Driekwart van de bedrijven heeft zijn softwarelicenties niet op orde. Dat is een de belangrijkste conclusies van het jaarlijkse State of the (Software) Estate-rapport. Daarnaast laat het onderzoek nog een aantal interessante inzichten, resultaten én trends zien op het gebied van softwarelicentiemanagement. De meest positieve ontwikkeling: het is steeds vaker een thema waar op het hoogste niveau in organisaties over wordt beslist.
Het onderzoek van Flexera Software is gehouden onder 489 bedrijven uit 37 landen. Meer dan de helft van de onderzochte bedrijven is gevestigd in de Verenigde Staten. Het onderzoek richt zich voornamelijk op enterprises: een derde van de respondenten heeft een omzet boven de miljard dollar en een vijfde een omzet boven de drie miljard dollar. Dit zijn de drie belangrijkste resultaten:
De frequentie van audits stijgt
75 procent van de onderzochte bedrijven is out of compliance en heeft zijn softwarelicenties niet op orde. Dit brengt grote financiële risico’s met zich mee, omdat het aantal software audits stijgt. Twee derde van de ondervraagde bedrijven is in de afgelopen twee jaar ten minste één keer gecontroleerd. Dat is een lichte toename ten opzichte van vorig jaar. Het aantal bedrijven dat meer dan één keer (van 38 procent naar 46 procent) of meer dan drie keer (van 19 procent naar 23 procent) is gecontroleerd, is echter een stuk harder gestegen. De controles worden over het algemeen uitgevoerd door softwareleveranciers, en Microsoft is hierin de absolute koploper: 61 procent van alle audits werden door het bedrijf uit Redmond uitgevoerd. Op gepaste afstand volgen Adobe, Oracle, IBM en VMware (allen rond de 30 procent).
De boetes worden hoger
Niet alleen het aantal softwarecontroles stijgt, ook de claims die ermee gemoeid zijn worden hoger. Bijna de helft van alle ondervraagde organisaties (44 procent, tegenover 25 procent vorig jaar) heeft meer dan honderdduizend dollar moeten betalen aan softwareleveranciers, ter compensatie van het niet-compliant zijn. Een vijfde van de organisaties heeft zelfs meer dan een miljoen dollar aan claims neer moeten tellen. Dat is een verdubbeling ten opzichte van vorig jaar.
Bedrijven geven veel geld uit aan ongebruikte software
Organisaties besteden niet alleen een groot deel van hun budget aan claims, ze geven ook onnodig geld uit aan software die niet gebruikt wordt. Maar 7 procent van de organisaties gebruikt naar eigen zeggen ook daadwerkelijk alle software die is aangeschaft. Een derde denkt dat 10 procent van al hun software slechts dient als ‘shelfware’, voor een derde ligt dit percentage tussen de 10 en 20 en nog eens een derde heeft meer dan 20 procent van de software ongebruikt op de plank liggen. Ondernemingen profiteren daarnaast ook onvoldoende van de extra gebruiksrechten van software, zoals rechten om de software te upgraden, door een extra medewerker te laten gebruiken, in een virtuele omgeving te gebruiken et cetera.
Softwarelicentiemanagement
De resultaten laten duidelijk zien dat bedrijven in toenemende mate te maken hebben met zowel onder- als overlicensering van software én de bijbehorende financiële gevolgen. Het positieve hieraan is dat bedrijven zich ook steeds bewuster worden van de complexiteit van softwarelicenties en steeds meer het belang zien van softwarelicentiemanagement (75 procent van alle ondervraagde organisaties noemt het een belangrijk thema).
Directies kunnen licentiemanagement niet langer negeren en afdoen als verantwoordelijkheid van de it-afdeling. De financiële risico’s zijn immers zo groot, dat het wel een onderwerp móet zijn voor cfo’s. Wij zien dan gelukkig ook dat licentiemanagement steeds meer een topic voor de bestuurskamer wordt en daardoor in toenemende mate professioneler wordt uitgevoerd.
