Het recht van overheidsinfomatisering
Het Expertise Centrum | het recht van overgheidsinformatisering
3
CIP-gegevens Koninklijke Bibliotheek, Den Haag de Pous, V.A. Het recht van overheidsinformatisering | Mr. V.A. de Pous Den Haag: Het Expertise Centrum ISBN 90-75239-02-5 Trefwoorden: informatisering / openbaar bestuur 2 druk september 2010 e
Vormgeving Idiotmedia [bno], Enschede Lithografie/druk Smeink, Amsterdam
© 1994 Het Expertise Centrum Niets uit dit werk mag worden verveelvoudigd en/of openbaar gemaakt worden door middel van druk, fotokopie, microfilm, electronisch of op welke andere wijze dan ook, daaronder mede begrepen gehele of gedeeltelijke bewerking van het werk, zonder voorafgaande schriftelijke toestemming van Het Expertise Centrum.
4
het recht van overgheidsinformatisering | Het Expertise Centrum
Het recht van overheidsinformatisering Enkele juridische aspecten bij aanschaf en gebruik van informatietechnologie Mr. V.A. de Pous
papernote 2
Het Expertise Centrum | het recht van overgheidsinformatisering
5
Het recht op overheidsinformatisering is het tweede deeltje van de “papernootreeks” waarin Het Expertise Centrum opvallende artikelen op het gebied van de informatisering uitbrengt. Eerder verscheen Informatisering: spel zonder grenzen? door Prof. dr E.J.J.M. Kimman.
6
het recht van overgheidsinformatisering | Het Expertise Centrum
Ten geleide
Voor het functioneren van de overheid is het gebruik van computers van essentieel belang: zonder informatisering kan de overheid haar taak ten opzichte van de burger niet vervullen. De overheidstoepassingen kenmerken zich door grote omvang en complexiteit. Het gaat immers altijd om grote aantallen burgers en een vaak ingewikkelde wetgeving. In de vele jaren dat de informatisering al een rol speelt, is bij de overheidsmanagers een grote kennis opgebouwd over de wijze waarop projecten dienen te worden opgezet, aangestuurd en te worden bewaakt. Toch gaat het nog vaak mis en komen opdrachtgever en (toe)leverancier tegenover elkaar te staan en komt van de oorspronkelijke gedachte om gezamenlijk een harmonieuze relatie op te bouwen niet veel terecht. Dan ontstaan conflicten en komen de juridische argumenten en deskundigen in beeld. Uiteindelijk blijken dan beide partijen de facto de verliezers. Ondanks financiële regelingen zijn beiden teleurgesteld. Het juridische aspect van de informatisering is derhalve relevant en neemt in betekenis toe. Wij hebben daarom de heer V.A. de Pous gevraagd zijn deskundige visie te geven over de juridische aspecten van de informatisering. Over een tiental onderwerpen in even zovele hoofdstukken, die allen op zichzelf staan en afzonderlijk kunnen worden gelezen, geeft hij voor overheidsmanagers een kijkje in de juridische aspecten. Daarbij wordt ook stilgestaan bij bestaande rechtspraak, waarmee de praktische betekenis van zijn uitleg wordt ondersteund. Het geschetste beeld is complementair aan de aandacht die moet worden besteed aan de inhoudelijke kant van de informatisering: voor het vergroten van de slaagkans van projecten is meer nodig dan een goed contract, voor een adequate beveiliging is meer nodig dan het voldoen aan wettelijke voorschriften en richtlijnen etc.
Het Expertise Centrum | het recht van overgheidsinformatisering
7
De doelstelling van Het Expertise Centrum, namelijk de overheid te helpen de informatievoorziening te verbeteren, is de belangrijkste reden om deze publikatie onze opdrachtgevers aan te bieden. ‘s-Gravenhage, september 1995 Het Expertise Centrum Dr B. Scheepmaker, directeur
8
het recht van overgheidsinformatisering | Het Expertise Centrum
Inhoudsopgave Hoofdstuk 1
Pré-contractuele fase
9
Hoofdstuk 2
Overheidsaanbesteding
23
Hoofdstuk 3
Facilities management
31
Hoofdstuk 4
Computerverzekeringen
37
Hoofdstuk 5
Computercriminaliteit
43
Hoofdstuk 6
Beeldschermwerk
51
Hoofdstuk 7
Softwarerecht
57
Hoofdstuk 8
Escrow van programmatuur
71
Hoofdstuk 9
Beveiligingsvoorschriften
79
Hoofdstuk 10
Telewerken
Het Expertise Centrum | het recht van overgheidsinformatisering
85
9
10
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoofdstuk 1
Pre-contractuele fase
Vrijwel alle enigszins complexe automatiseringsprojecten beginnen met een verzoek aan een of meerdere leveranciers om te offreren. De offerte-aanvraag dient verschillende doelen. Daarbij is niet langer uitsluitend het Nederlandse recht van toepassing; ook spelen Europese regels een rol, in het bijzonder het recht inzake de aanbesteding van overheidsopdrachten. Een goed begin is het halve werk. Dat geldt zeker voor de offerte-aanvraag met betrekking tot automatiseringsprodukten en -diensten. Een aanvraag tot offerte heeft meestal een multifunctioneel karakter. Behalve dat een leverancier wordt uitgenodigd te offreren, bevat een aanvraag veelal tevens de eisen en voorwaarden waaraan de te leveren waar of de af te nemen dienst moet voldoen. Hoe gestructureerder en uitgebreider de offerte-aanvraag voor het uitvoeren van een opdracht is, hoe makkelijker de opdrachtgever de selectie kan uitvoeren. Immers, verschillende offertes kunnen eenvoudiger met elkaar worden vergeleken, terwijl leveranciers in een vroeg stadium al snel weten wat van hen verlangd wordt. Aan een (te) gedetailleerde offerte-aanvraag kleeft echter voor de gebruiker ook een nadeel: de opdrachtgever legt zich in een vroeg stadium van het project vast, terwijl sommige onderwerpen wellicht nog moeten uitkristalliseren. In andere situaties blijkt dat een offerte-aanvraag in detail juist tot langere onderhandelingen leidt. Een offerte-aanvraag dient verder als discussiestuk, maar het is van groot belang dat partijen zo spoedig mogelijk aan elkaar laten blijken dezelfde uitgangspunten te hanteren. Bijvoorbeeld over de volgende onderwerpen. Is overdracht van eigendom op de te ontwikkelen programmatuur überhaubt mogelijk, of wil de leverancier daar niets van weten? In het geval van gebruiksrecht op software: is de leverancier bereid de broncode van het pro-
Het Expertise Centrum | het recht van overgheidsinformatisering
11
gramma, noodzakelijk voor onderhoud en eventueel verdere ontwikkeling, van het programma mee te leveren of weigert hij te allen tijde de sources af te staan? Is de leverancier in staat een onderhoudsverplichting van minimaal zeven jaar te garanderen? Wanneer de eigendom op de programmatuur en/of de duur van de onderhoudsverplichting voor de gebruiker een essentiële voorwaarde is, kunnen leveranciers die niet aan deze eisen tegemoet kunnen of willen komen, meteen afhaken. Mogelijke functies van een offerte-aanvraag: • vastleggen eisen; • discussiestuk/uitgangspunt onderhandelingen; • vastleggen juridische voorwaarden; • selecteren leverancier. Wie als opdrachtgever ook juridisch efficiënt wil werken, kan in de offerte bijvoorbeeld op voorhand leveranciersvoorwaarden uitsluiten en het van toepassing zijnde recht en rechter vaststellen. De in dit kader meest verregaande procedure mondt uit in het verbinden van de eigen inkoopvoorwaarden of een speciaal opgesteld contract aan de offerte-aanvraag. Leveranciers die intekenen, weten op voorhand waar ze aan toe zijn. In het gunstigste geval hoeven er nauwelijks of geen juridische contractsonderhandelingen plaats te vinden. Wel zullen partijen het over feitelijke zaken eens moeten worden, zoals voorwerp van de overeenkomst, specificaties, prijs, levering en data. Eenzijdig opgestelde contracten hoeven niet inhoudelijk eenzijdig in het voordeel van één partij te zijn. Belangrijk is dat de rechtsverhouding tussen partijen in balans is. Inhoudelijk eenzijdige contracten willen nog wel eens als een boemerang op de in het voordeel zijnde partij terugkeren. Deze ‘negatieve reflexwerking’ moet worden vermeden. Een evenwichtige verhouding is tevens van belang, omdat automatiseringsprojecten doorgaans een nauwe samenwerking betekent tussen leverancier en opdrachtgever c.q. gebruiker. Een en ander hangt natuurlijk van aard en omvang van het project af. Voorzichtheid met het begrip samenwerking is echter wel geboden. Een voorbeeld. Kiezen voor prototyping als wijze van systeemontwikkeling is ongetwijfeld uit juridisch oogpunt en waarschijnlijk tevens op grond van feitelijke (organisatie, financiën) omstandigheden moeilijker te beheersen dan een recht-toe-recht-aan opdracht, waar de leverancier louter iets moet opleveren, terwijl de gebruiker alleen accepteert.
12
het recht van overgheidsinformatisering | Het Expertise Centrum
Bij prototyping en andere vormen van systeemontwikkeling waarbij de gebruiker een zeer actieve rol in het geheel speelt, kan een leverancier bij een conflict de gebruiker gemakkelijker gebrek aan medewerking verwijten, dan wanneer bijvoorbeeld de opdracht is gegeven tot aanpassing van een bestaand softwarepakket op basis van reeds vastgestelde specificaties. Verder biedt het hoog in de organisatie afsluiten van contracten doorgaans voordelen. Het management van beide partijen weet dan wat men met elkaar overeen wil komen. Bij eventuele geschillen over het automatiseringsproject of over de uitleg van het contract kan informele geschillenbeslechting gemakkelijker plaatsvinden. Bovendien verdient het aanbeveling contracten te hanteren, waarbij gedetailleerde technische informatie en betalingsregelingen en andere variabelen in afzonderlijke bijlagen worden opgenomen . Dit voorkomt dat voor iedere levering andere, afzonderlijke contracten opgesteld moeten worden. Kosten voor externe juridische bijstand kunnen tevens beperkt worden. Ook bewijst een anti-escalatie-procedure goede diensten. Hierbij ‘gaat het om een regeling, die tracht te voorkomen dat bij een conflict de zaak uit de hand loopt. Centraal staat daarbij de continuïteit van het automatiseringsproject van de gebruiker. Niet in de laatste plaats doet de gebruiker er goed aan zich te realiseren welke veelvoorkomende knelpunten bij automatiseringsprojecten er zijn. Boven aan de lijst staan de ondeugdelijke levering van het informatiesysteem als geheel en van de programmatuur in het bijzonder. Daarnaast volgen datacommunicatie-en conversie-. problemen; de omvang van meerwerk en de financiële consequenties hiervan voor de gebruiker en last but not least, overschrijding van leveringstermijnen. De ontwikkeling van programmatuur bevat voor de opdrachtgever/gebruiker beduidend meer risico dan de aanschaf van reeds enkele jaren in de praktijk draaiende standaardpakketten van software. Voor de opdrachtgever zijn één of meerdere acceptatietesten van de ontwikkelde software alsook een goede garantieregeling van uitzonderlijk groot belang. En tijdens de looptijd van de garantieregeling mag de leverancier geen kosten voor preventieve en repressieve onderhoudswerkzaamheden rekenen. Anders gezegd: het onderhoudscontract dient pas na het verstrijken van de garantietermijn in te gaan.
Het Expertise Centrum | het recht van overgheidsinformatisering
13
Een checklist voor een offerte-aanvraag kan er als volgt uitzien: Inleiding • omschrijving doelstelling automatiseringsproject • korte omschrijving eigen organisatie Inhoudelijke hoofdlijnen • globale functionele specificaties • verdeling werkzaamheden opdrachtgever/opdrachtnemer • vaste opleveringsdatum Procedurele onderwerpen • projectteam • tijdschema’s Geldigheidsduur offerte • bijvoorbeeld een half jaar na ontvangst • geen eenzijdige wijziging of herroeping door leverancier mogelijk Kosten van de offerte • voor rekening van de leverancier Voorbehouden en geheimhouding • expliciet vermelding offerte • aanvraag en geen aanbod • auteursrechten offerte • aanvraag blijven bij opdrachtgever • partijen tekenen geheimhoudingsverklaring. De juridische status van de offerte-aanvraag en de offerte is, los van de eventuele verplichte toepassing van het Europese aanbestedingsrecht (zie hoofdstuk 2), voor de opdrachtgever vrijblijvend . Voor de inschrijvende leverancier ligt de zaak anders. Hij verbindt zich bij het indienen van de offerte tot een geldigheidstermijn van zijn aanbod van zes maanden. Het voorafgaande staat overigens los van het rechtsfeit dat een partij niet op ieder moment van de pré-contractuele fase de onderhandelingen zonder gevolg eenzijdig -dus zonder toestemming van de wederpartij -kan afbreken.
14
het recht van overgheidsinformatisering | Het Expertise Centrum
De rechtspraak onderscheidt in dit kader drie fasen. De kern luidt dat ook in de pré-contractuele fase de rechtsverhouding tussen partijen door de goede trouw wordt beheerst. In eerste fase kunnen partijen ‘zo van elkaar af’, omdat de besprekingen nog in een beginstadium verkeren. Bij beëindiging van de onderhandelingen tijdens de volgende fase, kan er voor de partij die de onderhandeling eenzijdig afbreekt de verplichting ontstaan eventuele kosten van de wederpartij te betalen. Wanneer vergevorderde onderhandelingen min of meer ‘last minute’ afgebroken worden, is de partij die als eerste naar huis gaat doorgaans tevens gehouden tot het betalen van schadevergoeding aan de gesprekspartner. Informatie verplichtingen Partijen bij overeenkomsten hebben op grond van het Nederlandse recht een vrij grote mate van contractvrijheid. Daarbij is niet alleen de letter van de overeenkomst bepalend voor de uitleg van de gemaakte afspraken, ook kijkt de rechter naar de strekking van de overeenkomst. Wat wilden partijen met elkaar overeenkomen ten tijde van het sluiten van het contract? Bij de uitleg van overeenkomsten speelt tevens het rechtsbeginsel van de goede trouw een rol. Dit beginsel noemt men sinds de inwerkingtreding van de boeken 3, 5 en 6 van het nieuw Burgerlijk Wetboek op 1 januari 1992 ook wel ‘redelijkheid en billijkheid’ en kan zowel een aanvullende als een beperkende werking hebben. Daarnaast is een mondelinge afspraak evengoed een contract in de zin van het recht als schriftelijk aangegane afspraken. Behalve de in het contract neergelegde rechten en verplichtingen maakt in beginsel ook alle andere informatie, zoals brieven, deel uit van de overeenkomst. Toezeggingen die een leverancier in de pré-contractuele fase heeft gedaan, zal hij ook na het sluiten van de overeenkomst moeten nakomen. Bij iedere overeenkomst geldt in de periode voorafgaande aan het sluiten van het contract, de pré-contractuele fase, dat partijen over en weer een nogal verregaande informatieplicht hebben. Bij automatiseringsprojecten betekent dit dat de opdrachtgever naar beste kunnen moet uitleggen wat hij nu precies wil, terwijl de opdrachtnemer onder meer: • moet ‘doorvragen’ om er achter te komen wat de opdrachtgever wil automatiseren; • uitleg moet geven of de wensen van de gebruiker realiseerbaar zijn; • moet vaststellen wat hiervan de mogelijke gevolgen voor de organisatie van de opdrachtgever zijn.
Het Expertise Centrum | het recht van overgheidsinformatisering
15
Omdat de voornaamste oorzaken van slecht functionerende of mislukte automatisering niet zelden zijn terug te brengen tot fouten en/of misverstanden, die zich in de pré-contractuele fase hebben voorgedaan, is het daarom van uitzonderlijk groot belang dat partijen eenduidige overeenstemming bereiken over wat de gebruiker nu eigenlijk wil en wat het aanbod van de leverancier in de praktijk inhoudt. Modellen, leveringsvoorwaarden en gedragscode Begin 1988 nam het Ministerie van Binnenlandse Zaken als coördinerend departement voor automatisering het initiatief om tot voorwaarden voor programmatuur te komen. Het departement besloot op basis van reeds aanwezige contracten, onder meer van Rijkskantoormachinecentrale (RKMC) en Rijks Computer Centrum (RCC), tot nieuwe, gestructureerde modellen te komen, in eerste instantie alleen van toepassing voor de Rijksoverheid. Een en ander leidde in mei 1989 tot introductie van een zestal programmatuurcontracten, die op grond van een besluit van de ministerraad niet verplicht werden voorgeschreven, maar slechts aanbevolen . De overeenkomsten en de bijbehorende handleiding waren door een advocatenkantoor ontwikkeld, in nauwe samenwerking met een interdepartementale klankbordgroep. In het kader van het Besluit Informatievoorziening in de Rijksdienst heeft het kabinet in maart 1989 ingestemd met deze handleiding. Na verschillende kanttekeningen uit de markt heeft het Ministerie van Binnenlandse Zaken deze modelcontracten -in overleg met de brancheorganisaties COSSO en Vifka -aangepast. Versie 2 van de overeenkomsten zag in mei 1991 het licht. Kritische opmerkingen op de eerste modellen betroffen onder meer de verplichting voor de leverancier om tot escrow -depot van de sources van een computerprogramma -(zie hoofdstuk 8) over te gaan, alsook de verplichting van de leverancier het automatiseringsproject te verzekeren. Ook vond men de modellen nogal eenzijdig in het voordeel van de overheid geformuleerd. Was versie 1 van modelcontracten uitsluitend bedoeld voor gebruik binnen de Rijksoverheid, de commissie van overheidsgebruikers, die de herziening en uitbreiding van de contracten begeleidde, bestond ditmaal ook uit vertegenwoordigers van gemeentelijke, provincie-, en waterschapskringen. Dat heeft echter onverlet gelaten dat binnen de gemeentelijke sfeer afzonderlijke modelcontracten voor automatiseringsprojecten het licht hebben gezien.
