Softwarebedrijven controleren steeds vaker en intensiever of hun klanten oneigenlijk of onbetaald gebruikmaken van hun producten. Sommige leveranciers gebruiken de audit om extra omzet binnen te halen. Dat beweren onderzoekers van Forrester in een nieuw rapport over software-audits. Het gaat vaak fout bij virtualisatie, bij het insluiten van de ene software in de andere (multiplexing) en bij het gebruik door externen.
Ook inactieve gebruikersprofielen en per ongeluk lokaal geïnstalleerde programma's zorgen vaak voor problemen met licenties.
Hoewel softwareleveranciers vaak het recht hebben om te controleren of een klant zijn product wel gebruikt zoals afgesproken, noteerde Forrester veel klachten daarover. Organisaties klagen dat de handhavingscontroles te strikt zijn en de opgelegde licentieboetes te hoog. De gebruikers zijn zich vaak van geen kwaad bewust. De strikte controle zet de langetermijnrelatie tussen klant en leverancier dan ook onder druk, menen de onderzoekers.
Software asset management
Organisaties moeten de auditors een stap voor blijven door het beheer van de softwareproducten op orde te hebben. Met goed software asset management (SAM) kunnen zij hun softwareleverancier overtuigen dat de programmatuur volgens afspraak wordt gebruikt en dat controle dus geen extra omzet voor de leverancier oplevert. Door een softwarebeheerder of compliance manager aan te stellen, verkleint de kans op overtredingen.
De analisten adviseren ook om onduidelijkheid en onenigheid over softwarelicenties met de leverancier te bespreken voordat het controleteam langskomt. Bespreek de werkwijze van audits en let op de juiste contractversie en de precieze bewoording in het leveringscontract. Termen als 'daadwerkelijke gebruiker', 'geautoriseerde gebruiker', 'per processor' of 'per processorkern' leiden namelijk tot verschillende licentieverplichtingen.
Ook als uit controle blijkt dat er te weinig licenties zijn, terecht of onterecht, zijn er volgens Forrester vaak mogelijkheden om 'vriendschappelijke afspraken' te maken.
Softwarelicenties: waar gaat het mis?
Probleem |
Omschrijving |
Voorbeeld |
Virtualisatie |
Oorspronkelijke licenties per fysieke servers, blijven vaak van kracht. Dynamische spreiding van software over meerdere servers, betekent dat elk van deze servers een eigen licentie nodig heeft. |
Database draaide eerst op tien fysieke servers en de gebruiker had dus tien licenties. Nu draait alles op tien virtuele machines, verspreid over dertig servers. De klant had dertig licenties moeten kopen. |
Multiplexing |
Indirect gebruik van software door geïntegreerde toepassingen betekent nog steeds gebruik. Voor elke gebruiker van elke toepassing waarin de software is verwerkt is een licentie nodig. |
Een bank bouwde een klantenportal die financiële data uit een centrale applicatie ophaalt. De softwareleverancier vindt dat de bank voor elke klant een gebruikerslicentie moet hebben. |
Extern gebruik |
Software is alleen voor intern gebruik gelicenseerd. Vaak is de programmatuur ook beschikbaar voor derden, zoals klanten, leveranciers en verkopers. |
Zie voorbeeld hierboven. |
Inactieve gebruikersprofielen |
Audits tellen alle gebruikersprofielen, waarbij niet van belang is of de gebruiker de software daadwerkelijk gebruikt. |
Bedrijf gebruikte voor belangrijke programma's de active directory om gebruikersprofielen aan te maken voor alle medewerkers. Nu moet elke medewerker een licentie hebben. |
Per ongeluk geïnstalleerd |
Software die bewust of onbewust op meerdere computers is gezet door mensen die de gevolgen voor de licentie niet doorzagen. |
Grote organisatie biedt een centrale server waarvandaan medewerkers allerlei pc-software kunnen downloaden op hun lokale machine. Was niet voorzien in de aanschaf van licenties. |
Bron: 'Surviving A Software License Audit' (Forrester januari 2010)
Is hier sprake van, zoals de kop suggereert, misbruik ?
In mijn ogen eerder sprake van slecht software-beheer.
In de meeste gevallen is bekend hoe de licentieconstructie in elkaar zit, en daar heb je je aan te houden lijkt me.
Bij twijfel kun je altijd contact opnemen met de leverancier om te kijken wat er wel en niet mogelijk is.
Leveranciers maken er ook vaak een potje van met onbegrijpelijke voorwaarden… Ik zit zelf in die business en snap het vaak al niet. Per user (wat is een user in dit geval), named of concurrent, of nog mooier per processor core. Leuk als je een hardware upgrade doet, single core is niet meer te krijgen. En hyperthreading is geen echte fysieke core, hoe tellen we dat dan?
Het valt overigens niet mee om een duidelijke, eerlijke maatstaf te vinden voor de hoeveelheid gebruik. Misschien bitjes tellen, aantal berichten of omvang van de data?
… en nog even vergeten, wat te doen met Ontwikkel, test en acceptatieservers? Je kunt toch niet serieus verwachten dat een klant 4x licenties voor koopt, hiervoor moet iets in de voorwaarden worden opgenomen.
Compliancy lijkt het synoniem voor het creëren van “Shareholders Value” hetgeen wordt geïnitieerd door het zaaien van “FUD” (Fear, Uncertainty & Doubt) b.v. door leverancier en resellers gebruikt om een “annual cash flow” door klanten te regelen.
Des te meer reden om voor Open Source te kiezen. Vooral de licentiepolitiek van Microsoft, is ondoorzichtig en te complex.
Een softwareleverancier die jou telkens gaat controleren, dat moet je toch niet willen?
Softwareleveranciers hebben niet het “recht” om audits te doen, maar zijn dit simpelweg met de klanten overeengekomen in de licentietekst. En inderdaad..die wordt bijna nooit gelezen door een klant omdat er in tegenstelling tot open source licenties nog geen sprake is van enige uniformiteit onder de closed source licenties. Naar mijn smaak moet de klant zich al bij de verwerving van de software en de licentie gaan verdiepen in de licentievoorwaarden en daar ook op selecteren. Helaas is de realiteit dat dit nog steeds te weinig gebeurt.
Ik schreef hier een half jaar geleden ook al een artikel over:
https://www.computable.nl/artikel/ict_topics/overheid/2979059/1277202/licentiecompliance-overheid-nog-steeds-lastig.html