Column


IT-jurist Peter van Schelven over...

Regeerakkoord en veilige software

Het regeerakkoord dat afgelopen dinsdag in Den Haag werd gepresenteerd, schetst enkele voorgenomen maatregelen op het vlak van cybersecurity. Het akkoord spreekt over een ‘ambitieuze cybersecurityagenda’. Ik pik er een van de nieuwe plannen uit. Het komende kabinet moet, aldus het resultaat van de formatie, bedrijven stimuleren veiligere software te maken door middel van softwareaansprakelijkheid. Het regeerakkoord wijdt aan dat idee één enkel zinnetje.

De nieuwe regering zet het instrument van aansprakelijkheid in om de softwaresector te bewegen tot meer veilige software. Producenten van software met zwakke plekken moeten kennelijk worden gestraft met een schadevergoedingsplicht. Het aanstaande kabinet heeft dus het plan te werken aan een nieuwe juridische prikkel om meer veilige software in ons land te krijgen. Wat je politiek gesproken van dat idee ook vindt, het is niet lastig om kanttekeningen bij het voornemen te plaatsen. Hierbij mijn top 11 van aanmerkingen:

1. Softwareaansprakelijkheid bestaat al
Al vanaf de jaren ’80 van de vorige eeuw worden in ons land rechtszaken en arbitrale procedures gevoerd over software van ondermaatse kwaliteit. In een groot aantal gevallen zijn makers en leveranciers van software door rechters en arbiters aansprakelijk gehouden voor de schade die door gebrekkige software is geleden. De bestaande rechtsregels over aansprakelijkheid kunnen probleemloos ook op onvoldoende veilige software worden losgelaten.

2. Zorgplichten
Eerder dit jaar heeft de Cyber Security Raad een handreiking gepresenteerd waarin omstandig uit de doeken wordt gedaan dat reeds nu al forse juridische zorgplichten op de schouders van de makers van software rusten, met name waar het security betreft. Daarin wordt ook aangegeven dat de bestaande regels van de wet algemeen zijn geformuleerd en dus open genoeg zijn om nieuwe technologische ontwikkelingen te accommoderen. IT-specifieke wetgeving maakt wellicht meer kapot dan het oplevert.

3. Veiligheid: dynamisch concept
Kunnen we – juridisch gezien – tot een sluitende afbakening van het begrip ‘softwareveiligheid’ komen? Dat is maar zeer de vraag. Want wat nu nog een veilig softwareproduct is, kan later door de komst van nieuwe kwetsbaarheden (zerodays) onveilig worden.

4. Wie is aansprakelijk: producent of reseller?
Het regeerakkoord spreekt over de aansprakelijkheid voor het maken van onveilige software. Veel software wordt op de markt gebracht door zelfstandige resellers van buitenlandse producenten. Die resellers gaan gewoonlijk de contracten met de afnemers aan. Met de inhoud en veiligheid van het product bemoeien zij zich zelden. Veel resellers zijn immers niet veel meer dan een ‘doorgeefluik’. Stel dat ik software met kwetsbaarheden afneem, bij wie klop ik dan aan als ik schade lijd? Bij de producent in het buitenland, met wie ik veelal geen contract heb? Of bij de reseller, met wie ik wel gecontracteerd heb? Zou het aankomende kabinet zich alleen richten tot softwareproducenten, dan gaat het voorbij aan de complexe internationale ketenproblematiek in softwareland.

5. Wat is software?
Softwarecode wordt meer dan eens gemaakt op basis van specificaties die door de betrokken opdrachtgever zijn opgesteld. In zo’n geval staat of valt de veiligheid van de software mede met de kwaliteit van de specificaties. We weten allemaal dat specificaties op het vlak van security – zo die al zijn opgesteld – meer dan eens ver onder de maat zijn. Dus: heeft het regeerakkoord ook de aansprakelijkheid van opdrachtgevers die zwakke specificaties hanteren voor ogen? Of alleen de makers van de uiteindelijke code?

6. Consumentensoftware of b2b?
Het regeerakkoord laat in het midden of de softwareaansprakelijkheid louter consumentensoftware betreft of ook gaat over software die in de zakelijke sfeer wordt gebruikt. In b2b-verhoudingen pleegt men contractuele afspraken te maken over de verdeling van aansprakelijkheden en de daaraan verbonden financiële risico’s. Vaak beperken softwareleveranciers hun aansprakelijkheid tegenover zakelijke afnemers en dat is een algemeen aanvaard juridisch uitgangspunt, zowel in de nationale als internationale handelspraktijk. Gaat het komende kabinet dat uitgangspunt voor b2b-software onderuit halen? Of beperkt het zich tot consumentensoftware?

7. Opensourcesoftware (OSS)
Er wordt nogal wat software op een zogeheten ‘as is’-basis verhandeld. In dat geval zeggen de contracten (licenties) dat de afnemer eventuele softwaregebreken aanvaardt en dat de leverancier er niet aansprakelijk voor is. Juridisch valt over zo’n insteek wellicht veel te zeggen. Feit is wel dat het bij aldus verhandelde software bijvoorbeeld gaat om OSS. Logisch: OSS pleegt in community’s te worden ontwikkeld en de individuele leden van een community willen geen risico’s voor andermans softwareontwikkeling dragen.

8. Coproductie
Veel software wordt in teamverband ontwikkeld, bijvoorbeeld in een Agile-team. Als dat gebeurt, is dikwijls niet eenvoudig te bepalen welke partij binnen de coproductie als maker van de software is aan te merken.

9. Onderhoud
Het regeerakkoord maakt niet duidelijk of de beoogde softwareaansprakelijkheid alleen moet gaan gelden voor softwareleveranties of ook voor later softwareonderhoud. Als de plannen ook op onderhoud betrekking hebben, gedurende hoeveel jaren moet een producent dan nog securitypatches uitbrengen? En: kan er ook aansprakelijkheid wegens ondermaatse security ontstaan als de producent op enig moment stopt met securityonderhoud, zoals Microsoft ooit deed met betrekking tot XP?

10. Gebruiker
Is de gebruiker die willens en wetens doorgaat met het gebruik van onveilige software zelf ook verantwoordelijk? En: ontheft deze eigen schuld van de gebruiker de makers van de software van hun aansprakelijkheid?

11. Verzekeringen
Het is nog maar de vraag of nieuwe wettelijke regels over softwareaansprakelijkheid een effectieve prikkel vormen. Softwarebedrijven hebben zich niet zelden voor die aansprakelijkheid verzekerd en dus worden de financiële risico’s afgewenteld op verzekeraars. Bedenk daarbij dat de verzekeringssector erg competitief is, waardoor veel IT-bedrijven tamelijk kritiekloos in de boeken van verzekeraars worden opgenomen. De meeste IT-verzekeraars – een enkele goede uitgezonderd daargelaten – stellen weinig eisen aan de beveiliging die softwareproducten bieden.

Stille dood
Het introduceren van nieuwe softwareaansprakelijkheden lijkt mij minder vanzelfsprekend, hoezeer ik de ontwikkeling van veilige software voor de gehele samenleving van groot belang vind. De toekomst gaat ons leren hoe Rutte III met de complexe IT-werkelijkheid weet om te gaan. De weg van regeerakkoord naar beleidsvoornemens en wetgeving is een lange. Ik sluit niet uit dat het plan een stille dood sterft.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht