bestand. FruityTech scant bijvoorbeeld regelmatig het volledige internet af op zoek naar bestanden die zij met een watermerk voorzien hebben. Na zeven uur krijgen ze vervolgens een lijst van bestanden die illegaal verspreid worden. Aan de hand van het watermerk kan dan nagegaan worden wie precies het bestand gelekt heeft. Het voordeel is dat deze informatie bij het gebruik van watermarking er analoog blijft inzitten en niet uit het bestand is te verwijderen. Het antwoord van FreeCulture.org op de mogelijk voordelen van DRM is kort. Er zijn er namelijk geen. Het invoeren van DRM in de muziekwereld heeft ervoor gezorgd dat de kwaliteit in deze sector gedaald is. Men zit nu opgescheept met bestanden van minderwaardige kwaliteit door alle restricties die ingebouwd werden. Bovendien ligt op deze
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
88
manier alle macht bij de labels. De nadelen van DRM Er zijn echter ook nadelen verbonden aan het gebruik van DRM. Het feit dat DRM ontwikkeld wordt door techneuten die weinig oog hebben voor de gebruiksvriendelijkheid wordt door alle ge¨ınterviewden als het grootste probleem aanzien. Indien DRM niet gebruiksvriendelijker wordt, is de kans groot dat het zal verdwijnen. Iedereen uitgezonderd FreeCulture.org verwacht op dit gebied wel dat er een soort van autostabilisatie zal optreden. De heer Van Hooydonck benadrukte dat zijn DRM wel degelijk gebruiksvriendelijk is. Hij kiest ervoor om geen restricties in te bouwen. Hij vindt het opleggen van restricties immers fout. Belangrijke punten waar rekening mee gehouden moet worden, zijn het respecteren van de privacy, first sale en fair use. Indien dit niet gebeurt, zullen er andere oplossingen komen bijvoorbeeld onder de vorm van websites die bestanden aanbieden zonder DRM. Volgens de heer Van Steyvoort zal ook de wetgeving een belangrijke rol spelen om de gebruiksvriendelijkheid te verbeteren. Elizabeth Stark staat twijfelachtig tegenover overheidsregulatie van DRM. Aan de ene kant is het een stap vooruit wanneer de overheid beslist dat er ´e´en gemeenschappelijk DRM moet ontwikkeld worden of, zoals in Frankrijk, dat DRM-specificaties open moeten zijn. Aan de andere kant geeft de overheid hiermee aan dat DRM eigenlijk niet zo slecht is terwijl het volgens Elizabeth Stark geen verbetering is voor de wereld. Bovendien valt een gemeenschappelijk DRM veel eenvoudiger te doorbreken zodat het eigenlijk nutteloos is en dus beter gewoon zou verdwijnen. De heer van Duvel haalde in het kader van gebruiksvriendelijkheid ook aan dat er soms een afweging gemaakt moet worden tussen de beveiliging en de gebruiksvriendelijkheid. Het Microsoft IRM biedt bijvoorbeeld een offline scenario aan. Men moet dan niet telkens een verbinding maken met de server wanneer men het bestand wil openen. Dit betekent echter dat wanneer de rechten ge¨ updatet worden omdat het bestand niet meer correct is het mogelijk is dat mensen, die geen verbinding met de server gemaakt hebben, blijven verder werken met de foute versie. Microsoft prefereert uitdrukkelijk deze flexibele manier omwille van zijn gebruiksvriendelijkheid. Marc Van Steyvoort verwacht dat de prijzen zullen stijgen omdat er zwaardere servers
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
89
nodig zullen zijn om de entertainmentbestanden af te leveren. Dit komt onder meer omdat er veel meer administratie bij te pas komt indien men naar alle kanten van de wereld wil verdelen met hetzelfde centrale systeem. De mensen van FreeCulture.org zijn het hiermee eens. De heer van Duvel denkt dat dit probleem niet in zo’n grote mate mee zal spelen in de bedrijfswereld. Het is namelijk niet de bedoeling om ERM op alles toe te passen. Het gaat tevens om een tijdelijke bescherming. De wet bepaalt meestal een periode wanneer de nodige stukken bewaard moeten worden. Als derde groot nadeel ziet de heer Van Steyvoort de kwaliteit van de aangeboden waren dalen. Alles wordt aangeboden in lage kwaliteit waarbij bijvoorbeeld de verbinding met de server die de video aanbiedt niet gegarandeerd wordt. Enkel tegen betaling zou de verbinding gegarandeerd worden. Indien de verbinding wegvalt en de film dus tijdelijk stopt, is de klant niet tevreden. Zoals eerder gezegd is de heer Van Hooydonck het hier niet mee eens. FreeCulture.org voegt hier nog een aantal nadelen aan toe. Volgens hen zal DRM de verkoop laten dalen omdat mensen geen minderwaardige producten willen en ze het door de product-differentiatie te moeilijk vinden om prijzen te vergelijken. Bovendien worden de klanten als dieven beschouwd en dit zullen ze in de toekomst niet langer pikken. De heer Van Hooydonck counterde door te stellen dat het wel degelijk dieven zijn. Ze vinden het normaal dat ze muziek gratis kunnen downloaden. Verder vindt FreeCulture.org dat DRM de creativiteit zal laten dalen omdat er bepaalde restricties zijn op het gebruik. Zo is het onmogelijk om voor educatieve doeleinden sommige werken te gebruiken omdat het DRM dit niet toelaat. De heer Van Hooydonck benadrukte dat zijn DRM geen hinder vormt voor de creativiteit, dit in tegenstelling tot andere veel gebruikte DRM’s. Als laatste nadeel wil Elizabeth Stark eraan toevoegen dat DRM voor een verschrikkelijk complexe en absurde wettelijke situatie gezorgd heeft. Wanneer men een DRM verwijdert van een CD en deze later illegaal kopieert, begaat men 2 verschillende overtredingen. Als men een DRM verwijdert voor het gebruik dat onder fair use valt, dan overtreedt men de wet in Amerika. Men mag namelijk in Amerika geen DRM omzeilen. Dit heeft dus tot gevolg dat het inhouden van de shift toets tijdens het inladen van een CD beschouwd wordt als een crimineel feit. Het indrukken van deze toets is namelijk een manier om op een aantal CD’s het DRM te omzeilen.
