Vendor lock-in en opgebouwde data
Afgelopen maand hebben wij op verzoek een advies uitgebracht over, hoe om te gaan met een zogenaamde vendor lock-in aan het einde van softwarelicentie overeenkomst en meer specifiek m.b.t. de opgebouwde en gearchiveerde data in de onderliggende database.
Wat is de situatie?
T.b.v. diverse branches zijn in de loop der decennia veel standaard softwarepakketten ontwikkeld door softwareleveranciers. Softwarepakketten met voor die branche op maat gesneden en/of te parametriseren functionaliteit die veelal voorzien in een grote behoefte en daar ook een bestaansrecht aan ontlenen. Echter zoals iedere relatie eindig is, om wat voor reden dan ook, eindigen ook op enig moment softwarelicentie overeenkomsten. In de tussentijd is er uiteraard veel data opgebouwd, die of bewaard dient te worden, dan wel geconverteerd dient te worden t.b.v. het opvolgende softwarepakket. In hedendaagse (softwarelicentie) overeenkomsten zijn meestal wel zogenaamde exit-clausules opgenomen, in welke partijen afspreken, wat zij van elkaar mogen verwachten. En dan meer specifiek dat de afnemer/gebruiker verzekerd is van een vlekkeloze en naadloze overgang van het ene pakket naar het andere pakket, inclusief datatransitie. In de wat oudere (softwarelicentie) overeenkomsten is daar echter vaak niets over afgesproken en is men dus afhankelijk van de grillen van de desbetreffende softwareleverancier. En gezien het feit dat de commerciële relatie al voorbij is, krijgt de ex-klant vaak een voorstel voor een hele dure zogenaamde inzagelicentie, om de gearchiveerde data überhaupt nog te kunnen raadplegen.
Wettelijke bewaarplicht
Even los van de bewaarplicht waar het betreft financiële gegevens t.b.v. de Belastingdienst, gelden er in Nederland ook andere bewaarplichten. B.v. waar het betreft de datahistorie op het gebied van (ex)patiënten, op grond van de Wet Geneeskundige Behandelingsovereenkomst (WGBO) (artikel 7:454 lid 3 BW), die een wettelijke bewaarplicht kent van 20 (twintig) jaar (vanaf 1 januari 2020). Een afnemer die dus van het ene softwarepakket naar het andere softwarepakket wil overstappen, dient aan het voornoemde wel invulling te kunnen geven. B.v. door in een softwarelicentie overeenkomst, daar vooraf goede afspraken over te maken met de leverancier in kwestie.
Hoe is het wettelijk geregeld buiten de overeenkomst met de leverancier?
Het eigendomsrecht in Nederland is geregeld in artikel 5:1 BW, maar is beperkt tot alleen zogenaamde stoffelijke zaken. En op grond van artikel 3:2 BW zijn stoffelijke zaken, die zaken die voor mensen tastbaar zijn. Even los van data die op een zogenaamde drager (USB-stick of een CD of ander medium) staat, is de data zelf dus niet tastbaar. Dat maakt direct, dat juridisch gezien, niet gesproken kan worden van het eigendom van data en op basis daarvan er dus geen eigendom geclaimd kan worden, ondanks het feit dat men die data in de loop der jaren zelf heeft ‘ingeklopt’.
Op software rust een auteursrecht (artikel 1 Auteurswet) t.a.v. de maker van die software. Data vertoont weliswaar raakvlakken met software, maar een auteursrecht kan alleen rusten op een werk van letterkunde, wetenschap of kunst op grond van artikel 10 Auteurswet In welk artikel een limitatieve opsomming is gegevens van werken die daaronder vallen. Data komt in die opsomming echter niet voor. Op grond van jurisprudentie van de o.a. de Hoge Raad is het voorts zo, dat er alleen sprake kan zijn van auteursrechtelijke bescherming, indien het werk in kwestie een eigen oorspronkelijk karakter heeft en het werk het persoonlijke stempel draagt van de auteur. Dat persoonlijke stempel zou dan voort moeten komen, uit creatieve keuzes die gemaakt zijn, op basis van keuzes als voortbrengsel van de menselijke geest. Als het gaat om data, dan zal daar niet heel snel sprake van zijn.
