Inloggen Geen profiel? Registreer hier.

Brief VNG Realisatie over Java Licensering

25/05/2021

Beste collega,

Bijgaand treft u een brief aan welke door VNG Realisatie ten aanzien van Java Licensering is opgesteld. Omdat Java verweven is met veel van de applicaties die bij u in gebruik zijn en omdat Oracle, de eigenaar van Java, in 2019 het licentiebeleid veranderd heeft waardoor Java niet meer zonder overeenkomst en abonnement kan worden afgenomen, kan dit invloed hebben op uw huidige en toekomstige gebruik van Java. Samengevat komt het er op neer dat voor het gebruik betaald moet gaan worden want anders krijgt u geen security updates meer. In de brief kunt u hier meer over lezen.

Indien u denkt dat deze brief niet voor u bedoeld is, verzoeken wij u deze brief door te sturen naar een collega’s die hier wel mee overweg kunnen. Denk aan leveranciers- en contractmanagement, uw security officer, informatieadviseurs. informatiemanagers of het CIO office.

Bij vragen kunt u een bericht sturen aan de Leveranciersdesk van VNG Realisatie.

 

BRIEF


 

Beste collega’s,

Veel gemeenten maken gebruik van applicaties die door hun applicatieleveranciers of door de eigen organisatie ontwikkeld zijn in de ontwikkeltaal Java. Om deze applicaties te kunnen gebruiken is een Java omgeving nodig (minimaal een Java Runtime Environment (JRE) en een Java Virtual Machine (JVM)) waar deze applicaties in kunnen draaien. Deze Java omgeving is tezamen met een aantal ontwikkelhulpmiddelen gebundeld in de Java Development Kit (JDK). Oracle heeft een aantal jaren geleden Java overgenomen en de JDK hernoemt naar de Oracle JDK, de basis voor Java SE; de door Oracle ondersteunde commerciële versie van de JDK. Daarnaast is er een open source versie, de OpenJDK, die nagenoeg gelijk is aan de Oracle JDK, die niet door Oracle wordt ondersteund maar door de open source community. Op basis van deze community versie zijn er inmiddels diverse partijen die ondersteuning bieden voor de OpenJDK.

Wat is dit belangrijk?

De meeste gebruikte versie van Java is Java SE versie 8. Deze versie was tot 16 april 2019 kosteloos te downloaden en is door veel uw applicatieleveranciers en door een aantal gemeenten gebruikt om hun applicaties mee te ontwikkelen, inclusief Oracle zelf. Op zich is Java SE versie 8 een verouderde versie, maar wordt nog steeds door Oracle ondersteund (tot 2030). Sinds 2019 heeft Oracle echter de licentievoorwaarden veranderd waardoor Java SE niet meer kosteloos te gebruiken is, maar er een gebruiksabonnement voor zakelijk doeleinden afgenomen dient te worden. Uitzondering hierop is als Java in combinatie met andere producten van Oracle gebruikt wordt of als de applicatieleverancier het gebruik van Java heeft afgekocht bij Oracle. Dit betekent dat u bij niet Oracle gebruik van Java SE 8 mogelijk met aanzienlijke kosten geconfronteerd kunt worden indien u een gebruiksabonnement afsluit bij Oracle. Het alternatief is geen updates meer te installeren, maar dit brengt mogelijk veiligheidsrisico’s met zich mee en bij problemen kunt u dan niet terugvallen op Oracle. Een mogelijk alternatief is om zelf halfjaarlijks de laatste community (op OpenJDK) gebaseerde versie te installeren en afscheid te nemen van Java SE 8 of het beheer hier van uit te besteden aan een derde partij. Een ander alternatief is Java in zijn geheel uit te besteden aan een partij die mogelijk wel de Oracle JDK versie 8 ondersteund.

Wat is het probleem?