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
90
De mogelijke alternatieven voor DRM Veel alternatieven worden er niet gezien. De heer van Duvel voorziet bij het falen van DRM een scenario waarbij de traditionele encryptie terugkomt. De heer van Steyvoort ziet een eventuele mogelijkheid voor virtual en conditional access voor de thuismarkt. Dit is een vereenvoudigde versie van DRM. Het biedt onder andere de mogelijkheid om streams te beschermen en de betaling te regelen maar het mist de flexibiliteit die DRM aanbiedt. Aan de andere kant ziet hij ook een sterke opgang van de copyleft wereld. Deze wereld biedt bestanden aan met flexibele rechten. Men kan ze bijvoorbeeld gratis beluisteren maar indien men ze voor commerci¨ele doeleinden gebruikt, moet men betalen. Dit is ook de visie van FreeCulture.org. Zij promoten muziek met flexibele rechten zoals gedefinieerd volgens Creative Commons. Hiervoor zal echter een verandering nodig zijn in de wijze waarop mensen omgaan met muziek. Vaak wordt muziek dat onder dit soort licenties valt beschouwd als minderwaardig. Het liefst van al ziet FreeCulture.org DRM uit de wereld verdwijnen. De heer Van Hooydonck ziet niet echt alternatieven doorbreken. Hij is tevens een tegenstander van websites die muziek gratis aanbieden. Volgens hem wordt het op deze manier bijzonder moeilijk voor mensen om uit te maken wanneer ze illegaal bezig zijn. Kinderen willen bijvoorbeeld duidelijkheid en kunnen niet snappen waarom ze van de ene site wel kunnen downloaden zonder betalen en van de andere site niet. Wat zal de DRM-toekomst bieden? Iedereen is het erover eens dat de markt zal gedomineerd worden door een aantal dominante spelers. Iedereen verwacht ook een vorm van standaardisatie. Deze is ondertussen al aan de gang. IRM is bijvoorbeeld opgebouwd aan de hand van XrML, een open standaard om rechten te beschrijven. Volgens de heer Van Steyvoort zouden al deze standaarden dan via plug-ins met elkaar kunnen communiceren. Jurgen van Duvel is niet overtuigd van het ganse plug-in verhaal. Hoe het dan wel moet is ”koffie dik kijken”. Hij is het wel eens met de stelling dat men het zich in de bedrijfswereld niet kan permitteren om systemen zo te maken dat men enkel met klanten met hetzelfde ERM kan communiceren. Marc Van Steyvoort ziet een aantal aandachtspunten voor de toekomst. Gebruiksvriendelijkheid en het verbeteren van de service is voor hem ´e´en van de belangrijkste zoniet het belangrijkste kenmerk waar men moet aan werken. Verder ziet hij tevens een mogelijkheid
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
91
om DRM in meer apparaten in te bouwen. Hij dacht hierbij aan de tv in een hotelkamer die na negen uur ’s avonds de klank automatisch stiller zet. De rechten die hiervoor nodig zijn, zouden dan via DRM ge¨ımplementeerd worden. Een belangrijke wereld die men volgens hem zeker niet mag uit het oog verliezen is de hackerswereld. Een belangrijke factor in de ontwikkeling van DRM in de volgende jaren zal zijn of de hackerswereld zich op DRM stort of niet. Hij verwacht dat DRM meer en meer naar hardware apparaten zal verschuiven omdat deze beter te beveiligen zijn tegen hackers in tegenstelling tot software DRM’s. De heer van Duvel is het volledig met de heer Van Steyvoort eens op het gebied van gebruiksvriendelijkheid als belangrijkste aandachtspunt voor de toekomst. Wel wil hij er nog aan toevoegen dat DRM nog in de kinderschoenen staat. Voorlopig zit men bij Microsoft aan versie ´e´en van hun IRM. Hij verwacht dat tegen versie drie pas echt de impact van DRM zal duidelijk worden. Dit is eveneens de reden waarom ERM nog bijzonder weinig gebruikt wordt als implementatie voor SOX en Basel II. Beide compliancevoorschriften zijn te vlug ingevoerd om ERM de kans te geven om onmiddellijk voor een implementatie te kunnen zorgen. Het feit dat de implementatie van ERM op dit moment nog altijd omslachtig is, is hierbij een versterkende factor. Naar de toekomst toe verwacht hij dat de implementatie veel zal vereenvoudigen. Voeg daarbij het feit dat de technologie zelf nog niet volwassen is en de kosten ervoor hoog zijn en dan bekomt men een goede uitleg waarom ERM niet gebruikt wordt in de Belgische bedrijfswereld. IRM zit op dit moment in een niche-markt en het zal nog een aantal jaar duren vooraleer ERM courant gebruikt wordt. De heer van Duvel verwacht dat de grote doorbraak van ERM er zal komen met de lancering van Microsoft Office 2007. Daarnaast ziet hij eveneens een belangrijke rol weggelegd voor de integratie in andere apparaten zoals in radio’s en in televisies. FreeCulture.org ziet geen toekomst voor DRM en hoopt dat consumenten hen volgen en producten met DRM zullen negeren. De heer Van Hooydonck ziet geen ruimte in de toekomst voor een actief DRM, zoals bijvoorbeeld FairPlay van iTunes. Zijn watermarking DRM, dat passief is, is de enige optie met een toekomst. Het DRM van FruityTech respecteert de gebruikers en legt hen geen restricties op. Hij is overtuigd dat in navolging van een aantal grote spelers zoals Sony BMG, iedereen zal overschakelen op een DRM met een watermerk.
