De Python Software Foundation (PSF) is ontevreden met nieuwe EU-wetgeving omtrent cybersecurity. Volgens hoofd van de PSF Deb Nicholson kunnen open-source developers verantwoordelijk gehouden worden voor code waar zijzelf niks aan verdiend hebben.
De EU heeft vorig jaar twee wetten opgesteld, die nog niet goedgekeurd zijn door het Europees Parlement en de Europese Commissie. De Cyber Resilience Act stelt softwarebedrijven verantwoordelijk voor enige security-zwaktes in hun producten. Daarnaast zorgt de Product Liability Act ervoor dat updates die een applicatie onveilig maken kunnen leiden tot schadeclaims.
Te ruim
De argumentatie van de PSF is dat de EU-wetgeving te ruim is opgesteld. Er wordt geen onderscheid gemaakt tussen grote bedrijven die software verkopen en open-source developers die geen financieel oogmerk hebben bij hun code. Veel commerciële producten bevatten namelijk open-source code, die onder andere in Python geschreven kunnen zijn.
De straffen kunnen oplopen tot 15 miljoen euro of 2,5 procent van de jaaromzet, afhankelijk van welke geldsom hoger uitkomt. De reële dreiging van een dergelijke straf kan volgens de PSF ertoe leiden dat de open-source gemeenschap afzwakt. Het is immers niet te voorspellen wat er met publiekelijk beschikbare code wordt uitgevoerd.
Hoewel er uitzonderingen voor open-source software staan in de voorgestelde EU-wetgeving, biedt dit niet volledige zekerheid. PSF mag dan een non-profit organisatie zijn, maar het biedt alsnog codeerlessen en merchandise-verkoop bij conferenties. Dit betekent dat de groep alsnog commerciële activiteiten uitvoert, waardoor de wet ze niet zou beschermen.
Val van big tech
Tegenover The Register meldt beleidsexpert Bradley Kuhn van de Software Freedom Conservancy dat er een valstrik op weg ligt. Grote bedrijven zouden namelijk profijt kunnen halen uit de clausules waar open-source developers om vragen. ‘Een algemene vrijstelling voor open-source developers is een poging van bedrijven om deze groep in te zetten ter omzeiling van hun verantwoordelijkheid.’ Het laatste woord is dus nog niet gezegd over deze kwestie.
Lees ook: Evenementen, euro’s en centen: de staat van open source in 2023
6 minuten geleden
Expert bijdrage
