Is mijn provider aansprakelijk voor bugs in zijn router?

Een lezer vroeg me:

Is mijn Internet Service Provider aansprakelijk voor schade die ontstaat door een fout of een bug in de door hem aan zijn klanten beschikbaar gestelde router? Hierbij ga ik er van uit dat mijn eigen PC qua veiligheid op orde is.

Wie een product levert, moet zorgen dat die aan de redelijkerwijs gewekte verwachtingen voldoet. Of het nu gaat om een appel, een wasmachine of een tablet. Blijkt dat niet zo te zijn, dan heeft de consument recht op gratis herstel of vervanging van het product.

Deze ‘conformiteitseis‘ staat geheel los van eventuele garanties of toezeggingen van de fabrikant of leverancier. Een fabrikant kan garanderen dat de tablet een jaar lang perfect werkt, maar als na anderhalf jaar de batterij de geest geeft dan kun je toch écht bij de winkel gratis herstel daarvan verlangen. Ja, bij de winkel. Want volgens de wet is niet de fabrikant maar de winkel verantwoordelijk.

Probleem is altijd wel: wat is een redelijke verwachting bij dit soort dingen? Dit is namelijk niet hetzelfde als “is foutloos”. Dat een appel na een week bruin en oneetbaar wordt, is niet onredelijk. Die appel voldoet dus aan de conformiteitseis, en je kunt geen herstel of vervanging van de appel eisen. Een wasmachine die na een week defect is, is evident niet conform de verwachtingen.

Bij ICT-producten is dit een groot grijs gebied, met name als het gaat om security. We blijken met z’n allen nog steeds niet in staat om veilige en foutloze producten af te leveren. Dus enige fouten of problemen moet je helaas verwachten. Er is nog geen norm zoals we die wel kennen voor veiligheid: een router mag niet fysiek ontploffen of 240 volt op de netwerkaansluitingen zetten. Dat is per definitie buiten de conformiteitseis, ongeacht de reden voor een dergelijke fout.

Je moet dus op zoek naar de aard van de fout: hoe kon deze schade ontstaan, hoe moeilijk was het geweest dit te fixen en vooral had je redelijkerwijs mogen verwachten dát de fout er niet zou zijn? En daar is weinig zinnigs over te zeggen zonder te weten wat voor fout, wat voor router en wat voor gebruik daarvan.

Het lijkt mij dat wanneer een bedrijf een router levert met verouderde firmware – dus met bekende fouten – je al heel snel mag spreken van een conformiteitsgebrek. Dat hoort gewoon niet te gebeuren. Maar dat er fouten worden ontdekt in wat er is uitgeleverd, dat is nu eenmaal de praktijk. Meer dan een upgrade installeren, kun je niet doen denk ik. Natuurlijk moet die dan wel gratis beschikbaar gesteld worden.

Arnoud

15 reacties

  1. En daar is weinig zinnigs over te zeggen zonder te weten wat voor fout, wat voor router en wat voor gebruik daarvan.
    Dat is natuurlijk wel een grote haak. Alle drie deze zaken zijn natuurlijk bedrijfsgeheim, en dus kan je in de praktijk nooit bewijzen dat het geleverde netwerk niet conform is.

    1. Als het om een bij de klant geïnstalleerde router gaat, dan valt er echt wel wat informatie te verzamelen. Het type router valt sowieso van buitenaf af te lezen, en meestal kan je ook inloggen en de firmware-versie opvragen.

      Verder: als er echt schade optreedt bij de klant, dan kan hij/zij ook daar wel bewijzen van verzamelen. Ik heb begrepen dat het recente router-lek bij XS4ALL door hackers werd misbruikt voor het plegen van dure telefoongesprekken; je moet dus bewijzen dat je die telefoongesprekken niet zelf hebt gepleegd. Als de provider jouw verhaal niet betwist dan ben je er volgens mij al, en anders moet je denk ik wat betrouwbare en deskundige getuigen regelen, die bij jou thuis komen controleren of je wel of niet telefoneert.

