Inleiding
De laatste jaren kom ik het woord 'lek' bijna uitsluitend in de context van een datalek tegen. Dat heeft natuurlijk mede te maken met de aard van mijn werkzaamheden. Toch zijn datalekken zeker niet de enige soort (digitale) lekken die plaatsvinden. Dat illustreert de volgende zaak, die ik via Tweakers van Otaku tegenkwam en gaat over de nog niet uitgebrachte videogame Starfield.
De zaak
Voordat ik dieper inga op het lek, is het goed om kort uit te leggen wat Starfield is en waarom ontwikkelaars het vroegtijdig lekken van games proberen te voorkomen.
Starfield
Starfield is een aankomende titel van Bethesda Game Studios, bekend om hun eerdere succesvolle open-wereld games zoals Skyrim en Fallout. Als de eerste nieuwe gameserie van Bethesda in twee decennia, heeft het spel al een aanzienlijke fanbase opgebouwd. Deze anticipatie wordt versterkt door Bethesda's reputatie voor het creëren van uitgebreide Open-wereld games zijn een subgenre van videogames waarin de speler een virtuele wereld kan verkennen met een hoge mate van vrijheid. In tegenstelling tot lineaire of level-gebaseerde games, bieden open-wereld games een meer dynamische en interactieve omgeving. Spelers kunnen vrij rondlopen, missies voltooien, interactie aangaan met niet-speelbare personages, en deelnemen aan verschillende activiteiten zoals vechten, handelen, en het verzamelen van voorwerpen.zoals Skyrim en Fallout. Starfield is geen uitzondering en belooft een van Bethesda's meest ambitieuze projecten te worden, met een universum dat meer dan 100 zonnestelsels en 1000 planeten omvat, verrijkt met een complexe verhaallijn die zich over 300 jaar afspeelt.
)
Met een ontwikkelingsperiode die teruggaat tot 2013 - de naam Starfield werd toen al geregistreerd - en na meerdere keren te zijn uitgesteld, is de game nu gepland voor release op 6 september 2023. Volgens verscheidene bronnen heeft de ontwikkeling van het spel om en nabij de 200 miljoen dollar gekost, wat het meteen één van de duurste games aller tijden zou maken. Gezien deze pittige investering, zijn de economische belangen vanzelfsprekend hoog. Het succes van het spel is niet alleen afhankelijk van de kwaliteit van de gameplay en het verhaal, maar ook van een zorgvuldig georkestreerde marketingstrategie. Deze strategie is ontworpen om een hype te creëren en zo de verkoop bij de release te maximaliseren.
Het is dan ook geen verrassing dat (zeker grotere) ontwikkelaars zoals Bethesda er alles aan doen om vroegtijdige lekken van de gameplay, verhaalelementen, of zelfs het volledige spel te voorkomen. Dat komt doordat een lek niet alleen de zorgvuldig geplande marketingstrategie kan ondermijnen en daardoor voor sterke winstderving zorgen, maar ook leiden tot juridische complicaties. Dit is precies waarom het recente lek van Starfield zoveel aandacht heeft getrokken en waarom het een leuk onderwerp is om middels deze blog in te duiken.
Wat is er gebeurd?
Op 24 augustus jl. werd een 29-jarige man gearresteerd in de staat Tennessee, in de Verenigde Staten van Amerika (hierna: VS). Deze arrestatie volgde nadat de verdachte de eerste 45 minuten van de gameplay van Starfield online had gedeeld. Vervolgens probeerde hij - naar het schijnt succesvol - gestolen exemplaren via een Japanse internetmarktplaats te verkopen. Hoewel de aanklacht tegen hem geen vermelding maakt van videogames of Starfield, lijken Amerikaanse media ervan overtuigd te zijn dat hij in het kader van het lek is opgepakt. Dat is iets wat mij ook niet al te vergezocht lijkt. Ondanks de arrestatie, lijkt het kwaad al geschied. Beelden van de gelekte gameplay zijn al veelvuldig gekopieerd en verder op het internet verspreid.