16
het recht van overgheidsinformatisering | Het Expertise Centrum
Behalve de publieke sector kent het bedrijfsleven haar eigen modellen en voorwaarden . In het bijzonder hebben de algemene leveringsvoorwaarden van COSSO Branchevereniging voor informatietechologie een belangrijke rol in de markt gespeeld, mede in die zin dat niet bij deze organisatie aangesloten bedrijven de voorwaarden ook toepassen. Deze trend zet zich voort met de eerste generatie voorwaarden van FENIT, de Federatie Nederlandse IT, die uit een verregaande samenwerking tussen COSSO en Vifka Informatica in 1993 is ontstaan. FENIT heeft begin 1995 eigen voorwaarden gepresenteerd. In vergelijking met versie 4 van de COSSO-voorwaarden is er meer aandacht voor de opdracht als bijzondere overeenkomst, een ruimere backup-regeling voor computerprogramma’s en heldere bepalingen over aansprakelijkheid. Net als de modellen van het Ministerie van Binnenlandse zaken zijn deze spelregels niet dwingend voorgeschreven. Verder hebben de COSSO-Ieden eind 1993 een gedragscode aanvaard, die ook een externe werking heeft. De code bevat echter regels die zowel in het voordeel van de leverancier als in het voordeel van de gebruiker uitgelegd kunnen worden. In de code wordt sterk de nadruk gelegd op de samenwerking tussen leverancier en gebruiker. COSSO legt in de code vast dat partijen elkaar ‘regelmatig’ informeren over de voortgang van de uit te voeren activiteiten. Dergelijke bepalingen kunnen voor de afnemer negatief uitvallen, omdat de leverancier zich bij wanprestatie op gebrek aan medewerking van de gebruiker kan beroepen. Daar staat tegenover dat een afnemer de COSSO mogelijk kan aanspreken op grond van slechte kwaliteit. Ieder COSSO-lid wordt namelijk verplicht “de kwaliteit van zijn diensten en produkten te waarborgen, voortdurend aan kwaliteitsverbetering te werken en innovatie op dit gebied na te streven “, aldus de code. Ook moeten de leden van de branche-organisatie adequate voorzieningen treffen tegen de gevolgen van aansprakelijkheidsstelling. Dat kan dus zowel een financiële reserve zijn als het afsluiten van een verzekering. (zie hoofdstuk 4)
Het Expertise Centrum | het recht van overgheidsinformatisering
17
Wet algemene voorwaarden Niet alle overeenkomsten zijn ‘algemene voorwaarden’ in de zin van de wet. Sinds 1 januari 1992 kent het Nederlandse recht namelijk een speciale wettelijke regeling voor algemene voorwaarden. Onder algemene voorwaarden wordt verstaan: ‘Eén of meer schriftelijke bedingen die zijn opgesteld teneinde in een aantal overeenkomsten te worden opgenomen met uitzondering van de bedingen die de kern van de prestatie aangeven’. Ten aanzien van de toepasselijkheid van algemene voorwaarden geldt de hoofdregel dat zij bekend moeten zijn voor of uiterlijk ten tijde van het aangaan van de overeenkomst. Feitelijke ter hand stelling is dan ook het beste, maar niet altijd realiseerbaar. De zin op het brief/fax-papier “Op al onze offertes, overeenkomsten en verrichte werkzaamheden zijn van toepassing onze algemene voorwaarden op /.. / gedeponeerd bij de Kamer van Koophandel/ter griffie van de Arrondissmentsrechtbank /.. /” is onvoldoende. De gebruiker van de algemene voorwaarden moet de wederpartij een redelijke mogelijkheid hebben geboden om van de algemene voorwaarden kennis te nemen, zo luidt het wettelijk voorschrift, anders zijn de voorwaarden vernietigbaar. Het is dus uit juridisch oogpunt ronduit verstandig de algemene voorwaarden in een zo vroeg mogelijk stadium aan de aanstaande wederpartij ter beschikking te stellen! Echter indien de verzending van de algemene voorwaarden tegelijkertijd met de factuur plaatsvindt -bijvoorbeeld na telefonische opdrachtverlening of opdrachtverlening per facsimile -is sprake van een eenzijdige wilsbepaling en maken de algemene voorwaarden geen deel uit van de overeenkomst. Dit betekent dat de algemene voorwaarden meteen na ontvangst van de order verstuurd moeten worden. Alleen bij bestaande klanten kan men van een stilzwijgende acceptie van de algemene voorwaarden spreken, indien ze -na de eerste aankoop -met de factuur van de vervolgaankopen worden meegezonden. Ten aanzien van de inhoud van algemene voorwaarden worden nu ook regels gesteld. De wet zegt dat een beding in algemene voorwaarden vernietigbaar is wanneer “het, gelet op de aard en de overige inhoud van de overeenkomst, de wijze waarop de voorwaarden tot stand zijn gekomen, de wederzijds kenbare belangen van partijen en de overige omstandigheden van het geval, onredelijk bezwarend is voor de wederpartij”.
18
het recht van overgheidsinformatisering | Het Expertise Centrum
De meest verregaande bescherming tegen onredelijke voorwaarden komt de consument toe, “een wederpartij, natuurlijk persoon, die niet handelt in de uitoefening van een beroep of bedrijf”. In de wet zijn voor de consumententransactie zogenoemde zwarte en grijze lijsten opgenomen. De bedingen die op de zwarte lijst voorkomen zijn altijd nietig. De bedingen op de grijze lijst worden vermoed onredelijk bezwarend te zijn. Dat moet de rechter dus uiteindelijk beoordelen. Een voorbeeld: een bepaling waarin staat dat de wettelijke verplichting tot schadevergoeding geheel of gedeeltelijk wordt uitgesloten kan onredelijk en dus nietig zijn. Jurisprudentie Wat zegt de jurisprudentie naar aanleiding van automatiseringsgeschillen in de verhouding tussen gebruiker en leverancier? Sinds begin jaren tachtig worden er regelmatig zaken voor de rechter gebracht, hoewel een door sommigen verwachte hausse aan rechterlijke uitspraken over computerconflicten is uitgebleven. Dat heeft zeker te maken met de sterke afhankelijkheidsverhouding van de gebruiker ten opzichte van zijn leverancier. Een greep uit de jurisprudentie. In een conflict tussen gebru iker en leverancier oordeelde de Hoge Raad dat de leverancier c.q. automatiseringsadviseu~ gegevens moet verstrekken waarvan hij op de hoogte is of als leverancier op de hoogte behoort te zijn. Rechters gaan uit van het vermoeden dat de gebruiker leek is. Anders gezegd: een leverancier, die op maat software ontwikkelt moet zich zeer zorgvuldig afvragen wat de behoefte van de gebruiker is. Volgens een andere uitspraak volgt uit de professionele status van de leverancier zijn waarschuwingsplicht naar de gebruiker toe ten aanzien van de verschillende risico’s die automatiseringsprojecten met zich meebrengen. Overigens honoreerde dezelfde rechter het verweer van de leverancier dat de verlate oplevering van het computersysteem is veroorzaakt door voortdurende wijzigingen van de wensen en specificaties van de gebruiker. Van wanprestatie door de leverancier was dus in concreto geen sprake. In een procedure in kort geding wees de rechter de gebruiker een voorschot op schadevergoeding van €. 18.150 toe, omdat de leverancier niet op tijd een nieuwe versie van een tekstverwerker met bepaalde functionele specificaties kon leveren, ondanks de schriftelijke toezegging dat de release ‘in januari/
Het Expertise Centrum | het recht van overgheidsinformatisering
19
februari’ beschikbaar zou komen. Leverancier had verzuimd algemene voorwaarden op te stellen, waarin de aansprakelijkheid terzake wordt beperkt of zelfs uitgesloten. Op grond van de verschillende rechterlijke uitspraken in een geschil tussen dezelfde partijen blijkt dat het uitsluiten van aansprakelijkheid in het contract voor gevolgen indien automatisering gebrekkig verloopt, door de rechter wordt geaccepteerd. Ten aanzien van een automatiseringsadvies dat leidde tot mislukte automatisering bepaalde het gerechtshof Den Haag dat het advies “niet voldeed aan de mate van zorgvuldigheid die van een redelijk handelend en bekwaam automatiseringsdeskundige geëist mag worden”. De Hoge Raad bekrachtigde dit arrest. In weer een andere zaak bepaalde de rechter dat een softwareontwikkelingsovereenkomst als een resultaatsverbintenis te beschouwen is, omdat het ‘overeengekomen werk’ is. Anders oordeelde de rechter in hoger beroep in een zaak over de leveringsvoorwaarden van de Vifka. Een overeenkomst voor levering van hardware en software samen, moet, mede op basis van de toen geldende Vifkavoorwaarden, worden gezien als een inspanningsverbintenis. Zelfs een excessieve overschrijding van de leveringstermijn kan niet leiden tot de conclusie dat de leverancier tekort schiet in haar contractuele verplichtingen. (Nota Bene: de leveringstermijn in de Vifka-voorwaarden is een streefdatum.) Medewerking van de gebruiker is belangrijk. Dat volgt uit de honorering van een schadeclaim van de leverancier, omdat er aan de zijde van de gebruiker een (volstrekt) gebrek aan medewerking is en ten aanzien van de bediening van de apparatuur onvoldoende gezorgd is voor de aanwezigheid van een geschoold personeelslid. Nauwkeurige vaststelling wat er precies geleverd moet worden is van groot belang. Volgens een rechter in hoger beroep kan van wanprestatie of schadevergoeding geen sprake zijn, wanneer partijen een overeenkomst hebben gesloten waarbij onvoldoende is gespecificeerd wat en wanneer geleverd moet worden.
20
het recht van overgheidsinformatisering | Het Expertise Centrum
Alternatieve conflictoplossing Wie in geval van een conflict niet naar de rechter wil, kan gebruikmaken van private geschillenoplossers. Dat kan beide partijen tot voordeel strekken, omdat bij rechterlijk beslechting de verhouding meestal zo verstoord is, dat partijen niet meer met elkaar door willen gaan. Tot alternatieve geschillenoplossing worden gerekend: bemiddeling en verzoening, bindend advies, arbitrage en minitrial. Bij deze laatste vorm gaat het om een geïndividualiseerde niet-bindende geschillen procedure met een zekere geformaliseerde onderhandelingstechniek gericht op het oplossen van tussen betrokken organisaties gerezen problemen. Alternatieve geschillenoplossing neemt in ieder geval in de Nederlandse automatiseringssector toe, zo valt af te lezen uit het eerste vijfjarenverslag van de Stichting Geschillenoplossing Automatisering (SGA). Het verschil met een procedure voor de gewone rechter is mede hierin gelegen dat de overheid het salaris van de rechter betaalt; bij private geschillenoplossing draaien de strijdende partijen hiervoor op. In de vijfjarige verslagperiode zijn er 40 zaken door de stichting volledig afgehandeld. De verdeling is als volgt: 21 minitrials, 12 deskundigenberichten en 7 arbitrages. De Stichting Geschillen•oplossing Automatisering heeft ook uitgerekend wat de gemiddelde kosten van een minitrial en een arbitrage bedragen. De SGA komt uit op f 2.400 voor een minitrial en f 17.185 voor een arbitrage als alternatieve methode om een IT-conflict te beslechten. Verder kent Nederland al jaren het Nederlands Arbitrage Instituut in Rotterdam en worden er ook arbitrages uitgevoerd door de Internationale Kamer van Koophandel in Parijs. Tenslotte is in oktober 1994 het WIPO Arbitration Center van start gegaan. De wereldorganisatie voor intellectuele eigendom WIPO verwacht veel van haar eigen arbitrage-instituut, dat zich speciaal richt op alternatieve conflictbeslechting over intellectuele eigendomsrechten, zoals het auteurs-, merken-en octrooirecht. Dat kan dus ook over computerprogramma’s gaan.
Het Expertise Centrum | het recht van overgheidsinformatisering
21
Samenvatting Omdat de voornaamste oorzaken van slecht functionerende of mislukte automatisering regelmatig terug zijn te brengen tot fouten en/of misverstanden, die zich in de pré-contractuele fase hebben voorgedaan, is het van uitzonderlijk groot belang dat partijen eenduidige overeenstemming bereiken over wat de gebruiker nu eigenlijk wil en wat het aanbod van de leverancier in de praktijk inhoudt. Wanneer feitelijk voldoende is bepaald wat de opdracht inhoudt, kan er vervolgens een juridische spiegel voor worden gehouden. Goede contracten bieden rechtszekerheid, dienen bewijsrechtelijke functies en zijn een spoorboekje voor het automatiseringstraject. Voor de overheid is het bovendien essentieel om te bepalen of op de opdrachtverlening het Europese aanbestedingsrecht van toepassing is.
22
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoofdstuk 2
Overheidsaanbestedingen
Het Europese aanbestedingsrecht voor de publieke sector, dat dient om de markt voor overheidsopdrachten te liberaliseren, is ingewikkeld. Niet alleen kent het communautaire veel richtlijnen, waaronder een handhavingswet, ook zijn er interpretatievragen. Inmiddels heeft de Nederlandse wetgever die Europese regels omgezet in nationaal recht, dat op 21 april 1993 van kracht werd. De communautaire regels voor overheidsaanbesteding zijn niet nieuw. De eerste regeling, de Richtlijn ‘werken’ met betrekking tot het uitvoeren van bouwwerkzaamheden stamt uit 1971. In 1976 werd deze richtlijn aangevuld met een Richtlijn ‘leveringen’. Daarin staat de openbare aanbesteding van produkten centraal. Tot de publikatie van het Witboek ter voltooiing van de Interne Markt in 1985 werden de Europese aanbestedingsregels slechts marginaal nageleefd. Concurrenten trokken nauwelijks aan de bel, terwijl ook de Europese Commissie controle op naleving niet hoog op de agenda had staan. Thans is de situtatie anders. Vanwege het geringe succes van de richtlijnen heeft de Europese Raad van Ministers de Richtlijn werken en de Richtlijn leveringen aangescherpt. Ook heeft de Raad de Richtlijn beroepsprocedures in 1989 in het leven geroepen, met als doel een adequate rechtsbescherming te waarborgen voor alle bij de aanbesteding betrokken partijen. Dat is gebeurd door eisen te stellen aan een snelle beroepsgang, die in eerste instantie nationaal plaats moet vinden. De Europese Richtlijn betreffende de coördinatie van de procedures voor het plaatsen van overheidsopdrachten voor dienstverlening, kortweg de Richtlijn ‘diensten’, vormt het sluitstuk op de eerdere Europese regelingen voor overheidsopdrachten. De Richtlijn diensten trad op 1 juli 1993 in werking en fungeert als een vangnet. Overheidsaanbestedingen die niet onder de
Het Expertise Centrum | het recht van overgheidsinformatisering
23
Richtlijnen werken en leveringen vallen, vallen automatisch onder de reikwijdte van de Richtlijn diensten. Het Europese recht terzake is inmiddels naar het Nederlandse recht omgezet, door de richtlijnen als Algemene Maatregelen van Bestuur (AMvB’s) op te nemen in de Raamwet EEG-Voorschiften Aanbestedingen. Publikatie vond plaats in Staatsblad 1993, 212 en 213. Op 21 april 1993 traden wet en AMvS’s in werking. De aanbestedingsrichtlijnen bevatten min of meer dezelfde procedurevoorschriften om tot een open en non-discriminatoir aanbestedingsbeleid van de overheden van de Lidstaten te komen. Dat vindt plaats door publikatie van overheidsopdrachten in het Supplement van het Publikatieblad van de Europese Gemeenschappen (SPbEG). Daarbij kan de overheid kiezen tussen de openbare en niet-openbare procedure: • De openbare procedure. Op grond van deze procedure mogen alle aanbieders na publikatie van de opdracht in het SPbEG gelijk een offerte uitbrengen. • De niet-openbare procedure. Goed beschouwd gaat het hier om een openbare procedure met voorselectie. De publikatie in het SPbEG bevat namelijk tevens verschillende criteria op grond waarvan de overheid minimaal vijf bedrijven selecteert, die mogen offreren. De selectie-criteria hebben betrekking op de keuze van de aanbieder. • Tenslotte kent het Europese recht de onderhandelingsprocedure, waarbij de overheid rechtstreeks met één of meer ondernemingen contractsonderhandelingen kan voeren. Deze situatie voorziet in die gevallen wanneer de andere procedures weinig zin hebben. Het gaat hier om een uitzonderingsbepaling. De aanbestedingsregels hebben tot doel doorzichtigheid, non-discriminatie en objectiviteit op de overheidsmarkt te realiseren. De markt moet open zijn. Fair play is daarbij het uitgangspunt. Om een en ander te bereiken schrijft het Europese recht een drietal verplichte publikaties voor van de aanbestedingsprocedure: • de vooraankondiging (een overzicht van alle opdrachten voor één jaar); • de oproep tot mededinging van een concrete opdracht; • de publikatie van gunning binnen 48 dagen na verlening van de opdracht. Andere voorschriften van het Europese aanbestedingsrecht hebben betrekking op een aantal minimumtermijnen, die de overheid moet aanhouden tijdens de verschillende fasen van de aanbestedingsprocedure. Ook heeft de
24
het recht van overgheidsinformatisering | Het Expertise Centrum
wetgever twee gunningscriteria geformuleerd: de laagste prijs en de economisch meest voordelige aanbieding: Dit laatste betreft een geheel van, zo men wil, aanvullende criteria waaronder leveringstermijn, service en natuurlijk kwaliteit. Is hierboven steeds van ‘overheid’ gesproken; het Europese aanbestedingsrecht spreekt echter van aanbestedende dienst, dat ruimer geïnterpreteerd moet worden dan hetgeen wij in Nederland doorgaans onder het begrip overheid verstaan. De richtlijnen noemen alle organen, instellingen en bedrijven die onder het begrip overheid vallen de aanbestedende dienst: de Staat, provincies, gemeenten, waterschappen, verenigingen hiervan en ook publiekrechtelijke lichamen. Het ruime begrip aanbestedende dienst leidt in de praktijk tot interpretatievragen. In beginsel dienen alleen overheidsopdrachten boven het drempelbedrag van 200.000 Ecu (ruim € 181.512) openbaar aanbesteed worden. Richtlijn diensten en leveringen Ten aanzien van overheidsaanbesteding van opdrachten voor produkten en diensten in relatie tot informatietechnologie, zijn vooral de Europese richtlijnen leveringen en diensten van belang. Beiden onderscheiden verschillende categorieën produkten, respectievelijk diensten. Daarbij verwijst de Richtlijn leveringen naar een bepaalde Europese nomenclatuur, de zogenoemde ‘Classifications of Products according to Activities’, terwijl de Richtlijn diensten - bij gebrek aan een Europese nomenclatuur - aansluit bij de ‘Centra I Products Classification’, die door de Verenigde Naties wordt gehanteerd. Relevant in Centra I Products Classification is onder meer de categorie ‘kantoormachines en computers’ (Afdeling 30), terwijl voor de IT-sector Division 84 van de Classifications of Products according to Activities ook interessante indelingen biedt: • adviesdiensten gerelateerd aan de installatie van apparatuur; • diensten in relatie tot de implementatie van programmatuur; • dienstverlening op het gebied van geautomatiseerde gegevensverwerking; • databank-diensten; • onderhouds-en reparatiediensten van kantoorautomatisering, inclusief computersystemen; • overige computerdiensten.
Het Expertise Centrum | het recht van overgheidsinformatisering
25
Alle automatiseringdiensten vallen in beginsel onder het volledige regiem van de Richtlijnen diensten. Deze richtlijn is echter niet van toepassing op opdrachten voor dienstverlening die geplaatst worden door opdrachtgevers die hun kernactiviteit hebben in de nutssector: water-en energievoorziening, vervoer en telecommunicatie. Voor dienstverlening in de nutssector is op 14 juni 1993 een aparte richtlijn aangenomen, die op 1 juli 1994 in werking is getreden. Bovendien vallen geheim verklaarde opdrachten met het oog op de staatsveiligheid of opdrachten voor de produktie van of handel in wapens buiten de reikwijdte van het Europese aanbestedingsrecht. Handhaving en sancties Een leverancier die zich gepasseerd voelt kan op grond van de Richtlijn beroepsprocedures in kort geding bij de nationale rechter als voorlopige maatregel bijvoorbeeld opschorting van de aanbestedingsprocedure vorderen. Bovendien kan het IT-bedrijf voor de rechter behalve vernietiging van het omstreden besluit ook toekenning van schadevergoeding vorderen. Een en ander laat echter de gang naar de Europese Commissie onverlet. De leverancier kan namelijk een vormvrije klacht indienen bij het DirectoraatGeneraal voor de Interne Markt en Industrie. Als de EU-Commissie de klacht gegrond verklaart, komt de zaak voor het Europese Hof van Jusitie in Luxemburg. Wanneer het omstreden contract echter nog niet getekend is, dus de opdracht nog niet gegund is, kan de Commissie de aanbestedende overheid ook verzoeken de schending van de communautaire aanbestedingsregels ongedaan te maken. In het andere geval kan de aanbestedende dienst aansprakelijk worden gesteld. Rechtspraak over het Europese aanbestedingsrecht is zeer beperkt. De reden daarvan is vooral gelegen in het feit dat de regels tot ongeveer tien jaar geleden een min of meer slapend bestaan hebben geleid. Die situatie is inmiddels veranderd, zoals mede blijkt uit de navolgende uitspraak. Casus: Overheidsorganisatie Een Nederlandse overheidsheidsorganisatie heeft onjuist gehandeld door de openbare aanbesteding voor de levering van een meteorologisch werkstationsysteem te beperken tot een applicatie die onder UNIXsysteemprogrammatuur draait. Dat is in strijd met het aanbestedingsrecht van de Europese Unie, aldus bepaalde het Europese Hof van Justitie in een belangrijk arrest, begin 1995. Bovendien heeft de aanbestedende dienst
26
het recht van overgheidsinformatisering | Het Expertise Centrum
nagelaten in de aankondiging de plaats en het tijdstip van opening van de inschrijving te vermelden. Op grond van een klacht van een leverancier heeft de Europese Commissie de Staat der Nederlanden voor de rechter gedaagd, omdat een Aanbestedingsrichtlijn uit 1977 voorschrijft dat de juiste vermelding in zo’n gevolg luidt: UNIX-systeem “of daarmee overeenstemmend” besturingssysteem. Dat heeft de overheidsorganisatie bij deze aanbesteding echter verzuimd. De Nederlandse regering betoogde echter dat het UNIX-systeem in de sector informatietechnologie een “algemeen erkende technische norm” is en dat de vermelding “of daarmee overeenstemmend “ daarom overbodig is. De rechter is het hier niet mee eens. De richtlijn terzake verbiedt de aanduiding van merken, tenzij vergezeld van de toevoeging “of daarmee overeenstemmend”. Bovendien zijn partijen het er over eens dat het UNIX-systeem geen gestandaardiseerd systeem is, maar wel de merknaam van een bepaalde produkt. Door de toevoeging weg te laten, kunnen andere leveranciers niet inschrijven, terwijl Nederland tevens verzuimd heeft in de aankondiging van de betrokken opdracht de personen te vermelden die bij de opening van de inschrijvingen worden toegelaten, alsook de dag, het uur en de plaats van deze opening. De voorschriften van het Europese recht zijn daarom niet nagekomen, aldus concludeerde het Luxemburgse rechtscollege. Bij deze onrechtmatigverklaring is het, voorzover bekend, gebleven. Het Hof heeft de aanbestedende dienst geen boete opgelegd, maar dat laat onverlet dat een gedupeerde leverancier naar de Nederlandse rechter kan stappen om, met de onrechtmatigverklaring in de hand, schadevergoeding te eisen . In een conflict dat betrekking had op het overtreden van de Richtlijn werken is in Denemarken een schikking vastgesteld op 10 procent van de aanbestede som. Juristen sluiten overigens niet de rijen over de vraag of een overheidscontract, dat in strijd met de Europese aanbestedingsregels tot stand is gekomen, nietig is, dan wel vernietigbaar. In het laatste geval is tussenkomst van de rechter vereist.
