Samen software beveiligen?
Gebruikers van software vertrouwen op hun onderhoudscontract voor de software. Daar betalen ze ook voor, dus dat moet wel genoeg zijn. De werkelijkheid vraagt meer en dat komt door een aantal bijzondere kenmerken van software.
Software belangrijkste onderdeel van informatiesysteem
Zo zijn gebruikers geen eigenaar van het product software en kunnen zo ook niet beschikken over het hele product. Dat heeft te maken met het auteursrecht, dat op software rust. Wel is software het belangrijkste onderdeel van een informatiesysteem dat verder bestaat uit hardware, gegevens, gebruikers en procedures. De software bepaalt welke gegevens verwerkt kunnen worden en welke wet- en regelgeving op een informatiesysteem rust. In dat kader komen er steeds meer verplichtingen voor gebruikers van informatiesystemen, denkt u aan de registratie van persoonsgegevens (AVG).
Wil een organisatie echt grip krijgen op hun software en daarmee op het hele informatiesysteem, dan moet er aandacht worden besteed aan de volgende punten:
Rechtszekerheid: Op grond van de licentieovereenkomst heeft de gebruiker alleen recht op de digitale versie van de software; de versie in nullen en enen waarmee een computer werkt. Met deze versie kan men de software niet onderhouden en doorontwikkelen. Maar juist daarvoor hebben gebruikers toch een onderhoudscontract, zult u denken? Dat klopt, maar in de levensloop van software kunnen ontwikkelingen voorkomen waardoor de zekerheid van het onderhoud weg kan vallen. Zo kan er bijvoorbeeld een andere eigenaar van de software komen, die het niet meer wil onderhouden, kan het onderhoud van de software te duur worden (economische veroudering) of kan de functionaliteit verouderen. Bij rechtszekerheid gaat het natuurlijk vooral ook om het belang van de gebruikers. Doet de organisatie eigenlijk wel zaken met de partij die over het auteursrecht, de documentatie en de broncode van de software beschikt?
Zekerheid over de informatietechnologie: Alles wat te maken heeft met de ontwikkeling van software bevindt zich binnen de muren van de softwareontwikkelaar. Dat kan een risico zijn. Beter is het voor de gebruiker, dat het ook ergens anders goed beschermd ligt. Denkt u bijvoorbeeld aan de kluis van de IT-notaris. Dan is het zelfs bestand tegen een curator!
Informatiebeveiliging: Op vrijwel alle gegevens in informatiesystemen rusten bewaarplichten (en tegenwoordig zelfs vergeetrechten). De bekendste bewaarplicht voor ondernemers is natuurlijk de fiscale bewaarplicht (7 jaar). Voor patiëntgegevens is de bewaarplicht 15 jaar. En bewaren, alleen in digitale vorm, is niet genoeg. De gegevens moeten ook leesbaar en geschikt voor bewerking blijven. Daarvoor is vaak de software nodig waar de gegevens mee zijn vastgelegd.
Professionele regeling en nazorg: Als gebruiker van software is het tenslotte belangrijk om na te denken wie kan helpen bij het krijgen van grip op de gebruikte software. Dat is helaas niet één persoon zoals bijvoorbeeld de al genoemde IT-notaris. Software heeft raakvlakken met veel professioneel uitgeoefende beroepen, zoals de accountant, de IT-auditor en de nieuwere beroepen IT-juristen en de Beëdigd Informaticadeskundige. Daarbij is ook van belang of, en hoe de nazorg van tevoren is geregeld in het geval van een calamiteit.
Als u nu denkt: “ook dat kan er nog wel bij!” Dan helpt het u misschien te weten dat er professionele partijen zijn waar u deze zorgen en verplichtingen aan kunt uitbesteden. De Software Borg Stichting is zo een partij.
Auteur: Henri Hensen
Beëdigd Informaticadeskundige en bestuurder Software Borg Stichting