Defensiestrategie
Die professionele uitvoering gebeurt op twee manieren. De eerste, meer reactieve variant is het opstellen van een defensiestrategie voor audits. Wetende dat er hoe dan ook een audit gaat plaatsvinden en de hoogte van de boete steeds hoger wordt, is het zaak als bedrijf je hierop voor te bereiden. Een defensiestrategie bespaart je niet alleen geld, maar ook veel tijd en moeite als het zover is. Hoe ga je het procesmatig inrichten? Heb je de juiste licentie-experts klaarstaan die je per software publisher (met ieder hun eigen voorwaarden en afspraken) kunnen helpen
En vaak komt een audit niet alleen: misschien kun je in het kader van efficiëntie wel in één keer reageren op meerdere audits van verschillende software vendors. Wat interessant is, is dat het onderzoek laat zien dat het aantal organisaties dat ter voorbereiding zelf een interne audit uitvoert stijgt – 86 procent van de organisaties doet dat één keer per jaar. Deze aanpak levert concrete resultaten op, dus het is dan ook niet verbazingwekkend dat het onderzoek laat zien dat organisaties in toenemende mate tevreden zijn met het beheer van hun licenties.
Monitoring
De defensiestrategie is belangrijk, maar nog beter is de proactieve manier: het continu monitoren en optimaliseren van het eigen softwaregebruik – dat is de stap die bedrijven nu steeds meer gaan zetten. Hiermee sla je twee vliegen in één klap en ga je zowel onder- als overlicensering te lijf. De kans op een claim bij een audit wordt namelijk nog kleiner, terwijl je ook direct bijdraagt aan kostenreductie.
Organisaties betalen namelijk – naast een eenmalige investering bij de aanschaf van software – jaarlijks een fors bedrag aan support en updates. Bij middelgrote organisaties loopt dit al gauw op tot tien miljoen euro per jaar, waarvan één tot twee miljoen voor spullen die niet gebruikt worden. Iedereen kan zien dat dit overbodige uitgaven zijn. Bovendien kun je deze software wellicht inruilen voor andere software die wél wordt gebruikt en daarmee een nieuwe investering voorkomen. Soms kunnen de spullen ook doorverkocht worden, afhankelijk van de afspraken met de leverancier. Eén ding is duidelijk: het levert altijd significante besparingen op.
“Driekwart van de bedrijven heeft zijn softwarelicenties niet op orde. Dat is een de belangrijkste conclusies van het jaarlijkse State of the (Software) Estate-rapport.”
Niet alleen dat foutief Nederlands is, ook het verdere verhaal is onzinning. Het rapport rept over wel 489 bedrijven in 37 landen. Alleen in Nederland al zijn er zo’n 1.5 miljoen bedrijven. Dan is een aantal 489 in 37 landen wel heel mager.
Het hele verhaal leest als een brief van de BSA, dat soort brieven moet je verder negeren omdat ze vol onzin staan.
Verder worden er volgens de auteur steeds meer software audits uitgevoerd? Eh, wat? Sinds wanneer doe je daar vrijwillig aan mee?
Ook de onderbouwing van de rest van het artikel is allemaal gebaseerd op “wat de bedrijven zeggen” en laten die volgens het rapport nu niet eens weten wat ze gebruiken, anders zouden ze niet een boete van 100K of meer krijgen. Wat voor betekenis kun je dan hechten aan dat soort opmerkingen?
En ook de rest is redelijk tegenstrijdig. Maar lieft 44% procent (+19%) van die bedrijven heeft vorige jaar meer dan 100K boete gehad. Maar toch laat het onderzoek zien dat organisaties in toenemende mate tevreden (?) zijn met het beheer van hun licenties. Frapant zou ik zo zeggen. Tenzij dit uit de koker van de BSA komt, hun berichten zijn altijd onnavolgbaar.
Andries,
Dank voor je reactie en je correcte op mijn Nederlandse taal. Excuses. Jou reactie hoor ik vaker en is naar mijn mening ook de oorzaak van het probleem. Door te beredeneren dat het probleem niet bestaat, bestaat het voor bestuurders niet meer. Echter de realiteit en onze ervaring is wel degelijk anders.