Het Expertise Centrum | het recht van overgheidsinformatisering
27
Praktijkervaringen Ervaringen op de Europese aanbestedingsregels zijn inmiddels door FENIT, Federatie Nederlandse IT, verzameld. Sinds begin 1994 is het raakvlak van overheidsaanbesteding en informatietechnologie een uitdrukkelijk aandachtsgebied van de overkoepelende branche-organisatie. Omdat er veel onbekendheid met deze Europese regels is, heeft het bestuur van de federatie begin 1994 besloten een Meldpunt Aanbestedingen open te stellen. Volgens FENIT is de meest opvallende conclusie die uit de meldingen getrokken kan worden dat zowel de aanbestedende dienst als de leverancier zich op het begin van de leercurve bevinden. Er blijkt een grote behoefte aan informatie te bestaan. Verder klagen de IT-bedrijven over de onduidelijkheid van de aanbestedingsprocedures. Zijn deze van toepassing op de de mantelcontracten die leveranciers met zekere regelmaat met de overheid afsluiten? Soms signaleert een bij (OSSO of Vifka Informatica aangesloten bedrijf omzeiling van de aanbestedingsregels. Zo komt het voor dat de aanbestedende dienst de opdracht splitst om op deze wijze onder het dwingende recht uit te komen. Zo kan een project dat boven de 200.000 Ecu uitkomt, worden opgedeeld in kleine opdrachten. Dat mag echter niet. In weer andere situaties vinden leveranciers dat de aanbestedende overheidsdienst disproportionele kennis vraagt teneinde de uiteindelijke opdrachtnemer gemakkelijker te kunnen selecteren. Volgens FENIT ligt de crux van de problemen voor een belangrijk deel in de slechte kwaliteit van de Europese wetten. Zoals hierboven aangegeven heeft onze wetgever bij de implementatie de Europese regels rechtstreeks van toepassing verklaard . FENIT had liever gezien dat de wetgever de moeite had genomen de Europese richtlijnen minder abstract te formuleren, waardoor interpretatieproblemen waarschijnlijk voor een belangrijk deel voorkomen hadden kunnen worden. CE-Markering De Europese Unie heeft niet alleen voorschriften gesteld aan overheidsaanbesteding, maar werkt ook aan wettelijke normen voor de kwaliteit van produkten, die leveranciers op de Interne Markt aanbieden. In de nabije toekomst worden allerlei kwaliteitsnormen verplicht voorgeschreven. Dat werkt twee kanten uit, namelijk zowel aan de aanbod-als afnemerszijde. Veel bedrijven zullen straks geen produkt meer kunnen verkopen wanneer het apparaat niet voorzien is van een CE-merk. CE staat voor ‘Conformité Européenne’. Producenten of importeurs zijn verplicht op deze manier aan
28
het recht van overgheidsinformatisering | Het Expertise Centrum
de overheid - en dus aan iedere afnemer door middel van een CE-opdruk op het produkt - te verklaren dat hun produkt aan de eisen van een door de Europese Commissie opgestelde richtlijn voldoet. Hierbij gaat het om normen op het gebied van veiligheid, gezondheid, milieu en consumentenbescherming. In totaal zullen 27 richtlijnen gevolgen hebben voor meer dan 200.000 Nederlandse bedrijven in handel en industrie. Behalve producenten van en handelaren in eindprodukten, hebben de Europese regels ook consequenties voor toeleveranciers. Daar komt nog bij dat sommige produkten zoals een computer of een modem onder verschillende richtlijnen valt. Samenvatting De communautaire regels voor overheidsaanbesteding zijn complex. Bovendien bestaat er onduidelijkheid over de interpretatie van de voorschriften. Wie deze regels schendt, moet rekening houden met aansprakelijkheid. Een leverancier die gepasseerd is kan naast opschorting van de opdracht ook schadevergoeding vorderen. Om de naleving van de voorschriften van de verschillende Europese richtlijnen beter te kunnen realiseren heeft de Europese Raad van Ministers eind 1989 een afzonderlijke Richtlijn beroepsprocedures in het leven geroepen. Het Europese aanbestedingsrecht leidt geen stil leven meer.
Het Expertise Centrum | het recht van overgheidsinformatisering
29
30
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoofdstuk 3
Facilities Management
Complex en veelomvattend, dat kan van facilities management bij informatietechnologie gezegd worden. IT-Facilities Management vraagt enerzijds om een gedetailleerde regeling, terwijl anderzijds flexibiliteit in de overeenkomst uiterst belangrijk is voor succesvol automatiseren ‘buiten de deur’. Wie de wereld van facilities management in het kader van informatietechnologie binnengaat, loopt meteen tegen het eerste probleem aan: de omschrijving van de dienstverlening. Facilities management heeft te maken met uitbesteding van werkzaamheden, maar een eenduidige invulling van dit begrip ontbreekt. Volgens de Amsterdamse vestiging van het Amerikaanse marktonderzoeksbureau International Data Corporation (IOC) en C0550 Brancheorganisatie voor informatietechnologie zou men onder Facilities Management (FM) met betrekking tot informatietechnologie kunnen verstaan: “Het op basis van een langlopend contract en tegen een vaste prijs overnemen van de exploitatie en beheer van een aantal Informatie-Technologie-facilities van een klant.” Deze omschrijving biedt aanknopingspunten om IT-FM te onderscheiden van andere overeenkomsten in relatie tot informatietechnologie, zoals computerservice-verwerking, ontwikkeling van software, computeruitwijk en turn-key-automatiseringprojecten. Turn-key betekent dat een informatiesysteem - maar het kan ook uitsluitend om programmatuur of om een netwerk gaan - operationeel, dat wil zeggen ‘draaiend’, wordt opgeleverd. Computeruitwijk daarentegen is in de regel een continuïteitsvoorziening bij een ander rekencentrum voor het geval zich calamiteiten (storingen, brand, overstromingen, e.d.) voordoen.
Het Expertise Centrum | het recht van overgheidsinformatisering
31
Bij ontwikkeling van programmatuur schrijft een leverancier software en draagt die later over aan de gebruiker, die normaal gesproken het beheer en de exploitatie zelf ter hand neemt. Om een grens tussen serviceverwerking en facilities management te trekken, is wat lastiger. Volgens de huidige opvattingen rekent men het uitbesteden van louter de financiële administratie doorgaans niet tot facilities management, maar tot traditionele serviceverwerking. De praktijk kent meerdere vormen van facilities management. Wat tegenwoordig als outsourcing wordt aangeduid, is niets meer of minder dan het overdragen van het eigen rekencentrum aan een facilities managementorganisatie. Daarbij plaatsen sommigen de opmerking dat uitbesteding van de totale automatisering nauwelijks plaatsvindt. Verder is ‘scratching’ een andere vorm van facilities management, waarbij nieuwe, nog te ontwikkelen automatiseringsprojecten worden uitbesteed. Het uitbesteden van automatisering wil meestal niet zeggen dat de eigen computers feitelijk de deur uitgaan. Uitbesteden slaat op de verantwoordelijkheid (beheer) en het uitvoeren (exploitatie) van de geautomatiseerde gegevensverwerking. Dat gaat in andere handen over, bijvoorbeeld het netwerkbeheer. In de praktijk gaat men er vanuit dat IT-FM te allen tijde maatwerk is. Dat komt tevens tot uitdrukking in de overeenkomst. Tekenend voor IT-FM mag ook de lange voorbereidingstijd genoemd worden. Over één nacht ijs gaan, is bij facilities management verre van wenselijk en kan eigenlijk praktisch niet worden uitgevoerd. Daarvoor moet er teveel worden geregeld. Er kunnen allerlei motieven zijn om als gebruiker van informatiesystemen van facilities management-diensten gebruik te maken. Beheersbaarheid van kosten, kwaliteits-en efficiëntieverbetering, het vrijmaken van personeel of liquide middelen zijn enkele trefwoorden. Toegevoegde waarde staat daarbij voorop. Zonder toegevoegde waarde heeft FM geen zin.
32
het recht van overgheidsinformatisering | Het Expertise Centrum
Checklist FM-contract Wat een IT-FM overeenkomst moet bevatten, hangt vooral van het type dienstverlening af. Gaat het om outsourcing, scratching of wellicht applicatie-FM? Wie IT-facilities wil gaan uitbestede,”” zoekt altijd naar een win/ win-situatie. Dat betekent dat klassieke economische principes niet meer van toepassing zijn. Het uitgangspunt dat de klant een zo goed mogelijke dienstverlening tegen de laagste prijs wil hebben, geldt niet meer. Kwaliteit, toegevoegde waarde en continuïteit qua dienstverlening en degelijkheid en betrouwbaarheid qua dienstverlener; dat moeten de uitgangspunten zijn. Een checklist voor enkele belangrijke onderwerpen in een uitgebreide facilities management-overeenkomst kan er als volgt uitzien: • specificatie van dienstverlening; • kwaliteitsniveau van dienstverlening (service-level agreement); • procedure voor wijzigen van dienstverlening; • tijdsplan; • prijs en betalingsregeling; • (overdracht van) apparatuur; • (overdracht van) programmatuur; • (overdracht van) telecommunicatiefaciliteiten; • onderhoud op apparatuur, programmatuur en telecommunicatiefaciliteiten; • intellectuele eigendomsregeling bestaande programmatuur; intellectuele eigendomsregeling nieuw te ontwikkelen programmatuur; • financiering van apparatuur, programmatuur en telecommunicatiefaciliteiten; • software-escrow; • (overdracht van) personeel; • werkafspraken tussen partijen; • garanties; • boetebepalingen; • schadevergoedingsregeling; • geheimhouding; • privacy-bescherming (Wet persoonsregistraties); • noodvoorzieningen/uitwijkconstructies; • looptijd overeenkomst en beëindigingsprocedure; • alternatieve geschillenbeslechting. Bij overdracht van het beheer en exploitatie van het eigen computercentrum heeft de overeenkomst ook betrekking op het eigen personeel en op softwarelicentie-contracten.
Het Expertise Centrum | het recht van overgheidsinformatisering
33
Wat gebeurt er met de mensen die op de automatiseringsafdeling werkzaam zijn? Blijft het eigen personeel of treden de medewerkers in dienst bij de facilities management-organisatie? Programmatuur in licentie Bij gelicenseerde computerprogramma’s heeft de legale gebruiker uitsluitend een gebruiksrecht en geen eigendomsrecht. Zie in dit kader ook hoofdstuk 7 van deze papernoot. De meeste software is in licentie gegeven, dat wil zeggen de gebruiker heeft alleen een gebruiksrecht. In dit kader doet zich het probleem voor dat veel leveranciers het doorleveren van de programmatuur, op welke wijze dan ook, contractueel expliciet verbieden. Dat kan overigens tevens gevolgen hebben voor hardware, die samen met systeemsoftware wordt geleverd. Wat heeft de facilities management-organisatie aan de overgenomen computerapparatuur, als het bedrijf het besturingssysteem niet mag gebruiken? In feite betekent dit dat wie op dit moment nog geen idee heeft of hij over een paar jaar wil gaan outsourcen, er nu wel rekening mee dient te houden. Kijk dus de contracten na of systeem-en applicatieprogrammatuur van een bepaalde leverancier overgedragen mogen worden aan een ander. In dit kader komt ook de Europese richtlijn softwarebescherming om de hoek kijken . Vanaf 1 januari 1993 kunnen leveranciers onder meer de verhuur van computerprogramma’s verbieden. Wanneer op basis van reeds bestaande software-contracten uitbesteed gaat worden, moet in de regel de FM-organisatie de licentiecontracten tussen gebruiker en leverancier overnemen. Het is echter denkbaar dat de softwareleveancier contractueel verbiedt dat de licentienemer - de gebruiker dus - het produkt doorlevert. Dat brengt met zich mee dat de gebruiker zijn licentieovereenkomst voor een bepaalde applicatie met de leverancier beëindigt, terwijl de FM-organisatie een nieuw gebruiksrecht neemt. Ook zal de FM-organisatie zelf onderhoudscontracten moeten sluiten. Programmatuur in eigendom Wanneer de gebruiker van de diensten van een FM-organisatie gebruik wil maken, kan hij programmatuur die hij in eigendom heeft, omdat de gebruiker deze zelf heeft laten ontwikkelen of gekocht ‘ heeft, in eigendom overdragen aan de FM-organisatie. Een dergelijke situatie kan zich bijvoorbeeld voordoen wanneer de gebruiker het totale rekencentrum wil afstoten. In veel gevallen vraagt Facilities Management niet om overdracht van compu-
34
het recht van overgheidsinformatisering | Het Expertise Centrum
terprogramma’s aan de FM-organisatie. Een IT-FM contract inclusief alle bijlagen fungeert min of meer letterlijk als een spoorboekje voor het gehele IT-FM traject. Daarin staan alle spelregels tussen partijen nauwkeurig geformuleerd, inclusief -expliciete -afspraken voor de dagelijkse omgang tussen partijen op de werkvloer. In Engeland spreekt men in dit kader van een ‘FM Code of Practise’, die voor dit doel is ontwikkeld. IT-FM is dermate complex dat een dergelijke detail-regeling ‘sine qua non’ is voor succesvol automatiseren op basis van facilities managementdienstverlening. Zoals reeds hierboven is aangegeven worden er bij IT-FM onder andere afspraken over apparatuur (hardware) gemaakt, waaronder aanschaf, onderhoud, eigendom en financiering van computers. Bovendien hebben IT-FM contracten, ondanks een groot aantal detailregelingen, een bijzonder flexibel karakter, om op deze wijze ook toekomstige automatiseringsprocessen te kunnen realiseren . Verder krijgen de zogenoemde ‘turn-back’ procedures een prominente rol in een IT-FM contract. Voor de opdrachtgever/gebruiker is het essentieel op welke wijze partijen uit elkaar gaan. Moet de automatisering worden teruggegeven aan de klant of overgedragen aan een andere FM-organisatie? Niets mag aan de aandacht ontsnappen. Samenvatting Facilities management is de meeste complexe vorm van IT-dienst•verlening, die kan variëren van het uitbesteden van enkele computerfaciliteiten tot en met de gehele automatisering. IT-FM krijgt, na een lange oriëntatie-, selectie-en onderhandelingsfase, vorm door middel van een tamelijk uitputtend, gedetailleerd, flexibel en langlopend contract, veelal tegen een vaste prijs. De overeenkomst die aan de facilities management-dienstverlening ten grondslag ligt, getuigt van een win/win-situatie. Het project mag niet spaak lopen, omdat de band tussen gebruiker en leverancier nog sterker is dan gewoonlijk al bij andere computer-gerelateerde diensten en produkten het geval is. Als dat toch onverhoopt gebeurt, moet allereerst geprobeerd worden door middel van een snelle, alternatieve geschillenbeslechting er uit te komen. Tenslotte bevat een facilities management-contract een zeer nauwkeurige procedure, waarin de situatie bij het beëindigen van de overeenkomst wordt geregeld.
Het Expertise Centrum | het recht van overgheidsinformatisering
35
36
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoofdstuk 4
Computerverzekeringen
Automatiseringsprojecten zijn vaak complex en moeilijk beheersbaar. Daardoor nemen de risico’s voor zowel gebruiker als leverancier toe. Een verzekering kan uitkomst bieden, maar dan moet wel de juiste polis voorhanden zijn. In de praktijk betekent dat een ‘computerverzekering’ in welke vorm dan ook, vaak maatwerk is. Een verzekeringsovereenkomst wordt in ons burgerlijk wetboek omschreven als een vormvrije en consensuele schadevergoedingsovereenkomst, waarbij de verzekeraar zich jegens de verzekerde verbindt tot vergoeding van schade in de ruime zin van ieder vermogensnadeel die de verzekerde zou kunnen leiden. Het contract is vormvrij en dat wil zeggen dat het mondeling rechtsgeldig tot stand kan komen. Een polis is dus niets meer en niets minder dan een bewijsmiddel. Dat schriftelijke overeenkomsten, mede uit bewijstechnisch oogpunt, de voorkeur hebben, spreekt voor zich . Ook gaat het om een consensuele overeenkomst: een van de voorwaarden voor het tot stand komen van de overeenkomst is de wilsovereenstemming tussen partijen. Daarnaast maakt men onderscheid tussen verzekerde en verzekeringsnemer. De verzekerde behoeft niet dezelfde persoon of organisatie te zijn als de verzekeringsnemer. De verzekeringsnemer sluit namelijk de verzekeringsovereenkomst ten behoeve van de verzekerde. De verzekeringsovereenkomst draagt een voorwaardelijk karakter, omdat de vergoeding van de schade afhankelijk is van een onzeker voorval (schadeverzekeringen). In automatiseringsperspectief kan bijvoorbeeld worden gedacht aan een technische storing - onder meer eigen gebrek van apparatuur - of onachtzaamheid van de gebruiker, maar natuurlijk ook brand, inbraak en sabotage. Tenslotte is assurantie of verzekering een wederkerige overeenkomst: tegenover de voorwaardelijke verplichting van de verzekeraar staat de onvoorwaardelijke verplichting van de verzekeringsnemer tot het betalen van de premie.
Het Expertise Centrum | het recht van overgheidsinformatisering
37
Verzekeringen in relatie tot informatietechnologie zijn er in alle maten en soorten en het verzamelbegrip ‘computerverzekeringen’ zegt op zich niet veel. Sinds enige jaren bewegen verschillende verzekeraars (verzekeringsmaatschappijen) en assuradeuren (via de beurs) zich op deze markt. Zoals bekend kan ieder risico verzekerd worden, ook het risico van schade die ontstaat door het kopje koffie dat in het toetsenbord verdwijnt, de notebook die gestolen wordt, inclusief programmatuur en gegevens en zelfs het risico van schade die aan computerfraude te wijten is. Dat aan iedere polis ook een prijskaartje hangt, laat zich raden. Eén van de meest praktische polissen is de polis met betrekking tot de (beroeps)aansprakelijkheid van de automatiseerder tegenover de gebruiker. Hoewel sommige overeenkomsten, waaronder die van het Ministerie van Binnenlandse Zaken, een verplichte verzekering voorschrijven, blijkt dat de automatiseringsindustrie in Nederland er vaak niet aanwil. Soms heeft dat zijn oorzaak in de wijze waarop verzekeringsmaatschappijen zich opstellen. Wie als IT-onderneming een doorlopende verzekering wil, betaalt voor een polis die doorgaans aan de totale omzet is gerelateerd. Wanneer een leverancier mede zijn geld verdient met ‘onechte’ automatiseringsdiensten, waaronder het verzorgen van opleidingen, dan wordt er dus teveel premie betaald. Wie geen verzekering heeft afgesloten, doet er goed aan financiële middelen te reserveren voor schadevergoeding in geval van toerekenbare tekortkoming (wanprestatie). Ook verzekering per automatiseringsproject kan uitkomst bieden en partijen, dat wil zeggen leverancier en gebruiker, kunnen bijvoorbeeld afspreken onderling de premiekosten te delen. Maar de eerste vraag die in het kader van een aansprakelijkheidsregeling voor informatiesystemen gesteld moet worden luidt of leverancier en gebruiker kiezen voor: • het contractueel uitsluiten van risico’s die betrekking hebben op de ontwikkeling en het operationeel houden van een automatiseringsproject; • of het verzekeren van deze risico’s. Voor de goede orde: in een overeenkomst worden tevens risico’s ingesloten door middel van garanties. De factoren die leiden tot niet voldoen aan een garantie komt namelijk voor risico van de leverancier.
