💼 Management Samenvatting
Intellectueel Eigendom (IP) Governance vormt een kritieke component van moderne softwareontwikkeling voor Nederlandse overheidsorganisaties. Het beheren van eigendomsrechten, licenties, open source componenten en code ownership is essentieel om juridische risico's te voorkomen, compliance te waarborgen en de continuïteit van softwareontwikkeling te garanderen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
80u (tech: 30u)
Van toepassing op:
✓ Azure
✓ M365
✓ On-premises
✓ Hybride omgevingen
✓ Open Source
✓ Commerciële Software
✓ M365
✓ On-premises
✓ Hybride omgevingen
✓ Open Source
✓ Commerciële Software
Zonder adequate IP Governance lopen Nederlandse overheidsorganisaties aanzienlijke juridische, financiële en operationele risico's. Het gebruik van open source componenten zonder licentiecompliance kan leiden tot claims van licentieovertredingen, waarbij organisaties mogelijk worden gedwongen om broncode openbaar te maken of licentievergoedingen te betalen. Het ontbreken van duidelijke code ownership kan leiden tot conflicten bij outsourcing, reorganisaties of overnames, waarbij onduidelijk is wie de rechten bezit op ontwikkelde software. Bovendien kunnen onjuiste licentieconfiguraties ertoe leiden dat organisaties per ongeluk commerciële software distribueren zonder licentie, wat kan resulteren in claims van softwareleveranciers. Voor Nederlandse publieke organisaties komt hier nog bij dat de Wet open overheid (Woo) en de Archiefwet vereisen dat organisaties kunnen aantonen wie eigenaar is van ontwikkelde software en welke licenties van toepassing zijn, vooral wanneer software wordt vrijgegeven of gedeeld met andere organisaties.
PowerShell Modules Vereist
Primary API: Microsoft Graph API, Azure DevOps API, GitHub API
Connection:
Required Modules: Microsoft.Graph, Az.Accounts, Az.DevOps
Connection:
Connect-MgGraph, Connect-AzAccountRequired Modules: Microsoft.Graph, Az.Accounts, Az.DevOps
Implementatie
Dit artikel beschrijft een volledige IP Governance structuur voor softwareontwikkeling binnen Nederlandse overheidsorganisaties. We behandelen de juridische context en compliancevereisten, het opzetten van een IP Governance framework met duidelijke policies en procedures, licentiebeheer en compliance monitoring voor zowel open source als commerciële software, code ownership en eigendomsregistratie, risicobeoordeling en mitigatiestrategieën, en geautomatiseerde tooling voor licentie- en dependency scanning. Daarnaast laten we zien hoe organisaties een IP register kunnen opzetten en onderhouden dat voldoet aan auditvereisten en hoe IP Governance wordt geïntegreerd in development workflows en CI/CD pipelines.
Juridische Context en Compliancevereisten
IP Governance voor Nederlandse overheidsorganisaties wordt bepaald door een complexe mix van nationale wetgeving, Europese richtlijnen en sectorale regelgeving. De Auteurswet regelt de rechten van software-ontwikkelaars en bepaalt dat software automatisch auteursrechtelijk beschermd is vanaf het moment van creatie, tenzij expliciet anders overeengekomen in arbeidscontracten of overeenkomsten. Voor software die door medewerkers in dienstverband wordt ontwikkeld, geldt doorgaans dat de werkgever de rechten bezit, maar dit moet expliciet worden vastgelegd in arbeidscontracten. Voor software die door externe partijen wordt ontwikkeld, moeten licentie- en eigendomsovereenkomsten zorgvuldig worden opgesteld om te voorkomen dat organisaties betalen voor software waarvan zij niet de volledige rechten bezitten.
De Wet open overheid (Woo) en de Archiefwet vereisen dat overheidsorganisaties kunnen aantonen wie eigenaar is van ontwikkelde software en welke licenties van toepassing zijn, vooral wanneer software wordt vrijgegeven of gedeeld met andere organisaties. Dit betekent dat organisaties een IP register moeten bijhouden waarin alle ontwikkelde software wordt gedocumenteerd met informatie over eigendom, licenties, gebruikte open source componenten en eventuele restricties. Dit register moet worden bewaard volgens de Archiefwet, wat betekent dat informatie minimaal zeven jaar moet worden bewaard, en voor permanente archieven zelfs permanent.