Laten we uitgaan van 1,5 miljoen bedrijven in Nederland, al zijn het er wat minder, maar goed. Daarvan valt 96% in de category “midden- en kleinbedrijf”. Dit zijn ondernemingen met maximaal 250 werknemers. bron http://www.mkbservicedesk.nl/documenten/MKB in beeld 2016 v1.pdf
Dit zijn niet de bedrijven met het grootste software compliance probleem zijn en meestal ook niet de bedrijven waar een “bestuurskamer “ is. Veelal hebben die een andere organisatie structuur. Het onderzoek/artikel richt zich ook niet zo zeer op dit segment bedrijven. Dit is echter wel de groep bedrijven waar de BSA zich vaak op richt.
Omdat je het aanhaalt even kort over de BSA; Daarachter zitten duur betaalde advocaten die uit de boetes hun vergoeding moeten halen. Het feit dat de BSA nog steeds bestaat bekrachtigd dat dit voldoende opleveren en er dus voldoende revenuen/tekorten zijn. Ze schieten met hagel, maar er worden wel degelijk problemen gevonden waar van de schikkingen financieel interessant genoeg zijn.
Dan houden we nog 60.000 bedrijven over. Elk van deze bedrijven heeft van ca 2.000 – 3.000 software Publishers producten in huis. Dit lijkt veel, en is ook veel maar zeker de realiteit. Dit zien wij in de data die we van onze klanten beheren. Binnen deze groep worden inderdaad meer audits uitgevoerd, en hierbij praat ik niet over de BSA. Software publishers voeren zelf hun audits uit (met of zonder de big 4 accounting firms). Dergelijke audits zijn zeker niet optioneel. Naast dat het recht hierop onder Europees copyright recht is geregeld, is dit ook opgenomen in de overeenkomsten van alle grotere software bedrijven. Dit is zeker niets optioneel voor het bedrijf in kwestie. Een kostbaar proces met bijna altijd negatieve gevolgen. Dit weet ik uit door 19 jaar actief te zijn in dit vakgebied.
Is het onderzoek statistisch een goede steekproef? Zeker niet dat ben ik gelijk met je eens. Helaas zijn er mijn weinig goede onderzoeken en ook weinig bedrijven die in de openheid willen vertellen hoeveel het tekort is. Maar om het daarom het artikel en het onderzoek als ‘onzinnig’ te markeren is op zijn minst ook onzinnig. Het onderzoek onderschrijft wat wij dagelijks meemaken. En dit geld voor bedrijven met meer dan 100.000 werknemers als bedrijven met 5.000 werknemers die we helpen dergelijke problemen te voorkomen.
Cijfers (al zijn het percentages) zijn altijd een punt van discussie, persoonlijk denk ik – op basis van empirisch onderzoek – dat het MKB juist het grootste compliance probleem hierin heeft als gevolg van het ’te klein voor het tafellaken en te groot voor het servet’ syndroom. BSA richt zijn pijlen niet voor niks hierop want ze kunnen niet terug schieten met een kanon, weinig MKB bedrijven hebben duur betaalde advocaten in dienst.
Sorry Mark maar je opinie is procentueel gezien voor 50% onzin. Ik denk dat een MKB bedrijf een heel ander probleem heeft als ze tot 3.000 ‘call homes’ naar verschillende adressen hebben. Want meeste kleine software huizen (niet vertegenwoordigd door BSA) gebruiken nog steeds software dongles en geen licenties dus daaraan kan dit opmerkelijke verkeer niet liggen.
Beste Mark,
Ik denk dat je m’n reactie niet juist begrepen hebt. Maar laten we ons voor de duidelijkheid even beperken tot de 96% van de bedrijven, het midden- en kleinbedrijf.
Ik ontken niet dat er een mogelijk licenties probleem bestaat (waar staat dat?). Ik weet dat het bestaat, zowel te veel als te weinig betaald. Uit de praktijk blijkt dat je teveel betaalde licenties eigenlijk nooit terug krijgt, maar dat je wel een schikking krijgt voorgelegd als het er te weinig zijn. In mijn optiek is allebei diefstal en zou je bij een audit het teveel betaalde gewoon terug moeten krijgen.