38
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoewel het afsluiten van verzekeringsovereenkomsten natuurlijk op vrijwillige basis geschiedt, wordt het onderbrengen van het risico van schade steeds meer verplicht gesteld door betrokkenen bij een IT-onderneming, zoals banken en participatiemaatschappijen. Anderzijds zijn het verzekeringsmaatschappijen die op hun beurt regelmatig verplichtingen opleggen aan de verzekerde. Zo bevatten polissen naast algemene assurantievoorschriften voor de verzekerde, ook bijzondere eisen zoals het afsluiten van een onderhoudscontract voor het automatiseringsproject. Typen verzekering In de schadeverzekeringswereld is in de loop der jaren veel gestandaardiseerd; voor computerverzekeringen is dit niet het geval. De markt is daardoor nogal ondoorzichtig. De grote lijn in automatiseringsassurantie scheidt zogenoemde ‘computerverzekeringen’ van ‘personal computerverzekeringen’. Bovendien hanteren sommige maatschappijen meerdere polissen. Zo heeft een maatschappij naast de twee genoemde assurantiën ook een ‘Elektronicaverzekering’ en een ‘Verzekering van huiselektronica’. Min of meer traditionele computerverzekeringen hebben betrekking op apparatuur, programmatuur, gegevens en gegevensdragers, verbindingen, omgeving (gebouwen, energievoorziening, airconditioning), organisatie en ondersteunende activiteiten. Een computerverzekering bestaat meestal uit een polis, waaronder dekking kan worden verkregen tegen: • materiële schade aan apparatuur en gegevensdragers; • extra kosten; • reconstructiekosten (apparatuur, programmatuur en gegevensdragers). In een polis worden de extra kosten bijvoorbeeld als volgt omschreven: “ ... indien deze kosten noodzakelijk en redelijkerwijs moeten worden gemaakt, teneinde een bedrijfsstilstand of stoornis te voorkomen, dan wel de schadelijke gevolgen daarvan te verminderen als gevolg van voornoemde materiële schade zelf, of als gevolg van het niet meer kunnen functioneren van de verzekerde apparatuur door schade aan de airconditioning, het energiecentrum, de informatiedragers of het in deze polis genoemde gebouw, waarin deze objecten zich bevinden, of als gevolg van storing resp. onderbreking van de stroomtoelevering.” Reconstructiekosten hebben betrekking op de kosten die gemaakt moeten worden om verloren gegane gegevens opnieuw in te voeren, e.d.
Het Expertise Centrum | het recht van overgheidsinformatisering
39
Verzekeringsmaatschappijen bieden ook een Aansprakelijkheidsverzekering bedrijven (AVB) en een Beroepsaansprakelijkheidsverzekering (BAV). Het eerste type verzekering dekt letstelschade, zaakschade en vermogenschade, terwijl de Beroepsaansprakelijkheidsverzekering daarentegen voornamelijk vermogenschade dekt. Opvallend daarbij is dat er meer typen risico’s -juristen spreken in dit verband wel van de schuldladder -in de AVB en BAV samen zijn onder te brengen, dan in een contract zijn uit te sluiten. Casus: Wissen computerbestand gedekt Vormt het wissen van een computergeheugen of -bestand “beschadiging van een stoffelijk goed” in de zin van de AVB-polis? Ja, mits er functieverlies optreedt. Er is bij het wissen van een bestand echter altijd sprake van functieverlies. Ja, moet dus het antwoord luiden, aldus het Hof Den Haag in een arrest gewezen in een conflict tussen een verzekeringsmaatschappij en een computergebruiker. Door het wissen wordt niet slechts verandering gebracht in het magnetisch veld van de harde schijf/diskette, maar_daarbij wordt ook het vermogen aangetast van de door de harde schijf/diskette en daarop aangebrachte informatie gevormde eenheid om te functioneren als geheugen van de computer, aldus concludeerde de rechter in hoger beroep. Dat vormt “beschadiging van een stoffelijk goed” in de zin van de polis. De computergegevens, geabstraheerd van hun drager, zijn dat niet, gelet op de aard van de AVB-verzekering. De procedure tussen partijen stelt de vraag aan de orde of de vaststaande schade, die is ontstaan als gevolg van het (... ) wissen van het geheugen van de computer, valt binnen de dekkingsomschrijving van de polis. Met name gaat het dan om de vraag of het wissen van het geheugen tegen de zin van de gebruiker, in de zin van de polis, te beschouwen is als beschadiging van een stoffelijk goed (van een derde). Het hof zou geneigd zijn de de vraag bevestigend te beantwoorden. Uit het voorgaande volgt immers dat de harde schijf of de diskette(s) tezamen met de daarop aangebrachte informatie, de daarop aangebrachte ‘bits’, (gecombineerd) als eenheid het geheugen van de computer vormde(n), dat vervolgens gewist werd. Door het wissen werd niet slechts verandering gebracht in het magnetisch veld, de ‘bits’, van die (gecombineerde) eenheid, waardoor deze in de stoffelijke gaafheid van haar eenheid werd aangetast maar ook werd daarmee aangetast het vermogen van die eenheid als voorheen te functioneren als
40
het recht van overgheidsinformatisering | Het Expertise Centrum
geheugen van de computer. Het wissen, dat wil zeggen het aantasten van de gaafheid van de eenheid van de harde schijf respectievelijk de diskette(s) tezamen met de daarop aangebrachte en aanwezige ‘bits’ met als gevolg functieverlies, vormt, in de zin van de polis, in een geval als het onderhavige beschadiging van een stoffelijk goed van een derde. Toch wordt de vordering in casu niet toegewezen. De gebruiker heeft namelijk als grondslag van haar vordering alleen gesteld dat computergegevens als (stoffelijke) zaak zijn te beschouwen. c.q. dat de computergegevens ‘op zichzelf’, geabstraheerd van hun drager, “beschouwd moeten worden als een zaak” en dat wissen van die computergegevens gelijk zich heeft voorgedaan, ook in de zin van de polis, beschouwd moet worden als tenietgaan van een stoffelijk goed. De polis moet -aldus Het hof -anders dan de gebruiker voorstaat, aldus worden verstaan dat bedoeld wissen van (‘op zichzelf beschouwd’ wordende) computergegevens niet reeds, in de zin van de polis, beschadiging of tenietgaan van stoffelijke goederen oplevert. Los gedacht van hun drager zijn computergegevens als waarom het hier gaat te abstract en vormen zij aldus, in de genoemde zin, geen stoffelijk goed. Samenvatting Het overwegen van het verzekeren van risico’s die samenhangen met een automatiseringsproject in de verhouding leverancier/gebruiker is, zeker bij grootschalige projecten, de moeite waard. Voorwaarde is wel dat een verzekeringsmaatschappij de polis op maat ontwikkelt. Partijen hebben namelijk de keuze. Regel de aansprakelijkheid bij contract of via een verzekering. De kosten kunnen gedeeld worden.
Het Expertise Centrum | het recht van overgheidsinformatisering
41
42
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoofdstuk 5
Computercriminaliteit
Op 1 maart 1993 is de Wet ter bestrijding van computercriminaliteit van kracht geworden. De meest omvangrijke wetswijziging van ons strafrecht sinds de inwerkingtreding in 1886 bevat zowel nieuwe strafbare feiten als uitbreiding van de bevoegdheden van politie en Justitie. Het binnendringen in een daartegen beveiligd computersysteem en het ter beschikking stellen of verspreiden van computervirussen zijn enkele nieuwe delicten. Van alle verschijningsvormen van computercriminaliteit komt het illegaal kopiëren en gebruiken van computerprogramma’s in Nederland het meeste voor. Daarna volgen het schade toebrengen aan gegevens of programma’s, meestal door virussen, hacken, spionage en computer-gerelateerde valsheden en fraude. Computersabotage en ‘diefstal’ van geautomatiseerde diensten komen minder en piraterij van chips en het onbevoegd onderscheppen van gegevensverkeer komen nauwelijks voor. Dat blijkt uit de studie van het Platform computercriminaliteit, een samenwerkingsverband van overheid en bedrijfsleven, die in november 1990 is gepubliceerd. Het illegaal verveelvoudigen, verspreiden of aan het publiek ter beschikking stellen van beschermde computerprogramma’s, inclusief het onbevoegd gebruiken van software, is ‘verreweg’ de meest voorkomende vorm van computercriminaliteit. 140 organisaties (16,6% van de totale respons) zijn hiermee volgens eigen zeggen ‘op enigerlei wijze’ in aanraking gekomen. Daarvan geven 23 organisaties aan dat zij als ontwikkelaar of rechthebbende het slachtoffer van onrechtmatig gebruik van software zijn geworden. In de andere gevallen gaat het om organisaties (134) die bijvoorbeeld door middel van handelingen van personeel, zich schuldig hebben gemaakt aan het illegaal kopiëren, verspreiden en gebruiken van computerprogramma’s.
Het Expertise Centrum | het recht van overgheidsinformatisering
43
Hoeveel er in Nederland gekopieerd wordt, weet het Platform niet en ook de hoogte van de schade is de onderzoekers niet bekend. Franse cijfers geven echter aan dat schade door computercriminaliteit gemakkelijk tot 1 miljoen per schadegeval kan oplopen. Volgens het Platform blijkt uit de rapportage dat “computercriminaliteit een serieuze bedreiging vormt voor iedere organisatie waar processen zijn geautomatiseerd, vooral gezien de grote risico’s die eraan verbonden zijn”. Het Platform waarschuwt dat computercriminaliteit niet ‘veronachtzaamd’ mag worden. Het Platform verwacht dat misbruik van computersystemen in ons land in de toekomst verder zal toenemen en geeft daarvoor verschillende oorzaken aan. Allereerst zal het gebruik van informatietechnologie toenemen, er zullen meer gebruikers komen en de gebruikersvriendelijkheid van apparatuur en programmatuur wordt groter. Bovendien vergroten de technologische ontwikkelingen de bereikbaarheid van en toegankelijkheid tot computersystemen. Organisaties in Nederland die het slachtoffer worden van een van de verschijningsvormen van computercriminaliteit blijken nauwelijks bereid te zijn dit bij politie en Justitie te melden. Slechts in 5% van de gevallen wordt aangifte gedaan. Met dit cijfer zijn niet alleen de ‘crime fighters’ zeer ongelukkig, ook het georganiseerde bedrijfsleven is niet blij met deze uitkomst. Volgens het Platform moet er veel meer aangifte gedaan worden. Dat kan best, omdat de bestaande vooroordelen ten aanzien van ondeskundigheid bij politie en Justitie en de risico’s van het uitlekken van informatie niet door het onderzoek worden bevestigd. Uit de studie van het Platform blijkt dat beveiliging de schade, die door computercriminaliteit ontstaat, kan beperken of zelfs voorkomen. Beveiliging is dus zonder meer nuttig en noodzakelijk. Ook beveelt het Platform alle organisaties aan om aangifte te doen van computercriminaliteit. Verder wil het Platform onder meer dat de verspreiding van computervirussen zelfstandig strafbaar wordt gesteld en moet er een landelijk aanspreekpunt voor slachtoffers van computercriminaliteit komen. Men acht het noodzakelijk verder onderzoek naar deelaspecten van computermisbruik te doen. Bovendien verdient het aanbeveling meer voorlichting te geven. Zo vindt het Platform het “een niet onbelangrijke maatregel” om het bewustzijn van met name werknemers ten aanzien van softwarerechten te vergroten.
44
het recht van overgheidsinformatisering | Het Expertise Centrum
Wet computercriminaliteit Drie jaar voorafgaande aan het rapport van het Platform computercriminaliteit, maakte de Staatscommissie computercriminaliteit haar bevindingen wereldkundig. In de studie ‘Informatietechniek & strafrecht’ werden voorstellen tot aanpassing van het bestaande strafrecht gedaan. De wetgever heeft deze grotendeels overgenomen in de Wet computercrimininaliteit, die op 1 maart 1993 in werking trad. Met name het stellen van een eis van beveiliging is iets nieuws in ons strafrecht. Volgens de Wet computercrimininaliteit rust op de systeembeheerder de plicht om de automatisering zo af te schermen dat onbevoegden er niet bij kunnen. Eigen werknemers moeten alleen tot die gegevens toegang verkrijgen, waarmee ze in het uitvoeren van taak en functie moeten werken. Verder mogen mensen niet meer onbevoegd gegevens wijzigen of toevoegen, ook als het computersysteem niet beveiligd is. Het opzettelijk of door nalatigheid beschadigen, onbruikbaar maken, vernielen of storen van een computersysteem, dat in het algemeen belang wordt gebruikt, wordt eveneens strafbaar gesteld. Hierbij kan worden gedacht aan een alarmcentrale of een verkeersreguleringssysteem. Wie ‘hackt’ en tegen de lamp loopt, hangt een straf van maximaal vier jaar gevangenis boven het hoofd of een geldboete van ten hoogste 25.000 gulden. Het eerste strafvonnis op grond van dit artikel is op 2 maart 1995 gewezen. Opgesomd zien de nieuwe strafbaarstellingen er als volgt uit: • schenden van staatsgeheimen; • computervredebreuk (‘hacking’); • afluisteren; • beschadiging van een geautomatiseerd werk; • valsheid in verband met betaalpas en waardekaart; • kinderpornografie; • schenden van bedrijfsgeheimen; • afpersing en dreiging; • oplichting; • beschadiging van gegevens in computersystemen. Ook de strafrechtelijke bescherming van telecommunicatie wordt uitgebreid en opsporingsambtenaren krijgen meer bevoegdheden om via netwerken ook elektronische huiszoeking te verrichten . Nu al bestaat de mogelijkheid om in geval van huiszoeking onderzoek te doen naar gegevens die zich op de locatie op gegevensdragers bevinden.
Het Expertise Centrum | het recht van overgheidsinformatisering
45
De snelle ontwikkelingen in de informatietechnologie maken het volgens de wetgever noodzakelijk zowel het Wetboek van Strafrecht als het Wetboek van Strafvordering aan te passen en te wijzigen “ter bestrijding van (computer)criminaliteit waarbij op enigerlei wijze gebruik wordt gemaakt van informatietechniek”. De nieuwe bevoegdheden van politie en Justitie zijn: -de rechter-commissaris kan iedere systeembeheerder bevelen hem toegang te verlenen tot “bepaalde gegevens die redelijkerwijs kunnen dienen de waarheid aan het licht te brengen”, of de gegevens naar de rechtbank te brengen; • iedereen is wettelijk verplicht de (geheime) beveiligingscodes, zoals toegangscodes en pass words en dergelijke, tijdens een justitieel onderzoek kenbaar te maken aan politie en Justitie en zijn medewerking aan het onderzoek te verlenen; • tenslotte zijn de regels voor huiszoeking ook van toepassing op computers, inclusief die systemen die via telecommunicatie (netwerken, telefoonlijnen) met behulp van het onderzochte systeem langs normale weg bereikbaar zijn. Indien een organisatie het slachtoffer wordt van computercriminaliteit is het zinvol en gewenst daarvan aangifte te doen bij de politie. Tegenwoordig zijn er drie speciale Interregionale Teams Computercriminaliteit, die bijzondere deskundigheid hebben ten aanzien van preventie en bestrijding van deze vorm van misdaad. De teams werken regionaal en zetelen in Amsterdam, Den Haag en Nijmegen. Daarnaast kent de Centrale Recherche Informatiedienst in Zoetermeer een speciale afdeling die zich met deze problematiek bezighoudt. Dat geldt ook voor de afdeling forensisch computeronderzoek van het Gerechtelijk Laboratorium in Rijswijk. Casus: De frauderende ambtenaar Volgens de Hoge Raad moet een computerbestand als een ‘geschrift’ in de zin van de Nederlandse strafwet worden beschouwd. Ons hoogste rechtscollege bevestigde hiermee in 1992 de opvattingen van het Haagse gerechtshof. Met het arrest in cassatie komt een einde aan de juridische strijd die het Openbaar Ministerie heeft gevoerd tegen een automatiseringsdeskundige van de gemeente Rotterdam, die zijn werkgever voor tenminste 8,2 miljoen gulden in de periode 1984-1988 heeft benadeeld door het geld via zijn eigen bankrekening naar het buitenland over te brengen.
46
het recht van overgheidsinformatisering | Het Expertise Centrum
Dat de ambtenaar ongeveer vier jaar lang ongestoord zijn gang kon gaan, lag aan een aantal factoren. Allereerst vervulde de man bij de gemeente de functie van hoofd automatisering van de afdeling financiën, terwijl van functiescheiding in de dagelijkse praktijk weinig terecht kwam. Even gebrekkig was bovendien de interne controle bij de geautomatiseerde administratie, die in feite door het computersysteem zelf werd uitgevoerd. De crux van de zaak lag bij de juridische vraag of een computerbestand een geschrift is in de zin van artikel 225 van ons Wetboek van Strafrecht. Deze bepaling ziet toe op valsheid in geschrifte. Zowel in eerste als tweede aanleg werd deze vraag door de Rotterdamse rechtbank en het Haagse hof bevestigend beantwoord. Eiste de Officier van Justitie voor de rechtbank zes jaar gevangenis•straf, de rechter maakte daar in april 1988 viereneenhalf jaar van. In zijn requisitoir betoogde de de officier dat er sprake was van een geschrift. Hij zocht hierbij aansluiting bij de opvatting van de Commissie Computercriminaliteit, die in 1987 het rapport ‘Informatie•techniek en strafrecht’ publiceerde. Daarin constateert de commissie weliswaar deze wettelijke lacune, maar is tegelijkertijd van mening dat het bestaande recht voldoende mogelijkheden tot succesvolle vervolging biedt. Het vonnis was het eerste in zijn soort en gaf aan dat in sommige gevallen de bestaande delicten in het uit 1886 stammende Wetboek van Strafrecht voldoende bleken te zijn om ook nieuwe vormen van misbruik en fraude aan te pakken, die aan informatietechnologie is gerelateerd. In het tweede geval gaat het om valsheid in geschrifte en oplichting. In hoger beroep handhaafde het Haagse gerechtshof, ruim een jaar later, dezelfde straf. Van het geld heeft Justitie zo’n 1,2 miljoen gulden kunnen achterhalen. De rest zou op bankrekeningen in Thailand staan, aldus berichten van de zijde van politie en Justitie. Daar heeft de dader van naar redelijke waarschijnlijkheid een van de omvangrijkste computerfraudes in ons land, ook een huis gekocht. Zowel op het huis als zijn bankreken ingen kan de Nederlandse Justitie geen beslag leggen en men heeft geen verwachting dat de resterende miljoenen nog achterhaald worden. Insiders beweren echter dat het om veel meer geld gaat dan het hardgemaakte bedrag van 8,2 miljoen, dat de dader heeft verduisterd. De slechte kwaliteit van de gemeentelijke financiële administratie in 1988 zou ervan de oorzaak zijn dat niet mogelijk is vast te stellen hoeveel geld er uiteindelijk is verdwenen.
