EU: Voorgestelde aansprakelijkheidsregels zullen Vrije Software schaden
De EU debatteert momenteel over de invoering van aansprakelijkheidsregels voor software, inclusief Vrije Software. De relevante voorstellen zijn de Verordening KI, de Richtlijn Productaansprakelijkheid (PLD) en de Verordening Cyberveerkracht (CRA).
Het belangrijkste debat vindt plaats rond de Verordening Cyberveerkracht. We zullen daarom met deze verordening als voorbeeld de risico's en oplossingen bespreken.
Hoewel we de discussie over meer cyberveiligheid verwelkomen, betwijfelen we of de invoering van aansprakelijkheid alleen zal leiden tot meer cyberveiligheid. Vooral in Vrije Software zijn er al vergaande veiligheidsmaatregelen aanwezig. Die maatregelen verschillen van die van propriëtaire software.
Het voorstel om Vrije Software "buiten het kader van een commerciële activiteit" uit te sluiten zou een groot deel van de software die niet gedekt, maar wel gebruikt wordt, uitsluiten. Tegelijkertijd zouden kleinere en projecten zonder winstoogmerk benadeeld worden omdat zij grote kosten moeten dragen.
Wij stellen daarom een oplossing voor die zal leiden tot meer veiligheid en tegelijkertijd het ecosysteem van Vrije Software beschermt:
- Aansprakelijkheid moet worden verschoven naar degenen die Vrije Software implementeren in plaats van degenen die Vrije Software ontwikkelen
- Degenen die aanzienlijk financieel voordeel halen uit deze implementatie moeten ervoor zorgen dat de software CE-conform wordt
Vrije Software met zijn vier vrijheden om de code te gebruiken, te bestuderen, te delen en te verbeteren maakt het voor iedereen gemakkelijk om de code te ontwikkelen en te verbeteren, terwijl het voor iedereen beschikbaar wordt gemaakt. In het geval van beveiligingsincidenten, kunnen ontwikkelaars, die misschien maar een kleine of microvergoeding krijgen, geen winstoogmerk hebben of zelfs geen euro verdienen voor hun werk , aansprakelijk zijn. Hen aansprakelijk stellen zou tot grote lasten kunnen leiden die projecten niet alleen aankunnen. Vrije Software is tegenwoordig overal, en zij die Vrije Software gebruiken, vooral Vrije Software van kleine projecten, moeten meer verantwoordelijkheid op zich nemen, al was het maar uit eigenbelang.
De last van de aansprakelijkheid bij deze entiteiten, klein of zonder winstoogmerk, zou het Vrije Software-ecosysteem schaden en dus ook de maatschappij en het bedrijfsleven, omdat door het gebrek aan fondsen en middelen om deze procedures te doorlopen, sommige van deze projecten misschien helemaal moeten stoppen, zonder dat dit noodzakelijk zal leiden tot meer veiligheid. Bovendien hebben veel kleine Vrije Softwareprojecten al goed werkende veiligheidsbeoordelingen. Het introduceren van nieuwe werkstromen of zelfs het raadplegen van derden zou financiële gevolgen hebben die bijna niet te dragen zijn. Manieren om het financieringsprobleem aan te pakken zouden een speciaal fonds kunnen zijn om deze projecten te ondersteunen, of de introductie van een puntensysteem dat laat zien hoeveel een bedrijf investeert in de veiligheid van de Vrije Software-projecten dat het gebruikt. Geen van deze voorstellen kan echter snel geïmplementeerd worden, dus zal het probleem blijven bestaan. Daarom lijkt het overdragen van de aansprakelijkheid aan diegenen die de software implementeren en er aanzienlijk voordeel uit proberen te halen een betere oplossing te zijn.
Om dit aan te pakken moet de huidige formulering worden verbeterd. Het concept van "commerciële activiteit" moet vervangen worden door een benadering die gericht is op de inzet in plaats van op de ontwikkeling. En de verantwoordelijkheid om om aan deze vereisten te voldoen moet liggen bij de entiteit die voordeel haalt uit de markt. Ook moeten er vrijstellingen worden ingvoerd voor organisaties zonder winstoogmerk en micro-ondernemingen. Met andere woorden: de aansprakelijkheid moet verlegd worden naar degenen die deze oplossingen implementeren en die substantiële winstgerichte bedrijven zijn.
Dit zal ervoor zorgen dat alle Vrije Software-oplossingen die op een substantiële manier worden gebruikt zullen worden beoordeeld volgens de aansprakelijkheidsregels in de CRA, PLD en Verordening KI, maar de financiële last verschoven zal worden naar degenen die proberen winst te maken met deze oplossingen. Zij zullen dus degenen moeten zijn die ervoor moeten zorgen dat iemand de procedures doorloopt die nodig zijn om hun software het CE-label te geven. Implementeerders zouden kunnen samenwerken en ervoor kunnen zorgen dat ze projecten financieren die ze gebruiken of de procedures zelf doorlopen. Ze zouden ervoor moeten zorgen dat wijzigingen worden teruggekoppeld naar de projecten. in de projecten.
We presenteerden dit standpunt ook tijdens een openbare hoorzitting in het Europees Parlement.
Het is een complex debat met verreikende implicaties en dagelijks veranderende standpunten. We zullen de komende maand aan dit onderwerp blijven werken. Als u geïnteresseerd bent om betrokken te raken of deel te nemen aan onze activiteiten, neem dan via e-mail contact met ons op.