  2. Belangrijker lijkt me: hoe bewijs je dat de schade door bijv. identiteitsfraude die je hebt geleden als gevolg van een bug in je router daadwerkelijk door die bug mogelijk is gemaakt? Je ISP kan (terecht) opmerken dat je creditcardgegevens in tientallen nauwelijks beveiligde databases op het internet voorkomen, en dat zo’n database veel aantrekkelijker is voor een kwaadwillende, en dat het dus waarschijnlijker is dat de schade daaruit voorkwam.

    1. Dit is het leerstuk van de alternatieve causaliteit. Daarvoor hebben we art. 6:99 BW en art. 6:102 BW:

      Kan de schade een gevolg zijn van twee of meer gebeurtenissen voor elk waarvan een andere persoon aansprakelijk is, en staat vast dat de schade door ten minste één van deze gebeurtenissen is ontstaan, dan rust de verplichting om de schade te vergoeden op ieder van deze personen, tenzij hij bewijst dat deze niet het gevolg is van een gebeurtenis waarvoor hijzelf aansprakelijk is.
      Rust op ieder van twee of meer personen een verplichting tot vergoeding van dezelfde schade, dan zijn zij hoofdelijk verbonden.
      Bij gestolen creditcardinformatie denk ik alleen wel dat je provider ermee weg kan komen. CC-informatie mag alleen over HTTPS verstuurd worden (winkels moeten HTTPS gebruiken van CC-maatschappijen), wat betekent dat je router de gegevens niet in kan zien (zonder dat jij heel duidelijke waarschuwingen op je scherm krijgt).

  3. Ik zou het opvallender vinden als een appel na een week nog niet bruin begint uit te slaan. Toch gebeurt dat tegenwoordig steeds vaker. En dat schept verwachtingen bij de consument die eigenlijk onterecht zijn. Dus wat nou als de consument meer verwacht dan eigenlijk is afgesproken?

    In de ICT zullen we nooit foutloze systemen kunnen opleveren. In de echte wereld kan dat immers ook niet, want er is altijd wel een product dat door een fabricage-fout kapot gaat. Het enige verschil is dat in de echte wereld, iedere fout steeds maar 1 product aantast. In de software-wereld wordt iedere fout duizenden malen gekloond over alle kopieen ervan. En dan vallen productiefouten veel sneller op. Je kunt als consument dan ook nooit op foutloze software rekenen, hoe graag ik dat ook anders zou willen zien…

    Maar als het om routers gaat en de verantwoording voor het fixen van bugs vraag ik mij af of de verantwoording hier niet verdeeld moet zijn tussen provider en klant. Naast mijn kabelmodem heb ik ook een tweede router in huiz, zelf aangeschaft, en ik ben verantwoordelijk voor de firmware updates op dat apparaat. Je zou kunnen stellen dat de klant, die de router in bruikleen krijgt, ook voor het onderhoud ervan moet zorgen. Dan kan het onderhoud namelijk gebeuren op de momenten dat het de gebruiker mooi uitkomt. Niets is vervelender dan dat je WOW spelletje afsluit omdat je netwerk-verbinding eruit ligt omdat de provider weer een nieuwe update op je router uitvoert. Een ander probleem is dat providers vaak niet de instellingen van de router kunnen uitlezen. Je Wifi naam en wachtwoord moeten goed beveiligd zijn tegen hackers van buitenaf en als de provider daar bij kan, kunnen hackers dat ook. Een update door je provider kan er dan voor zorgen dat al je instellingen weer op de defaults staan ingesteld. (Wat enorm vervelend is als je draadloze laptop dan de andere Wifi router in huis gaat benaderen aan de andere kant van de draagmuur van gewapend beton. (Vandaar de extra router, want die muur is ook vervelend…) Ik vind ook dat een provider best een router met verouderde firmware kan uitleveren mits daar instructies bij komen hoe de klant de firmware kan upgraden naar de nieuwste versie. Klanten die dit achterwege laten zijn dan in gebreke, en dus is hen de fout te verwijten. Aan de andere kant, het zou een mooie, extra servicce zijn indien providers op verzoek voor de klanten de nieuwe firmware op afstand installeren maar zoals ik al aangaf kan dat betekenen dat alle instellingen terug gaan naar de default instellingen. Of dat nou zo veilig is?