Voor open source software gelden specifieke licentievereisten die strikt moeten worden nageleefd. Veelgebruikte licenties zoals GPL, LGPL, Apache, MIT en BSD hebben verschillende vereisten voor het gebruik en de distributie van software. GPL-licenties vereisen bijvoorbeeld dat afgeleide werken ook onder GPL worden vrijgegeven, wat betekent dat organisaties die GPL-software gebruiken in hun applicaties mogelijk verplicht zijn om hun eigen broncode openbaar te maken. Apache en MIT licenties zijn daarentegen permissiever en vereisen alleen dat licentie-informatie wordt behouden. Organisaties moeten een licentiecompliance proces hebben dat automatisch controleert welke open source componenten worden gebruikt, welke licenties van toepassing zijn, en of het gebruik van deze componenten compatibel is met de licentievereisten van de organisatie.
De Baseline Informatiebeveiliging Overheid (BIO) vereist dat organisaties passende beveiligingsmaatregelen implementeren voor alle software, inclusief open source componenten. Dit betekent dat organisaties moeten kunnen aantonen dat gebruikte open source componenten veilig zijn, regelmatig worden bijgewerkt, en dat bekende kwetsbaarheden worden gemonitord en aangepakt. IP Governance moet daarom worden geïntegreerd met security management, waarbij licentiecompliance en security compliance hand in hand gaan.
Opzetten van een IP Governance Framework
Een effectief IP Governance framework begint bij het vaststellen van een formeel IP-beleid dat duidelijk beschrijft hoe intellectueel eigendom wordt beheerd binnen de organisatie. Dit beleid moet worden goedgekeurd door het bestuur of de directie en moet expliciet beschrijven wie eigenaar is van ontwikkelde software, welke licenties worden gebruikt voor nieuwe software, hoe open source componenten worden beheerd, en welke procedures gelden voor het gebruik van externe code. Het beleid moet ook beschrijven hoe IP-gerelateerde risico's worden geïdentificeerd, beoordeeld en gemitigeerd, en hoe IP-compliance wordt gemonitord en geaudit.
Een cruciaal onderdeel van het IP Governance framework is het opzetten van een IP register waarin alle ontwikkelde en gebruikte software wordt gedocumenteerd. Dit register moet voor elke softwarecomponent minimaal de volgende informatie bevatten: de naam en versie van de software, de ontwikkelaar of leverancier, de eigenaar van de intellectuele eigendomsrechten, de licentie die van toepassing is, gebruikte open source componenten met hun licenties, eventuele restricties of voorwaarden, en de datum waarop de informatie voor het laatst is bijgewerkt. Het register moet worden geïntegreerd met development tools zoals Azure DevOps of GitHub, zodat informatie automatisch wordt bijgewerkt wanneer nieuwe software wordt ontwikkeld of wanneer nieuwe dependencies worden toegevoegd.
Voor code ownership moet het framework expliciet beschrijven hoe eigendomsrechten worden vastgelegd. Voor software die door medewerkers wordt ontwikkeld, moeten arbeidscontracten expliciet vermelden dat de werkgever de rechten bezit op ontwikkelde software. Voor software die door externe partijen wordt ontwikkeld, moeten licentie- en eigendomsovereenkomsten zorgvuldig worden opgesteld en bewaard. Het framework moet ook beschrijven hoe wordt omgegaan met situaties waarin meerdere partijen betrokken zijn bij de ontwikkeling, zoals bij samenwerkingsprojecten of wanneer software wordt ontwikkeld in opdracht van meerdere organisaties.
Het IP Governance framework moet ook processen bevatten voor licentiebeheer en compliance monitoring. Dit omvat het automatisch scannen van code repositories op gebruikte open source componenten, het identificeren van licentievereisten, het controleren van licentiecompatibiliteit, en het genereren van compliance-rapporten. Het framework moet ook beschrijven hoe wordt omgegaan met licentieconflicten, bijvoorbeeld wanneer software componenten met incompatibele licenties worden gecombineerd, en hoe dergelijke conflicten worden opgelost.
Gebruik PowerShell-script ip-governance.ps1 (functie Invoke-Remediation) – Configureert IP Governance processen en genereert IP-register entries voor nieuwe software componenten.
