Voor zwart op wit-tekst klik op de groene knop hieronder.

Mag je een backdoor inbouwen (of een foute update pushen) om (embedded) software te laten crashen bij wanbetalende klanten?

error

 ***Namen van personen en software zijn gewijzigd om herkenning te voorkomen***

De eerste keer dat ik softwareprogrammeur Fons tegenkwam, was op ons gratis juridisch spreekuur IE-ICT-Techniek. Deze DGA en tevens hoofdprogrammeur van een klein maar vooruitstrevend engineeringbedrijf zag er vermoeid uit na nachtenlang hardcore programmeren voor een nieuwe klant. Dat was echter niet de enige reden voor zijn vermoeidheid.

Zoals dat wel vaker gaat, had hij een nieuwe klant alle vertrouwen gegeven en geen vooruitbetaling gevraagd. Nadat alles, op wat cosmetische dingen na, klaar was – het draaide al bij de klant - , ontstonden er geruchten in de wandelgangen over betalingsachterstanden bij de klant: die leek het businessmodel te hebben om geen enkele leverancier te betalen, met uitzondering van die ene die er dan een procedure aan waagde. U kent ze vast ook uit uw debiteurenbak: alles is eerst prima in orde, na levering deugt er ineens niks meer en ziet men de factuur als uitnodiging tot onderhandeling. Fons had daarom het plan opgevat om een “feature” in te bouwen, zodat hij bij wanbetaling de software kon laten crashen.

Een soort ransomware dus eigenlijk, maar dan vanuit het gerechtvaardigd belang betaald te worden voor overeengekomen diensten. Het was nadrukkelijk geen backdoor zei Fons: met een backdoor heb je volledige toegang (Wet Meldplicht Datalekken?!), dit was alleen een kill-switch zonder dat je mee kon kijken. Met Fons’ feature waren er slechts drie opties: de software stuurde bij elke opstart een request naar Fons’ server, als er was betaald, stuurde de software een OK terug en verwijderde uit zichzelf de feature, was de betaaltermijn nog niet verlopen, kwam er ook een OK terug, kwam er een NOK terug omdat er al diverse malen was aangemaand: crash.

onvoorwaardelijke impliciete licentie 

Werken zal het vast. De klant zal – zonder broncode - niet een-twee-drie kunnen bewijzen dat er opzettelijk een bepaalde feature in zit; hij zal klagen over een bug. Als de programmeur dan roept “Dit is een kleinigheid, ik garandeer dat ik ‘t vandaag voor je oplos, wil je nog wel ff die factuur betalen zo meteen”, zal de klant ongetwijfeld nattigheid voelen, maar een gevoel is geen bewijs. Er wordt dus betaald. Maar hoe zit het juridisch (ethiek laat ik even bij de lezer)? Strafrechtelijk denk ik dan aan computervredebreuk, maar dat is mijn specialisme niet. En civielrechtelijk? Het idee deed me denken aan een zaak waarin een websitebouwer de rechter vroeg of hij (op grond van zijn auteursrecht) de stekker uit een website mocht trekken, omdat er niet betaald was. De klant had in zijn mails aan de webbouwer de facturen bestreden en de websitebouwer had niet gevraagd aan de rechter om een oordeel te geven over de juistheid van de facturen. De websitebouwer kreeg de gevraagde toestemming niet van de rechter. Je moet als klant immers wel de mogelijkheid hebben om je argumenten voor niet-betaling aan de rechter voor te kunnen leggen. Soms heeft een onbetaalde factuur immers te maken met het leveren van crapware, in plaats van met een slechte betalingsmoraal. De rechter oordeelde verder dat er sprake is van een “onvoorwaardelijke impliciete licentie”, als je toestemming geeft om het aangeleverde te gaan gebruiken. Wil je dat anders, dan zal je dat van te voren moeten vastleggen. Dus ook om die reden kon de websitebouwer de site niet uit de lucht halen.

kill-switch in opdrachtovereenkomst 

Dus, nee, Fons, in dit geval: beter niet doen. Voor het vervolg (als je dit al zou willen): zet in je opdrachtovereenkomst dat er een kill-switch in zit. Die wordt geactiveerd bij meer dan x dagen betalingsachterstand en meer dan x alerts. De schade is dan voor opdrachtgever. Degenen die daardoor niet willen ondertekenen, waren toch al niet van plan te betalen. Strafrechtelijk (hoewel niet mijn specialisme) zal dit ook wel goed komen, nu het computervredebreukartikel aangeeft dat het binnendringen “wederrechtelijk” moet zijn. In de overeenkomst heb je echter afgesproken dat je dit màg. Op zich niet veel anders dan de virusscanner op je computer, die geeft ook om de zoveel tijd aan dat het tijd is je jaarlicentie te vernieuwen.


 Lees-verder-tips:


Hub Dohmen, 
Dohmen advocaten - in techniek
e: h.dohmen@dohmenadvocaten.nl
twitter: http://twitter.com/hdohmen
LinkedIn: http://nl.linkedin.com/in/hubdohmen

Deze column verscheen eerder op Engineersonline.nl.

Specialist software engineering nodig? Dohmen advocaten: uw advocaat gespecialiseerd in intellectuele eigendom (IE), techniek en ICT, kunst en design. Gratis spreekuur 013-5821987 of op ons advocatenkantoor.


 
Dohmen advocaten bv | Sportweg 8 | 5037 AC Tilburg | 013-5821987 | info@dohmenadvocaten.nl | KvK: 18076457 | BTW: NL8141.55.637.B.01