Open source software veilig te gebruiken?

Open source

Open source software is software waarvan de broncode vrij toegankelijk is en mag worden gebruikt, aangepast en verspreid onder de voorwaarden van open source licentie. Het uitgangspunt is dat samenwerking leidt tot betere, veiligere en innovatievere software.

Ook onder Nederlands recht geldt dat software auteursrechtelijk beschermd is op grond van de Auteursweg. De maker (of diens werkgever) is rechthebbende. Via een open source licentie verleent de rechthebbende toestemming om de software onder bepaalde voorwaarden te gebruiken, wijzigen en verspreiden. Open source betekent dus niet “rechtenvrij” maar “beschikbaar onder voorwaarden”.

Veiligheid open source

Regelmatig wordt de vraag gesteld of open source software minder veilig zou zijn omdat de broncode openbaar is. In de praktijk is vaak het tegenovergestelde het geval.
Doordat de broncode inzichtelijk is, kunnen ontwikkelaars wereldwijd fouten en kwetsbaarheden signaleren en verbeteren. Dit wordt ook wel het “many eyes”-principe genoemd. Actieve projecten met een sterke community reageren doorgaans snel op beveiligingsproblemen.
De veiligheid hangt echter niet alleen af van het open source karakter, maar ook van de activiteit en omvang van de community, het update- en patchbeleid, professioneel onderhoud, correct gebruik en implementatie door de organisatie zelf.
Organisaties blijven onder Nederlands recht zelf verantwoordelijk voor een veilige implementatie. Denk daarbij ook aan verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG) bij verwerking van persoonsgegevens.

Community

De gemeenschap van programmeurs, testers en kritische gebruikers die zich bezighouden met het verbeteren van de software, noemt me de ‘community’. De Leden van de community staan met elkaar in contact via mailingslijsten, waarop ze kennis en informatie uitwisselen. Na installatie van de open source software maak je automatisch deel uit van de community en kun je gebruikmaken van de software en de verbeteringen die de leden van de community maakten. Het gebruik van open source software maakt een organisatie echter niet automatisch juridisch onderdeel van de community. Juridische verplichtingen vloeien uitsluitend voort uit de toepasselijke licentie en eventuele aanvullende overeenkomsten.

Keuze maken voor licentie

Net als closed source software wordt open source software uitgebracht onder een specifieke licentie. In deze licentie ligt vast wat er met de broncode gedaan mag worden en wat niet. In de praktijk worden zo’n vijftig verschillende open source licenties onderscheiden. Het gros hiervan valt onder één van deze categorieën:

Geen plicht tot openbaarmaking (permissieve licenties)

Werk je met open source software met een licentie uit deze categorie, dan staat het je vrij je aanpassingen en/of toevoegingen aan de software voor uzelf te houden. Onder deze licentie bestaat namelijk geen plicht tot openbaarmaking van de broncode. Voorbeelden van dergelijke licenties zijn: Apache, BSD, MIT licenties.
Wel moet doorgaans de oorspronkelijke copyrightvermelding en licentietekst worden behouden. Deze licenties zijn populair bij commer

Gedeeltelijke plicht tot openbaarmaking (zwakke copyleft)

Werk je met open source software met een licentie uit deze categorie? Dan ben je niet verplicht je aanpassingen en/of toevoegingen met de community te delen. Je moet echter wel je aanpassingen en/of toevoegingen aan de originele broncode van de software openbaar maken. Dit betekent dat je inspanningen hiervoor beschikbaar worden voor de overige gebruikers van de community. Voorbeelden van dergelijke licenties zijn: LGPL, Mozilla, CDDL, Eclipse licenties.
Deze licenties worden vaak gebruikt wanneer men samenwerking wil stimuleren, maar commerciële integratie mogelijk wil houden.

Volledige plicht tot openbaarmaking

Als je werkt met open source software met een licentie uit deze categorie, dan moet je niet alleen je aanpassingen en/of toevoegingen in de originele broncode van de software openbaar maken, maar moet je ook door je (met behulp van de broncode van open source software) ontwikkelde software openbaar maken voor de community.

Voorbeelden van dergelijke licenties zijn: GPL licenties.

Wanneer je GPL-software verwerkt in een eigen product en dit product verspreidt, kan dit betekenen dat ook jouw eigen software onder de GPL moet worden vrijgegeven. Dit kan commerciële consequenties hebben. Een zorgvuldige juridische analyse is daarom essentieel.

Aansprakelijkheid en risico’s

Open source licenties bevatten vrijwel altijd uitgebreide uitsluitingen van aansprakelijkheid en garanties. Onder Nederlands recht zijn dergelijke exoneraties in beginsel toegestaan in zakelijke verhoudingen (B2B), tenzij sprake is van opzet of bewuste roekeloosheid.

Deze keuze hangt voornamelijk af van je persoonlijke wensen en voorkeuren. Als de licentie van de open source software je verplicht de door jou ontwikkelde broncode vrij te geven, betekent dit immers dat je concurrenten kunnen meeprofiteren van door jou gemaakte verbeteringen. Elk type open source licentie heeft zo zijn voor- en nadelen. He tis daarom belangrijk een goede afweging te maken welke licentie het best bij je past.  

Meer weten?

aaff is graag overal van betekenis. De juristen hebben uitgebreide kennis en ervaring op het gebied van ict-recht en kunnen je bijstaan bij het kiezen van de software met de open source licentie die het best bij je past. Neem voor meer informatie of advies contact op met onze jurist.