Nieuwe Europese wetgeving kan voor belemmeringen zorgen bij fabrikanten in de ontwikkeling en het gebruik van Open Source Software. Terwijl de Europese Unie lovend is over Open Source software, en het gebruik zelfs aanwakkert. Moeten fabrikanten stoppen met het gebruik van open source software? Of zijn er binnen de al bestaande Europese wetgeving ook kansen te vinden?
Zorgt Europese wetgeving voor problemen bij fabrikanten die open source software gebruiken?
De EU MDR en de EU AI Act stellen dat ontwikkelaars van software ervoor moeten zorgen dat hun software nauwkeurig en veilig is en transparant is over risico’s en gegevensgebruik in duidelijke technische documentatie. Dit kan problemen opleveren voor fabrikanten die open source software implementeren en/of in een product gebruiken die moet voldoen aan de EU MDR en/of de EU AI Act. Als een product door het gebruik van open source software (toevallige) storingen, systematische fouten en/of beveiligingsproblemen zou krijgen dan kan dit de fabrikant in een lastige situatie brengen.
Is nieuwe wetgeving een belemmering voor op open source gebaseerde innovatie?
Open source ontwikkelaars worden hierdoor bang voor het vrijgeven van hun code. Want in een “worse case” situatie zouden ze van de fabrikant de schuld kunnen krijgen van bijvoorbeeld storingen die in een product zijn ontstaan. Met als mogelijk gevolg dat de ontwikkeling van software voor AI vooral door particuliere bedrijven wordt gedaan. Prioritaire code is moeilijk te analyseren en op voort te bouwen, wat betekent dat innovatie wordt belemmerd.
Zijn uitzonderingen nodig voor opensource ontwikkelaars?
De open source community ziet dit risico ook ontstaan. GitHub-topman Thomas Dohmke liet daarom op de Open Source Policy Summit in Brussel van zich horen. Hij vindt dat er op de EU AI Act uitzonderingen gemaakt moeten worden voor Open source ontwikkelaars. Open source is zodanig van belang voor Europese overheden en bedrijven, en de werkwijze van de open source community spiegelt zodanig de Europese waarden, dat zij een aparte status zou moeten krijgen. Door eenzelfde strenge regulering toe te passen op open source zou de open source community belemmerd worden in haar activiteit en ontwikkeling.
Heeft Open source een speciale positie in het beleid van de EU?
De GitHub-topman refereert hierbij indirect naar de speciale positie die de EU voor Open source in haar beleid heeft. Deze speciale positie is terug te vinden in een medeling aan de Europese Commissie over de Open source strategy 2020-2023 en over de Digital strategy uit 2022. Beide zijn semiofficiële documenten, bedoeld om anderen een beter beeld te geven van strategie en wetgeving in Europa.
In het document over de open source strategie is de tekst lovend en hoopvol over de ontwikkelingen in de open source community. Open source wordt gezien als een pijler van de Europese digitale strategie. Deze helpt om Europa meer autonoom te maken en het versterkt de digitale positie van Europa in de wereld. Het delen en het hergebruik van software en andere documenten is voordelig voor iedereen en deze kenmerken van open source dienen dan ook bevorderd te worden. Open source wordt beschreven als “Free and open software”, waar de licentie gebruikers de mogelijkheid geeft om niet alleen de software te gebruiken, maar ook te wijzigen en te verspreiden. Niet alle licenties zijn even flexibel, maar de kern, het “Think open” principe dat als eerste genoemd wordt, geeft aan dat Europa een enthousiaste gebruiker is en ook een bijdrage levert aan de community. De Europese Commissie ziet open source als basis voor publieke dienstverlening en staat achter de werkwijze en cultuur van de open source community.
Het document “Digital Strategy” schetst een ideaal beeld van een digitale samenleving voor Europa. In het digitale landschap worden “people, processing, data and technology” zodanig probleemloos met elkaar verbonden, dat Europa een voorbeeld kan worden in de digitale wereld. In de paragraaf over “Digital souvereignty and autonomy” wordt open source direct genoemd als ondersteunend. Ook in de voetnoten komen verwijzingen naar open source frequent voor. Bij het creëren van het digitale landschap wordt een versterking van het gebruik van open source software genoemd.
Zal een speciale positie leiden tot uitzonderingen in Europese wetgeving voor open source software ?
Als conclusie kun je stellen, dat de Europese Commissie inderdaad een speciale positie voor open source software heeft. Maar de kans dat dit zal leiden tot uitzonderingen in bijvoorbeeld de EU AI Act lijkt ons klein. Wij denken dat de Europese Commissie eerder zal verwijzen naar geharmoniseerde standaarden die het gebruik van Off The Shelf (OTS) / Software of unknown provenance (SOUP) software al behandelen. Zoals in de IEC 62304.
Wat zegt de IEC 62304 over SOUP ?
De IEC 62304 is een standaard die van toepassing is op de ontwikkeling en het onderhoud van Medical Device Software, als ook op het ontwikkelen en onderhouden van een medisch hulpmiddel dat gebruik maakt van SOUP. Samengevat neemt een fabrikant de volgende acties;
- Documenteren van de vereisten aan het SOUP-item
- Inschatten van de risico’s van een type SOUP-item
- Selecteren, identificeren en noteren dat het SOUP-item wordt gebruikt,
- Ontwerpen van de softwarearchitectuur om het SOUP-item op te nemen
- Controleren of het SOUP-item aan de eisen voldoet
- Bewaken van het SOUP-item
Zo kan een fabrikant voor het releasen op de markt inschatten of er (toevallige) storingen, systematische fouten en/of beveiligingsproblemen ontstaan. En hierover in contact treden met de Open Source community.