Hoofdstuk 5. Onderzoek naar het gebruik van DRM in de praktijk
5.2.6
92
Besluit
Het belangrijkste besluit dat naar voor komt uit alle interviews is dat er een schrijnend gebrek is aan gebruiksvriendelijkheid. Indien dit niet verbetert dan zou de droom van FreeCulture.org, een wereld zonder DRM, wel eens kunnen uitkomen. Een tweede trend is dat DRM een grote impact zal hebben op de primaire activiteiten binnen bedrijven. Volgens de voorstanders zijn de voordelen zoals prijs- en productdifferentiatie, superdistributie en nieuwe marketingmogelijkheden groter dan de nadelen. Volgens de tegenstanders zijn er geen voordelen maar enkel nadelen. De nadelen zijn voornamelijk de kost van de implementatie, een daling van de kwaliteit van de producten en een ingewikkelde wetgeving. Een derde gemeenschappelijke trend is de toekomstvisie omtrent DRM. Allen zien DRM gedomineerd worden door een aantal grote spelers. De voorstanders van DRM wijzen er bovendien op dat dit slechts een eerste stap is. DRM is op dit moment nog niet volwassen genoeg om als volwaardige technologie gebruikt te worden. Ze denken dat binnen twee tot drie jaar DRM echt op punt zal staan. Ze hopen dan ook dat tegen dan het grootste nadeel, het gebrek aan gebruiksvriendelijkheid, opgelost is. Het DRM van FruityTech is op dit gebied reeds een heel grote stap in de goede richting omdat het geen restricties oplegt aan de gebruiker.
Algemeen besluit DRM (Digital Rights Management) is een verzameling oplossingen om de ongeautoriseerde toegang, duplicatie en distributie van digitale bestanden te vermijden en die, indien mogelijk, de acties die op een bestand toegepast worden, bijhoudt. Het is dan ook ´e´en van de technologie¨en waar in de toekomst veel over gesproken zal worden. DRM is namelijk in staat om bestanden te beschermen wanneer ze gebruikt worden en dus niet enkel tijdens het transport zoals de meeste hedendaagse beveiligingssystemen. De kracht van DRM bestaat erin dat men nog altijd controle kan uitoefenen over het gebruik door geautoriseerde gebruikers. Dit wordt bekomen door de rechten te bepalen die elke gebruiker heeft. Naast de rechten die men wil geven kan men ook restricties opleggen zoals bijvoorbeeld een verbod op kopi¨eren. De meest gebruikte technologie¨en zijn deze waarbij de inhoud van het bestand versleuteld wordt en waarbij een watermerk toegevoegd wordt aan het bestand. Andere mogelijke oplossingen kan men vinden onder de vorm van een broadcast flag, product activatie of fysische bescherming. DRM-systemen zijn gebaseerd op 3 pijlers: technologie, wetgeving en licenties. Naast een technologische beveiliging tegen misbruik is er recentelijk een wetgeving ingevoerd die het verbiedt om DRM-systemen te kraken. Als men toch gebruik maakt van het DRM moet men een licentie aankopen. De invloed van DRM op de huidige bedrijfsmodellen werd nagegaan door de impact op de verschillende bedrijfsprocessen te onderzoeken. Hiervoor werd het model van Porter gebruikt. Het marketing gedeelte werd verder opgesplitst volgens het marketing mixmodel. Uit deze opsplitsing kwamen 2 belangrijke trends naar voor die dan ook meer belicht werden. De eerste is de marketing door de entertainmentindustrie. Men verwacht veel van de prijs-differentiatie die mogelijk wordt door de eenvoudige manier waarop DRM product93
Algemeen besluit
94
differentiatie ondersteunt. Superdistributie en de directe marketing zijn twee andere vlakken waar veel van verwacht wordt dankzij DRM. De tweede trend is de beveiliging en compliance bij bedrijven. Dankzij DRM kan men ervoor zorgen dat financi¨ele en andere bedrijfskritische gegevens op een adequate manier beveiligd worden. Dit alles werd vervolgens gecontroleerd door een kwalitatief onderzoek aan de hand van interviews met mensen binnen de DRM-wereld. In de praktijk kan men het gebruik van DRM opsplitsen in twee grote segmenten, de entertainmentindustrie en alle overige industrie¨en. De entertainmentindustrie past DRM toe om hun producten te beschermen tegen illegaal kopi¨eren. DRM zal echter voor deze industrie een veel grotere rol spelen op het gebied van marketing. Dankzij DRM wordt prijs- en product-differentiatie veel eenvoudiger. Product-differentiatie kan gebeuren op basis van kwaliteit, het type apparaten waarnaar het bestand kan gekopieerd worden, het soort handelingen die toegestaan worden en extra restricties die opgelegd worden zoals bijvoorbeeld een vervaldatum. Doordat het DRM product-differentiatie aanbiedt, kan op eenvoudig wijze prijs-differentiatie opgezet worden. Men laat gebruikers dus betalen voor het product dat ze willen. Indien we rekening houden met het feit dat de entertainmentindustrie gekenmerkt wordt door oligopolies, kan gesteld worden dat dankzij een DRM de markt zowel naar boven als naar onder wordt uitgebreid. Mensen die de oligopolieprijs eerst niet willen betalen, kunnen inboeten aan kwaliteit en een lagere prijs betalen. Gebruikers die betere kwaliteit verkiezen dan de oligopoliekwaliteit betalen in dit geval ook meer. Een aantal bemerkingen omtrent prijszetting in de aanwezigheid van DRM moet zeker geventileerd worden. Piraterij zorgt ervoor dat een DRM moet ingevoerd worden. Het invoeren van een DRM is echter niet gratis. De extra software brengt kosten met zich mee en tevens zal het gepercipieerde nut voor de consumenten dalen omdat er extra restricties zijn. De optimale prijs voor een bestand met DRM wordt op deze manier gelijk aan de prijs van het omzeilen van het DRM en deze prijs is lager dan de oligopolieprijs. Een prijs hoger dan deze van het omzeilen zou veel mensen ertoe aanzetten om het DRM te omzeilen. Een tweede bemerking is dat door het invoeren van een DRM de gebruikers minder goed ge¨ınformeerd zijn ten opzichte van de situatie voordien. Het DRM zorgt er namelijk voor
Algemeen besluit
95
