Nieuwe leveringsvoorwaarden houden voor de rechter geen stand
Afgelopen mei publiceerde Nederland ICT, de branchevereniging van ICT-bedrijven in Nederland, haar nieuwe algemene leveringsvoorwaarden. ‘Voorwaarden’ die met name bij kleinere transacties tussen kleinere partijen veelvuldig worden gebruikt. Maar in hoeverre zijn deze algemene voorwaarden daadwerkelijk bij de tijd? In dit artikel een blik op drie belangrijke ontwikkelingen van de afgelopen tijd: agile ontwikkelmethodieken, Software-as-a-Service/cloudcomputing, en opensourcesoftware. Op basis hiervan wordt een oordeel toegekend aan de nieuwe voorwaarden.
Agile
Wendbare of agile ontwikkelmethodieken zijn er in soorten en maten, en komen, net als de klassieke watervalmethode, zelden in pure vorm voor. Toch is er wel een grote gemeenschappelijke deler die agile methodieken kenmerkt: de specificaties van de te ontwikkelen software liggen niet bij voorbaat vast. In feite vindt er een risico-uitruil plaats: enerzijds neemt de afnemende partij genoegen met meer onzekerheid over de uiteindelijke functionaliteit. Anderzijds
biedt agile een grotere zekerheid dat de ontwikkelde functionaliteit dichter bij zijn werkelijke behoeften (op het moment van opleveren) ligt dan de uitkomst die de afnemende partij vooraf had kunnen specificeren. Met andere woorden: geen volledige specificaties bij voorbaat, die zullen gaandeweg tijdens de uitvoering van een ontwikkelproject ontstaan. Daarbij gaan de meeste agile methodieken er wel degelijk van uit dat die specificaties uiteindelijk vastgelegd en in software gerealiseerd worden. De Nederland ICT-voorwaarden bepalen daarentegen dat als er gekozen wordt voor een iteratieve methode (op zich een goede Nederlandse vertaling van agile methodieken), de klant het risico aanvaardt dat het resultaat niet noodzakelijkerwijs aan de specificaties zal beantwoorden. Dat is nooit de essentie van agile geweest en deze bepaling gaat ook in de praktijk problemen opleveren. Zeker ook omdat elders bepaald is dat bij ‘iteratieve ontwikkeling’ de te leveren software of website ‘as-is, where-is’ geleverd wordt. Dat betekent dat ongeacht het resultaat, de prestatie geacht wordt overeen te komen met wat er verwacht kon worden. Uit de voorwaarden vloeien hierdoor geen prikkels voort om kwalitatief goed werk te leveren. Zeker bij een agile methode als Scrum is het een onderdeel van de methodiek dat de specificaties onderdeel van de prestaties zijn. Hoe dan ook, de eenvoudigste en meest praktische oplossing is om elkaar af te rekenen op een andere definitie van ‘done’, bijvoorbeeld het aantal afgeronde scrums. Een ander essentieel element van bijvoorbeeld scrum is dat de klant veel ruimte heeft om een project voortijdig af te breken omdat na een aantal scrums blijkt dat het project weinig kansrijk is. Oordeel: Het is goed dat de qua transactievolume meest gebruikte voorwaarden nu iets met ‘agile’ doen, maar passende beoordelingsnormen voor de prestaties ontbreken op deze manier.
Software-as-a-Service en cloudcomputing
Bij SaaS en cloudcomputing is de contractuele afdekking van de hele levenscyclus van de dienst van groot belang. Dus niet alleen de implementatie, maar ook de kwaliteitsbewaking van de exploitatie en misschien wel het meest belangrijk: hoe nemen partijen afscheid van elkaar, gewild of ongewild. Denk daarbij vooral aan continuïteitsproblemen aan de zijde van de leverancier, of aan een door één van de partijen gewenst afscheid wegens wanprestatie, dan wel het om andere redenen niet willen verlengen van de relatie. Bij discontinuïteit, bijvoorbeeld in het geval van faillissement van de leverancier, is snelheid van handelen van het grootste belang. Bij andere scenario’s treedt belang bij het voorkomen van onnodige vendor lock-in op de voorgrond. Verder zijn uiteraard de aspecten van privacy en informatiebeveiliging van groot belang. Daarbij moet niet vergeten worden dat uit hoofde van privacywetgeving niet alleen de beveiliging goed geregeld moet zijn, maar dat ook het regelen van continuïteit en dataportabiliteit (het toegang hebben tot de data na afscheid) door privacytoezichthouders als een logisch voortvloeisel van privacywetgeving worden beschouwd. In de leveringsvoorwaarden van Nederland ICT is een aantal artikelen over SaaS opgenomen (hoofdstuk 3). Daarbij valt op dat zij niets zeggen over de initiële totstandbrenging, bijvoorbeeld door een implementatie, maar ook bijzonder weinig over een eventueel afscheid. Het enige dat geregeld is, is dat de klant geen recht heeft op een dataconversie bij afscheid (artikel 10.7). Dit doet afbreuk aan het vermogen van de klant om bij discontinuïteit zelf maatregelen te treffen: de leverancier is namelijk tevens nimmer gehouden de aan de SaaS ten grondslag liggende programmatuur aan de klant ter beschikking te stellen.