Het Expertise Centrum | het recht van overgheidsinformatisering
47
De uitspraak van de Hoge Raad is van belang voor de vervolging van verdachten van verschillende vormen van computermisbruik, nog los van de Wet computercriminaliteit, omdat in beginsel ieder digitaal bestand als geschrift kan worden aangemerkt. Casus: De student-hacker Op 2 maart 1995 heeft de Utrechtse strafrechter een 22-jarige student voor het inbreken in allerlei informatiesystemen, conform de eis van de Officier van Justitie, veroordeeld tot 5000 gulden boete en een voorwaardelijke gevangenisstraf van zes maanden. De man was ‘computervredebreuk’ ten laste gelegd. Artikel 138a is een van de nieuwe delicten die sinds de inwerkingtreding van de Wet computercriminaliteit in maart 1993 zijn opgenomen in het Wetboek van Strafrecht. Het is voor het eerst dat iemand op grond van overtreding van dit strafbare feit is aangehouden en veroordeeld. De dader heeft gezegd in hoger beroep te gaan. Samenvatting Over computercriminaliteit is relatief weinig bekend, maar volgens een aantal onderzoeken zijn de bedreigingen van binnenuit de organisatie het grootst. Beveiliging en controlemaatregelen moeten dus uitkomst bieden. Vooral softwarepiraterij is een probleem, maar dat wordt doorgaans niet in de criminele sfeer gebracht. Door specifieke deskundigheid, nieuwe bevoegdheden en nieuwe strafbare feiten zijn politie en Justitie beter dan voorheen in staat computercriminaliteit op te sporen en te vervolgen. Voorwaarde is wel dat slachtoffers aangifte doen. De aangiftebereidheid blijft vooralsnog laag. Voorkomen van computercriminaliteit vraagt om adequate beveiligings-en controlemaatregelen, die voor een deel wettelijk voorgeschreven zijn.
48
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoofdstuk 6
Beeldschermwerk
Op 1 januari 1993 trad de Nederlandse regeling met betrekking tot het werken met computerbeeldschermen in werking. Het Arbeidsomstandighedenbesluit is een rechtstreeks gevolg van Europese wetgeving. De Raad van Ministers van de Europese Gemeenschap heeft namelijk in 1990 een Richtlijn betreffende minimum voorschriften inzake veiligheid en gezondheid met betrekking tot het werken met beeldschermapparatuur vastgesteld. Arbeid, recht en automatisering betreffen een veelheid aan onderwerpen. De Arbeidsomstandighedenwet (Arbowet), die de uit 1934 daterende Veiligheidswet en een aantal verwante regelingen vervangt, richt zich op de veiligeid, de gezondheid en het welzijn van de werknemer. Taken ter realisering hiervan heeft de wetgever gezamelijk opgedragen aan werkgever, werknemer en arbeidsinspectie, die soms verenigd zijn in ‘Arbocommissies’. Invoering van deze wet heeft ook gevolgen voor de arbeidsorganisatie in de private en burgerlijke publieke sector waarin met computers wordt gewerkt. Niet alleen voor wat betreft de veiligheid, gezondheid en het welzijn van computers en robots (waaraan hieronder aandacht wordt besteed), komen automatisering en arbeidsomstandigheden met elkaar in aanraking. Ook wanneer een arbeidsorganisatie verregaande beveiligingsmaatregelen neemt, kunnen gevolgen voor de arbeidsomstandigheden ontstaan. De Arbeidsomstandighedenwet die op 1 januari 1983 gefaseerd in werking is getreden, heeft -naast de klassieke aandachtsgebieden zoals veiligheid en gezondheid -ook betrekking op het welzijn van de werknemer op de werkplek tijdens de uitvoering van zijn werkzaamheden.
Het Expertise Centrum | het recht van overgheidsinformatisering
49
Centraal staat de wijze waarop de werkgever moet letten bij het organiseren van de arbeid, het inrichten van de arbeidsplaatsen en het bepalen van de produktie-en werkmethoden, in verband met de algemene zorg voor veiligheid, gezondheid en welzijn. Vanzelfsprekend geldt eveneens voor de werknemer die op een of andere wijze met geautomatiseerde gegevensverwerking moet werken het ‘fitting the job to the worker’-principe. Over schadelijke gevolgen van computers, in het bijzonder beeldschermen, doen veel indianenverhalen de ronde. Zo zouden computers desinteresse in het werk en een hoog ziekteverzuim veroorzaken door oververmoeidheid, hoofdpijn, rugpijn, miskramen, hoornvliesafwijkingen en bijziendheid. Of dit juist is, is omstreden. Wel wordt gewerkt aan het welzijn van de werknemer. Het toverwoord in dit verband luidt ergonomie. Naast het gebruikersvriendelijker worden van informatietechnologie, worden dus ook verschillende ergonomische maatregelen genomen om de kwaliteit van het ‘computerwerk’ te verbeteren . Of niet-reflecterende beeldschermoppervlakken, kleurenbeeldschermen en gemakkelijk leesbare lettertypen voor voldoende welzijn voor de eindgebruiker zullen zorgen, is nog maar de vraag. Dat geldt ook voor nieuwe, ergonomisch ontworpen toetsenborden. Spraken onderzoeksrapporten elkaar vroeger veelal tegen, tegenwoordig sluiten de deskundigen meer de rijen. Het beeldscherm is wel degelijk een boosdoener, aldus constateerde de American Optometric Association in 1993. Zo zijn bijvoorbeeld weerspiegeling en slechte verlichting oorzaken van oogproblemen. Ook het Ministerie van Sociale Zaken en Werkgelegenheid bestempelt beeldschermen als een gezondheidsrisico. In Engeland heeft men een paar jaar geleden gesignaleerd dat behalve aan ogen ook letsel aan het lichaam kan ontstaan als gevolg van overbelasting door een voortdurende herhaling van bepaalde bewegingen, zoals het typen op een toetsenbord of het klikken van een computermuis. Men noemt dat ‘repetitive strain injury’ of kortweg RSI. In een tot nu toe unieke uitspraak is deze ziekte door de rechter erkend.
50
het recht van overgheidsinformatisering | Het Expertise Centrum
De raakvlakken tussen het arbeidsomstandighedenrecht en de toepassing van informatietechnologie van de gegevensverwerking zijn overigens verschillend van aard. Er zijn tenminste een drietal relaties denkbaar, namelijk tussen arbeidsomstandigheden en: • privacy op de werkplek; • verregaande beveiligingsmaatregelen; • gezondheidsaspecten van het werken met computers. Aan de bescherming van de persoonlijke levenssfeer tijdens het werk wordt in hoofdstuk 10 van deze papernoot aandacht besteed. Besluit beeldschermwerk Het Nederlandse recht kent sinds 1 januari 1983 de Arbeidsomstandighedenwet, die onder meer de Veiligheidswet 1934 heeft vervangen en die toeziet op de veiligheid, gezondheid en het welzijn van werknemers in het algemeen. De Europese Unie wilde echter ook een bijzondere regeling voor het werken met beeldschermen, om het ziekteverzuim van computergebruikers terug te dringen, door voorschriften te stellen aan de inrichting van de werkplek en de functie-inhoud van het werk. De Europese Richtlijn beeldschermwerk van 1990 is in zoverre een wat bijzondere Europese wet, omdat hij niet op zichzelf staat, maar direct verband houdt met de kaderrichtlijn “betreffende de tenuitvoerlegging van maatregelen ter bevordering van de verbetering van de veiligheid en de gezondheid van werknemers op het werk”. De Nederlandse regering heeft besloten om de richtlijn niet in een afzonderlijke wet om te zetten, maar als Algemene Maatregel van Bestuur bij de Arbeidsomstandighedenwet in te voeren. Terug naar het Europese recht. De Richtlijn normeert het beeldschermwerk voornamelijk op twee manieren: voorschriften voor de inrichting van de werkplek en voorschriften terzake van afwisseling in de functie-inhoud, verdeling van het werken met een beeldscherm over de dag. Bovendien geeft de Richtlijn nog andere voorschriften, die betrekking hebben op de mogelijkheid tot het ondergaan van (periodieke) onderzoeken aan de ogen en het gezichtsvermogen met daaraan gekoppeld de verplichting voor de werkgever adequate oogcorrectiemiddelen te verschaffen in verband met het werken met beeldschermapparatuur. Wanneer bijvoorbeeld op basis van medische indicatie blijkt dat de werknemer een bril nodig heeft, moet de werkgever deze kosten dus vergoeden.
Het Expertise Centrum | het recht van overgheidsinformatisering
51
In het Besluit wordt bepaald dat beeldschermarbeid, na ten hoogste twee achtereenvolgende uren moet worden afgewisseld door andersoortige arbeid of door een rusttijd, zodanig dat de belasting van het werken met beeldschermen wordt verlicht. Alles draait bij de Arbeidsomstandighedenwet om ‘werknemers’, inclusief ambtenaren bij de burgerlijke overheid. Dat geldt dus ook voor het Besluit beeldschermwerk, met dien verstande dat het hier om een speciale groep werknemers gaat: namelijk zij die gewoonlijk gedurende tenminste twee uren per etmaal gebruik maken van beeldschermapparatuur. Men mag dan maximaal vijf tot zes uur per dag achter de computer zitten. De tekst van de Richtlijn is in het Arbeidsomstandighedenbesluit beeldschermwerk nauwkeurig gevolgd en er wordt, bijvoorbeeld i,n het geval van de voorschriften voor de inrichting van de werkplek, rechtstreeks naar de technische bijlagen van de Richtlijn verwezen. De inrichtingsvoorschriften worden gesteld ten aanzien van: • de apparatuur (toetsenbord los van monitor, scherpe tekens op het scherm, e.d.); • de omgeving (temperatuur, vochtigheid, licht); • de computer/mens interface. Bij de interface tussen computersysteem en de gebruiker draait het in hoofdzaak om gebruiksvriendelijke programmatuur, die tevens aangepast moet zijn aan het kennisniveau van de gebruiker. Tegelijkertijd wordt er iets aangegeven over de mogelijkheid dat de. werkgever kwantitatieve en kwalitatieve controles uitvoert door toepassen van routines in de software (‘monitor software’). Over deze bepaling heerst echter onduidelijkheid. Sommigen spreken van een verbod zonder toestemming van de werknemer; anderen interpreteren de wetstekst zo dat de werkgever alleen zijn personeel vooraf hoeft te informeren. Anders gezegd: instemming zou dus niet nodig zijn. Voorzover bekend heeft de Nederlandse rechter zich hierover nog niet gebogen. Casus: De vrouw die werk weigerde Een secretaresse die sinds 1980 bij een bierbouwer parttime werkzaamheden verrichtte, besloot, toen medio 1983 ook op haar afdeling typemachines door tekstverwerkende apparatuur met beeldschermen werden vervangen, alleen hiermee te werken, indien haar werkgever bereid was schriftelijk te verklaren dat het werken met een beeldscherm niet tot gevolg heeft dat haar
52
het recht van overgheidsinformatisering | Het Expertise Centrum
ogen achteruit zouden gaan, dat de uitstraling van het scherm niet schadelijk is voor de gezondheid en dat zij door het werken met deze apparatuur niet overspannen zal raken. De werkgever voelde zich daartoe niet gehouden en - gelet op het feit dat geen ander werk voor haar binnen de onderneming voorhanden was (zonder gebruikmaking van tekstverwerkende apparatuur) - verzocht de werkgever de rechter ontbinding van de arbeidsovereenkomst op grond van verandering in omstandigheden. De secretaresse verweerde zich door aan te voeren dat er geen verandering van omstandigheden had plaatsgevonden. Daarnaast zou er geen noodzaak tot gebruik van deze apparatuur op haar afdeling zijn. De werkweigering was dus in dit geval rechtvaardig, aldus de secretaresse. Volgens de rechter brengt de introductie van de apparatuur, de aanwezigheid van louter typemachines op de afdeling bij aanstelling en het niet aanwezig zijn van ander werk inderdaad een verandering in omstandigheden teweeg, zodat de arbeidsovereenkomst moest worden ontbonden. Tevens moest worden bekeken of er sprake is van schadeloosstelling. Het tweede verweer sneed echter geen hout, omdat, indien met de automatiseringsbeslissing een redelijk bedrijfsbelang is gediend en de grenzen van redelijkheid en billijkheid jegens de werknemers niet zijn overschreden, de invoering van bepaalde apparatuur aan de werkgever zijn voorbehouden. Aan dit criterium was voldaan. Over de rechtvaardiging van de werkweigering zei de magistraat: “Werken met tekstverwerkende apparatuur is essentieel zo anders dan het werken met de typemachine dat niet redelijkerwijs, als dat niet van tevoren is overeengekomen, van de werknemer verlangd kan worden dat hij zich in dit werk bekwaamt en het gaat verrichten.” Een en ander leidde tot ontbinding van het dienstverband en vaststelling van een schadeloosstelling ten bedrage van 12.500 gulden. Van schadevergoeding wilde de rechter niet horen, omdat de werkgever geen verwijt trof. Casus: De datatypiste met RSI Een voormalige ambtenaar van de Engelse belastingdienst heeft eind 1993 in een juridische procedure een recordbedrag van 79 duizend pond (ongeveer 270.000 gulden) als schadevergoeding ontvangen. De rechtstrijd ging om gevolgen voor de gezondheid door het werken met beeldscherm en vooral het toetsenbord en het herhalen van dezelfde bewegingen (Repetitive Strain Injury).
Het Expertise Centrum | het recht van overgheidsinformatisering
53
In feite gaat het om een groep van ziektes die ontstaan door steeds dezelfde handelingen te verrichten. De vrouw, die jarenlang 16 duizend aanslagen per uur verrichtte, heeft de rechtszaak tegen haar voormalig werkgever gewonnen, ondanks het feit dat een andere rechter in een andere zaak in oktober 1993 oordeelde dat deze ziekte niet bestaat. Samenvatting Veiligheid, gezondheid en welzijn staan centraal in het Nederlandse arbeidsomstandighedenrecht. In toemende mate wijzen deskundigen op de gezondsheidsrisco’s van het werken met een personal computer of werkstation. De werkgever kan aansprakelijk worden gesteld, zo blijkt uit een belangrijke uitspraak onder Engels recht. Naar Nederlands recht moet het management behalve algemene, open rechtsnormen, ook de bijzondere voorschriften uit het Besluit beeldschermwerk nauwlettend opvolgen.
54
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoofdstuk 7
Softwarebescherming en gebruik
Het nieuwe softwarerecht werd op 1 september 1994 van kracht. Sommige rechten zijn uitgebreid, anderen beperkt. Zo is ‘reverse engineering’ onder voorwaarden toegestaan, mag de legale gebruiker een ‘reservekopie’ maken en kan de softwareleverancier verbieden dat zijn computerprogramma’s worden verhuurd of uitgeleend. Nog meer dan nu reeds het geval is, moeten softwarecontracten voor gebruikers een zeer belangrijk en geïntegreerd onderdeel van hun informatietechnologie-beleid vormen. Behalve licentievoorwaarden voor computerprogramma’s in het algemeen gaat het om garantiebepalingen, onderhoudsregelingen en software-escrow voor het deponeren van de broncode van een pakket. Tot voor kort bestond het softwarerecht in Nederland vooral uit rechtersrecht. Nader bepaald: een verzameling uitspraken van rechtbanken en gerechtshoven, in hoofdzaak gebaseerd op het algemene auteursrecht. De Hoge Raad heeft zich overigens nog niet over de rechtsbescherming van een computerprogramma op grond van het auteursrecht uitgelaten. Van lagere rechters zijn er tenminste vijftig vonnissen en arresten, die sinds 1982 de auteursrechtelijke bescherming van software naar Nederlands recht erkennen. Onze Auteurswet hoefde dan ook in beginsel niet aangepast te worden. Toch maakte de IT-industrie bij monde van de COSSO zich vanaf 1985 sterk voor een wetswijziging. In ieder geval zou het begrip ‘computerprogramma’ bij naam en toenaam in de Auteurswet moeten worden opgenomen, aldus luidde de wens.
Het Expertise Centrum | het recht van overgheidsinformatisering
55
De Europese Commissie wilde echter ook de Auteurswet amenderen, zij het op andere gronden. In Brussel luidt al jaren het legislatieve adagium: harmonisatie, ook op het terrein van intellectuele eigendomsrechten. Dat heeft na veel discussie in de industrie uiteindelijk geleid tot de Richtlijn softwarebescherming van 14 mei 1991, waardoor de twaalf lidstaten verplicht waren de Brusselse bepalingen voor 1 januari 1993 in eigen wetgeving om te zetten. Voor Nederland werd dat uiteindelijk 1 september 1994. Door de Europese Richtlijn softwarebescherming bleef er weinig bewegingsvrijheid voor de nationale wetgevers over. Wellicht is goed er op te wijzen dat het auteursrecht per definitie een beschermingsrecht voor de auteur en andere rechthebbenden is en veel minder een gebruiksrecht dat ten dienste van de gebruiker staat. In het kader van computerprogramma’s levert dat in bepaalde gevallen problemen op, zeker met de toepassing van de nieuwe wettelijke regels, omdat de gebruiker zonder toestemming bepaalde handelingen niet mag uitvoeren. Daarvan worden hieronder een aantal opgesomd. Als gevolg van het bovenstaande moeten partijen met elkaar rond de tafel gaan zitten, in het bijzonder wanneer het om zwaardere administratieve software(pakketten) gaat, waarop de gebruiker normaal gesproken alleen een licentie heeft. Gebruiksrechten Volgens het nieuwe softwarerecht krijgt de gebruiker, die niet het eigendom op het computerprogramma heeft, de volgende wettelijke rechten, die de leverancier nooit bij contract mag verbieden : a. het laden van de software in een computer; b. het maken van een ‘reservekopie’; c. het kopiëren om een computerprogramma waar te nemen, te bestuderen of testen; d. het onder voorwaarden decompileren van de software. Voorwaarde voor de handelingen a t/m d is wel dat deze handelingen “noodzakelijk zijn om het programma te kunnen gebruiken voor het beoogde doel”, aldus de Europese Richtlijn. Onze Auteurswet spreekt na omzetting echter van “noodzakelijk voor het beoogde gebruik” . De vraag is of het
56
het recht van overgheidsinformatisering | Het Expertise Centrum
beoogde doel overeenkomt met het beoogde gebruik en zo ja, welke beperking de wetgever hier de gebruiker oplegt. In de eerste uitspraak op grond van het nieuwe software recht interpreteert de rechter deze voorwaarde restrictief, dat wil zeggen in het voordeel van de leverancier (zie eerste casus). In ieder geval worden er twee criteria voor wettelijke gebruiksrechten aangegeven: de noodzakelijkheid en het beoogde doel of gebruik. Bepalingen in software(licentie)overeenkomsten die in strijd zijn met deze wettelijke gebruiksrechten, zijn ongeldig. Andere handelingen dan hierboven genoemd mag de gebruiker in beginsel niet verrichten, tenzij hij hiervoor toestemming heeft van de leverancier. Nader bepaald gaat het hierbij onder meer om: • de upgrading van software naar hogere computerapparatuur en operating systems; • het structureel aanpassen van de software; • conversie van de programmatuur naar een andere hardwarelijn of naar andere hardware binnen dezelfde lijn; • aanpassing van het programma aan de eisen van netwerken; • het verbeteren van de functionaliteit van de software; • het aanscherpen van de prestaties van het pakket en het vergroten van de betrouwbaarheid van de programmatuur. Toch kunnen deze handelingen voor de gebruiker essentieel zijn. Hierover moeten dus nadere afspraken gemaakt worden. De gebruiker beschikt doorgaans niet over de broncode van het programma en hij mag op grond van wet en contract in de regel weinig anders met de software doen dan draaien. Om de afhankelijkheid ten opzichte van de leverancier terug te dringen is het dringend gewenst dat er nadere afspraken gemaakt worden, die in het contract opgenomen moeten worden. Ook kan software-escrow uitkomst bieden. Omdat er allerlei automatiseringstrends gaande zijn moeten contracten voldoende flexibel zijn om ‘mee over te gaan’ naar een andere automatiseringsomgeving. In huis of daar buiten. Deze mogelijkheden moeten terug te vinden zijn in heldere afspraken tussen partijen. Wie nu software aanschaft, dus een licentierecht neemt op een computerprogramma, moet zowel rekening houden met een andere apparatuurlijn en het mogelijk uitbesteden van de automatisering op een later tijdstip.