Naast het feit dat Bethesda's marketingstrategie wordt ondermijnd en de game niet in volle glorie wordt getoond (de korrelige video was gefilmd met de camera van een vermoedelijk oude telefoon), wordt voor sommige spelers het verhaal verpest (of: 'gespoiled') door lolbroeken op internet. Zeker wanneer wat vervelend aangelegde personen de game van de verdachte hebben gekocht, kunnen deze belangrijke verhaalelementen verklappen voor mensen die nog geen toegang hebben tot het spel. Reden genoeg om op te treden tegen personen die games lekken. Dat kan aan de hand van drie rechtsgebieden, die ik hieronder toelicht.
Juridisch kader
Vooropgesteld, deze zaak speelt zich af in de VS, maar ik ga het belichten vanuit een Nederlands perspectief. In principe zie ik drie rechtsgebieden die het meest relevant zijn om op te treden tegen lekkers (een ietwat vreemd ogende term in het Nederlands) van videogames: het strafrecht, auteursrecht en contractenrecht.
Strafrecht
Blijkens de arrestatie van de verdachte kan het lekken van videogames in de VS onder het strafrecht worden aangepakt, zo ook in Nederland. Wat betreft de gestolen exemplaren van Starfield is het vrij simpel, art. 310 Wetboek van Strafrecht (hierna: Sr) stelt diefstal strafbaar. Zonder op de elementen van het artikel in te gaan, is een diefstal van een game net als ieder ander goed strafbaar op basis van dit artikel.
Daarnaast zie de handelingen van de verdachte ook kwalificeren als opzetheling, wat op grond van art. 416 Sr strafbaar is gesteld. Simpel gezegd moet je hierbij weten dat de game gestolen was toen je het verkocht. Dat lijkt mij hier absoluut het geval als wordt bewezen dat de verdachte de spellen heeft gekozen. Saillant detail is dat de verdachte in een video, waarin hij nota bene zichzelf filmde zonder enige gezichtsbedekking of stemvervorming etc., aangaf helemaal geen gamer te zijn. Dit kan erop duiden dat hij niet enkel de spellen heeft gestolen om zelf te spelen (en eventueel aan vrienden uit te delen), maar het heeft gestolen om met een forse winst te verkopen.
)
Dan resteert nog het lekken van de gameplay. Voor de exacte strafbaarstelling weten we nu nog te weinig van hoe het lek heeft plaatsgevonden. Daarom ga ik uit van meerdere situaties. In het kader van het strafrecht, moet je dan uitgaan van de situatie dat de game digitaal is gestolen (en mogelijk ook gekraakt). Ten eerste, wat art. 138ab lid 1 en 2 Sr van belang. In het eerste lid van dat artikel wordt computervredebreuk (of: hacken) verboden.
Vervolgens wordt in het tweede lid de strafverzwarende omstandigheid beschreven wanneer je ook gegevens kopieert/overdraagt uit het gehackte systeem. Daar is sprake van wanneer je de broncode uit de systemen van een ontwikkelaar steelt. Ook art. 138c Sr kan relevant zijn. Hierbij gaat het om het stelen van gegevens, zonder een systeem te hacken. Denk bijvoorbeeld aan een medewerker van een ontwikkelaar. Als de verdachte een medewerker van Bethesda is, zou hij bijvoorbeeld de broncode kunnen hebben gekopieerd zonder een beveiliging te omzeilen. Al acht ik die kans miniem, gelet op de 'slimme' acties van de verdachte.