Licentiebeheer en Open Source Compliance
Effectief licentiebeheer begint bij het automatisch identificeren van alle gebruikte open source componenten in softwareprojecten. Moderne development tools zoals Azure DevOps, GitHub, en GitLab bieden ingebouwde dependency scanning capabilities die automatisch detecteren welke open source packages worden gebruikt, welke versies worden gebruikt, en welke licenties van toepassing zijn. Deze tools kunnen worden geïntegreerd in CI/CD pipelines, zodat licentiecompliance automatisch wordt gecontroleerd bij elke code commit of pull request. Wanneer incompatibele licenties worden gedetecteerd, kunnen deze tools automatisch waarschuwingen genereren of zelfs builds blokkeren totdat licentieconflicten zijn opgelost.
Voor Nederlandse overheidsorganisaties is het belangrijk om een whitelist en blacklist van toegestane en verboden licenties op te stellen. Sommige organisaties kiezen ervoor om alleen permissieve licenties zoals MIT, Apache 2.0, en BSD toe te staan, terwijl copyleft licenties zoals GPL worden vermeden om te voorkomen dat organisaties verplicht worden om hun eigen broncode openbaar te maken. Andere organisaties accepteren GPL-licenties voor specifieke use cases, maar alleen na een risicobeoordeling en expliciete goedkeuring. Het licentiebeleid moet duidelijk beschrijven welke licenties zijn toegestaan, welke licenties verboden zijn, en welke licenties alleen na expliciete goedkeuring mogen worden gebruikt.
Licentiecompliance monitoring moet regelmatig worden uitgevoerd, niet alleen bij het toevoegen van nieuwe dependencies, maar ook bij het bijwerken van bestaande dependencies. Wanneer een dependency wordt bijgewerkt, kan de licentie veranderen, of kunnen nieuwe sub-dependencies worden toegevoegd met andere licenties. Automatische scanning tools moeten daarom regelmatig alle repositories scannen op licentiewijzigingen en waarschuwingen genereren wanneer licentieconflicten worden gedetecteerd. Deze scans moeten worden gedocumenteerd en de resultaten moeten worden opgeslagen in het IP register voor audit-doeleinden.
Voor commerciële software moet het licentiebeheerproces verifiëren dat alle gebruikte commerciële software correct is gelicentieerd. Dit omvat het bijhouden van licentieaantallen, licentievervaldatums, en licentievereisten zoals het aantal gebruikers of servers. Het proces moet ook controleren of licentievereisten worden nageleefd, bijvoorbeeld door te verifiëren dat het aantal gebruikers niet het aantal licenties overschrijdt, of dat software alleen wordt gebruikt op gelicentieerde systemen. Voor cloudservices zoals Microsoft 365 en Azure moet worden geverifieerd dat de juiste licentie SKU's zijn aangeschaft en dat gebruik overeenkomt met licentievereisten.
Code Ownership en Eigendomsregistratie
Code ownership registratie is essentieel om juridische onduidelijkheid te voorkomen en om te kunnen aantonen wie de rechten bezit op ontwikkelde software. Voor elke softwarecomponent moet worden vastgelegd wie de oorspronkelijke ontwikkelaar is, wie de huidige eigenaar is, en of er externe partijen betrokken zijn geweest bij de ontwikkeling. Deze informatie moet worden opgeslagen in het IP register en moet worden gekoppeld aan code repositories, zodat bij elke code commit duidelijk is wie de code heeft geschreven en wie de rechten bezit.
Voor software die door medewerkers wordt ontwikkeld, moeten arbeidscontracten expliciet vermelden dat de werkgever de rechten bezit op ontwikkelde software. Dit is belangrijk omdat zonder expliciete overeenkomst de ontwikkelaar mogelijk rechten behoudt op ontwikkelde software, wat kan leiden tot conflicten bij outsourcing, reorganisaties of wanneer medewerkers de organisatie verlaten. Het IP Governance framework moet verifiëren dat alle relevante arbeidscontracten deze clausule bevatten en moet processen hebben voor het bijwerken van contracten wanneer dit niet het geval is.
Voor software die door externe partijen wordt ontwikkeld, moeten licentie- en eigendomsovereenkomsten zorgvuldig worden opgesteld. Deze overeenkomsten moeten expliciet beschrijven wie de rechten bezit op ontwikkelde software, welke licenties van toepassing zijn, en welke restricties gelden. Voor software die wordt ontwikkeld in opdracht van de organisatie, moet de overeenkomst expliciet vermelden dat de organisatie de rechten bezit, of dat de organisatie een licentie krijgt om de software te gebruiken, aan te passen en te distribueren. Deze overeenkomsten moeten worden bewaard in het IP register en moeten regelmatig worden gecontroleerd om te verifiëren dat zij nog steeds van toepassing zijn.