dat de experience goederen niet perfect naar waarde kunnen worden geschat omdat het fair use gebruik aan banden gelegd wordt. Door een DRM in te voeren zal er een onderproductie ontstaan van nieuwe werken. Door het DRM wordt, in tegenstelling tot vandaag de dag, de incentive om andermans werk te hergebruiken reeds betalend. De tegenstanders van DRM vrezen dat hierdoor aan creativiteit zal ingeboet worden. Een laatste aandachtspunt is dat het DRM ervoor zorgt dat de gebruiker zijn aangekochte bestanden niet verder kan verkopen op de secundaire markt. Hierdoor wordt de oligopoliepositie van de copyrighthouders versterkt. DRM eerbiedigt dus het first sale principe niet. Naast product en prijs zal DRM ook invloed hebben op hoe de bestanden verdeeld zullen worden. Dankzij DRM komt het legaal downloaden eindelijk van de grond. De twee voornaamste distributiemethodes op dit moment zijn pay-per-download websites en sites die werken met een lidmaatschap. Bij de eerste betaalt men per download, bij de tweede huurt men als het ware de rechten om de muziek af te spelen zolang men lid is van de site. Welk distributiemodel de overhand zal halen, is op dit ogenblik moeilijk te voorspellen. Naast pay-per-download en subscription sites heeft DRM nog andere distributiemodellen mogelijk gemaakt. Bij het broadcastingmodel worden bestanden gratis verdeeld in ruil voor informatie van de gebruiker. In ruil voor de gratis muziek krijgt de gebruiker geregeld merchandising, concerttickets of andere producten waar winst op gemaakt kan worden, aangeboden. Door DRM kunnen vijandige technologie¨en aangewend worden in eigen voordeel. Tot op heden verzet de entertainmentindustrie zich hevig tegen P2P-netwerken maar dankzij dit soort netwerken zullen ze in de toekomst veel kosten besparen doordat superdistributie mogelijk wordt wat multilevel marketing aantrekkelijk zal maken. Hierbij krijgt elke koper de incentive om te verkopen omdat hij een deel van de winst krijgt. Elke koper wordt dus verkoper. Dankzij multilevel marketing kan, ondanks dat het om kleine bedragen gaat, een grote winst gemaakt worden doordat mensen eerder geneigd zijn te kopen als iets gepromoot wordt door een kennis. Of deze vorm van marketing zal aanslaan blijft de vraag. Indien men weet dat de verkoper geld krijgt, zal men misschien geneigd zijn om zijn lovende woorden niet te geloven. Niet enkel multilevel marketing wordt mogelijk als promotietechniek, direct marketing zal eveneens een grote stap vooruit zetten. Dankzij DRM kan men namelijk veel eenvoudiger
Algemeen besluit
96
het doelpubliek identificeren. Men kan namelijk de intellectuele consumptie van gebruikers opslaan om daarna producten aan te bieden op maat van de gebruiker. Hoe groot de impact van DRM zal zijn op de promotiemogelijkheden is op dit ogenblik moeilijk te zeggen. Veel zal afhangen van de inventiviteit van de marketingwereld om DRM op een creatieve manier toe te passen. Het gebruik van DRM zal altijd een evenwichtsoefening blijven tussen winst maken enerzijds en het respecteren van de rechten van de gebruikers anderzijds. Een tweede grote groep DRM’s wordt voor B2B-doeleinden gebruikt en is beter gekend onder de naam ERM (Enterprise Rights Management). ERM is nog maar pas begonnen aan zijn opmars. Dit is vooral te danken aan de mondialisering van bedrijven. Het belangrijkste voorbeeld op dit gebied is wel ’outsourcing’, wat onder meer leidt tot nieuwe beveiligingsproblemen. Vroeger spitste de beveiliging van gegevens zich louter toe op het beveiligen van het netwerk. Door recente onderzoeken is echter aan het licht gekomen dat de meeste diefstallen gebeuren door mensen van binnen het bedrijf. Deze zogenaamde insider attacks zijn onmogelijk te stoppen door enkel het netwerk te beveiligen. Men moet de bestanden beveiligen niet enkel tijdens het transport maar ook terwijl ze gebruikt worden. Hiervoor is ERM ideaal. Het ERM zal de toepassing die het bestand opent, verplichten na te gaan of de gebruiker het bestand mag openen. Indien dit niet het geval is, zal het bestand versleuteld blijven. Naast insider attacks is er een tweede wijze waarop voor het bedrijf geheime informatie naar buiten lekt. Een meer onschuldige vorm is het verspreiden van informatie door menselijke fouten zoals een email verzenden naar de verkeerde persoon of een bestand met informatie verzenden naar iemand die het eigenlijk niet mocht ontvangen. Ook tegen deze vorm van beveiligingslekken biedt ERM een oplossing door bijvoorbeeld emails te scannen op dit soort informatie. Het soort data dat men dankzij ERM kan beveiligen is sterk uiteenlopend. Het gaat van contracten, financi¨ele gegevens en rapporten tot iets meer bedrijfskritische data zoals onderzoeks- en overnameplannen en klantendetails. Dankzij het ERM kan men ervoor zorgen dat de rechten zelfs gerespecteerd worden op draagbare media zoals USB-sticks en MP3-spelers. Tegenwoordig neemt beveiliging een grote hap uit het IT-budget van vele bedrijven. Een tweede grote slokop is het geld dat gaat naar compliance. Compliance is voldoen aan
Algemeen besluit
97