Wanneer de verdachte geen fysieke spellen, maar de eventueel gestolen broncode zou verkopen, zou het delict ook kunnen kwalificeren als digitale heling op grond van art. 139g Sr. De scherpe lezer zal zich afvragen waarom heling van gegevens niet onder het 'normale' wetsartikel omtrent heling, art. 416 Sr, strafbaar wordt gesteld. Dat komt doordat deze enkel goederen betreft, waar gegevens niet onder vallen. Daarom is de Wet computercriminaliteit III in 2019 in het leven geroepen. Deze wet bevalt allerlei wetsartikelen die zijn toegespitst op delicten rondom gegevens.
Leuk weetje voor de niet-juristen onder ons: daarom hebben die wetsartikelen letters achter een cijfer staan. Als je bijvoorbeeld al 139, 140, 141 etc. als wetsartikel hebt, is het bloedirritant wanneer daar nieuwe artikelen tussen worden geduwd en je daardoor de nieuwe cijfers voor een reeds bestaan artikel moet gaan leren. Door letters erachter te zetten - 139a, 139b - en bij iedere toekomstige aanvulling voor hetzelfde thema (139ab, 139ac etc.) blijven de oude artikelen op de juiste plek staan, maar worden nieuwe artikelen op een logische plek in een wetboek geplaatst.
Auteursrecht
Voor het auteursrecht zijn ten minste twee artikelen relevant in deze zaak. Ten eerste is artikel 1 van de Auteurswet (hierna: Aw) belangrijk. Dit artikel, dat de fundering van het auteursrecht vormt, luidt als volgt: "Het auteursrecht is het uitsluitend recht van den maker van een werk van letterkunde, wetenschap of kunst, of van diens rechtverkrijgenden, om dit openbaar te maken en te verveelvoudigen, behoudens de beperkingen, bij de wet gesteld."
In passend ouderwets taalgebruik - de wet dateert uit 1912 - wordt hier gezegd dat je als maker (Bethesda) het exclusieve recht hebt je werk (Starfield) openbaar te maken en te delen/verspreiden. Dat betekent dat iedere openbaarmaking en verspreiding van een werk door iemand die niet de maker is, behoudens uitzondering (zoals gebruikelijk) onrechtmatig is. Het delen van de gameplay door de verdachte is dus onrechtmatig, waardoor hij civielrechtelijk (dat betekent dat Bethesda de verdachte aansprakelijk moet stellen, aangezien dit geen strafrecht is) aansprakelijk kan worden gesteld. Normaliter krijg je als koper van een game een licentie van de ontwikkelaar om beelden te delen en dergelijke. In normale omstandigheden is het delen van gameplay dus helemaal geen probleem.
Wanneer de verdachte de game zou hebben Het "cracken" van games verwijst naar het proces waarbij beveiligingsmechanismen of kopieerbeveiligingen van een videogame worden omzeild of verwijderd. Dit wordt meestal gedaan om de game te kunnen spelen zonder een legitieme licentie of activeringssleutel., dan zou hij ook aansprakelijk kunnen worden gesteld op basis van art. 29a lid 2 Aw. Dit artikel is specifiek in het leven geroepen - als uitwerking van een Europese Richtlijn - om het omzeilen van bescherming van werken juridisch tegen te gaan. Vaak gaat het in de context van games om het omzeilen van digital rights management-software zoals Denuvo, die ervoor probeert te zorgen dat exemplaren van games ook echt legitiem verkregen zijn. Hoewel het goed is dat piraterij zo wordt tegengegaan, zorgt dergelijke software ook regelmatig voor verminderde prestaties van het spel of irritante eisen zoals het altijd online moeten zijn, zelfs bij spellen die geen onlinespelmodus hebben, maar dat terzijde.