Het IP Governance framework moet ook processen bevatten voor het beheren van code ownership bij samenwerkingsprojecten of wanneer software wordt ontwikkeld in opdracht van meerdere organisaties. In dergelijke situaties moet duidelijk zijn wie de rechten bezit, hoe de rechten worden gedeeld, en welke licenties van toepassing zijn. Dit vereist vaak complexe licentieconstructies waarbij meerdere partijen rechten behouden of waarbij rechten worden gedeeld via open source licenties of andere licentieconstructies.
Monitoring en Compliance Controle
Gebruik PowerShell-script ip-governance.ps1 (functie Invoke-Monitoring) – Controleert IP Governance compliance voor alle software componenten en genereert compliance-rapporten.
Continue monitoring van IP Governance compliance is essentieel om te waarborgen dat alle software correct wordt beheerd en dat licentievereisten worden nageleefd. Automatische scanning tools moeten regelmatig alle code repositories scannen op gebruikte open source componenten, licentievereisten, en licentieconflicten. Deze scans moeten worden uitgevoerd bij elke code commit, bij elke dependency update, en periodiek voor alle bestaande repositories. De resultaten van deze scans moeten worden opgeslagen in het IP register en moeten worden gebruikt om compliance-rapporten te genereren.
Kwartaalcontroles vormen een essentiële aanvulling op geautomatiseerde monitoring. Tijdens deze controles worden alle softwarecomponenten in de organisatie geïnventariseerd en geverifieerd op IP Governance compliance. Dit omvat het controleren of alle softwarecomponenten zijn geregistreerd in het IP register, of licentievereisten worden nageleefd, of code ownership correct is vastgelegd, en of er licentieconflicten zijn die moeten worden opgelost. Deze controles dienen ook als auditbewijs voor externe certificeringen en compliance-verificaties.
Voor nieuwe softwarecomponenten moet een geautomatiseerd verificatieproces binnen 24 uur na ontwikkeling worden uitgevoerd. Wanneer een nieuwe softwarecomponent wordt ontwikkeld, moet deze automatisch worden geregistreerd in het IP register, moeten gebruikte dependencies worden geïdentificeerd, en moeten licentievereisten worden gecontroleerd. Wanneer licentieconflicten worden gedetecteerd, moeten automatische waarschuwingen worden gegenereerd en moeten ontwikkelaars worden geïnformeerd over de vereiste acties.
Rapportage en documentatie zijn essentieel voor compliance en auditing. Alle monitoringactiviteiten moeten worden gedocumenteerd in compliance-rapporten die regelmatig worden gegenereerd en opgeslagen. Deze rapporten moeten de IP Governance status van alle softwarecomponenten bevatten, eventuele licentieconflicten documenteren, en de genomen remediatieacties beschrijven. Voor externe audits en certificeringen zijn deze rapporten onmisbaar en moeten ze beschikbaar zijn voor een periode die overeenkomt met de compliancevereisten van de organisatie, typisch minimaal zeven jaar voor financiële en overheidsorganisaties.
Remediatie en Risicobeheer
Gebruik PowerShell-script ip-governance.ps1 (functie Invoke-Remediation) – Genereert IP-register entries en licentiecompliance rapporten voor software componenten zonder adequate IP Governance.
Wanneer IP Governance problemen worden gedetecteerd, moet direct actie worden ondernomen om risico's te mitigeren. Voor licentieconflicten moet worden geanalyseerd welke conflicten zijn gedetecteerd, welke risico's deze conflicten opleveren, en hoe deze conflicten kunnen worden opgelost. Mogelijke oplossingen omvatten het vervangen van conflicterende componenten door alternatieven met compatibele licenties, het heronderhandelen van licentievereisten, of het accepteren van licentievereisten na een risicobeoordeling en expliciete goedkeuring.
Voor softwarecomponenten zonder adequate IP-registratie moet onmiddellijk worden begonnen met het registreren van deze componenten in het IP register. Dit omvat het identificeren van de ontwikkelaar, het vastleggen van code ownership, het identificeren van gebruikte dependencies en licenties, en het documenteren van eventuele restricties of voorwaarden. Voor bestaande softwarecomponenten kan dit een tijdrovend proces zijn, vooral wanneer documentatie ontbreekt of wanneer meerdere partijen betrokken zijn geweest bij de ontwikkeling.