regels die opgelegd worden door de wetgeving, door sectororganisaties of door interne bedrijfsreglementen. De meest bekende compliancevraagstukken zijn SOX, HIPAA en Basel II. Zoals uit de belangrijkste vraagstukken duidelijk naar voor komt, speelt compliance een belangrijke rol in sectoren die informatie produceren zoals ziekenhuizen of die sterk afhangen van informatie zoals beursgenoteerde bedrijven. De SOX-wetgeving is er gekomen na ettelijke beursschandalen waarbij de boekhouding niet correct werd ingevuld. De SOX-wetgeving stelt het management verantwoordelijk wanneer de financi¨ele gegevens niet correct werden ingevuld. Daarom verkiest het management om een ERM in te voeren zodat het onmogelijk wordt om de regelgeving niet te volgen. Het ERM houdt immers niet enkel bij wie welke gegevens aangepast heeft, het slaagt er ook in om een aantal fouten van het personeel op te vangen wanneer bijvoorbeeld een verkeerde formule die niet aan de SOX-regels voldoet, wordt gebruikt. Aangezien de SOX-wetgeving ervoor zorgt dat het management eveneens verantwoordelijk is voor uitbestede activiteiten is ERM de gedroomde oplossing omdat men op deze manier toch de SOX-wetgeving kan opleggen. Indien er fouten optreden kan men altijd bewijzen dat de fout bij het andere bedrijf ligt. Een andere belangrijke regelgeving is Basel II die een internationaal gestandaardiseerd stelsel van regels beoogt voor het bepalen van de kapitaalsvereisten van banken zodat de kapitaalvoorraad beter aansluit bij het risico waar de instelling aan bloot staat. Het is de bedoeling dat dit systeem door alle kredietinstellingen en investeringsmaatschappijen zal worden gehanteerd. ERM zal ´e´en van de drijvende krachten zijn om te voldoen aan Basel II. ERM zal voornamelijk een rol spelen op twee gebieden. Het eerste gebied wordt bepaald door handelingen van mensen. Mensen maken fouten en ERM kan ervoor zorgen dat dit risico zo gering mogelijk is. Risico’s treden onder meer op wanneer gegevens op draagbare media worden gezet. Het tweede gebied wordt gekenmerkt door processen en systemen. Dankzij ERM kan een workflow opgelegd worden waarvan niet afgeweken kan worden. Net zoals bij SOX gaat het hier om de garantie dat de informatie binnen het bedrijf en de informatie die naar buiten komt volgens de opgelegde regels is opgesteld en dat ze bovendien accuraat is. Een laatste wetgeving waaraan aandacht dient gegeven te worden is de privacywetgeving. Op dit punt is ERM een tweesnijdend zwaard. Aan de ene kant kan ERM gebruikt
Algemeen besluit
98
worden om de privacy te waarborgen terwijl het aan de andere kant ervoor zorgt dat het consumptiepatroon van gebruikers mogelijk verkocht wordt. Privacy speelt niet enkel een rol in de bankwereld maar eveneens in andere sectoren waar gegevens confidentieel moeten blijven. Hierbij denken we bijvoorbeeld aan de medische gegevens van pati¨enten. Bescherming van persoonlijke gegevens is ´e´en van de prioriteiten in de hedendaagse gedigitaliseerde ziekenhuiswereld. Men dient gegevens van pati¨enten, zoals gegevens over de gezondheid en de hospitalisatieverzekering, te beschermen wanneer deze verzonden worden via mail naar andere artsen, laboratoria en pati¨enten zelf. Hiervoor kan een ERM dat de emails scant ingeschakeld worden. Men verzekert zo dat alle gegevens confidentieel blijven. De negatieve kant van ERM en DRM komt in werking wanneer er een log aangelegd wordt van de intellectuele consumptie van personen. Dit is heel eenvoudig omdat het DRM automatisch data omtrent de consumptie van de gebruikers bijhoudt. Wanneer dit soort informatie verkocht wordt aan derden of misbruikt wordt dan schendt men de privacy van gebruikers. Doordat DRM nog relatief nieuw is, is de wetgeving hieraan nog niet aangepast. Het zal dus nog een aantal jaar duren vooraleer de impact van DRM op de privacy duidelijk wordt. ERM biedt dus een oplossing voor zowel het beveiligings- als het complianceprobleem. Dankzij ERM is men namelijk in staat om regels, over hoe informatie opgeslagen moet worden, wie toegang heeft en wat men met het bestand kan doen ´e´enmaal men toegang heeft, op te stellen. Bovendien zijn beide problemen van de gehele onderneming, van werknemer tot directeur. Daarom is het voor bedrijven het voordeligst om voor een totaaloplossing te kiezen. Deze totaaloplossing moet in staat zijn de bestanden te beveiligen maar moet communicatie en transacties mogelijk laten zelfs al heeft de tegenpartij een ander ERM. Men kan partners namelijk niet verplichten eenzelfde ERM in te voeren. Gebruikers moeten bovendien altijd en overal aan de bestanden geraken, onafhankelijk van het platform waarom ze proberen het bestand te openen. Dit kan doordat het ERM zorgt voor een end-to-end beveiliging die meereist met het bestand. Het invoeren van een DRM zorgt evenwel niet enkel voor positieve commentaren. Vele consumenten zien DRM liever verdwijnen omdat er geen rekening gehouden wordt met hun
Algemeen besluit
99
rechten, beschreven in de privacywetgeving en het fair use gebruik. Vaak zijn bestanden eveneens niet uitwisselbaar met andere apparaten. Volgens hen dient DRM enkel om de rechten van de copyrighthouders te beschermen. Daarenboven zijn DRM-systemen vandaag de dag niet echt gebruiksvriendelijk. Dit is tevens ´e´en van de besluiten die kunnen getrokken worden uit het kwalitatief onderzoek. Alle experts zijn het erover eens dat de klantvriendelijkheid moet verbeteren wil DRM echt slagen. Als besluit van deze thesis kunnen we dus stellen dat het onderwerp zeker interessant is om te volgen. Op dit ogenblik is het echter nog (veel) te vroeg om de impact van DRM op bedrijfsmodellen te bepalen. De markt voor ERM is hiervoor nog niet genoeg ontwikkeld. Dit kan ondermeer gezien worden doordat er, na navraag bij enkele ITconsultancy bedrijven, binnen Belgi¨e nog geen enkel groot bedrijf een aanvraag had gedaan voor de implementatie van een ERM. Waarschijnlijk zal men binnen twee tot drie jaar een veel betere inschatting kunnen maken van deze impact. Voor de entertainmentindustrie is de conclusie eveneens nog niet te maken. Al is de markt daar wel al meer volwassen. Dit wordt onder meer bewezen door de goede verkoop van de iPod MP3-speler. Om een definitieve uitspraak te maken is het ook hier nog te vroeg. Het is pas recentelijk dat mensen zich bewust worden van het DRM. Dit wordt onder meer bewezen door het oprichten van consumentenverenigingen die ijveren voor de afschaffing van DRM. Of DRM uiteindelijk deze mensen op andere gedachten zal kunnen brengen door de gebruiksvriendelijkheid te verhogen en de rechten van de consumenten te waarborgen, zal pas duidelijk worden binnen een paar jaar.