Maar je artikel probeert een angst op te wekken die me aardig tegen staat, net zoals in de brieven van de BSA gebeurd. Die heb ik hier legio aan de muur hangen en neem ze voor kennisgeving aan. Het boeit me niet dat de toon steeds agressiever en dreigender wordt. Uiteraard zal ik nooit een “verklaring van legitieme software” invullen. Waarom zou ik?
Je kunt als software leverancier van alles in je voorwaarden opnemen en van alles (proberen) te regelen via het Europees copyright recht, dat geeft je nog steeds geen toestemming om ergens binnen te stappen om daar de zaak maar eens te gaan controleren.
Die stelling is juridisch, op z’n zachtst gezegd, nogal onhoudbaar.
En dat is wel wat nu juist de ondertoon in jouw artikel is. Ook in je antwoord herhaal je dit en zeg je zelfs letterlijk: “Dit is zeker niets optioneel voor het bedrijf in kwestie”.
Onwaar Mark, dat soort zaken zijn niet af te dwingen via voorwaarden en al zeker niet via het copyright wat een heel ander doel heeft. Je zou het best in je voorwaarden kunnen zetten, maar een rechter zou daar wel heel korte metten mee maken (dispropostioneel), met zelfs als mogelijk gevolg dat al je voorwaarden nietig worden verklaard.
Dreigen met grote boetes; boetes die vele malen hoger zijn dan dat wat je kwijt zou zijn aan licenties… Een software leverancier kan geen boetes opleggen. Dat is voorbehouden aan de daartoe bevoegde instanties. En die leverancier zal e.e.a. via het civielrecht moeten afdwingen. En de praktijk daarvan is, dat dat niet zo eenvoudig is als jij en de BSA het doen voorkomen. Het rond krijgen van bewijslast valt echt niet mee als je geen audit kunt doen.
Dan zou alleen de weg via het strafrecht nog openstaan en die weg is mogelijk nog moeilijker.
Ik snap wel dat jouw bedrijf z’n geld verdient met het licentiebeheer. Goede zaak zou ik zo zeggen, maar je probeert net als de BSA een enorme angst te zaaien.
Andries,
Als ik je reactie zo lees lijkt het inderdaad of we een beetje langs elkaar heen praten. Het onderzoek en ikzelf richten ons met name op de andere 4%. Juist niet de 96% van de bedrijven die door de BSA bestookt worden. Dit is met hagel schieten en hopen dat ze iemand raken. Wij adviseren klanten ook om dergelijke dreig brieven niet serieus te nemen. Echter vinden we wel dat je het goed moet regelen.
Dit geld nog sterker voor die andere 4 %. De bedrijven met meer dan 250 werknemers waar wekelijks in de bestuurskamers de situatie en risico’s van het bedrijf wordt besproken. De bedrijven waar software een belangrijk is en soms zelfs een onmisbaar element is in hun bedrijfsvoering. Het doel van dit artikel is zeker niet om angst te zaaien. Het is meer een advies wat gedreven wordt door mijn verbazing. De verbazing dat er maar zo weinig bedrijven dit probleem serieus nemen terwijl er dwingende bedrijfsmatige en financiële redenen zijn om dat dit wel te doen. Verbazend dat het gewoon geen onderwerp is, totdat er een probleem is en ze met hun rug tegen de muur staan. En zelfs dan vaak nog niet op zoek gaan naar een structurele oplossing. Maandelijks, zo niet wekelijks zien wij hier de consequenties van en die liegen er niet om. Terwijl het vaak ook goed gebruikt kan worden om kosten te besparen.