Het databankenrecht in de vorm van de databankenwet, moet voorkomen, dat het gat dat er ligt waar het betreft data in relatie tot het eigendoms- en auteursrecht, data totaal onbeschermd zou zijn. Een databank of database is juridisch gezien een verzameling van gegevens, die systematisch/methodisch geordend is en anderszins toegankelijk is wel of niet d.m.v. een elektronische middelen en waarvan de verkrijging, de controle of de presentatie van de inhoud in kwalitatief of kwantitatief opzicht getuigt van een substantiële investering. Aldus artikel 1 sub a van de databankenwet. Die voornoemde investering ziet voor de goede orde en gek genoeg niet toe, op het genereren/verzamelen van de inhoud (nadruk) van de database, maar op de inspanningen die gemoeid zijn met de totstandkoming van de database zelf (lees het bedenken van de structuur van de databank en het in de markt zetten ervan). Voor kennisdatabanken die door een softwareleverancier in de markt gezet worden, kan men daar alles bij voorstellen. Maar bij het vullen door een gebruiker van een initieel lege database, kan men dat veel minder.
Zijn er dan geen andere wetsartikelen?
Op grond van de voornoemde drie belichte gebieden, kan men dus juridische gezien géén vuist maken tegen een softwareleverancier. Het verdient dus primair de voorkeur, om bij aanvang van de dienstverlening met de softwareleverancier in kwestie, in de overeenkomst, afspraken te maken, wat de rechten zijn bij een toekomstig afscheid. E.e.a. in de vorm van een zogenaamde exit-procedure.
Een generiek wetsartikel, waar in diverse contexten vaak een beroep op wordt gedaan, is 6:162 BW (de zogenaamde onrechtmatige daad). Waar het betreft de opgebouwde data, ligt de onrechtmatigheid hier, in het weigeren dan wel niet verstrekken van de data bij een afscheid van de softwareleverancier in kwestie. Het voorbeeld aanhalend, waar het betreft de gezondheidszorg, zijn gebruikers in die sector, op grond van artikel 7:454 lid 3 BW gehouden tot het langdurig bewaren van de data in kwestie. De patiënten in kwestie hebben op grond van de WGBO, maar ook op grond van de Algemene Verordening Gegevensbescherming (AVG) het recht om die data op te vragen, in te zien en indien gevraagd de data overgedragen te krijgen aan een derde. Aan die rechten moeten de partijen in kwestie wel invulling kunnen (blijven) geven, ook na het stoppen van een softwarelicentie. Het recht van overdracht van data aan een derde, in de vorm van artikel 20 AVG, voegt daaraan toe, dat e.e.a. geschiedt in een gestructureerde, gangbare en in een machine leesbare vorm. Een softwareleverancier, kan dus niet volstaan met een dump op papier.
In het verlengde van wat over de AVG is besproken bij het voornoemde over de onrechtmatige daad, het volgende. Patiënten zelf hebben op grond van de AVG, dus de nodige rechten waar het betreft persoonsgegevens. De definitie op grond van de AVG van persoonsgegevens, is kort gezegd, iedere vorm van data die herleidbaar is naar een natuurlijke persoon. I.g.v. patiënt data is dit dus alle data, immers alle data die is opgeslagen steeds is herleidbaar naar één specifieke patiënt. De dienstverleners in kwestie zouden dus namens de patiënten, sec op grond van de AVG kunnen vorderen, om afgifte van de data in kwestie bij einde van de overeenkomst.
U bent weer even bijgepraat. Wellicht reden om de eigen licentieovereenkomst op dit punt na te slaan. Primair is dat immers het makkelijkst om het daarin goed geregeld te hebben. Mocht u naar aanleiding daarvan hulp nodig hebben, dan weet u ons te vinden.