    1. Het enige verschil is dat in de echte wereld, iedere fout steeds maar 1 product aantast. In de software-wereld wordt iedere fout duizenden malen gekloond over alle kopieen ervan.

      Met massa-productie geldt hetzelfde in de echte wereld: dan zit dat wieltje bij die duizenden andere producten ook los.

      We hebben het hier echter over veiligheid: we mogen verwachten dat een fabrikant niet bewust kwetsbare producten op de markt brengt. Of dan nou kwetsbaarheid voor brand, loslatende wielen op een fiets, slecht beveiligde protocol, of een te msibruiken bufferoverflow betreft.

      We mogen ook verwachten dat er op het gebied van veiligheid nieuwe inzichten komen, en dat daar ook iets mee gedaan wordt.

      Hoe hier mee omgegaan wordt is echter anders: bij kwetsbaarheid voor brand of loslatende fietswielen verwachten we dat de winkel hem terugneemt voor het aankoopbedrag of ruilt voor een beter exemplaar. Bij softwarekwetsbaarheden gebeurt dat meestal niet.

      Deels heeft dit te maken met de zichtbaarheid van veiligheidsproblemen in de IT wereld — als mijn fietswiel loslaat zie ik het gelijk, als mijn modem gehackt wordt merk ik als techneut dan niet eens meteen, laat staan dat mijn moeder het “has-been-hacked” waarschuwingslampje zou zien, mocht die al op de modem aanwezig zijn.

      Ik denk dat we als maatschappij eerst eens moeten bepalen dat we softwarehacks niet acceptabel vinden, en zouden dan bij de winkel een gratis update moeten verwachten, of anders ons geld terug.

      1. Met massa-productie geldt hetzelfde in de echte wereld: dan zit dat wieltje bij die duizenden andere producten ook los.
        Ja en nee. Ontwerpfouten wel, maar die zijn relatief zeldzaam. Maar fabricagefouten komen vaker voor en dan gaat het b.v. om een gemiste lasnaad of een vuiltje op een soldeerplek waardoor deze verzwakt is. Of een breuk in een kabeltje. Dat heeft meestal effect op een deel van de productie en niet, zoals bij software, op alles van die productie en mogelijk ook de toekomstige producties.

        Daarnaast is er nog een ander espect, namelijk de druk uit de markt om het product zo snel mogelijk op de markt te brengen. Zeker als het om producten gaat voor de zakelijke markt dan is de druk enorm. Klanten willen daarbij best bekende kwetsbaarheden accepteren indien deze gedocumenteerd zijn en deze in een toekomstige versie worden opgelost. Als dat niet zo was dan was Microsoft in de vorige eeuw al failliet gegaan…

        Tja, en nieuwe ontwikkelingen op het gebied van veiligheid? Nadat er meldingen kwamen dat buffer overflows ervoor konden zorgen dat software gehackt kon worden brak er redelijke paniek uit onder ontwikkelaars. Want dan moet je eerst weten wat een buffer overflow is, waardoor het wordt veroorzaakt en hoe je het kunt voorkomen. (En natuurlijk ook de vraag of je software gevoelig is voor deze bug.) Later idem dito toen met SQL Injection ontdekte om zo extra rechten te verkrijgen bij websites. Of waarmee je zelfs producten voor niets kon bestellen! En weer moesten ontwikkelaars eerst leren wat het probleem is en hoe ze dat in hun eigen code moesten oplossen. (En beide problemen komen tegenwoordig nog steeds voor!)

        En daar is weer een groot probleem: de kennis van een enkele ontwikkelaar is meestal beperkt tot een bepaald gebied, maar bedrijven kunnen niet genoeg ontwikkelaars inhuren om alle gebieden van voldoende kennis te voorzien. Vaak kiezen ze er dan voor om de ontwikkelaars in te huren die zich specialiseren in datgeen wat de klant wil, dus de functionaliteit. Beveiligings-specialisten huren ze minder vaak in. Te duur en de klant ziet niets van het werk dat deze ontwikkelaars doen, dus is dat moeilijker te verkopen.