Risicobeoordeling moet worden uitgevoerd voor alle IP Governance problemen om te bepalen welke problemen prioriteit hebben en welke risico's acceptabel zijn. Kritieke risico's zoals licentieconflicten die kunnen leiden tot claims of het verplicht openbaar maken van broncode moeten onmiddellijk worden aangepakt. Minder kritieke risico's zoals ontbrekende documentatie kunnen worden gepland voor remediatie in de reguliere planning- en controlcyclus. Risicobeoordelingen moeten worden gedocumenteerd en moeten regelmatig worden herzien om te verifiëren dat risico's adequaat worden beheerd.
Compliance & Frameworks
- BIO: 12.02, 18.01 - IP Governance als onderdeel van informatiebeveiligingsdocumentatie en risicobeoordelingen
- ISO 27001:2022: A.8.1.1, A.12.6.1, A.18.1.3 - Documentatie van beveiligingsmaatregelen en risicobeheer voor softwareontwikkeling
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Intellectueel Eigendom Governance Monitoring en Remediatie
.DESCRIPTION
Controleert en configureert IP Governance processen voor softwareontwikkeling.
Biedt monitoring van licentiecompliance, code ownership registratie, en
ondersteuning voor het genereren van IP-register entries.
.NOTES
Filename: ip-governance.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/development/ip-governance.json
NBVC Debug: Gebruik de omgevingsvariabele NBVC_LOCAL_DEBUG=1 om
lokale testen uit te voeren zonder verbinding te maken
met Azure-API's.
.EXAMPLE
.\ip-governance.ps1 -Monitoring
Controleert de status van IP Governance processen
.EXAMPLE
.\ip-governance.ps1 -Remediation -WhatIf
Preview van IP-register entries voor software componenten zonder adequate IP Governance
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph, Az.Accounts, Az.DevOps
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Controleert de status van IP Governance processen")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Genereert IP-register entries voor software componenten zonder adequate IP Governance")]
[switch]$Remediation,
[Parameter(HelpMessage = "Preview van wijzigingen zonder daadwerkelijke configuratie")]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Intellectueel Eigendom Governance"
function Get-IsLocalDebug {
param()
return [bool]($env:NBVC_LOCAL_DEBUG -eq '1')
}
function Connect-RequiredServices {
if (Get-IsLocalDebug) {
Write-Verbose "NBVC_LOCAL_DEBUG is actief - Azure verbinding wordt overgeslagen."
return
}
try {
$requiredModules = @('Microsoft.Graph', 'Az.Accounts', 'Az.DevOps')
foreach ($module in $requiredModules) {
if (-not (Get-Module -ListAvailable -Name $module)) {
throw "Het PowerShell-module '$module' is niet beschikbaar. Installeer dit module voordat u het script gebruikt."
}
}
$ctx = Get-AzContext -ErrorAction SilentlyContinue
if (-not $ctx) {
Write-Host "Verbinding maken met Azure (Connect-AzAccount)..." -ForegroundColor Yellow
Connect-AzAccount -ErrorAction Stop | Out-Null
}
else {
Write-Verbose "Bestaande Azure context gevonden: $($ctx.Name)"
}
$mgContext = Get-MgContext -ErrorAction SilentlyContinue
if (-not $mgContext) {
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow
Connect-MgGraph -Scopes "User.Read.All", "Group.Read.All" -ErrorAction Stop | Out-Null
}
else {
Write-Verbose "Reeds verbonden met Microsoft Graph"
}
}
catch {
throw "Kon niet verbinden met Azure of Microsoft Graph: $($_.Exception.Message)"
}
}
function Get-IPGovernanceStatus {
<#
.SYNOPSIS
Haalt de status op van IP Governance compliance.
.OUTPUTS
PSCustomObject met status van IP Governance per software component.
