Een lezer vroeg me:
We hebben (eindelijk) een legacy-softwarepakket kunnen vervangen door iets nieuws. Nu wil de leverancier daarvan de garantie dat we deze volledig hebben verwijderd, en daarvoor willen ze hun auditor langs laten komen. Zijn wij verplicht hieraan gehoor te geven? En mag deze dan ook backups en dergelijke bekijken?
Als je een softwarelicentie beëindigt, ben je verplicht de software te verwijderen van alle systemen waar deze op in gebruik was. Het is dan ook niet gek dat de leverancier bevestiging wil dat dit is gebeurd. Het is anders immers triviaal om de software te blijven gebruiken.
Moderne software heeft vaak een constructie met licentiesleutels of periodieke activatie. Dan is het buiten gebruik stellen van die software vrij eenvoudig; maak de sleutel ongeldig of deactiveer de code. Dan is het in principe gewoon onmogelijk de software nog te blijven gebruiken.
Deze software heeft een dergelijke feature nog niet, dus zal men iets anders moeten verzinnen. Een schriftelijke verklaring vanuit de klant “Wij hebben alles gewist, beloofd” is dan wel het minste dat je kunt doen. Veel wat oudere softwarelicentiecontracten bevatten ook een clausule die bepaalt dat een dergelijke verklaring gegeven moet worden, vaak met de Amerikaanse toevoeging “under penalty of perjury” wat bij ons niets doet maar het punt wel duidelijk maakt.
Als de leverancier dat niet kan of wil accepteren, dan is een audit de logische vervolgstap. Gebruikelijk is wel dat een onafhankelijk iemand die audit uitvoert, ook omdat er dan geen bijvangst (wat draaien jullie nu) bij de leverancier terecht komt.
Een audit is iets dat expliciet afgesproken moet zijn. Zonder afspraak is er eigenlijk geen grond om een audit uit te mogen voeren. De enige manier waarop dat eventueel wel zou kunnen, is via artikel 843a Rechtsvordering. Dit artikel kan een partij verplichten bepaalde documenten af te geven. Inzage in de administratie dus, en dat kan ook de administratie van de geïnstalleerde licenties betreffen. maar dat gaat niet zo ver dat je kunt afdwingen dat je langs mag komen om documentatie te máken.
Als er een audit is afgesproken, dan lijkt het me logisch dat deze ook de backup betreft. Als je immers zegt, alle kopieën zijn weg, eerlijk waar, op straffe van meineed, dan klopt er iets niet als er alsnog een backuptape blijkt te zijn met een kopie. En natuurlijk, in backups rommelen is moeilijk en zeer ongewenst, maar hoe voorkom je dan dat die backup ooit wordt teruggezet zodat de software toch weer in een productie-omgeving staat?
Arnoud
Het volledige artikel bekijken