Aansprakelijkheid niet uit te sluiten
Een andere zorg vanuit het oogpunt van continuïteit is dataverlies: iedere aansprakelijkheid van de leverancier daarvoor is uitgesloten, zelfs als back-updiensten onderdeel uitmaken van de dienstverlening. Dit is niet nieuw in deze voorwaarden, maar staat wel op gespannen voet met een praktijk waarin juist de instandhouding van de gegevens steeds meer een kernprestatie van de leverancier is geworden. Het is nog maar de vraag of deze aansprakelijkheidsuitsluiting standhoudt voor een rechter. Wel een duidelijke aanpassing aan de huidige stand van zaken is dat de klant verplicht wordt een analyse te maken van de risico’s voor zijn organisatie van incidenten bij SaaS. Iets wat de klant al verplicht zal zijn uit hoofde van privacywetgeving en niet zelden ook uit andere, sectorale, wetgeving. Dit is wat verstopt in de garantiebepalingen en elders worden geen consequenties verbonden aan die risicoanalyse. Los van deze redactiekeuze is de inhoud zorgwekkend: deze bevat uitsluitend een informatieverplichting van klant naar leverancier. Dit terwijl uit wetgeving voortvloeit dat de leverancier uitsluitend ten behoeve van de klant persoonsgegevens zal verwerken, er een gezagsverhouding met betrekking tot te nemen beveiligings- en continuïteitsmaatregelen moet bestaan, dat verwerking uitsluitend binnen Europa zal plaatsvinden, dat er exitplannen liggen en de klant hierop toe kan zien (auditbevoegdheden). Daarbij zijn er meldingsverplichtingen bij datalekken en boetebevoegdheden van toezichthouders ophanden. Ook de bepaling over informatiebeveiliging schiet tekort voor situaties waar sprake is van verwerking van persoonsgegevens: de leverancier is pas verplicht iets aan informatiebeveiliging te doen als dit schriftelijk is overeengekomen, maar de klant dient zijn infrastructuur en systemen wel ‘adequaat’ beveiligd te hebben. Op deze manier voldoet noch de klant noch de leverancier aan zijn verplichtingen uit hoofde van art. 13 van de Wet bescherming persoonsgegevens.
Kortom, wij komen tot het oordeel: zwaar onvoldoende. Dat een branchevereniging
voorwaarden opstelt die risico’s van haar leden verminderen, is begrijpelijk. Zij bewijst haar leden echter geen dienst door deze zo scherp te zetten dat deze geen stand houden voor een rechter of zelfs haaks staan op wettelijke verplichtingen van de klanten van haar leden én haar leden. Op meerdere fronten zijn deze voorwaarden niet in lijn met toepasselijke wettelijke verplichtingen en/of dwingend recht.
Opensourcesoftware
Hoewel het onderwerp de laatste tijd wat minder pers krijgt, neemt het praktische belang ervan steeds toe: opensourcesoftware is inmiddels in vrijwel ieder product verwerkt, van mobieltjes tot SaaS. Ook grote partijen die van oudsher altijd klassieke licenties hanteren zoals Apple en Microsoft, gebruiken opensourcesoftware en publiceren zelfs software in deze vorm. Het is dan ook wat vreemd dat de voorwaarden van Nederland ICT deze ontwikkeling compleet negeren.
Open broncode moet open blijven
Hierbij is het zo dat al te strikte naleving van de Nederland ICT-voorwaarden auteursrechtschendingen in de hand kan werken. Wanneer een leverancier software ter beschikking stelt aan klanten die onder bepaalde opensourcelicenties wordt aangeboden (zogenaamde copyleft-licenties), zoals bijvoorbeeld de bekende GNU General Public License die van toepassing is op de verspreiding van Linux, dan kan hij auteursrechtinbreuk plegen als hij zich niet aan de gebruiksvoorwaarden houdt. Copyleft-licenties stellen namelijk als eis dat bij verdere distributie de broncode van de software aangeboden wordt, met inbegrip van wijzigingen en aanvullingen. De voorwaarden van Nederland ICT sluiten een dergelijke levering van de broncode uit, tenzij die nadrukkelijk schriftelijk is overeengekomen tussen de klant en leverancier. Ook worden er meerdere vergaande beperkingen van het gebruiksrecht van klanten vastgelegd die strijdig zijn met copyleft-licenties. Bijvoorbeeld een verbod om geleverde programmatuur ter beschikking te stellen aan derden of bij derden te laten hosten. Het bestaan van licentievoorwaarden van derden wordt wel genoemd in de algemene voorwaarden van Nederland ICT, maar klanten mogen zich hier slechts op beroepen voor zover deze voorwaarden van tevoren zijn medegedeeld en ter hand gesteld. Kortom, de voorwaarden scoren op dit punt onvoldoende. De klanten worden tekortgedaan, maar als zij de oorspronkelijke licentiegevers kunnen achterhalen zijn er wel mogelijkheden hier wat tegen te doen, omdat de rechthebbenden vanuit het auteursrecht sterke middelen hebben om hier tegen op te treden. In Frankrijk zijn zelfs rechters bereid geweest om opensourcelicentievoorwaarden op verzoek van klanten te handhaven. Dit is echter ook schadelijk voor leden van de vereniging Nederland ICT, die zich wellicht niet realiseren dat zij de auteursrechten van derden kunnen schenden door deze voorwaarden strikt toe te passen.
Ernstige bezwaren
Daar waar eerst de ICT~Office- en nu Nederland ICT-voorwaarden voorzichtige pogingen tot modernisering doen, wat op zich lovenswaardig is, zijn er op de genoemde thema’s ernstige bezwaren. Leveranciers met andere verdienmodellen
dan klassieke verkoop van hardware en klassiek gelicentieerde software of on-premiseimplementatie van klassiek gelicentieerde softwarepakketten met wat maatwerkontwikkeling, doen er goed aan deze voorwaarden niet zomaar te hanteren.
Dit artikel is tevens gepubliceerd in de Automatiseringsgids nr. 18, d.d. 6 november 2014 (p. 30-31) door Walter van Holst & Roeland de Bruin, beiden IT jurist bij Mitopics tot eind 2017.