#>
[CmdletBinding()]
param()
if (Get-IsLocalDebug) {
# Gesimuleerde gegevens voor lokale debug en CI-tests
return [PSCustomObject]@{
Timestamp = Get-Date
TotalComponents = 45
RegisteredComponents = 38
UnregisteredComponents = 7
ComponentsWithLicenseInfo = 35
ComponentsWithOwnershipInfo = 32
LicenseConflicts = 3
Components = @(
[PSCustomObject]@{
ComponentName = "WebApp-Production"
IsRegistered = $true
HasLicenseInfo = $true
HasOwnershipInfo = $true
LicenseType = "MIT"
OpenSourceDependencies = 12
LicenseConflicts = 0
LastScan = (Get-Date).AddDays(-1)
},
[PSCustomObject]@{
ComponentName = "API-Service-Dev"
IsRegistered = $true
HasLicenseInfo = $true
HasOwnershipInfo = $false
LicenseType = "Apache 2.0"
OpenSourceDependencies = 8
LicenseConflicts = 1
LastScan = (Get-Date).AddDays(-3)
},
[PSCustomObject]@{
ComponentName = "Legacy-System"
IsRegistered = $false
HasLicenseInfo = $false
HasOwnershipInfo = $false
LicenseType = "Onbekend"
OpenSourceDependencies = 0
LicenseConflicts = 0
LastScan = $null
}
)
}
}
Connect-RequiredServices
try {
# Simuleer het ophalen van software componenten
# In productie zou dit uit Azure DevOps, GitHub, of een IP-register komen
$components = @()
$totalComponents = 0
$registeredComponents = 0
$componentsWithLicenseInfo = 0
$componentsWithOwnershipInfo = 0
$licenseConflicts = 0
# Voor demo doeleinden: simuleer componenten
# In productie zou dit uit een echte bron komen
Write-Verbose "Ophalen van software component informatie..."
# Placeholder: in productie zou hier echte logica komen om componenten op te halen
# Bijvoorbeeld via Azure DevOps API of GitHub API
return [PSCustomObject]@{
Timestamp = Get-Date
TotalComponents = $totalComponents
RegisteredComponents = $registeredComponents
UnregisteredComponents = $totalComponents - $registeredComponents
ComponentsWithLicenseInfo = $componentsWithLicenseInfo
ComponentsWithOwnershipInfo = $componentsWithOwnershipInfo
LicenseConflicts = $licenseConflicts
Components = $components
}
}
catch {
Write-Verbose "Fout bij ophalen van IP Governance status: $($_.Exception.Message)"
return [PSCustomObject]@{
Timestamp = Get-Date
TotalComponents = 0
RegisteredComponents = 0
UnregisteredComponents = 0
ComponentsWithLicenseInfo = 0
ComponentsWithOwnershipInfo = 0
LicenseConflicts = 0
Components = @()
Error = $_.Exception.Message
}
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitort de status van IP Governance processen.
#>
[CmdletBinding()]
param()
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
$status = Get-IPGovernanceStatus
Write-Host "Totaal aantal software componenten: $($status.TotalComponents)" -ForegroundColor White
Write-Host "Geregistreerde componenten: $($status.RegisteredComponents)" -ForegroundColor $(if ($status.RegisteredComponents -gt 0) { "Green" } else { "Yellow" })
Write-Host "Niet-geregistreerde componenten: $($status.UnregisteredComponents)" -ForegroundColor $(if ($status.UnregisteredComponents -eq 0) { "Green" } else { "Yellow" })
Write-Host "Componenten met licentie-informatie: $($status.ComponentsWithLicenseInfo)" -ForegroundColor White
Write-Host "Componenten met ownership-informatie: $($status.ComponentsWithOwnershipInfo)" -ForegroundColor White
Write-Host "Licentieconflicten: $($status.LicenseConflicts)" -ForegroundColor $(if ($status.LicenseConflicts -eq 0) { "Green" } else { "Red" })
if ($status.Components.Count -gt 0) {
Write-Host "`nComponenten:" -ForegroundColor Cyan
foreach ($component in $status.Components) {
Write-Host "`nComponentnaam: $($component.ComponentName)" -ForegroundColor Cyan
Write-Host " Geregistreerd: $($component.IsRegistered)" -ForegroundColor $(if ($component.IsRegistered) { "Green" } else { "Yellow" })
Write-Host " Licentie-informatie: $($component.HasLicenseInfo)" -ForegroundColor $(if ($component.HasLicenseInfo) { "Green" } else { "Yellow" })
