Hvordan er det med GDPR og databehandleransvar i forhold til OS2-fællesskabet og Open Source-produkter?

Foreningen OS2 er hverken leverandør af it-produkterne i porteføljen eller behandler af persondata i relation til disse produkter. Databehandleraftaler er et anliggende mellem den enkelte myndighed (kunden) og den part (leverandøren), som leverer drift, support og andre ydelser af Open Source-produktet fra OS2's portefølje. Dette gælder dog kun, hvis produktet anvendes i en kontekst, hvor der behandles personoplysninger. Databehandleransvaret er specifikt knyttet til, hvordan personoplysninger bliver behandlet, og ikke nødvendigvis til selve it-produktet (softwaren).

Hvad er OS2s rolle?

OS2 er en forening, der påtager sig ansvaret for at etablere en styringsramme og facilitere samarbejde mellem myndigheder, som anvender det samme open source software. Dette samarbejde, som OS2 etablerer og tager ansvar for, indgår aftaler med private virksomheder (leverandører) om vedligeholdelse og udvikling af software – både den bagvedliggende kildekode og dokumentation. Alle resultater fra dette samarbejde offentliggøres under en open source-licens (godkendt af Open Source Initiative). OS2 samt de involverede myndigheder og leverandører fungerer som "maintainers" af den bagvedliggende kildekode og påtager sig et produktansvar – nemlig at levere korrekt og sikker kode.

Hvad hvis OS2 indgår aftale om hosting?

I nogle tilfælde udvides den aftaleramme, som OS2 indgår med leverandører, til også at omfatte andre services såsom hosting, drift og support. Hvis open source-softwaren anvendes i en kontekst, hvor der behandles personoplysninger, betragtes leverandøren af disse services som databehandler. De myndigheder, der anvender it-produktet via OS2-samarbejdet, har derfor pligt til at indgå en databehandleraftale med den pågældende leverandør.

Har OS2 et produktansvar?

OS2 er licensgiver af open source-software og har typisk ikke produktansvar. Produktansvaret for open source-software adskiller sig fra kommerciel software, primært på grund af open source-licensens natur. Open source-software distribueres normalt med specifikke licensbetingelser, der definerer ansvar og garanti.

Fravær af garanti: Open source-software leveres "som den er" ("as is"). Dette betyder, at hverken udvikleren eller licensgiveren garanterer, at softwaren er fejlfri eller sikker.

Ansvarsfraskrivelse: De fleste open source-licenser fastslår tydeligt, at udvikleren eller licensgiveren ikke kan holdes ansvarlig for eventuelle skader, herunder økonomiske tab, der opstår ved brug af softwaren.

OS2-fællesskabet anvender primært MPL 2.0 (Mozilla Public License 2.0) til distribution af software. Denne licens indeholder en eksplicit ansvarsfraskrivelse, som er standard i de fleste open source-licenser. Det betyder, at licensgiveren (OS2) ikke er ansvarlig for eventuelle skader eller problemer, der opstår ved brug af softwaren. Licensen beskytter også bidragsydere og licensgivere mod juridiske krav om skader, der måtte opstå som følge af softwarens brug.

I sidste ende er brugeren af open source-produktet selv ansvarlig. Brugeren kan på egen hånd eller gennem OS2-samarbejdet vælge at indgå aftaler med leverandører om specifikke ydelser, herunder at påtage sig produktansvaret.

OS2 påtager sig derfor udelukkende et etisk ansvar for at levere korrekt og sikker kode (etisk produktansvar). Dette ansvar kan OS2 kun løfte, hvis brugerne af open source-softwaren er aktivt deltagende og bidrager dertil. Rollerne kan opsummeres således:

• Licensgiveren (OS2) af open source-softwaren har typisk ikke produktansvar, da softwaren leveres "som den er", uden garanti.
• Brugeren (Myndigheden) af open source-softwaren har ansvaret for at sikre, at softwaren fungerer korrekt og sikkert i deres kontekst.
• Virksomheder (Leverandøren), der tilbyder kommercielle ydelser omkring open source, kan påtage sig produktansvar gennem supportaftaler, men ikke gennem selve licensvilkårene for softwaren.

Opsummering

OS2-fællesskabet spiller en central rolle i udviklingen og vedligeholdelsen af open source-software til offentlige myndigheder, men har begrænset juridisk ansvar. Hovedpunkterne er:

• OS2 er ikke databehandler eller leverandør, men facilitator for samarbejde mellem myndigheder og leverandører.
• Databehandleraftaler er et anliggende mellem den enkelte myndighed og leverandøren af drift og support.
• OS2 har primært et etisk produktansvar for at levere sikker og korrekt kode, ikke et juridisk ansvar.
• Brugeren (myndigheden) bærer hovedansvaret for softwarens korrekte og sikre anvendelse i egen kontekst.
• Leverandører kan påtage sig produktansvar gennem specifikke supportaftaler, ikke gennem open source-licensen.

Denne struktur understreger vigtigheden af klare aftaler og ansvarsfordeling i brugen og udviklingen af open source-software i den offentlige sektor.