Bijlage A Bijkomende informatie over de ge¨ınterviewden A.1
Marc Van Steyvoort
Naam: Marc Van Steyvoort Email:
[email protected] GSM: op aanvraag Interview: 20/04/2006 Functie: hoofd DRM bij Alcatel, verantwoordelijke voor mobiele tv-toepassingen van T-Mobile Europa en oprichter van Dance-Industries. Alcatel Alcatel biedt communicatie oplossingen voor ISP en bedrijven op het gebied van transmissie van data, video en spraak. Alcatel is ´e´en van de grootste spelers op het gebied van vaste en mobiele telefonienetwerken en had een omzet van 13,1 miljard euro en 58.000 werknemers in 2005. Alcatel is werkzaam in meer dan 130 landen.[Alcatel, 2006] T-Mobile T-Mobile is ´e´en van de wereldleiders in mobiele telefonie en concentreert zich op markten binnen Europa en de USA. Op het einde van 2005 had T-Mobile meer dan 86 miljoen klanten.[T-Mobile, 2006b] Dance-Industries Dance-Industries is een copyleft distributieplatform met meer dan 5.000 artiesten en meer
100
Bijlage A. Bijkomende informatie over de ge¨ınterviewden
101
dan 15.000 nummers die gratis te downloaden zijn. Ze zijn ´e´en van de grootste spelers op het gebied van dance en trance muziek. Dance-Industries is de voornaamste pijler binnen 3X-Industries. Binnen deze groep is er onder meer nog ruimte voor een platform dat gratis rockmuziek promoot, Rock-Industries en een blog omtrent nieuws uit de muzieken DRM-wereld. Naast distributie naar particulieren verzekeren ze ook de distributie naar bedrijven die nood hebben aan muziek met flexibele rechten.
Bijlage A. Bijkomende informatie over de ge¨ınterviewden
A.2
102
Microsoft
A.2.1
Jurgen van Duvel
Naam: Jurgen van Duvel Email:
[email protected] GSM: +32 (476) 855360 Functie: Product Marketing Manager Windows Client & Mobility. Interview: 22/12/2005 - 21/04/2006
A.2.2
Yves Kerwyn
Naam: Yves Kerwyn Email:
[email protected] GSM: +32 (475) 704518 Interview: 05/12/2005 Functie: Product & Solution Marketing Manager - Microsoft Office Information Worker Solutions. Windows Microsoft is een wereldwijde leverancier van computer software en diensten. In 2005 lagen de verkoopscijfers rond de 40 miljard dollar en had Microsoft 64.000 werknemers in 85 landen. [Wikipedia, 2006e]
Bijlage A. Bijkomende informatie over de ge¨ınterviewden
A.3 A.3.1
103
FreeCulture.org Elizabeth Stark
Naam: Elizabeth Stark Email:
[email protected] Skype: emstark Interview: 25/04/2006
A.3.2
Fred Benenson
Naam: Fred Benenson Email:
[email protected] Skype: mecredis Interview: 25/04/2006 FreeCulture.org FreeCulture.org is een organisatie opgericht door studenten ter promotie van het gratis verspreiden van cultuur. FreeCulture.org is vooral actief op campussen van Amerikaanse universiteiten. De beweging heeft zijn roots in de open source beweging.
Bijlage A. Bijkomende informatie over de ge¨ınterviewden
A.4
104
Jan Van Hooydonck
Naam: Jan Van Hooydonck Email:
[email protected] GSM: +32 (3) 2888129 Functie: oprichter FruityTech BVBA. Interview: 27/04/2006 FruityTech FruityTech is een bedrijf dat zich specialiseert in het beveiligen van muziekbestanden en het garanderen van de security tijdens het versturen van deze bestanden. Tot hun klanten behoren alle grote Belgische platenlabels zoals EMI en BMG Belgium. Van deze klanten bieden ze op hun webportal alle muziek aan.
Bibliografie ABC News (2005). Grandpa Is Sued Over Grandson’s Downloads. URL:
OTC-RSSFeeds0312&technology=true>. 19/02/2006. Aichroth P., Puchta S. & Hasselbach J. (2004). Personalized Previews: An Alternative Concept of Virtual Goods Marketing. URL:
pdf>. Paper for Virtual Goods 2004 International Workshop for Technology, Economy, Social and Legal Aspects of Virtual Goods, May 27 - 29 2004 in Ilmenau, Germany. (21/03/2006). Alapan A. & Hutchison A. (2005). Requirement Analysis of Enterprise DRM systems. URL:
. Proceedings Information Security South Africa, Conference Paper. (02/04/2006). Alcatel (2006). Alcatel Builds Next Generation Networks. URL:
. (24/04/2006). Androutsos P., Androutsos D. & Venetsanopoulos A. N. (2006). Small world distributed access of multimedia data. IEEE Signal Processing Magazine, 23(2):142–153. Apani Networks (2005). The Need to Protect Against Insider Attacks. URL:
. (02/04/2006). Bechtold S. (2004). Digital Rights Management in the United States and Europe. American Journal of Comparative Law, 52:323–382. Berlind D. (2006). Are anti-DRM declarations falling on deaf ears? URL: . (17/01/2006).
