image

Juridische vraag: Wanneer software op basis van open source code wordt gemaakt, moet de broncode dan altijd worden gedeeld?

woensdag 16 oktober 2019, 14:45 door Arnoud Engelfriet, 7 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Bij mijn werkgever maken we software en gebruiken we daarvoor open source code, echter we verspreiden of verkopen onze software niet. De software wordt geïnstalleerd en draait alleen op onze eigen servers. Valt het gebruik dan onder de GPL 2.0 licentievoorwaarden? Moeten wij onze source code beschikbaar stellen? (Bron )

Antwoord: Wanneer software onder GPLv2 is verkregen, ben je verplicht om bij herdistributie daarvan de volledige broncode mee te leveren. Inclusief aanpassingen en uitbreidingen, als je die gemaakt zou hebben.

Waar precies de grens ligt van een 'uitbreiding' is al zo'n 20 à 30 jaar een hele forse discussie, waar je in de praktijk vaak wel uitkomt maar het levert elke keer een hele puzzel op. Maar gelukkig is dit in dit geval niet relevant.

Bij de vraagsteller wordt de software niet verspreid, zodat de voorwaarden uit de GPL niet van toepassing zijn. Er hoeft dus geen broncode beschikbaar gesteld te worden aan wie dan ook.

En ja, dit heeft als consequentie dat SaaS/cloudleveranciers open source in kunnen zetten en aanpassen zonder dat ze ook maar één letter hoeven te delen. Dat is in strijd met de geest van de GPL, want die zegt dat als je software nuttig vindt, je die moet delen ("bevrijden"). Dat klopt, maar was een bewuste keuze destijds.

Er is één alternatief voor de GPL die dit gat wel dicht, en dat is de AGPL of Affero GPL. Wie software onder deze licentie inzet in een publieke SaaS-oplossing, moet de broncode als download aanbieden. Het gebruik van deze licentie is vrij beperkt, maar enkele bekende SaaS-tools (zoals MongoDB) vallen er onder. Maar als software onder de 'gewone' GPL uitgebracht is, dan speelt dit niet.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (7)
16-10-2019, 15:23 door Yani
De AGPL licentie ziet er wel interessant uit. Ik had inderdaad nog niet gedacht aan GPL met SaaS. Ikzelf houd het ook achter gesloten deuren, omdat ik slechts requests behandel, in plaats van dat andere mensen via mijn code ook requests gaan behandelen.
16-10-2019, 16:06 door Anoniem
Er zjn ook andere non-GPL-achtige alternatieven zoals de Apache License en divers BSD-licenses. Zie https://opensource.org/licenses.
16-10-2019, 16:47 door SecOff
@arnoud En als de applicatie cliënt side JavaScript gebruikt dan? Dan wordt wordt de software code In technische zin namelijk wel degelijk gedistribueerd naar de clients.
16-10-2019, 17:03 door Anoniem
Door SecOff: @arnoud En als de applicatie cliënt side JavaScript gebruikt dan? Dan wordt wordt de software code In technische zin namelijk wel degelijk gedistribueerd naar de clients.
Dat is niet wat er wordt bedoeld wordt met verspreiding. Het gaat er om dat je het al dan niet tegen betaling beschibaar maakt zodat anderen dit ook kunnen gebruiken voor hun eigen toepassing. Dat jij een stukje javascript op je site hebt staan waardoor je in de browser van de eindgebruiker iets kan doen valt hier dus niet onder.
16-10-2019, 17:11 door Anoniem
Is het niet zo dat het dan alleen gaat om software die gebaseerd is of deels bestaat uit open source ?

Bijvoorbeeld als je een library aanroept die OS is het niet zo dat je direct je hele source van je applicatie moet publiceren. Pak je een library en modificeer je deze tot een nieuwe library, of kopieer je gedeeltelijke code van de OS variant naar je eigen source code, dan weer wel.
17-10-2019, 06:25 door Anoniem
Door Anoniem: Dat is niet wat er wordt bedoeld wordt met verspreiding. Het gaat er om dat je het al dan niet tegen betaling beschibaar maakt zodat anderen dit ook kunnen gebruiken voor hun eigen toepassing. Dat jij een stukje javascript op je site hebt staan waardoor je in de browser van de eindgebruiker iets kan doen valt hier dus niet onder.
Dat klopt niet. Licenties als de GPL worden niet pas geactiveerd als er een andere ontwikkelaar mee aan de slag gaat, het is verspreiding als de code ergens anders terechtkomt, op welke manier dan ook. Het idee is dat aan de code de vrijheid is gekoppeld om hem te mogen doorgeven, bestuderen, wijzigen. Iedereen die die code ontvangt krijgt dat mee. Zodra de code naar de computer van een gebruiker is verspreid heeft die die vrijheden. Er is geen enkele reden waarom dat met JavaScript niet zou kunnen of mogen.

De GPL-FAQ suggereert zelfs een uitzonderingsclausule die de auteurs van JavaScript kunnen gebruiken om te voorkomen dat HTML-code in een pagina die hun JavaScript gebruikt verplicht onder de GPL valt en dat combinatie met LGPL'ed JavaScript-libraries is toegestaan:
https://www.gnu.org/licenses/old-licenses/gpl-2.0-faq.html#WMS
Dat men bij GNU die uitzondering nodig vindt maakt duidelijk dat men daar vindt dat het wel degelijk verspreiding is.
17-10-2019, 12:10 door Anoniem
Door SecOff: @arnoud En als de applicatie cliënt side JavaScript gebruikt dan? Dan wordt wordt de software code In technische zin namelijk wel degelijk gedistribueerd naar de clients.

Bij Javascript is het al zo dat de website bezoeker/gebruiker de Javascript al ontvangen heeft dus as het GPL is, zou het fijn zijn om geen functienamen, etc. te verhaspelen en een comment regel toe te voegen wat de license is. Dan kunnen andere er ook nog wat mee.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.