Write-Host " Ownership-informatie: $($component.HasOwnershipInfo)" -ForegroundColor $(if ($component.HasOwnershipInfo) { "Green" } else { "Yellow" })
if ($component.LicenseType) {
Write-Host " Licentietype: $($component.LicenseType)" -ForegroundColor Gray
}
Write-Host " Open source dependencies: $($component.OpenSourceDependencies)" -ForegroundColor Gray
Write-Host " Licentieconflicten: $($component.LicenseConflicts)" -ForegroundColor $(if ($component.LicenseConflicts -eq 0) { "Green" } else { "Red" })
if ($component.LastScan) {
Write-Host " Laatste scan: $($component.LastScan.ToString('yyyy-MM-dd'))" -ForegroundColor Gray
}
}
}
else {
Write-Host "`nGeen software componenten gevonden." -ForegroundColor Yellow
}
if ($status.Error) {
Write-Host "`nFout bij ophalen van IP Governance status: $($status.Error)" -ForegroundColor Red
}
# Compliance evaluatie
$compliancePercentage = if ($status.TotalComponents -gt 0) {
[Math]::Round(($status.RegisteredComponents / $status.TotalComponents) * 100, 2)
}
else {
0
}
if ($status.TotalComponents -gt 0 -and $compliancePercentage -ge 90 -and $status.LicenseConflicts -eq 0) {
Write-Host "`nResultaat: IP Governance is goed geconfigureerd. Alle software componenten zijn geregistreerd en licentiecompliance wordt nageleefd." -ForegroundColor Green
return 0
}
elseif ($status.TotalComponents -gt 0 -and $compliancePercentage -ge 70) {
Write-Host "`nResultaat: IP Governance is gedeeltelijk geconfigureerd. Overweeg om meer componenten te registreren en licentieconflicten op te lossen voor complete compliance." -ForegroundColor Yellow
return 1
}
else {
Write-Host "`nResultaat: IP Governance is niet of nauwelijks geconfigureerd. Dit vormt een significant juridisch en compliance risico en kan leiden tot licentieclaims, juridische conflicten, of compliance-schendingen." -ForegroundColor Red
Write-Host "Aanbeveling: Configureer IP Governance processen voor alle software componenten om juridische risico's te mitigeren en compliance te waarborgen." -ForegroundColor Yellow
return 2
}
}
function New-IPRegisterEntry {
<#
.SYNOPSIS
Genereert een IP-register entry voor een software component.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$ComponentName,
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$entry = @"
# IP-Register Entry: $ComponentName
**Laatst bijgewerkt:** $(Get-Date -Format "yyyy-MM-dd")
**Registratie-eigenaar:** [Naam eigenaar]
**Status:** Concept
## 1. Component Informatie
**Naam:** $ComponentName
**Versie:** [Versie]
**Ontwikkelaar/Leverancier:** [Naam ontwikkelaar/leverancier]
**Datum ontwikkeling:** [Datum]
## 2. Eigendomsrechten
**Eigenaar van intellectuele eigendomsrechten:** [Naam eigenaar]
**Arbeidscontract/Licentieovereenkomst:** [Referentie naar overeenkomst]
**Externe partijen betrokken:** [Ja/Nee - indien ja, details]
## 3. Licentie-informatie
**Licentietype:** [MIT, Apache 2.0, GPL, Commercieel, etc.]
**Licentieversie:** [Versie]
**Licentievereisten:** [Beschrijving van vereisten]
## 4. Open Source Dependencies
[Lijst van gebruikte open source componenten met hun licenties]
## 5. Licentiecompliance
**Licentiecompliance status:** [Compliant/Non-compliant]
**Licentieconflicten:** [Ja/Nee - indien ja, details]
**Laatste licentie scan:** [Datum]
## 6. Restricties en Voorwaarden
[Eventuele restricties of voorwaarden voor gebruik, distributie, of wijziging]
## 7. Compliance Mapping
- BIO: [Relevante controls]
- ISO 27001: [Relevante controls]
- AVG: [Relevante artikelen]
"@
# Zorg dat de folder bestaat
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$entry | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host " IP-register entry gegenereerd: $OutputPath" -ForegroundColor Green
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert IP-register entries voor software componenten zonder adequate IP Governance.