Het Expertise Centrum | het recht van overgheidsinformatisering
57
Reservekopie Over de vraag of het maken van een reservekopie onder voorwaarden contractueel verboden mag worden is voor, tijdens en na de parlementaire behandeling van de Softwarewet discussie ontstaan. De Nederlandse wet spreekt van het gebruik van software “indien zulks voor het met dat werk beoogde doel noodzakelijk is”, een zinsnede die uit de Europese Richtlijn softwarebescherming stamt. Dit richtlijnonderdeel staat het maken van een extra verveelvoudiging van een computerprogramma toe indien deze voor het met het desbetreffende programma beoogd gebruik nodig is. De ratio zal duidelijk zijn. Een extra kopie van de software garandeert de gebruiker dat hij het met het computerprogramma beoogd gebruik voort kan zetten indien het oorspronkelijke exemplaar van het programma door bijvoorbeeld beschadiging of vernietiging niet langer bruikbaar is. De toenmalige staatssecretaris van Justitie antwoordde op vragen vanuit de Eerste Kamer, dat’ indien een softwareleverancier een extra kopie van de programmatuur aan de gebruiker levert, deze als ‘reservekopie’ in de zin van de wet is aan te merken. In dat geval mag de gebruiker niet langer zelf een kopie maken, aldus de bewindsman. Hij zit daarmee op dezelfde lijn als IT-industrie, maar deze zienswijze staat haaks op de mening van de Eerste Kamer. De eerder genoemde overkoepelende branche-organisatie FENIT wil de wettelijke regeling van ‘het beoogd gebruik’ van software met een ‘zekere terughoudendheid’ interpreteren. Gebruikers staan tegenover dat standpunt. Zij willen de zinsnede zo uitleggen dat er sprake is van ‘fitness for purpose’. De auteur van deze papernoot sluit zich bij anderen aan die daarentegen van mening zijn dat het wettelijk recht tot het maken van een reservekopie, zoals dat in de richtlijn is vastgelegd, de licentienemer niet ontzegd kan worden; ook al heeft hij van de leverancier een extra kopie ontvangen. Bovendien brengt goed automatiseringsgebruik zelfs met zich mee dat er tenminste twee backups van de software worden gemaakt. Eén dient op de locatie van het computersysteem te worden bewaard; de tweede kopie op een andere locatie, bijvoorbeeld een banksafe. Verder kunnen andere exemplaren van de software die de gebruiker in licentie heeft, noodzakelijk zijn voor het testen van de programmatuur in een nieuwe omgeving. In dit laatste geval is het gewenst dat partijen nadere afspraken maken.
58
het recht van overgheidsinformatisering | Het Expertise Centrum
Verschillende kaders Het wettelijk softwarerecht biedt de gebruiker in een aantal situaties onvoldoende mogelijkheden om de programmatuur rechtmatig te gebruiken. De behoefte van het gebruik hangt mede af van de software zelf. Een tekstverwerkingspakket voor een personal computer wordt op een andere manier in de organisatie ingezet dan een zwaar administratiepakket. Bovendien hebben de beide applicaties andere kenmerken. Het juridisch kader van standaardpakketten voor personal computers vormt steeds minder een probleem. Leveranciers hebben namelijk hun licentievoorwaarden de laatste jaren regelmatig gebruikersvriendelijker gemaakt. Zo is het bij de drie grote leveranciers Lotus Development Corp., Microsoft Corp. en Novellinc. (die WordPerfect Corp. in 1994 heeft overgenomen), gangbaar geworden dat iedereen die op de zaak een legale versie van de software gebruikt, een extra licentie krijgen voor toepassing op zijn laptop of computersysteem thuis. Een voorbeeld: “NovelI geeft U het recht een extra kopie van het Computerprogramma op een computer thuis of laptop-computer te installeren, onder voorwaarde dat de extra kopie nimmer tegelijkertijd in het geheugen of virtueel geheugen is geladen als het Computerprogramma in de computer is geladen, waarop U het Computerprogramma in eerste instantie gebruikt.” Novell biedt alle applicatie-gebruikers ook de gelegenheid om gemakkelijker van platform - systeemsoftware - te wisselen. In november 1991 introduceerde het toenmalige WordPerfect zogenoemde W.O.D.-licenties, waarmee de legale gebruiker een programmapakket op een machine mag draaien onder het Windows-, OS/2- en DOS-platform. Deze licentie geldt voor elk nieuw pakket, upgrade of ‘trade-up’ van de populaire tekstverwerker. Ook een trade-up is sinds 1991 normaal geworden. Deze regeling geeft de gebruiker de gelegenheid over te stappen naar een ander platform, bijvoorbeeld van DOS naar Windows. Steeds meer leveranciers van standaardsoftware voor personal computers gaan over tot betaalde ondersteuning. Vroeger was in de licentievergoeding voor een computerprogramma tevens de ondersteuning opgenomen. Nu gelden voor telefonische ondersteuning veelal verschillende regelingen per leverancier. Meestal is de gratis ondersteuning beperkt tot drie maanden na aankoop van het produkt of drie maanden na het eerste telefoongesprek.
Het Expertise Centrum | het recht van overgheidsinformatisering
59
Wat in het marktsegment ‘standaard toepassingspakketten voor personal computers’ vooral als spanningsveld overblijft zijn de nogal uiteenlopende contracten voor de toepassing van computerprogramma’s in een netwerkomgeving, die in verschillende typen beschikbaar zijn. Zo kan een gebruiksrecht voor een computerprogramma worden verkregen: • per site; • per concurrent use; • per fiIe server; • per machine; • per individu. Naar redelijke waarschijnlijkheid is de concurrent use-constructie voor de gebruiker het voordeligst. Hij betaalt dan uitsluitend voor een bepaald aantal gebruikers die tegelijkertijd met de programmatuur werken. Een digitaal meetsysteem kan voorkomen dat er meer mensen met de software werken dan overeengekomen is. Het minst flexibel is een gebruiksrecht per machine of per afzonderlijke gebruiker. Aan het andere uiterste van het softwarespectrum bevindt zich de op maat ontwikkelde programmatuur. Daar doen zich weliswaar veel moeilijkheden voor, maar die zijn meestal meer technisch van aard, hetgeen door goede contracten opgevangen kan worden. Bovendien, zo kan men argumenteren, behoort eigendom bij maatwerksoftware over te gaan op de gebruiker, die doorgaans de totale ontwikkeling van het programma heeft gefinancierd. De crux ligt echter bij het juridisch raamwerk van de zwaardere administratieve softwarepakketten, waarop de gebruiker geen eigendom heeft, maar die wel een kern rol in het bedrijfsproces spelen. Daarbij zijn goede afspraken over garantie, allerlei vormen van onderhoud en escrow van de broncode van essentieel belang voor de continuïteit van het automatiseringsproject. Softwarepiraterij Misbruik van software doet zich veelvuldig voor en laat zich moeilijk bestrijden. Zoals reeds hierboven is gemeld constateerde het Platform computercriminaliteit in november 1990 dat van alle verschijnings•vormen van computercriminaliteit, softwarepiraterij het meeste voorkomt. In februari 1995 onderzocht een onderzoeksbureau onder meer de Nederlandse markt voor WordPerfect-tekstverwerkingssoftware. Conclusie: meer dan de helft van alle zakelijke gebruikers heeft geen licentie en werkt dus illegaal met deze populaire software.
60
het recht van overgheidsinformatisering | Het Expertise Centrum
In verband met de bestrijding van piraterij van auteursrechtelijk beschermde werken in het algemeen, is de Nederlandse Auteurswet al op 1 oktober 1989 aangescherpt. De wetswijziging omvatte zowel civielrechtelijke (de mogelijkheid tot afdracht van genoten winst en tot het leggen van revindicatoir beslag) als strafrechtelijke maatregelen. Daar is na de inwerkingtreding van het softwarerecht op 1 september 1994 een nieuw, in het bijzonder op computerprogramma’s toegesneden, delict bijgekomen dat onder meer het verspreiden strafbaar stelt van middelen, die uitsluitend bestemd zijn om het verwijderen of ontwijken van technische beveiligingsmaatregelen - zonder toestemming van de rechthebbende te vergemakkelijken. In gewoon Nederlands: het verspreiden van kraakprogramma’s en andere software die technische beveiligingsmaatregelen opheffen, is een strafbaar feit. Verder is bepaald dat opsporingsambtenaren, die bevoegd zijn tot het opsporen van in de Auteurswet gestelde werken (waaronder de politie), vanaf 1 oktober 1989 de mogelijkheid hebben om inzage te vorderen van alle bescheiden en informatiedragers, waarvan inzage voor de vervulling van hun taak redelijkerwijs nodig is. Van deze inzage-bevoegdheid kunnen opsporingsambtenaren alleen gebruik maken tegen daders die op commerciële basis betrokken zijn bij auteursrechtelijk beschermde werken. Wie het niet zo nauw neemt met het software-auteursrecht kan dus ook strafrechtelijk worden aangepakt. En de pakkans is verhoogd door de instelling van drie Interregionale Teams Computercriminaliteit van de politie. Ook stelt de industrie zich actiever op. Zo heeft de Stichting Business Software Alliance Nederland, waarvan onder meer Lotus Development, NovelI (inclusief de applicatiegroep WordPerfect en Microsoft) deel uitmaakt, in 1994 een telefonisch meldpunt voor softwarepiraterij opengesteld. Soms wordt misbruik van computerprogramma’s door ontevreden (ex-)medewerkers ten onrechte gemeld. Produktenaansprakelijkheid Volgens het Nederlandse privaatrecht worden twee vormen van aansprakelijkheid onderscheiden: contractuele en wettelijke aansprakelijkheid. De eerste ontstaat uit overeenkomst of contract (wanprestatie). Bij wettelijke aansprakelijkheid ontstaat een schadevergoedingsplicht los van een overeenkomst: de onrechtmatige daad. De ingrediënten hiervoor bestaan uit een daad of een nalaten, onrechtmatigheid, schuld, schade en oorzakelijkheid tussen daad en schade.
Het Expertise Centrum | het recht van overgheidsinformatisering
61
Nu doet zich het feit voor dat mensen in beginsel niet alleen verantwoordelijk en juridisch aanspreekbaar zijn voor hun eigen daden, maar soms ook voor andermans daden en in andere gevallen voor hun zaken. Het behoeft geen nader betoog dat slechtwerkende computerapparatuur en programmatuur aanzienlijke schade kan veroorzaken, zowel in de eigen organisatie als daarbuiten. Bij produktenaansprakelijkheid handelt het om zogenoemde produktschade en betreft het de directe of indirecte schade die de afnemer of derde lijdt doordat het produkt oorzaak is van letsel (al dan niet de dood ten gevolge hebbende) of zaakschade (beschadiging of verlies van een andere zaak dan het geleverde produkt). Bij produktenaansprakelijkheid gaat het dus om personen-en zaakschade door gebrekkige produkten. Vermogensschade, dus financiële schade, wordt via het contractenrecht door middel van wanprestatie opgelost. Behalve gebrekkige produkten rekent de wet bijvoorbeeld ook vertaal-of drukfouten in een gebruiksaanwijzing tot een verschijningsvorm van gebrek. Zowel in de EG-richtlijn (25 juli 1985; 85/374/EEG) als in het ontwerp van wet vormt de risico-aansprakelijkheid voor de leverancier de kern van de regeling. Er moet worden ingestaan voor de deugdelijkheid van de geleverde produkten. De bewijslast ligt hierbij bij de leverancier en niet bij de gebruiker. In het bijzonder gaat het om de bescherming van de fysieke integriteit van de gebruiker en zijn omgeving. De afnemer krijgt dus extra rechtsbescherming in de vorm van aansprakelijkheid voor produktschade. Dat computerapparatuur onder produktenaansprakelijkheid valt, laat zich raden. Bij software ligt dat wellicht anders, omdat een computerprogramma in beginsel niet stoffelijk is. Volgens een recent Nederlands proefschrift valt een computerprogramma echter wel onder de wettelijke regeling voor produktenaansprakelijkheid. Voorwerp van produktenaansprakelijkheid zijn gebrekkige produkten, die zich op een drietal manieren kan manifesteren: ontwerp-en constructiefouten (i), fouten in het fabricage-en controleproces (ii) en instructie-en waarschuwingsfouten (iii). Deze kunnen in het kader van automatisering variëren van imploderende beeldschermen en slecht functionerende pacemakers tot vertaal-of drukfouten in manuaIs.
62
het recht van overgheidsinformatisering | Het Expertise Centrum
COSSO Branchevereniging voor informatietechnologie heeft zich tien jaar geleden uiterst bezorgd over deze wet uitgelaten. De leveranciersvereniging beschouwde de wettelijke regelingen inzake produktenaansprakelijkheid meer “als een tijdbom onder de software-industrie”, dan als rechtsbescherming voor de gebruiker. Toch is de regeling voor produktenaansprakelijkheid opgezet om de consument tegen gebrekkige produkten te beschermen en niet om welke industrie dan ook van dienst te zijn. Het aantal rechterlijke uitspraken is, zelfs wereldwijd, zeer beperkt. Wel kan deze vorm van aansprakelijkheid nog steeds gevolgen voor de IT-industrie hebben, bijvoorbeeld wanneer software in kritische omgevingen wordt toegepast. In feite gaat het om alle besturende, regulerende of controlerende applicaties. Bovendien wordt programmatuur regelmatig in produkten ingebouwd. Men spreekt van ‘embedded software’. Casus: Conversie in oneigenlijke zin Dat het omzetten c.q. vertalen van een computerprogramma om het voor een ander besturingssysteem geschikt te maken, een auteursrechtelijk relevante handeling betreft mag na het bovenstaande duidelijk zijn. Immers, zo luidt de redenering, de software wordt aangepast en dat is een handeling die wettelijk is voorbehouden aan de rechthebbende leverancier, tenzij daar contractueel nadere afspraken over zijn gemaakt. De vraag naar de juridische kwalificatie van conversie ‘in eigenlijke zin’ staat dan ook niet centraal in het conflict tussen een leverancier en de gebruiker. Goed beschouwd gaat het om wat genoemd zou kunnen worden ‘conversie in oneigenlijke zin’, omdat de COMET-software ongewijzigd ook op een andere apparatuurlijn draait. Dat kan door toepassing van een ‘interpreter’, die tussen de toepassingssoftware en het besturingssysteem wordt ingezet. Het overzetten van programmatuur, in dit geval van een Nixdorfcomputer met NIROS naar een UNIX-machine, zonder het aanbrengen van veranderingen, noemt men wel migratie. Daarvan heeft de rechter in hoger beroep in het arrest van 2 maart 1995 gezegd dat, wanneer de COMET-programmatuur ‘onaangeroerd’ blijft, de gebruiker geen auteursrecht van de leverancier schendt. Toch maakte de gebruiker inbreuk op het auteursrecht van de leverancier omdat de financiële toepassingssoftware vanuit het computersysteem werd gekopieerd naar een UNIXmachine. Dat mag niet, aldus de rechter, die zich baseert op de Auteurswet. Er is volgens de rechter namelijk geen sprake van de toegestane verveelvoudiging die noodzakelijk is ‘voor het beoogde gebruik’, zoals de wet dat noemt.
Het Expertise Centrum | het recht van overgheidsinformatisering
63
Op grond van deze gedachtengang heeft het Haagse Gerechtshof zich - jammer genoeg - niet meer uitgelaten over de vraag of een leverancier haar klanten mag verbieden programmatuur op andere dan haar eigen apparatuur te draaien. Wie de lijn van dit arrest doortrekt komt tot de conclusie dat het overzetten van software op zich op grond van de Auteurswet verboden is; ook al wordt de programmatuur op de oude machine vernietigd. Casus: Import van software Mag het auteursrecht al een sterk recht genoemd worden, met de bijzondere Europese regels voor de rechtsbescherming van computerprogramma’s heeft de rechthebbende nog meer macht over zijn softwareprodukt gekregen. Zo kunnen bijvoorbeeld uitgevers van weekbladen zich niet verzetten tegen de opname van hun tijdschriften in leesportefeuilles, omdat eenmaal rechtmatig in het verkeer gebrachte auteursrechtelijke werken door iedereen verder gedistribueerd mogen worden. Dat noemt men wel het universele uitputtingsbeginsel. Voor een computerprogramma ziet het rechtskader er sinds de inwerkingtreding van de Europese Richtlijn softwarebescherming op 1 januari 1993, anders uit. Hiervoor geldt tegenwoordig het communautaire uitputtingsbeginsel. Op grond van de Richtlijn is het volgende distributiesysteem voor software van kracht: • iedere vorm van distributie is verboden zonder de toestemming van de rechthebbende leverancier; • voor verdere distributie van exemplaren van de software na eerste verkoop binnen de Europese Unie is geen toestemming van de rechthebbende leverancier vereist; • verhuur van software is te allen tijde verboden zonder toestemming van de rechthebbende leverancier. Op basis van deze regeling stapte een Amerikaanse softwareproducent naar de Nederlandse rechter in kort geding om een hier te lande gevestigde importeur te verbieden nog langer pakketten van NetWarebesturingssysteem uit de Verenigde Staten te halen en hier te lande te verkopen. Voorzover bekend betreft deze zaak de eerste keer dat een softwareproducent op grond van het nog jonge Europese software-auteurs-
64
het recht van overgheidsinformatisering | Het Expertise Centrum
recht (en overigens ook het merkenrecht) geprobeerd heeft parallel-import vanuit een land buiten de Europese Unie te verbieden. Met succes, want de president van de Haagse rechtbank stelde de leverancier op 3 juli 1995 in het gelijk. Deze interpretatie van de Richtlijn heeft vérstrekkende gevolgen voor de communautaire markt. Bij software denkt men in eerste instantie aan een computerprogramma ‘als zodanig’, bijvoorbeeld een standaardpakket. Importeurs van softwarepakketten van buiten de Europese Unie hebben dus toestemming van de leverancier nodig. Die bepaalt dus het prijsniveau, ondanks bijvoorbeeld een lage koers van de dollar ten opzichte van de Nederlandse gulden. Echter vrijwel iedere multimedia CD bevat tevens software. Daarom kan de rechthebbende van die software grijze import van buiten de Europese Unie van iedere CD-ROM waarop zijn software staat tegenhouden. Hetzelfde geldt natuurlijk in relatie tot geïmporteerde PC’s, workstations en andere hardware, zoals printers, scanners, netwerkkaarten, modems. Ze bevatten doorgaans allemaal een stukje programmatuur, of het nu een driver, een compleet besturingssysteem of een andere verschijningsvorm van software is. Op diskettes, in ROM, PRaM of EPROM. Casus: Handelsconflict treft gebruikers Als een leverancier van een softwarepakket inbreuk maakt op intellectuele eigendomsrechten, kunnen gebruikers ongewild het slachtoffer worden van zo’n conflict, dat zich in eerste instantie binnen de automatiseringsindustrie afspeelt. Een softwarebedrijf leverde direct maar ook via dealers aan Nederlandse gebruikers als exclusief distributeur van speciale software voor ‘computer aided design’ (CAD). In een procedure in kort geding tussen de Zwitserse softwareproducent enerzijds en een Nederlandse distributeur anderzijds is echter vast komen te staan dat de distributeur versie 9 en 10 van de bewuste software zonder toestemming van de Zwitserse AG in ons land aan de man bracht. De distributeur kreeg deze software van de Amerikaanse vestiging van dezelfde producent. Op grond van dit vonnis ontvingen gebruikers een brief met de mededeling dat zij met illegale programmatuur werkten, met alle gevolgen van dien. De softwaregebruiker te goeder trouw, die het CADprodukt van de Nederlandse distributeur heeft afgenomen, veelal met een aanvullende onderhoudsovereenkomst, blijkt nu ineens geen licentierecht,
Het Expertise Centrum | het recht van overgheidsinformatisering
65
geen mogelijkheid tot onderhoud op het pakket en geen upgrade-mogelijkheden te hebben. Het Zwitserse bedrijf is namelijk van mening dat de Nederlandse gebruiker gewoon een legale versie van de software tegen de gangbare prijs van de software moet aanschaffen. Een aantal gebruikers wil nu dat de distributeur haar licentie-en onderhoudsverplichtingen toch nakomt, hoewel de distributeur dat juridisch niet mag. Samenvatting Het softwarerecht, zoals de Europese Unie dat heeft voorgeschreven en inmiddels is ingebed in de Auteurswet, is goed beschouwd nog steeds een softwarebeschermingsrecht voor de maker, terwijl de gebruiker beter uit is met een zorgvuldig afgewogen softwaregebruiksrecht, dat hem in staat stelt in redelijkheid en volgens goed automatiseringsgebruik softwareprodukten in zijn organisatie toe te passen.
66
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoofdstuk 8
Depot van programmatuur
Over softwarebescherming wordt meestal slechts dan gesproken wanneer het gaat om de vraag of auteursrecht op een bepaald computerprogramma van toepassing is. Dat zal overigens meestal het geval zijn. Het auteursrecht dient als uitgangspunt de auteur. Rechtsbescherming door middel van registratie en escrow-depot biedt echter een praktijkgerichte protectie voor gebruikers die een computerprogramma in licentie hebben. Indien de broncode (source code) van het computerprogramma, om welke reden dan ook, niet voorhanden is, kan het automatiseringsproject spaak lopen. De broncode is immers noodzakelijk voor het uitvoeren van onderhoud op programmatuur in de meest brede zin van het woord. Dat betekent zowel preventief als correctief onderhoud van programmatuur. Bij licentieverlening verwerft de gebruiker een ‘run only’-versie van de software in object code, waarmee de gebruiker behalve het draaien van de software niets anders kan doen. Aanpassing of verdere ontwikkeling van een computerprogramma zonder de feitelijke beschikbaarheid over en een juridisch eigendoms-of gebruiksrecht op deze source code is niet mogelijk. De source code is een door een programmeur geschreven programma in een bepaalde programmeertaal. Deze code kan niet direct door. een computer worden uitgevoerd, maar moet door middel van andere programma’s (de zogenoemde ‘compilers’) worden omgezet. Software-escrow zorgt ervoor dat de escrow-agent conform de escrow-overeenkomst in bepaalde gevallen (‘triggering events’) de broncode en de documentatie aan de gebruiker afgeeft. Een duidelijk voorbeeld van zo’n gebeurtenis betreft het faillissement van de leverancier.
Het Expertise Centrum | het recht van overgheidsinformatisering
67
Andere bedreigingen voor de gebruiker van informatiesystemen ontstaan wanneer de leverancier niet presteert. Dat kan tijdens surseance van betaling en na faillissement zijn, maar, wat vaker voorkomt, in het geval partijen een conflict hebben. Zo voldoet de gebruiker de onderhoudspenningen niet zolang het systeem niet goed draait, terwijl de leverancier geen actie onderneemt zo lang er niet eerst wordt betaald. Het deponeren van de broncode van een computerprogramma en de bijhorende documentatie die de gebruiker in licentie heeft, kan uitkomst bieden. Depot noemt men ook wel ‘escrow’, een rechtsfiguur die oorspronkelijk uit het Anglo-Amerikaanse recht stamt. In deze papernoot wordt de aandacht hoofdzakelijk gericht op deponering van de broncode van computerprogramma’s. Maar wat voor software geldt, is in beginsel van toepassing op iedere vorm van technische en commerciële know how. Escrow betreft een zekerheids-of garantieconstructie voor know how die eigendom is van een leverancier en die voor de afnemer van de produkten en diensten van deze leverancier, bijvoorbeeld in de situatie van faillissement van de leverancier, van groot belang is voor de voorzetting van de activiteiten van de afnemer. Om de afhankelijkheid van de gebruiker ten opzichte van zijn leverancier te reduceren en dus de continuïteit van het automatiseringsproject met betrekking tot programmatuur beter te waarborgen, zijn reeds verschillende oplossingen bedacht: • een aparte besloten vennootschap waar de intellectuele eigendomsrechten op de software onder worden gebracht (de auteursrecht bv); • een stichting, waaraan ook de intellectuele eigendomsrechten van computerprogramma’s zijn overgedragen; • de programmatuur bij een bank in bewaring geven (civielrechtelijk depot); • depot bij een notaris op grond van het notariële recht; • eigendomsoverdracht van de gegevensdrager aan een escrow-agent. Depot vindt in hoofdzaak plaats van standaardpakketten en gedeeltelijk aangepaste pakketsoftware. Nader bepaald gaat het met name om applicaties, soms inclusief datacommunicatie-software en slechts in geringe mate om systeemsoftware, programmeertalen en allerlei utilities.
68
het recht van overgheidsinformatisering | Het Expertise Centrum
Juridische keuzes Over de rechtsgevolgen van escrow-constructies is sinds halverwege tachtiger jaren veel discussie gevoerd, maar op dit moment sluit onze juridische wereld min of meer de rijen . Als basis voor de escrow-overeenkomst wordt eigendomsoverdracht van het gedeponeerde als een goede constructie aangenomen. De curator zou er op deze wijze nooit bij kunnen. De escrowagent verkrijgt namelijk een zeer beperkt eigendomsrecht op een exemplaar van de sources. Hij mag de software en documentatie alleen onder strikte voorwaarden afgeven aan de gebruiker. De gebruiker heeft niet alleen een gebruiksrecht op de (kopie van de) sources en de documentatie (source-listings) nodig, ook moet hij het computerprogramma kunnen aanpassen. Gebruikersrechten op grond van een escrowcontract laten zich als volgt indelen: • toegangsrecht tot broncode en documentatie; • gebruiksrecht op broncode en documentatie; • aanpassingsrecht op broncode en documentatie. Er zijn twee afgifte-procedures te onderscheiden: • ’first call option’, een directe afgifte op verzoek van gebruiker, waarbij toetsing achteraf plaatsvindt of rechtmatig om afgifte is verzocht. • Bij een onrechtmatig verzoek kan eventueel een boeteclausule in werking treden. • indirecte afgifte, waarbij vooraf getoetst wordt of aan een ‘triggering event’ of andere voorwaarde in het escrowcontract is voldaan. Software-escrow betekent tevens dat de broncode van de gedeponeerde computerprogramma’s en de documentatie in beginsel 24 uur per dag en 365 dagen per jaar uitgeleverd moeten kunnen worden aan de computergebruiker, indien een overeenkomst hierin voorziet. In sommige situaties moeten gebruikers binnen enkele uren over de broncode van de software kunnen beschikken om schade te voorkomen of te beperken. Voor wat betreft de afgifteprocedure voldoet dan de first call option goed, maar dan moet de logistiek bij de escrow-agent ook aanwezig zijn om deze procedure efficiënt uit te voeren. Zo kunnen transportdiensten de sources ophalen en wegbrengen. Hierbij heeft het agentschap de keuze uit eigen transportdienst of externe koeriersdiensten.
Het Expertise Centrum | het recht van overgheidsinformatisering
69
Wanneer de gebruiker discussie vooraf over het feit of een bepaald ‘triggering event’ zich nu wel of niet heeft voorgedaan, wil vermijden, kan hij de ‘first call option’ overeenkomen. Als de gebruiker het escrow-agentschap laat weten dat hij over de gedeponeerde broncode en documentatie wil beschikken, dan geeft de agent deze op staande voet af. Vaak wordt dan wel een boeteclausule in de escrow-; overeenkomst opgenomen, die bepaalt dat indien bij toetsing achteraf wordt vastgesteld dat de ‘triggering event’ zich niet heeft voorgedaan, de gebruiker de leverancier boete in de vorm van een geldbedrag moet betalen. In andere varianten vindt afgifte plaats na overleg van partijen of met toestemming van de leverancier. Bij verschil van mening komen in eerste instantie alternatieve wijzen van geschillenbeslechting om de hoek kijken, zoals arbitrage. Uiteindelijk zal de rechter in kort geding het laatste woord hebben. Toetsing geschiedt dus voorafgaande aan de levering van de broncode aan gebruiker. Escrow-agentschappen Aan een escrow-agentschap kunnen verschillende eisen worden gesteld. Ten eerste: neutraliteit en onafhankelijkheid. Onder neutraliteit in dit kader moet vooral worden begrepen: onpartijdigheid ten opzichte van softwareleverancier en gebruiker, terwijl tegelijkertijd een onafhankelijke positie van het agentschap ten opzichte van derden (andere bedrijven) belangrijk is. De escrow-agent moet boven de partijen staan, terwijl het bedrijf zelf ook -altijd partij is bij de escrow-overeenkomst. In de praktijk zijn leverancier en gebruiker gewoon klanten van het agentschap. Verder dient een escrow-agentschap een degelijk bedrijf te zijn, dat vertrouwen geniet van gebruiker en leverancier. Voor de leverancier van software is de geheimhoudingsplicht van de escrow-agent van groot belang. Hij moet er blindelings op kunnen vertrouwen dat de sources van de gedeponeerde programma’s - dus zijn know-how - niet in verkeerde handen vallen. De gebruiker daarentegen hecht veel waarde aan de afgifte. Als hij broncode en ontwikkeldocumentatie nodig heeft, moet de escrow-agent deze ook daadwerkelijk afgeven. Ook de bedrijfscontinuïteit van een escrow-agent speelt een belangrijke rol. Het laatste waar partijen zich zorgen om willen maken, is een eventueel faillissement van de agent. Daarnaast betekent continuïteit tevens continuïteit in beleid en dat kan door (ongewenste) overnames in gevaar komen.
70
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoewel software-escrow in enge zin feitelijk niets meer of minder is dan het depot van een computerprogramma in broncode en de bijbehorende documentatie bij een escrow-agent, kan men ook de nadruk leggen op een vergroting van de door de gebruiker gewenste zekerheid inzake de continuïteit van zijn automatiseringsproject. In dit kader wordt wel onderscheid gemaakt tussen een passief en actief escrow-agentschap. De laatsgenoemde biedt aanvullende diensten aan, waaronder onderzoek naar de eigendomsrechten op de broncode en het testen van de programmatuur op functionaliteit, mede in verband met de acceptatie bij ontwikkeling. Bij het deponeren van broncode wordt in toenemende mate gebruik gemaakt van raamovereenkomsten, die alle partijen tijd en geld kunnen besparen. Normaal gesproken is software-escrow een driepartijenovereenkomst, tussen leverancier, escrow-agent en gebruiker. Doorgaans gaan daar uitvoerige contractonderhandelingen aan vooraf. Door toepassing van raamcontracten behoort dat voor alle partijen in beginsel tot het verleden. Nieuwe gebruikers van de reeds gedeponeerde computerprogramma’s hoeven dan alleen het licentiecontract te onderschrijven. Grotere gebruikersorganisaties hebben de keuze. Of men kiest voor een raamovereenkomst per leverancier, of voor een algemeen raamcontract voor alle door hen aan te schaffen computerprogramma’s. Bij raamcontracten voor escrow wordt onderscheid gemaakt tussen leveranciersgebonden overeenkomsten en algemene escrow raamovereenkomsten. Bij de eerste vorm wordt ieder volgend depot van een broncode van dezelfde leverancier juridisch verricht door middel van een zogenoemde Escrow Registratie Overeenkomst, samengevat op één velletje A-4. Het algemene contract is bedoeld voor een gebruikersorganisatie, die alle software, die voor depot in aanmerking komt, ook daadwerkelijk wil deponeren. Zo kan een grote gebruiker bepalen dat softwareleveranciers die op basis van licensering zaken willen doen, algemene escrow-voorwaarden moeten ondertekenen. Casus: Gebruiksrecht op broncode Hoewel de gebruiker geen auteursrechten heeft op de broncode van de op maat ontwikkelde programmatuur-module, is er wel sprake van een gebruiksrecht op de sources. De leverancier moet op grond van deze motivering, conform de eis, de broncode aan de gebruiker ter beschikking stellen, die de code nodig heeft omdat het bedrijf aan andere leveranciers offertes
Het Expertise Centrum | het recht van overgheidsinformatisering
71
wil vragen voor veranderingen in dat computerprogramma. Dat bepaalde de president van een rechtbank in een procedure in kort geding tussen gebruiker en leverancier. In de algemene voorwaarden die op de rechtsverhouding tussen partijen in casu van toepassing is, staat onder meer: “Opgeleverde maatwerkprogrammatuur is volledig eigendom van cliënt.” In de kern draait het conflict om de vraag of de gebruiker recht heeft op de sources van deze software. De rechter stelt allereerst vast dat de gebruiker geen auteursrechten op de op maat ontwikkelde softwaremodule heeft. Maar op grond van de Algemene Voorwaarden terzake omvat het gebruiksrecht op de eveneens geleverde standaardsoftware ook alle samenhangende documentatie. “Waarom zou dat niet gelden voor het maatwerk?”, vroeg de kort-geding rechter zich af. De redelijke uitleg van de overeenkomst brengt dan ook voor de rechter met zich mee dat de gebruiker de maatwerkprogrammatuur overeenkomstig de bestemming daarvan moet kunnen gebruiken. Daaronder kan de situatie van aanpassing van de software vallen. Deze zaak kreeg echter nog een staartje, zoals uit de volgende casus blijkt. Casus: Medium broncode bij afgifte Hoewel de leverancier in principe heeft voldaan aan de eis de broncode van het computerprogramma uit te leveren en aan de gebruiker ter beschikking te stellen, moet de afgifte op het juiste medium plaatsvinden, zodat de gebruiker de code meteen kan toepassen. Papier is dat niet; diskettes wel. Dat bepaalde de rechter in kort geding in een procedure die een leverancier had aangespannen tegen een gebruiker om executoriaal beslag op te heffen. De gebruiker heeft volgens de kort geding-rechter een contractueel gebruiksrecht op de sources van het voorraad-, werkplaats-en orderadministratie-programma. De leverancier moest dus wel de broncode afgeven, maar deed dat alleen op papier. De gebruiker kreeg een print-out van maar liefst 651 pagina’s met daarop duizenden regels programmeercode. De gebruiker nam daar geen genoegen mee en legde beslag bij zijn leverancier, die zich met de stelling verweerde dat zij aan de verplichtingen van het vonnis voldaan had. Bovendien, aldus de leverancier, is zij niet in staat om de sources in een andere vorm dan op papier af te geven.
72
het recht van overgheidsinformatisering | Het Expertise Centrum
In de procedure voor de Bredase president in kort geding overlegde de gebruiker verklaringen van onder meer de Erasmus Universiteit en Escrow Europe BV. Die komen er op neer dat het “hoogst ongebruikelijk en onvoldoende is om broncodes anders dan op een voor de computer leesbaar medium (magnetische informatiedragers zoals diskettes) af te geven”, aldus vatte de rechter de verklaringen samen. Het omzetten van de broncode in digitale vorm zou betekenen dat alle 651 pagina’s foutloos overgetypt moeten worden. Nog los van het feit dat deze handeling zeer arbeidsintensief is, is het vrijwel onmogelijk om dat foutloos te doen. Ook het scannen als invoermethode komt niet in aanmerking, omdat ieder blad van de print-out door de raadsman van de leverancier is voorzien van een stempel. Daardoor zullen er fouten bij het inscannen ontstaan, zo meende een getuige-deskundige. Mede omdat de leverancier in de rechtszaal heeft aangevoerd dat de gebruiker de broncode zelf kan decompileren met behulp van een Datoflexapparaat. is de rechter van mening dat dus ook de leverancier in de gelegenheid is om de sources in een machine-leesbare vorm aan de gebruiker te verstrekken en aldus aan het eerdere vonnis kan voldoen. Samenvatting Software-escrow betreft een goede maatregel ten dienste van de computergebruiker om de continuïteit van een automatiseringsproject beter te waarborgen. Daardoor wordt tevens zijn afhankelijkheid ten opzichte van deze leverancier gereduceerd. Een actief depot, waarbij de escrow-agent controleert wat er in de safe wordt gelegd, samen met een first call-optie geeft de gebruiker de meeste zekerheid. De juridisch meest veilige weg om programmatuur naar Nederlands recht te deponeren is naar redelijke waarschijnlijkheid een civielrechtelijke overeenkomst, waarbij de eigendom op de gegevensdrager wordt overgedragen aan de escrow-agent. De gebruiker heeft een toegangs- en gebruiksrecht nodig.
Het Expertise Centrum | het recht van overgheidsinformatisering
73
74
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoofdstuk 9
Beveiligingsvoorschriften
De beveiliging van informatiesystemen is de laatste jaren minder vrijblijvend geworden. De Nederlandse en Europese wet-en regelgeving schrijven in toenemende mate technische en organisatorische maatregelen voor. Daar staat echter de wens van crimininaliteitsbestrijders tegenover om versleuteld informatieverkeer te kunnen aftappen en decoderen. Wetgevers schrijven hoe langer hoe vaker de beveiliging van informatietechnologie in allerlei regelgeving voor. Bovendien mag informatiebeveiliging zich in een groeiende belangstelling verheugen. In november 1994 zijn er drie belangwekkende rapportages gepubliceerd: het gewijzigde ‘Handboek Informatie-beveiliging’ van de gemeente Amsterdam, de uit het Engels vertaalde en aan de Nederlandse situatie aangepaste ‘Code voor Informatiebeveiliging; Een leidraad voor beleid en implementatie’ en een rapport van de Registratiekamer getiteld ‘Beveiliging van persoonsregistraties’. Onder informatiebeveiliging verstaat het actuele voorschrift Informatiebeveiliging voor de rijksdienst: “het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid, integriteit en exclusiviteit van een informatiesysteem en daarmee van de informatie daarin”. Sinds 1 juli 1989 is de Wet persoonsregistraties van kracht, waarin een expliciete beveiligingsplicht wordt opgelegd aan de houder en bewerker van een persoonsregistratie. Maar ook de Wet gemeentelijke basisadministratie (Wet GBA) die op 1 oktober 1994 in werking is getreden, bevat, speciaal voor overheidsinstanties, een wettelijke beveiligingsplicht met betrekking tot datacommunicatie.