En de verzameling van de bewijslast? Het is relatief makkelijk voor een software bedrijf om naar binnen te komen. De software blijft hun eigendom en als gebruiker heb je alleen het gebruiksrecht. Het is ook aan jou als gebruiker om aan te tonen binnen dat gebruiksrecht blijft. Natuurlijk kunnen er niet zomaar mensen door de deur naar binnen komen, maar om ervoor te zorgen dat justitie dit doet is niet complex en dat gebeurd ook zeker. Dit bij kleinere bedrijven alsmede bij grotere. Het is niet vreemd dat justitie een bewijsbeslag uitvoert bij bedrijven indien de software leverancier aannemelijk kan maken dat er sprake is van onrechtmatig gebruik, en er een angst is dat het bedrijf in kwestie bewijs zal vernietigen. De eigenaren van copy staan hierin redelijk sterk en om, in een digitale wereld, dit aannemelijk te maken is niet complex. Hiervoor moeten ze zeker langs de rechter, maar je zou verrast zijn hoe makkelijk dat proces is. Het is wel een middel wat meer wordt toegepast in die 96% dan in de 4%. Maar ook daar komt het voor; ter illustratie:
http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2010:BN9646
Juist omdat ze zo sterk gaan gaan veel bedrijven akkoord met het delen van data en staan ze het zelf toe dat software leveranciers scripts draaien op hun infrastructuur. Dan is de bewijslast snel gevonden.
De boete cultuur is sterk bij de BSA en we zien dat dergelijke absurd hoge boetes meer voorkomen bij de door de BSA uitgevoerde trajecten dan bij de audits die door de software publishers. Maar ook daar ken ik lego voorbeelden waar dit zeker wel het geval is, of het in ieder geval wordt geprobeerd.
Elk bedrijf is verantwoordelijk voor een goede financiële administratie. Als een accountants kantoor waarschuwt voor de financiële consequenties van het niet voeren, of het onkundig opzetten van een financiële administratie m.b.t. een belasting controle, is dat angst zaaien of goed advies? Voor een licentie administratie geld hetzelfde. Als de ontwikkelingen voor SOX compliance doorgaan zoals nu, zou het mij niets verbazen als dit ook onderdeel gaat worden van de jaarlijkse accountants controle.
Hoi Mark,
Ik hoop dat je het me niet kwalijk neemt, maar ik blijf je verhaal toch met de nodige kritiek bekijken. De deeplink die je meestuurt gaat over een zaak waarin m.i. geen duidelijke winnaar is.
Ik heb niet de conclusie van antwoord van de zaak van “2 juni 2010” gelezen, maar als die van dezelfde strekking is dan vind ik niet dat de eiser nou zondermeer gewonnen heeft. Maar onderschrijft het juist mijn argument dat een software leverancier heel wat moeite moet doen om z’n gelijk te halen.
Ik ben het absoluut niet met je eens dat het aan de gebruiker is om aan te tonen dat die binnen het gebruiksrecht van de aangeschafte software blijft. Alleen de belastingdienst heeft een omgekeerde bewijslast. Voor alle het andere geldt dat jij moet aantonen dat een ander misbruik maakt.
Dat onderschrijf je zelf eigenlijk ook, citaat: “Het is niet vreemd dat justitie een bewijsbeslag uitvoert bij bedrijven indien de software leverancier aannemelijk kan maken dat er sprake is van onrechtmatig gebruik.”. Juist, en daar zit ‘m de kneep, toon dat onrechtmatig gebruik nu maar eens aan. Justitie brandt z’n vingers niet graag aan dit soort zaken. Dat betekent nogal wat voor je bewijsvoering.
Natuurlijk zijn er zaken die als een open deur zijn, bijvoorbeeld bij gebruik van Office365 en dergelijke. Je kunt als gebruiker natuurlijk ook gewoon naïef zijn.
Ik ben het met je eens dat de accountants een steeds grotere rol (willen) spelen. De zeker niet gewenste macht die accountants zich in toenemende mate toeëigenen, is mij een doorn in het oog. Het bedrijfsbeleid wordt straks niet meer in de bestuurskamer bepaald maar op het kantoor van de accountant. Het bedrijf waar ik werkzaam ben, valt nog in de 96%. Onder dreigement van de jaarrekening niet te gaan goedkeuren bemoeien ze zich met steeds meer zaken die m.i. niet op het bordje van de accountant liggen.