#>
[CmdletBinding()]
param()
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName - Remediatie" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
$status = Get-IPGovernanceStatus
if ($status.TotalComponents -gt 0 -and $status.UnregisteredComponents -eq 0) {
Write-Host "Alle software componenten zijn geregistreerd in het IP-register." -ForegroundColor Green
Write-Host "Geen remediatie nodig." -ForegroundColor Green
return 0
}
Write-Host "`nNiet-geregistreerde componenten: $($status.UnregisteredComponents)" -ForegroundColor Yellow
Write-Host "Geregistreerde componenten: $($status.RegisteredComponents)" -ForegroundColor $(if ($status.RegisteredComponents -gt 0) { "Green" } else { "Yellow" })
if ($WhatIf) {
Write-Host "`n[WHATIF] Het script zou de volgende acties uitvoeren:" -ForegroundColor Yellow
Write-Host " 1. Software componenten identificeren zonder IP-registratie" -ForegroundColor White
Write-Host " 2. IP-register entries genereren voor niet-geregistreerde componenten" -ForegroundColor White
Write-Host " 3. Licentie-informatie verzamelen en documenteren" -ForegroundColor White
Write-Host " 4. Code ownership informatie verzamelen en documenteren" -ForegroundColor White
Write-Host " 5. Licentieconflicten identificeren en rapporteren" -ForegroundColor White
Write-Host "`nOpmerking: Volledige automatisering van IP Governance vereist" -ForegroundColor Cyan
Write-Host "uitgebreidere scripting en handmatige validatie. Gebruik deze functie voor" -ForegroundColor Cyan
Write-Host "het identificeren van componenten die IP-registratie nodig hebben." -ForegroundColor Cyan
return 0
}
Write-Host "`nAanbevolen vervolgstappen:" -ForegroundColor Cyan
Write-Host " 1. Inventariseer alle software componenten in de organisatie" -ForegroundColor White
Write-Host " 2. Registreer alle componenten in het IP-register" -ForegroundColor White
Write-Host " 3. Documenteer licentie-informatie voor alle componenten" -ForegroundColor White
Write-Host " 4. Documenteer code ownership voor alle componenten" -ForegroundColor White
Write-Host " 5. Voer licentiecompliance scans uit" -ForegroundColor White
Write-Host " 6. Los licentieconflicten op" -ForegroundColor White
Write-Host " 7. Implementeer geautomatiseerde licentie scanning in CI/CD pipelines" -ForegroundColor White
Write-Host " 8. Voer regelmatige IP Governance audits uit" -ForegroundColor White
if ($status.UnregisteredComponents -gt 0) {
Write-Host "`nVoor niet-geregistreerde componenten:" -ForegroundColor Yellow
Write-Host " 1. Identificeer welke componenten IP-registratie nodig hebben" -ForegroundColor White
Write-Host " 2. Verzamel licentie- en ownership-informatie" -ForegroundColor White
Write-Host " 3. Genereer IP-register entries" -ForegroundColor White
Write-Host " 4. Valideer dat alle informatie correct is" -ForegroundColor White
Write-Host " 5. Voer licentiecompliance scans uit" -ForegroundColor White
Write-Host " 6. Los licentieconflicten op indien aanwezig" -ForegroundColor White
Write-Host " 7. Documenteer alle IP Governance activiteiten voor audit-doeleinden" -ForegroundColor White
# Genereer IP-register entries voor niet-geregistreerde componenten
$ipRegisterPath = "D:\Github\m365-tenant-best-practise\ip-register"
if (-not (Test-Path -Path $ipRegisterPath)) {
New-Item -Path $ipRegisterPath -ItemType Directory -Force | Out-Null
}
foreach ($component in $status.Components) {
if (-not $component.IsRegistered) {
$outputPath = Join-Path -Path $ipRegisterPath -ChildPath "$($component.ComponentName -replace '[^\w\s-]', '').md"
if ($WhatIf) {
Write-Host " [WhatIf] Zou IP-register entry genereren voor: $($component.ComponentName) -> $outputPath" -ForegroundColor Yellow
}
else {
New-IPRegisterEntry -ComponentName $component.ComponentName -OutputPath $outputPath
}
}
}
}
return 1
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
$exitCode = Invoke-Monitoring
exit $exitCode
}
elseif ($Remediation) {
$exitCode = Invoke-Remediation
exit $exitCode
}
else {
# Standaard: monitoring uitvoeren
$exitCode = Invoke-Monitoring
exit $exitCode
}
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
if ($_.Exception.InnerException) {
Write-Host "Inner Exception: $($_.Exception.InnerException.Message)" -ForegroundColor Red
}
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Hoog – Zonder adequate IP Governance lopen organisaties risico op licentieclaims, juridische conflicten over code ownership, en compliance-schendingen. Dit kan leiden tot financiële schade, reputatieschade, en mogelijke verplichting tot openbaarmaking van broncode.
Management Samenvatting
Implementeer een volledig IP Governance framework met IP-register, licentiebeheer, code ownership registratie, en geautomatiseerde compliance monitoring. Essentieel voor juridische compliance, licentiebeheer, en auditvereisten. Implementatietijd: 80 uur (30 technisch, 50 organisatorisch).
- Implementatietijd: 80 uur
- FTE required: 0.3 FTE