        Recentelijk is in een laboratorium een virus ontwikkeld dat Wifi routers kan besmetten. (Bron: Scientias) En dan wordt het wel erg serieus want hoe verloopt die aanval? Wat kunnen fabrikanten ertegen doen? Hoe kunnen providers hun klanten hiertegen beschermen? Kortom, je huidige router heeft mogelijk al een nieuwe, nu bekende kwetsbaarheid en je provider heeft er nog geeneens een oplossing voor. Wat nu?

  4. Het lijkt mij dat wanneer een bedrijf een router levert met verouderde firmware – dus met bekende fouten – je al heel snel mag spreken van een conformiteitsgebrek.

    Er worden heel veel Androidtelefoons verkocht met een oude versie, die niet te updaten is. Dat betreft met name de goedkopere modellen, die gekocht worden door mensen die niet zo op de specs letten en ook geen verstand hebben van de technische details. Dat lijkt me wel een groot probleem voor de winkelier.

    1. Of een variant: mijn router gaat stuk en de provider haalt hem op ter reparatie. Wegens gebrek aan routers krijg ik een oudere router in bruikleen omdat het toch hard nodig is dat ik online blijf. Ik weet dus dat het om een verouderde router gaat met mogelijk oude firmware, maar het alternatief is 5 dagen geen router, dus ik ga akkoord. Is de provider dan verantwoordelijk voor de kwetsbaarheden?

  5. Bij bovenstaande beantwoording van de vraag wordt er van uitgegaan dat sprake is van koop. Echter – zoals ik de vraag lees – stelt de provider de router alleen maar ter beschikking aan de gebruiker. Dan blijft de eigendom dus bij de provider en is van koop geen sprake. De bepalingen omtrent non-conformiteit (Titel 1 van Boek 7 BW) zijn dan ook niet van toepassing.

    De oplossing zal dan moeten worden gezocht in het algemene leerstuk van wanprestatie. Of daarvan sprake is, is afhankelijk van de overeenkomst met de provider en de algemene voorwaarden, die aansprakelijkheid waarschijnlijk op alle fronten uitsluiten. Dan krijg je uiteraard de discussie over onredelijk bezwarende bedingen etc., maar eenvoudig zal het niet zijn om de provider aansprakelijk te stellen voor gevolgschade (want daar hebben we het dan over, denk ik).

    1. Terecht punt. Als er geen sprake is van koop dan geldt Titel 1 niet letterlijk. Ik zou dan alleen eerder naar Boek 7A gaan, en wel naar bruikleen. Daar staat immers ook iets conformiteits-achtigs, hoewel veel fraaier geformuleerd:

      Artikel 1790<br/> Indien de ter leen gegevene zaak zoodanige gebreken heeft, dat daardoor aan dengenen die zich van dezelve bedient nadeel zoude kunnen worden toegebragt, is de uitleener, zoo hij die gebreken gekend, en daarvan aan den gebruiker geene kennis gegeven heeft, voor de gevolgen verantwoordelijk.

      Wel zit je dan met de eis van “gekend hebben” van de gebreken. De provider zal gewoonlijk niet weten van lekken in de router. Bij conformiteit is dat geen probleem.

      Je kunt het eventueel nog proberen met de conformiteitseis analoog toe te passen: je beroept je dan op wanprestatie door een niet goed werkende router, en bij het bewijs dat de router niet goed werkt hanteer je naar analogie de regels uit conformiteit. Maar inderdaad, schade is dan lastiger te claimen. Want de internetdienst werkte niet per se slechter door de router, hij routeert prima alleen komt er malware binnen. Als de klusjesman morst met zijn lunch op mijn dure kleed, heeft hij dan bij de dienst van het verbouwen wanprestatie gepleegd?

  6. Ik heb vorig jaar mijn ADSL router van SiteCom na anderhalf jaar terug kunnen brengen. Toen heb ik mijn geld teruggekregen. De reden daar voor was dat als je geen NAT deed, dan kon de recursive DNS server op dat ding niet uitgezet worden. En ik wilde hem zonder NAT gebruiken.

    Flink wat heen en weer gemailed met SiteCom support en uiteindelijk gaven ze toe dat het niet kon en dat ik hem terug kon brengen. Ze hadden niets vergelijkbaars meer in de winkel. Zelfs al hadden ze dat gehad, dan had ik geen SiteCom meer gewild.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.