Ik ben van mening dat in de bestuurskamers eens de moed zou moeten worden opgepakt om, naast het in orde brengen van de licenties, eens te kijken naar alternatieven voor al die licenties. Doen wij ook want die alternatieven zijn er genoeg. En ja, alternatieven die kosten ook geld. Maar licenties gaan als je niets doet heus niet minder op de balans drukken. Daar werken wij heel hard aan. En dat betekent voor ons een net iets gunstiger marge in een markt die toch al onder druk staat.
En de technologische ontwikkelingen geven ons gelijk. We kijken nu al naar de Raspberry Pi als vervanger van de traditionele werkplek pc. Daarmee kunnen de kosten per werkplek een stuk verder omlaag. Ideaal als de medewerker voldoende heeft aan een webbrowser. We hebben laatst eens uitgerekend dat bij een complete vervanging door een Pi ons dat 30K per jaar zou kunnen besparen. Strategische keuzes maken, daar gaat het om en niet blind alles maar upgraden en vervangen door weer alles van hetzelfde.
En met alle respect voor het bedrijf dat je runt, ik geef m’n geld toch liever uit aan het zo licentieloos proberen te maken van de company dan jou in te huren om zekerheid te hebben over wat we elk jaar weer af mogen dragen.
Andries,
Ik had de link bijgesloten om te laten zien dat dergelijke beslagleggingen ook in Nederland gebeuren en ook bij grotere ondernemingen. Over die bewijslast wil ik me niet teveel uitweiden maar ik kan je garanderen dat dit veel makkelijker is dan dat jij vermoed. Zelf heb ik 11 jaar voor een grote software leverancier gewerkt in deze tak van sport. Natuurlijk worden deze zaken zelden in de rechtszaak uitgevochten, en een setllement is in 99% van de gevallen de uitkomst.
Je spreekt tegen een bekeerde als het gaat om de ontwikkelingen waar je voor kiest. En al helemaal als het om open source gaat (al hebben die ook hun ‘licentie’ issues) Voor jou informatie ontwikkelen wij ook alles open source en zijn phython enthusiast. Zelf heb ik nog nooit Raspberry Pi in een zakelijke context gezien, maar dergelijke ontwikkelingen gaan software gebruik veranderen. Cloud licentie modellen zijn daar tot nu toe het antwoord op.
Echter, ondanks onze open-source insteek, heb ik toch al betaalde software van 170 software leveranciers in huis en dan ben ik nog maar een klein bedrijf. Bij veel van onze klanten is dat tussen de twee- tot drie duizend. Het is dus ook de vraag of je op korte termijn dit helemaal kan bannen.
Het lijkt er op dat ook jij bestuurders aanmoedigt om het op de agenda te zetten. De ‘lock-in’ van enterprise software is voor veel bedrijven een (financiële) monster. Wij roepen helemaal niet dat elk bedrijf ons in moet huren. We vinden wel dat bestuurders wel bewust moeten zijn van de kansen en risico’s. Daarnaast is het belangrijk dat deze strategische keuzes op de juiste feiten moet worden gemaakt. Het lijkt er op dat het bij jullie duidelijk op de agenda staat. Ik hoop dat de keuzes ook worden gemaakt op basis van de goede informatie over het gebruik en contractuele trucjes die leveranciers uithalen om toch vergoedingen op te strijken. Veel bedrijven zijn daar echter niet zo in thuis en voor de meeste van onze klanten verdienen we op termijn met gemak onze kosten terug, en vaak veelvoud van dat. Het is erg goed mogelijk om in 3 jaar 30-40% van de software kosten te verminderen door goed inhoudelijk management ervan.
En mocht je onverhoopt toch nog eens een audit krijgen en er niet helemaal uit komen, dan is het misschien toch wel prettig om te weten dat er bedrijven als de onze bestaan die er voor kunnen zorgen dat dit zo min mogelijk oplevert. 😉 Success met Raspberry Pi, klinkt interessant.