Contractenrecht
Tot slot is in deze zaak nog het contractenrecht van belang. Net als bij de vorige twee rechtsgebieden is het ook hier afhankelijk van de situatie welke aspecten van het rechtsgebied van toepassing kunnen zijn. Wat voor het lekken van de gameplay relevant kan zijn, is een geheimhoudingsovereenkomst of in het Engels de non-disclosure agreement (ook bekend als de NDA). Voordat een spel wordt gelanceerd, wordt deze uitvoerig getest. Al heb ik daar, gelet op de fouten in het spel bij lancering, ernstig mijn twijfels bij. Daarvoor zijn mensen nodig die de game op zoveel mogelijk manieren proberen te breken en daarover rapporteren zodat die problemen kunnen worden opgelost. Om ervoor te zorgen dat dergelijke testers de game(play) niet lekken, worden vaak allerlei technische maatregelen geïmplementeerd zoals unieke identificatienummers in ieder exemplaar.
Daarnaast is een standaardmaatregel om testers een NDA te laten tekenen. Wanneer zij dan iets openbaren of delen wat ze niet hadden gemogen, zijn ze in overtreding van het contract en staan daar vaak hoge boetebedragen op. Waar vervolgens vaak een rechter aan te pas komt om de soms absurde bedragen te matigen. Indien de verdachte in deze zaak dus toegang tot het spel had om deze te testen, is de kans groot dat hij een geheimhoudingsovereenkomst heeft overtreden.
)
Naast de NDA, kunnen nog de eindgebruikersovereenkomst en algemene voorwaarden van Bethesda relevant zijn. Dit is een hypothetische situatie, maar dat zou als volgt gaan. De verdachte koopt het spel legitiem, waarbij hij akkoord gaat met de eindgebruikersovereenkomst en algemene voorwaarden van Bethesda. Vervolgens gaat hij, in tegenstelling tot het stelen van de broncode, het spel kraken op basis van alle gegevens die hij in principe legitiem heeft verkregen. Vervolgens deelt hij de gecrackte versie van het spel op het internet. Hoewel ik de algemene voorwaarden en eindgebruikersovereenkomst van Bethesda niet heb gelezen, kan ik met zekerheid zeggen dat daar een bepaling is opgenomen die dergelijk rommelen met hun software (games) verbiedt. Als dat niet zo is, ben ik per direct in te huren door Bethesda. Dan handelt de verdachte dus ook in strijd met die twee overeenkomsten.
De grote lettertjes
Na behandeling van de gelekte gameplay van Starfield en de verkoop van gestolen exemplaren, is duidelijk dat dit voor de opgepakte verdachte nog weleens flinke problemen kan opleveren.
In deze blog heb ik de mogelijke juridische implicaties rondom het lekken van de game Starfield uiteengezet. Het Nederlandse strafrecht, auteursrecht en contractenrecht bieden verschillende handvatten om tegen dergelijke lekken op te treden. In het kader van het strafrecht kunnen art. 310 Sr en art. 416 Sr van toepassing zijn op de diefstal en heling van fysieke exemplaren van de game. Daarnaast bieden art. 138ab en 138c Sr mogelijkheden om computervredebreuk en datadiefstal aan te pakken. Ook kan art. 139g Sr, dat specifiek gericht is op digitale heling van gegevens, een rol spelen.
Vanuit het auteursrecht is art. 1 Aw van belang, dat het exclusieve recht van de maker beschermt om zijn werk openbaar te maken en te verveelvoudigen. Wanneer beveiligingsmaatregelen worden omzeild, zoals wanneer een game wordt gecrackt, kan dat worden aangepakt onder art. 29a Aw. Tot slot speelt ook het contractenrecht een rol. Zo is een NDA vaak standaardprocedure bij het testen van games en het overtreden hiervan kan leiden tot civielrechtelijke aansprakelijkheid. Daarnaast kunnen de algemene voorwaarden en de eindgebruikersovereenkomst van de game-ontwikkelaar bepalingen bevatten die het kraken en opvolgend verspreiden van de game verbieden.
Concluderend biedt het Nederlands recht dus voldoende opties om op te treden tegen het lekken van spellen. Hoewel dat voor deze verdachte niet relevant is, denk ik dat hij ook - indien schuldig bewezen - in de VS er niet met een tik op de vingers mee wegkomt.