Omdat gemeenten rechtmatig gebruik moeten maken van de bij hun in gebruik zijnde applicaties en ook hun gegevens adequaat willen kunnen beschermen, zullen gemeenten rekening moeten houden met het volgende met betrekking tot Java:

  1. Oracle zet druk op gemeenten om in een commerciële onderhandeling een gebruiksabonnement af te sluiten dat gebaseerd is op het geschatte aantal zakelijke gebruikers en/of het aantal servers waar Java op gebruik wordt;
  2. Het is bij veel gemeenten onduidelijk of en waar, welke versie en variant van Java in gebruik is in combinatie met welke applicaties;
  3. Er is geen keuze als gemeenten up-to-date willen blijven met beveiligingsupdates van Oracle die vanaf 16 april 2019 voor Java SE 8 beschikbaar gekomen zijn, mede omdat er geen open source alternatief is voor Java SE 8 (alleen voor latere versies). Overigens zijn er alternatieven bij andere leveranciers dan Oracle die ook Oracle JDK versie 8 in hun eigen commerciële betaalde (niet open source) versie ondersteunen;
  4. Op dit moment levert Oracle geen tools die inzichtelijk maken wat het echte gebruik is. Er zijn wel commerciële, zogenaamde Software Asset Management (SAM) tools, die een zeker inzicht kunnen geven over het gebruik, maar deze worden sporadisch door gemeenten ingezet en zijn ook niet kosteloos. Bovendien is niet gezegd dat Oracle de meetresultaten daarvan zal erkennen.

Wat doet VNG hieraan?

VNG probeert in samenwerking met het Rijk tot gezamenlijke afspraken te komen met Oracle. Het volgende is er georganiseerd:

  1. VNG werkt samen met het Rijk (SLM Oracle), omdat het Rijk veel applicaties gebruikt die met Java zijn gemaakt en gezamenlijk optrekken kansen biedt om tot goede afspraken met Oracle te komen;
  2. Er is hiervoor een werkgroep opgezet waarin naast SLM Oracle ook Oracle en VNG participeren. In deze werkgroep wordt onderzocht hoe er tot een rechtmatige en voor iedereen acceptabele collectieve oplossing gekomen kan worden. Uitgangspunt hierbij is dat overheden naar behoren in staat dienen te worden gesteld om het gebruik van Java SE te inventariseren, een impactanalyse te doen, keuzes te maken en vervolgens zo nodig via de aanbestedingsroute in te kopen. In dit kader is aan Oracle gevraagd een tool te leveren om de inventarisatie te kunnen doen, welke overigens nog niet beschikbaar is;
  3. VNG heeft contact gezocht met Oracle en de afspraak gemaakt dat Oracle voorlopig geen commerciële activiteiten zal ontplooien totdat duidelijk is hoe we gezamenlijk verder kunnen gaan en Oracle zal daarnaast bij vragen van gemeenten over Java door verwijzen naar VNG.

Wat adviseert VNG haar leden te doen?

Het is belangrijk om zoveel mogelijk gezamenlijk op te trekken om tot collectieve resultaten te komen, wij adviseren daarom:

  1. Probeer het gebruik van Java zo goed mogelijk in kaart te brengen;
  2. Handel met het afsluiten van mogelijke contracten in overleg met VNG (Leveranciersdesk), tenzij het echt niet anders kan wegens compliance issues of beveiligingsissues;
  3. Verwijs Oracle door naar de VNG wanneer zij Java contract gerelateerde vragen aan u stellen;
  4. Contact te zoeken met de verantwoordelijke functionaris voor de informatieveiligheid in uw organisatie; via de informatiebeveiligingsdienst zijn zij in principe op de hoogte van de mogelijke beveiligingsrisico’s in relatie tot het gebruik van Java.

Tenslotte

Indien u toch genoodzaakt bent om toch nu al aan de slag te gaan i.v.m. de naleving van de licentievoorwaarden en/of beveiligingseisen, zijn de volgende opties te overwegen:

  1. Voor al het gebruik dat gemeenten denken te maken (op basis van een redelijke eigen inventarisatie), een gebruiksabonnement (per jaar) bij Oracle af te nemen (met het risico van hoge kosten en een mogelijke aanbesteding);
  2. Overschakelen naar zelf, halfjaarlijkse updates installeren; Gemeenten kunnen besluiten aan de hand van de resultaten van de inventarisatie daar waar mogelijk en wenselijk OpenJDK te gebruiken;
  3. Overschakelen naar een alternatieve leverancier die OpenJDK of Oracle JDK versie 8 geadopteerd heeft.

Indien u vragen heeft kunt u een mail sturen naar de Leveranciersdesk van VNG Realisatie.

Met vriendelijk groet,

 

Namens Theo Peters, Manager Basisteam Maken (a.i.)

 

Han Wammes

Adviseur relatiemanagement IT-Leveranciers en Marktontwikkeling, Team Markt en Overheid van Basisteam Maken

VNG Realisatie