Google gaat telefoonmakers verplichten beveiligingsupdates aan te bieden

| AE 10581 | Security | 20 reacties

Google gaat telefoonmakers contractueel verplichten om smartphones van software-updates te voorzien. Dat meldde Nu.nl vorige week. Een onderwerp waar al veel over te doen is, onder meer vanuit onze Consumentenbond met haar actie die onder meer leidde tot een rechtszaak tegen Samsung met de eis tot langer updaten van smartphones. Fabrikanten zijn volgens mij gewoon wettelijk verplicht dit te doen, maar werken daar bepaald niet enthousiast aan mee. Ergens is het dan wel erg frappant dat Google met zo’n aankondiging (waarschijnlijk) wél iedereen gewoon meekrijgt.

Natuurlijk is het heel logisch dat als Google het zegt, iedereen zich eraan gaat houden. Google heeft het merk Android en stelt stevige eisen aan het gebruik van deze software. Dat mogen ze, en je bent uiteindelijk niet formeel verplicht om Android op je telefoon te zetten. Maar praktisch gezien heeft Google een forse marktmacht (een dikke 85% van de mobielebesturingssystemenmarkt) dus vanuit dat standpunt kun je wel zeggen dat Google echt afdwingt dat je dit moet doen.

Het kan misbruik van je machtspositie zijn om zo’n verplichting op te leggen. Maar hier lijkt het me zó in het voordeel van de markt en de consument dat ik me niet kan voorstellen dat iemand er werkelijk met succes bezwaar tegen kan maken.

Het raakte me vooral omdat het er nu op lijkt dat een marktpartij (Google) méér voor elkaar kan krijgen dan de wetgever en uitvoerende macht bij elkaar. Dat is ergens raar, want regels in het voordeel van de markt of maatschappij lijken me regels die je vanuit de overheid zou verwachten, inclusief handhaving daarvan. Maar het is wel iets dat je typisch vaker ziet bij internetbedrijven, dat zij veel effectiever normen stellen en handhaven dan de formele overheid. Ik zou echt eens een studie rechtsfilosofie moeten gaan doen, wat zit hier achter, hoe past dit in de grondslagen van het recht?

Arnoud

Deel dit artikel

  1. Google zal effectiever kunnen handhaven omdat de door Google opgelegde sanctie veel zwaarder kan zijn dan wat een formele overheid kan doen. Google zou contractbreuk kunnen claimen en gebruik van Android door de betreffende fabrikant beëindigen, terwijl een overheid niet veel meer kan doen dan een boete opleggen.

    Een overheid zou dus veel zwaardere sancties moeten instellen: in plaats van een of andere boete die gewoon in de bedrijfsvoering wordt ingecalculeerd zou bijvoorbeeld de EU (kan die moloch toch nog ergens goed voor zijn…) moeten kunnen vaststellen dat apparatuur waarvan de software niet up-to-date is conform de update schema’s van de software leverancier een gevaar is voor de IT- en telecom-infrastructuur van onze maatschappij en dus niet meer verkocht of gebruikt mag worden, en ook actief geweerd mag/moet worden uit alle netwerken. Los van hoe je het praktisch implementeert, dan is het gauw over…

    • Ik sluit me hier helemaal bij aan: zolang het goedkoper blijft handhaving af te wachten zal er niets veranderen. Precies dezelfde reden dat iedereen nu wel opeens AVG compliant wil zijn maar zich eerst weinig aantrok van de wbp. Het is dan eigenlijk best fijn voor iedereen dat Google te duur is om te negeren maar zelf wel te handhaven valt.

      In tegenstelling echter tot een rechtsfilosofisch vraagstuk wekt dit bij mij eerder weemoed op voor de trieste conditie van onze rechtsstaat wanneer de uitvoerende macht klaarblijkelijk de wil of middelen ontbreekt om feitelijk te handhaven. Het doet me afvragen waarom boetes (nog steeds) niet van daadwerkelijk afschrikwekkende omvang zijn, zeker als betere handhaving daarmee te bekostigen valt.

  2. Kunnen fabrikanten dan ook afdwingen dat veiligheidsupdates puur alleen veiligheidsupdates bevatten en dat “content updates” over te slaan moeten kunnen zijn? Ik wil zelf altijd wel alle updates maar er zijn mensen die soms een update niet willen uit, bijvoorbeeld, privacyoverwegingen en misschien zijn er fabrikanten die dat willen faciliteren, zonder veiligheidsupdates te moeten weigeren.

    • Volgens mij is dat prima te verwezenlijken. Op de desktop werkt dat ook gewoon zo: Debian Stable en Red Hat bijv. laten geen inhoudelijk nieuwe versies van (bijv.) KDE toe en levert alleen veiligheids- en foutoplossingsupdates, terwijl bijv. Arch en Solus gewoon de nieuwste versie eruit knallen met alle nieuwigheden van dien. Dus waarom zou dat op Android dan anders zijn? Het lijkt mij dat fabrikanten prima voldoen als ze alleen beveiligingsupdates leveren, zelfs al is het maar een backport van een opgeloste fout (dus dat Google bijv. de fout niet oplost voor 7.1.1 maar dat de fabrikant hem backport naar 7.1.1).