105
Bibliografie
106
Berry M. (2002). That’s What I Want - Developing user-friendly DRM. URL:
new1011653160573/>. (24/03/2006). Best J. (2005). EU investigates DRM privacy threat. URL:
.
(09/02/2006). BIS (2005). About the Basel Committee. URL: . (13/04/2006). Bluebill Advisors Inc. (2004). COMPLIANCE: MAKE DRM PART OF THE SOLUTION. The Gilbane Report, 12(5). BoingBoing (2006a). iTunes update spies on your listening and sends it to Apple? . URL: . (11/01/2006). BoingBoing (2006b). Sony BMG demotes CEO for deploying DRM. URL: . (17/02/2006). Bruun L. (2004). Digital Rights Management. URL:
doc>. Media Seminar Report 18.12.2004. (20/02/2006). Carey B. (2006). The Science of Hit Songs. URL:
.
(11/02/2006). Cho K. (2005). Implementing Enterprise DRM. URL: . (02/09/2005). Cohen J. (2003). DRM and Privacy. Berkeley Technology Law Journal, 18. Conry-Murray A. (2003). DRM: A Question Of Balance. URL:
articleId=16600090>. (11/04/2006).
Bibliografie
107
Copyleft-Music (2006). Coldplay and DRM. URL:
.
(05/02/2006). Digital ID World (2004).
Identity Based Rights Management.
Digital ID World,
02(02):26–31. DMP (2005). INTEROPERABLE DIGITAL RIGHTS MANAGEMENT PLATFORM. URL: . (18/10/2005). Dobber M. (2002). Basel II: Operationele risico benaderingen onder de loep. URL: . (27/04/2006). Feldman L. (2005). The DRM Pandemic. URL:
.
(24/03/2006). Fox M. (2004). E-commerce Business Models for the Music Industry. Popular Music Industry and Society, 27(2):201– 220. Fox News (2005). Man Gets Three Months for Uploading Movies. URL: . (19/02/2006). FruityTech (2003). FruityTech. URL: . (07/03/2006). Fulton S. (2006). Coral Consortium: Can’t all our DRM systems just get along? URL:
.
(03/03/2006). Geer D. (2004). Digital Rights Technology Sparks Interoperability Concerns. IEEE Computer, 37(12):20–22. Glass B. (2003). What Does DRM Really Mean? PC Magazine, 22(6):66–69. Grassmuck V. (2003). Technological Copyright Enforcement and Open Access. URL:
html>. (13/02/2006).
Bibliografie
108
Groffmann H.-P. (2005). Stand und Entwicklung der Preismodelle f¨ ur digitale Musik. URL:
Cornelius_dl.pdf>. (24/03/2006). Helberger N., Dufft N., Gompel van S., Ker´enyi K., Krings B., Lambers R., Orwat C. & Riehm U. (2004). Digital Rights Management and Consumer Acceptability. URL: <www.indicare.org/tiki-download_file.php?fileId=60>. (13/02/2006). Iannella R. (2000). Open Digital Rights Management. URL:
.
(12/02/2006). Iannella R. (2001). Digital Rights Management (DRM) Architectures. D-Lib Magazine, 7(6). IDC (2005).
Worldwide Outbound Content Compliance 2005 - 2009 Forecast and
Analysis: Content Security Turns Inside Out. URL:
.
(13/12/2005. Intertrust (2006). About Digital Rights Management. URL: . (10/02/2006). iTunes (2006a). Apple - Support - iTunes Music Store - Authorization FAQ. URL:
.
(07/03/2006). iTunes (2006b). Can’t burn a CD in iTunes for Windows. URL:
.
(07/03/2006). Jinnett J. (2004). Adopting a Holistic” Approach to Document-Related Compliance ” Mandates Based on the HP Compliance and Collaboration Solution. URL:
%20Compliance\%20and\%20Collaboration\%20Solution\%20Whi.pdf>. paper. (06/04/2006).
White
Bibliografie
109
Korba L., Song R., Yee G. & Chen Y.-C. (2005). Scenarios for Privacy Rights Management using Digital Rights Management. URL:
NRC-47428.pdf>.
Proceedings of the 2005 Resource Management Association
International Conference (IRMA 2005), San Diego, CA, USA.(11/04/2006). Kotler P. (2004). Marketingmanagement de essentie, chapter 1, p. 18. Pearson Education Benelux. Krohn R. (2002). HIPAA compliance: a technology perspective. Journal of Healthcare Information Management, 16(02). Langin D. J. (2005). Darning SOX: Technology and Corporate Governance Elements of Sarbanes-Oxley. URL:
.
(15/04/2006). Lerouge S., De Sutter R. & Walle Van de R. (2005). PERSONALIZING QUALITY ASPECTS IN SCALABLE VIDEO CODING. URL: . IEEE International Conference on Multimedia & Expo (ICME 2005). Lin A. (2005). Understanding the Market for Digital Music. Stanford Undergraduate Research Journal, 4:50–56. Liquid Machines Inc. (2004). Missing Controls for Sarbanes-Oxley. URL: . (03/04/2006). Liquid Machines Inc. (2006). Liquid Machines and Microsoft Windows Rights Management Services (RMS): End-to-end Rights Management for the Enterprise. URL: . (03/04/2006). Marks E. A. (2005). 2005: The Year of the SOA? URL:
webservices/story/0,10801,97274,00.html>. (15/04/2006).
Bibliografie
110
Meehan M. (2005). 2005: The year SOA broke big. URL:
gci1154378,00.html>. (15/04/2006). Microsoft (2006a). Digital Rights Management (DRM). URL: . (10/02/2006). Microsoft (2006b). Information Rights Management in Office Professional Edition 2003. URL: . (14/02/2006). Mills E. (2006). Apple calls French law ’state-sponsored piracy’. URL: . (24/04/2006). National Threat Assessment Center & Software Engineering Institute Carnegie Mellon University (2005). The Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors. URL:
.
(13/02/2006). Neogy C. (2004). The Business Case for Enterprise Rights Management in the Commercial Banking Industry. URL: . Acadia Edge Group. (03/04/2006). NetLight Consulting AB (2002). The Business Case for Mobile DRM. Owen M. (2004). Preparing for the Pain of Basel II. URL:
.
(10/04/2006). Park Y. & Scotchmer S. (2005). Digital Rights Management and the Pricing of Digital Goods. URL: .
NBER Working Paper 115323.
(11/03/2006). Peitz M. & Waelbroeck P. (2003). Piracy of Digital Products: A critical Review of the Economics Literature.
Bibliografie URL:
111
%20Working\%20Papers\%202003/CESifo\%20Working\%20Papers\%20November\ %202003/cesifo1_wp1071.pdf>.
CESifo Working Paper Series No. 1071.
(14/02/2006). Petrick P. (2004). Why DRM Should Be Cause for Concern: An Economic and Legal Analysis of the Effect of Digital Technology on the Music Industry. URL: .
Re-
search Publication No. 2004-09. (13/04/2006). Pinder P. (2006). Preparing Information Security for legal and regulatory compliance (Sarbanes-Oxley and Basel II). Information security technical report, 11(01):32–38. Porter M. (1985). Competitive Advantage: Creating and Sustaining Superior Performance. Simon & Schuster Trade. RealNetworks (2006a). Products and Services ¿ Helix DRM. URL: . (07/03/2006). RealNetworks (2006b). Real Customer Support. URL: . (07/03/2006). RNCOS (2005). Digital Rights Management - An Industry Outlook 2005-2008. URL: . Sample Report. (13/02/2006). Robinson G. (2004). Steve Jobs vs. Subscriptions. URL:
.
(26/03/2006). Rosenblatt B. & Dykstra G. (2003). Integrating Content Management with DRM: Imperatives and Opportunities for Digital Content Lifecycles. DRMWatch. Rump N. (2004). Can digital rights management be standardized? IEEE Signal Processing Magazine, 21(2):63–70. SABAM (2006). Website SABAM. URL: . (15/03/2006).
Bibliografie
112
Schmidt A. (2006). Incentive Systems in Multi-Level Markets for Virtual Goods. Information Economics and Policy, 18(2):125–138. Shapiro C. & Varian H. R. (1999). Information Rules. A strategic Guide to Network Economy. Boston. Smith B. (2003). OMA Moves Quickly Into DRM. Reed Business Information, 9(13):18– 20. Sundararajan A. (2004). Managing Digital Piracy: Pricing and Protection. Information Systems Research, 15(3):287–308. T-Mobile (2006a). T-Mobile: FAQs. URL:
.
(12/04/2006). T-Mobile (2006b). T-Mobile International - About T-Mobile. URL:
,en.html>. (24/04/2006). Technorati (-). About Technorati. URL: . (15/04/2006). Technorati (2006a). Technorati Chart:DRM. URL:
n&authority=n>. (15/04/2006). Technorati (2006b). Technorati Chart:DRM. URL:
n&authority=a7>. (15/04/2006). Technorati (2006c). Technorati Chart:SOA. URL: . (15/04/2006). The American Institute of Certified Public Accountants (-). Summary of Sarbanes-Oxley Act of 2002. URL: (08/04/2006).
.
Bibliografie
113
Tyrv¨ainen P., J¨arvi J. & Luoma E. (2004). PEER-TO-PEER MARKETING FOR CONTENT PRODUCTS - COMBINING DIGITAL RIGHTS MANAGEMENT AND MULTILEVEL MARKETING. URL: .
Pre-
print - To appear in Proceedings of IADIS International Conference on e-Commerce 2004(EC2004) Lisbon, Portugal, December 14-16, 2004. (04/04/2006). Vacature (2006). SOX Cooridinator. URL:
.
(25/04/2006). Raalte van J. (2000). Een nuchtere invulling van Architectuur. URL:
%20invulling.doc>. (27/04/2006). Van Tassel J. (2005). Digital Rights Management: Interoperability. URL: . (18/10/2005). Veniegas M. (2006). HIPAA and Email - How Does Your Practice Deal with Compliance in a Digital Age?
URL: . (07/04/2006). Voelker M. (2004). Using Digital Rights Management To Protect Corporate Data. URL:
49400390>. (11/04/2006). Lohmann von F. (2002). Fair Use and Digital Rights Management: Preliminary Thoughts on the (Irreconcilable?) Tension between Them. URL: .
The Twelfth
Conference on Computers, Freedom and Privacy. (13/02/2006). Walter M. (2000). Digital Rights Management: Technology Evolves to Aid Content Marketing. Seybold Report on Internet Publishing, 4(8):9–17.
Bibliografie
114
Wikipedia (2006a). 2005 Sony CD copy protection controversy. URL:
controversy>. (15/04/2006). Wikipedia (2006b). Digital Rights Management. URL:
.
(10/02/2006). Wikipedia (2006c). Dongle. URL: . (14/02/2006). Wikipedia (2006d). iTunes Music Store. URL: . (22/02/2006). Wikipedia (2006e). Microsoft - Wikipedia, the free encyclopedia. URL: . (24/04/2006). Woellert L. (2005). Sony’s Escalating Spyware” Fiasco. ” URL: . (14/02/2006). Woo C.-S., Du J. & Pham B. (2005). Multiple Watermark Method for Privacy Control and Tamper Detection in Medical Images. URL: . Workshop on Digital Image Computing (WDIC2005). (10/04/2006). World Economic Forum (2006). A New Democracy in Digital Rights Management. URL:
_S15501?open&event_id=1462&year_id=2006>. (06/02/2006). XrML.org (2005). XrML Fequent Asked Questions. URL: . (12/02/2006). Yu Y. & Chiueh T.-C. (2004). Enterprise Digital Rights Management: Solutions against Information Theft by Insiders. URL: . (20/04/2006). ZDNet (2005). De nachtmerrie van SonyBMG. URL: . (18/11/2005).