Het Expertise Centrum | het recht van overgheidsinformatisering
75
Een dergelijke verplichting geldt ook voor PIT Telecom, zoals die in de Wet op de telecommunicatievoorzieningen is vastgelegd. En straks wordt dat voorschrift uitgebreid tot andere telecom-aanbieders, ingevolge het GSMwetsontwerp. Daarnaast zijn er Europese ontwikkelingen te melden. Het in februari 1995 vastgestelde Gemeenschappelijk Standpunt voor een Richtlijn privacybescherming bepaalt dat houders van persoonsregistraties hun bestanden met persoonsgegevens, zowel automatische als manuele, moeten beveiligen “tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen toevallig verlies, vervalsing of gegevensverstrekking, dan wel tegen enige andere vorm van onbevoegde behandeling van persoonsgegevens”. Het gaat hierbij om ‘passende’ en ‘noodzakelijke’ maatregelen. Hoewel er slechts een bescheiden hoeveelheid gegevens over computercriminaliteit beschikbaar is, staat wel vast dat in de meeste gevallen de misdaad van binnenuit de organisatie wordt gepleegd. Interne preventiemaatregelen zijn dus essentieel. Zo dient een bedrijf er bijvoorbeeld voor te zorgen dat niet één werknemer uitsluitend alle toegangscodes van de computer kent, maar dat het management altijd in de gelegenheid is in het informatiesysteem te komen. In een rechtszaak bleek dat een ex-werknemer het computersysteem van zijn werkgever zo had ‘afgesloten’ dat alleen hij nog bij de gegevens kon. De ex-werknemer wilde hiermee achterstallig loon afdwingen. Het bedrijf van de werkgever ging, mede door deze computersabotage, failliet. Verder kent onze strafwet nog een impliciete beveiligingsplicht, die enigszins verscholen te vinden is in de op 1 maart 1993 in werking getreden Wet computercriminaliteit. Het nieuwe artikel 350b Wetboek van Strafrecht legt namelijk aan de systeembeheerder de plicht op om gegevensmanipulatie en het verspreiden van computervirussen te voorkomen. Dit is echter een schulddelict en geen opzetdelict. De Officier van Justitie hoeft dus in de rechtszaal geen opzet te bewijzen. Besluit informatiebeveiliging Speciaal voor de Rijksoverheid geldt sinds 1 januari 1995 het Besluit voorschrift informatiebeveiliging rijksoverheid 1994. Twee eerdere regelingen zijn vanaf die datum ingetrokken, te weten de Aanwijzingen inzake de beveiliging van persoonsgegevens, verwerkt en opgeslagen in geautomatiseerde gegevensverwerkende systemen bij de Rijksoverheid (besluit MinisterPresident van 16 juli 1992) en het Voorschrift inzake de beveiliging van
76
het recht van overgheidsinformatisering | Het Expertise Centrum
gerubriceerde gegevens, verwerkt en opgeslagen in geautomatiseerde systemen bij de Rijksoverheid (besluit Minister-President van 25 maart 1980). Onder Rijksdienst verstaat het nieuwe voorschrift alle ministeries met de daaronder resorterende diensten, bedrijven en instellingen. Opvallend is de reikwijdte. De bepalingen zijn van toepassing op het “gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie”. De verantwoordelijkheid voor informatiebeveiliging wordt gelegd bij het lijnmanagement; de secretaris-generaal van een departement stelt het informatiebeveiligingsbeleid in een beveiligingsdocument vast. Daarin staan onder meer de strategische uitgangspunten en randvoorwaarden, de organisatie van de beveiligingsfunctie en de gemeenschappelijke betrouwbaarheidseisen en maatregelen die voor het departement van toepassing zijn. Daarnaast wordt een brede zorgplicht bij het lijnmanagement neergelegd, zowel ten aanzien van ieder informatiesysteem (o.a. het uitvoeren van afhankelijkheidsanalyses, het opstellen van een informatiebeveiligingsplan) als ten aanzien van elk bestuurs-of bedrijfsproces (het invoeren van maatregelen). Encryptieverbod? De regering heeft medio 1994 afgezien van haar plan een wetsvoorstel dat uitgaat van een encryptie-verbod bij datacommunicatie in de huidige vorm naar de Raad van State te sturen. Het begin 1994 uitgelekte Voorontwerp van wet tot aanpassing van de Wet op de telecommunicatievoorzieningen (WVT) heeft veel tongen losgemaakt. Kern van de regeling was namelijk zowel het aanbieden, ter beschikking stellen, voorhanden hebben als de daadwerkelijke toepassing van cryptografie bij telecommunicatie te verbieden, tenzij de gebruiker van de versleuteling houder van een concessie is of de minister van Verkeer en Waterstaat hem een machtiging zou verlenen. Het kabinet achtte zo’n wet gewenst met het oog op de ‘bestrijding van criminaliteit en de veiligheid van de Nederlandse staat’. In feite geldt dat uitgangspunt nog steeds, maar op het Ministerie van Justitie werkt men inmiddels aan een nieuwe, waarschijnlijk wat afgezwakte regeling. Behalve het georganiseerde bedrijfsleven, keerde ook de Registratiekamer, het bestuursorgaan voor onze privacy-wet, zich tegen de voorgestelde regeling, omdat het ‘ernstige gevolgen kan hebben voor de beveiliging van per-
Het Expertise Centrum | het recht van overgheidsinformatisering
77
soonsregistraties en gegevensverstrekkingen.” Daarbij wees de kamer in het bijzonder op een artikel van de Wet persoonsregistraties (WPR), waarin de beveiliging van persoonsregistraties wettelijk is voorgeschreven. Het Voorontwerp van wet laat te weinig mogelijkheden open voor een adequate beveiliging, aldus concludeerde de Registratiekamer in een brief aan de ministers van Justitie en Verkeer en Waterstaat. De kamer redeneerde als volgt: Omdat de regeling niet alleen van toepassing is op de vorm van cryptografie die feitelijk gebruikt wordt voor databescherming bij telecommunicatie, maar op alle vormen van cryptografie die daarvoor geschikt zijn, gelden de beperkingen ook voor versleuteling van bestanden met persoonsgegevens die onder de WPR vallen en waarvoor encryptie op dit moment de beste beveiliging biedt. De gevolgen van deze beperkingen staan volgens de Registratiekamer niet in verhouding tot het effect dat met de regeling wordt beoogd. Mogelijk heeft de regering er ook niet aan gedacht dat er in overheidsperspectief sowieso een verplichting tot versleuteling van gegevens komt. “Ik onderschrijf ten volle het belang van een zo goed mogelijke beveiliging van persoonsgegevens in het algemeen en GBA-gegevens in het bijzonder.” Aldus berichtte wijlen minister Dales op 23 december 1993 in een brief aan de Tweede Kamer. Volgens de minister is het echter noodzakelijk een paar typen verbindingen extra te beveiligen, óf omdat de activiteiten, die de aangeslotene uitvoert, zeer kwetsbaar zijn, óf omdat de betreffende aansluiting relatief onveilig is. Voor het elektronische transport moeten de gegevens vercijferd worden, aldus de minister, die deze techniek voor risicovolle typen van datacommunicatie wil voorschrijven. Dat wordt dus een wettelijke verplichting tot beveiliging door middel van encryptie. Samenvatting Wettelijke beveiligingsvoorschriften in specifieke administratief- en strafrechtelijke regelingen nemen toe, maar dat laat onverlet dat volgens het burgerlijke recht iedereen een maatschappelijke verplichting tot zorgvuldigheid heeft, ook ten aanzien van de toepassing van informatietechnologie. Wie niet beveiligt kan dus mede op grond van het civiele recht worden aangesproken, bijvoorbeeld om schade te vergoeden. Mogelijk gaan bij dergelijke procedures de beveiligingsnormen die in verschillende rapporten zijn neergelegd een rol spelen.
78
het recht van overgheidsinformatisering | Het Expertise Centrum
Hoofdstuk 10
Telewerken
Flexibilisering van de arbeid staat in de belangstelling en een vorm daarvan is telewerk. Hoewel Nederland geen Amerikaans-getint aansprakelijkheids-walhalla is, vraagt telewerken wel om een zorgvuldig geformuleerde regeling waarin de rechten en plichten van werkgever en telewerker helder zijn vastgelegd. Voor de overheid is bovendien een afzonderlijk kader geschapen. Wanneer een werknemer ‘wel eens eens een dagje thuiswerkt’, vraagt deze vorm van arbeidsflexibilisering in beginsel niet om een bijzondere regeling . Noch om de belangen van de werkgever te behartigen, noch die van de werknemer. Dat ligt anders bij mensen die op basis van een arbeidsovereenkomst gedurende een langere periode enkele dagen per week hun arbeid elders, in het bijzonder in hun woning, verrichten. Wat voor iedere overeenkomst geldt, is ook van toepassing op de telewerkovereenkomst. Het is raadzaam om in de pré-contractuele fase eerst de feiten te bepalen en er vervolgens een juridische spiegel voor te houden. Zo mag de vraag naar het type en de hoogte van kostenvergoeding aan de telewerker voor partijen een actueel onderwerp van gesprek zijn, bezien door een juridische bril is het antwoord minder interessant omdat het in eerste instantie een puur feitelijke kwestie is. Welke kosten wil het management vergoeden, zijn deze variabel en/of vast, stelt de werkgever apparatuur en programmatuur ter beschikking of werkt het personeel thuis met eigen spullen? Fiscale consequenties kunnen de keuzes natuurlijk beïnvloeden. Ten aanzien van de eigendom op de computerapparatuur en programmatuur spelen echter ook andere factoren mee, die belangrijker zijn dan financiële en belastingstechnische aspecten.
Het Expertise Centrum | het recht van overgheidsinformatisering
79
De werkgever die oog heeft voor de continuïteit van zijn automatiseringsprojecten alsook verschillende aansprakelijkheidskwesties zal per definitie voor de optie kiezen dat hij al het benodigde aan de telewerker verstrekt. Personal computer, inclusief programma’s, datacommunicatie-apparatuur zoals fax en modem, bureau, meubilair en wat dies meer zij, blijven het eigendom van het bedrijf. Dat heeft het grote voordeel dat hierdoor de zeggenschap over wat er mee en vooral wat er niet mee gedaan mag worden, voor de werkgever maximaal wordt. Normaal gesproken wil de werkgever zowel feitelijke en juridische risico’s beperken of uitsluiten. Bij toepassing van arbeidsflexibilering behoort dat niet anders te liggen. In concreto kan op de volgende omstandigheden worden gewezen: • dat de telewerker zijn personal computer of werkstation met een virus besmet, waardoor het werk bij de telewerker stil komt te liggen en mogelijkerwijs zelfs het het gehele bedrijfsnetwerk wordt geïnfecteerd; • dat de telewerker illegale computerprogramma’s installeert en gebruikt, waardoor aansprakelijkheids-claims worden ingediend en negatieve publiciteit voor het bedrijf ontstaat; • dat het computersysteem van de telewerker onvoldoende is beveiligd, waardoor wettelijke voorschriften worden geschonden, technische en/of commerciële know how aan derden ter beschikking komt of computersabotage wordt gepleegd; • dat eisen voor inrichting van de werkplek en andere voorschriften van het arbeidsomstandighedenrecht (wet en Besluit beeldschermwerk) niet worden nakomen, waardoor de telewerker medische klachten krijgt of ziek wordt en/of de arbeidsinspectie de werkgever aansprakelijkheid stelt; • dat de telewerker interne automatiserings-voorschriften, waaronder beveiligings-cen backup procedures, niet uitvoert, waardoor de organisatie schade leidt. Aanvullende regeling Ten aanzien van de juridische invalshoeken van telewerken, gaat het in eerste instantie om de vaststelling of mensen in loondienst werken of vanuit een zelfstandige positie arbeid verrichten. Over de laatstgenoemde groep gaat het in deze papernoot niet. Ondanks het feit dat het Nederlandse recht goed beschouwd geen speciale telewerkwetgeving kent, kan men toch in strijd met juridische voorschriften telewerken. Als uitgangspunt geldt namelijk dat de rechtsregels die voor werknemer op kantoor gelden, ook in het kader van de arbeid thuis van toe-
80
het recht van overgheidsinformatisering | Het Expertise Centrum
passing zijn. Dat geldt eveneens voor de bijzondere regels op het terrein van informatietechnologie, zoals de Wet persoonsregistraties, de softwarewet. de Wet computercriminaliteit, Besluit beeldschermwerk en de wettelijke beveiligingsvoorschriften van de Rijksoverheid. Een op de arbeidsovereenkomst aanvullende regeling moet uitkomst bieden, bijvoorbeeld ten aanzien van het werken met persoonsgegevens. Daarbij is het zinvol op te merken dat de bescherming van de persoonlijke levenssfeer in het kader van telewerken tenminste twee componenten heeft. Het gaat namelijk zowel om de privacy van de telewerker zelf als de privacy van geregistreerden in de situatie - en dat is vaak het geval - de telewerker met persoonsgegevens werkt. Casus: Werkplekprivacy In het kader van telewerken biedt telecommunicatie zowel positieve als negatieve mogelijkheden. Van alles en nog wat kan zonder enige moeite geautomatiseerd worden vastgelegd, tot het aantal aanslagen op het toetsenbord toe. Dat hierdoor de privacy onder druk komt te staan, laat zich raden. Ook in de verhouding werkgever-telewerker, in fabriek of op kantoor geldt het recht op privacy, bepaalde de in kort geding tussen de een werknemersorganisatie en een koeltechnische bedrijf over de plaatsing van video-camera’s op de werkvloer. “De bescherming van de persoonlijke levenssfeer strekt zich uit tot de werkplaats, maar kan daar op andere te respecteren belangen als eisen van veiligheid, milieu en bedrijfseconomie stuiten. Afweging van belangen is dan onontkoombaar”, aldus de president van de Rechtbank Roermond. Echter een belangenafweging in het concrete geval zal altijd de eventuele schending van de persoonlijke levenssfeer van de telewerker moeten rechtvaardigen, tenzij dwingende regels van de Wet persoonsregistraties van toepassing zijn. Partijen moeten dus met elkaar afspraken maken over de controle die de werkgever wil uitoefenen op de werkprestaties van de telewerker. Bovendien is het denkbaar dat de werkgever de werkplek bij de telewerker wil controleren. Ook daarvoor geldt dat het verstandig is vooraf afspraken te maken, want de telewerker heeft in beginsel het recht de werkgever de toegang tot zijn woning te ontzeggen, gebaseerd op het grondwettelijke recht op de onschendbaarheid van de eigen woning.
Het Expertise Centrum | het recht van overgheidsinformatisering
81
Kader voor de rijksoverheid Naast de hierboven genoemde aandachtspunten, is telewerken bij de rijksoverheid vanaf 22 maart 1994 aan een aantal bijzondere regels gebonden. Overheid en vakbonden hebben in 1993 in het Sectoroverleg Rijkspersoneel (SOR) besloten om te proberen tot ‘rijksdienstbrede afspraken’ te komen over de randvoorwaarden waarbinnen telewerken zou kunnen plaatsvinden. Naar aanleiding van de ervaringen met telewerk op de verschillende departementen heeft Binnenlandse zaken in overleg met de vakbonden een circulaire vastgesteld. Daarin wordt eerst het algemene kader voor deze flexibele vorm van arbeid geschetst, waarna tevens een aantal minimum regels aan de orde komen ten aanzien van zaken die op organisatieniveau geregeld moeten worden. Goed beschouwd gaat het om drie niveaus van richtlijnen die gelden respectievelijk voor de gehele rijksdienst, voor organisaties en voor individuele gevallen. Bovendien zijn er afspraken gemaakt met de belastingdienst in Den Haag over tegemoetkoming in de kosten voor het gebruik van eigen apparatuur bij het telewerken. Die zijn als bijlage opgenomen. Degene die toch al uit hoofde van zijn functie werkzaamheden buiten de deur verricht, valt niet onder de regeling. Dat geldt ook voor degene die reeds thuis kantoor aan huis hebben. Ten aanzien van andere aspecten is de definitie nogal ruim: ‘Onder telewerken wordt verstaan het op vrijwillige basis met enige regelmaat werken op geografische afstand van de plaats van tewerkstelling, waarbij deze afstand (gedeeltelijk) wordt overbrugd door gebruik te maken van informatie-en telecommunicatietechnologie’. ‘Op vrijwillige basis’ wil zeggen dat telewerken geen recht en geen plicht is. Een manager bij de rijksoverheid kan telewerken op basis van deze circulaire dus niet voorschrijven, terwijl omgekeerd de ambtenaar er ook geen recht op heeft. Hoe een en ander zich verhoudt met het nieuwe bestuursrecht, dat aan het begin van dit jaar in werking is getreden, is nog onduidelijk. Wel staat vast dat er een ‘integrale afweging’ bij beide partijen moet plaatsvinden. Zo dient de werkgever bijvoorbeeld naar de financiële consequenties te kijken, zoals de inrichting van de werkplek en kostenvergoedingen. Ook de effecten van kwaliteit en kwantiteit van werk en de motivatie van het personeel spelen een rol bij de belangenafweging. Verder mag er maximaal
82
het recht van overgheidsinformatisering | Het Expertise Centrum
maar twee dagen getelewerkt worden, omdat, zo leert de ervaring volgens Binnenlandse Zaken, de telewerker anders vervreemdt van zijn organisatie. Ook richt men de aandacht op de arbeidsomstandigheden, daarbij wijzend op een wettelijke regeling waardoor alle vormen van thuiswerken onder de Arbeidsomstandighedenwet vallen . Op organisatieniveau moet onder meer het begrip telewerken voor de eigen organisatie worden uitgewerkt, terwijl tevens voorschriften voor informatiebeveiliging (het maken van backups, het gebruik van paswoorden, e.d.) noodzakelijk zijn. Ook de beëindiging van de telewerkperiode vraagt om nadere invulling. In het concrete geval zullen er dus afspraken gemaakt moeten worden over het aantal dagen dat er getelewerkt wordt, de bereikbaarheid van de telewerkers en de kostenregeling. In het geval de werknemer met eigen apparatuur werkt - er wordt niet gesproken over software - heeft Binnenlandse Zaken een overeenkomst gesloten met de Haagse belastingsdienst en is een onbelaste tegemoetkoming vastgesteld van maximaal 50 gulden per maand. Dat is dus maximaal 600 gulden per jaar. Hierbij gaat het zowel om afschrijvings-en onderhoudskosten van de computerapparatuur als verzekeringskosten in verband met brand-en inbraakrisico’s. Samenvatting Telewerken is een vorm van arbeidsflexibilisering die werkgever en werknemer beiden goede diensten kunnen bewijzen. Het juridisch kader van telewerken voor de overheid wordt mede gevormd door een circulaire van het Ministerie van Binnenlandse Zaken. Op basis daarvan is telewerken weliswaar geen recht en geen plicht, maar dat laat onverlet dat werknemers die in eerste instantie niet telewerken met een beroep op de Algemene wet bestuursrecht mogelijk toch het recht verwerven enkele dagen thuis te werken. Daarnaast vraagt telewerken om een aanvullende regeling, die nadere afspraken tussen werkgever en werknemer bevat. Uit juridisch oogpunt is het wenselijk de telewerker apparatuur en programmatuur in bruikleen ter beschikbaar te stellen. Slechts op deze wijze kunnen voorschriften ten aanzien van het gebruik gesteld en gecontroleerd worden. In het bijzonder gaat het er hier om virusbesmetting, softwarepiraterij en het openbaarmaken van vertrouwelijke gegevens te voorkomen.
Het Expertise Centrum | het recht van overgheidsinformatisering
83
Wettelijke privacy-voorschriften hebben ook betrekking op het plaatsonafhankelijk werken. In de arbeidsovereenkomst kan de werknemer zich verplichten conform de Wet persoonsregistraties en andere regelingen ter zake te handelen. De werkgever doet er goed aan zijn personeel over deze normen te informeren. Daarnaast kan men er voor pleiten dat de arbeidsovereenkomst tevens een clausule bevat waarin de werkgever aangeeft welke persoonsgegevens geregistreerd worden en wat daarmee gedaan wordt.
84
het recht van overgheidsinformatisering | Het Expertise Centrum
Over de auteur
Mr. VA de Pous (1955) studeerde Nederlands Recht aan de Faculteit der Rechtsgeleerdheid van de Vrije Universiteit in Amsterdam . Hij houdt zich na zijn doctoraal in 1983 uitsluitend bezig met rechtsaspecten van informatietechnologie. De Pous heeft vele artikelen over dit vakgebied op zijn naam staan. De Pous is onder meer uitgever/redacteur van de NewsWare Nederlandse Editie, een maandelijkse nieuwsbrief.
Het Expertise Centrum | het recht van overgheidsinformatisering
85
het expertise centrum Een vastgelopen project, een mislukte definitiestudie, een uit de hand gelopen budget... Kunnen dit soort problemen voorkomen worden? En zo ja, hoe? Complexe vraagstukken. Enkele van de vele. Want het wordt steeds ingewikkelder om de organisatie van de informatievoorziening goed te regelen. Daarom zijn experts gewenst. Deze experts werken bij Het Expertise Centrum. Het Expertise Centrum is een onafhankelijk adviesbureau dat zich uitsluitend bezighoudt met overheidsinformatisering. Het bureau kenmerkt zich door onafhankelijkheid bij het aannemen en uitvoeren van opdrachten. Dat waarborgen wij door de stichtingsvorm. Maar ook door alleen rechtstreeks voor de opdrachtgever te werken en niet als onderaannemer. Onze consultants kennen de overheidscultuur van zeer dichtbij. Niet alleen van het Rijk, maar ook van de provincies, gemeenten, waterschappen en verzelfstandigde organisaties. Ze hebben daardoor als geen ander inzicht in de bestuurlijke en organisatorische aspecten van de informatievoorziening. En ze kunnen u bijstaan bij problemen van vandaag en het voorkomen van problemen van morgen. Wat kunnen wij voor u doen? • strategische advisering • contra-expertise • programma- en procesmanagement • projectadvisering • opleidingen
Voor meer informatie kunt u contact opnemen met: het expertise centrum Van de Spiegelstraat 12 2518 ET Den Haag T: 070 351 49 97 F: 070 351 52 82 E:
[email protected] I: www.hec.nl
86
het recht van overgheidsinformatisering | Het Expertise Centrum