  3. De enige manier om dit op te lossen is volgens mij om toegang tot een rechter veel laagdrempeliger te maken. Niemand gaat nu procederen omdat z’n jaar oude telefoon van 250 geen updates meer krijgt. Ook zou een rechter m.i. veel strenger moeten zijn met bedrijven afstraffen die duidelijk de wet negeren. Dat kan door boetes (voor de overheid) of schadevergoedingen voor de klant.

    Hoewel ik zeker niet naar een systeem als de VS wil, is het negeren van de wet nu vaak veel goedkoper dan de wet naleven. Iets meer balans zou wel mogen.

    • Een ‘laagdrempeliger’ toegang tot een rechter betekent meestal ‘goedkoper’, en dat impliceert dat er belastinggeld bij moet aangezien je voor bijvoorbeeld 50 euro geen kort geding financieel kan afdekken, plus dat er een enorme toestroom ontstaat met overbelasting van ons rechtssysteem. Beide (teveel rechtszaken, plus extra belastinggeld) zijn geen goed idee. Dan moet je of meer zaken van tevoren bindend afdekken (in wetgeving bijvoorbeeld), of het rechtssysteem aanpassen waarin voor hele simpele zaken veel minder resources worden gebruikt dan nu al in een kort geding van toepassing is. Bijvoorbeeld een soort snelrechtlaag waarin een enkele rechter in 30 minuten een uitspraak doet, en dat de enige documentatie daarvan een video opname van het geheel is.

      • Tijd voor een echte small claims court, tot zeg maar 1000 euro stijdbedrag, waarbij de procederende partijen geen advocaat/jurist mogen meenemen*. Geen hoor wederhoor en dan nog tien keer heen en weer, geen schriftelijke verzoeken die aan vorm vereisten moeten voldoen, alle partijen krijgen één keer de kans om alles wat ze kwijt willen te vertellen de documenten e.d. ter onderbouwing van hun verhaal in te leveren en de rechter beslist.

        • Uiteraard uitgezonderd als je zelf advocaat/jurist bent, anders wordt het wel heel oneerlijk.
        • Ben daar persoonlijk ook zeer van gecharmeerd (en mijn held Frank Visser bepleit het ook al een hele tijd). Het enige waar ik dan over twijfel, is dat je zo een ongelijk strijdveld creëert voor de partij met de minste kennis. Waarom mag ik niet mijn huisjurist meenemen als mkb’er bijvoorbeeld? Je moet dan wel een héle goede rechter hebben die zelf de juridische argumenten er achter bedenkt en zo nodig met suggesties komt.

          • Dat laatste, die goede rechter, is wat ik zelf bij voor ogen heb. Door dat bij de rechter te leggen, kan je verder leken laten ‘procederen’.

            De huis jurist kan de MKB-er wel voor bereiden, maar niet vertegenwoordigen, dat moet de eigenaar doen. Idem bij grote ondernemingen, niet de general counsel of een andere jurist sturen, maar bijvoorbeeld het hoofd van de (lokale) service afdeling als er een conflict over service is. Nu kan dat toevallig een jurist zijn, maar dat is dan maar zo. Het is sowieso niet de bedoeling dat partijen een juridische theorie aandragen waarom ze gelijk hebben, maar juist de feiten. De rechter haalt de theorie erbij.

            • Niet mee eens.

              De rechter beoordeelt de stellingen, beweringen en feiten van partijen. De rechter moet niet die dingen voor partijen gaan opdiepen en formuleren. Dat zou een onevenredige werkdruk veroorzaken, en het is strijdig met de onpartijdigheid van de rechter.

              Juridische bijstand is een mensenrecht toch? Wat mensen zelf van recht begrijpen, en hoe goed ze logisch kunnen denken en uit hun woorden komen, dat is nou eenmaal ongelijk verdeeld. Door de juridische bijstand krijgt iedereen gelijke kansen, dat is althans de bedoeling.

  4. Maar het is wel iets dat je typisch vaker ziet bij internetbedrijven, dat zij veel effectiever normen stellen en handhaven dan de formele overheid. Ik zou echt eens een studie rechtsfilosofie moeten gaan doen, wat zit hier achter […]

    Naast de reeds aangehaalde sancties, vermoed ik dat een formele overeenkomst tussen twee partijen, bekrachtigd met handtekeningen van de directies, gewoon makkelijker nageleefd kan worden dan per land verschillende en veranderende regels.

    • Ik vermoed dat het (cynisch) management is dat de voorkeur geeft aan nieuwe modellen met nieuwe features omdat daarmee geld verdiend kan worden. Beveiligingsupdates zijn een kostenpost zonder directe inkomsten en worden daarom alleen gedaan als er het bedrijf er niet onderuit komt.

      En hoewel een individuele consument bij de rechter om updates kan vragen kost dat teveel tijd (een jaar of langer met gatenkaas-software) en meer geld dan een nieuwe telefoon…

  5. Het raakte me vooral omdat het er nu op lijkt dat een marktpartij (Google) méér voor elkaar kan krijgen dan de wetgever en uitvoerende macht bij elkaar.

    Moet dat niet zijn “dat een marktpartij (Google) méér voor elkaar kan krijgen dan honderden wetgevers en uitvoerende machten bij elkaar. ” Google dwingt dit nu globaal af. In Europa, US, etc etc en ook in landen waar consumenten recht niet hoog op de agenda staat. Het is rechtsfilosofie op een globale schaal niet alleen in de polder. (PS kreeg gister de security update van mei op mijn Nokia 6.1 met android one 🙂

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS