Nederlandse rechter verplicht Samsung niet om snel Android-updates aan te bieden

De rechtbank in Den Haag heeft in een zaak van de Consumentenbond bepaald dat Samsung niet snel beveiligingsupdates voor alle smartphones hoeft aan te bieden. Dat meldde Tweakers vorige week. De Bond had een principezaak tegen de smartphonemaker aangespannen omdat zij vond dat Samsung te weinig informatie gaf over updates, en bovendien te traag was met security updates uitgeven. Samsung belooft goedkopere modellen minimaal twee jaar na de release te voorzien van updates, terwijl dat bij high-end modellen minimaal drie jaar is.

De Consumentenbond spande de zaak aan in 2016. Op dat moment stond Samsung bekend als niet zo’n snelle updater, zeker voor goedkope modellen was er vaak snel geen fatsoenlijke security update te krijgen. Dat is sindsdien fors verbeterd, zo lees ik overal. Die verbeterslag weegt mee in het vonnis, want de rechtbank beoordeelt Samsung naar hoe ze nu werkt en niet naar hoe het bij de dagvaarding was.

Het eerste aspect dat in het vonnis aan de orde kwam, was dat Samsung met name te weinig doet om securityupdates zo snel mogelijk naar de consument te krijgen, en wel eigenlijk gewoon binnen een maand nadat de patch is verschenen. Maar dat vindt de rechtbank te rigide: Samsung zit nu eenmaal vast aan het updateproces zoals door Google gedefinieerd, en kan dus niet altijd zo snel met een update komen. Het is een complex proces en daarom kun je niet in het algemeen zeggen dat Samsung te weinig doet en daarmee nodeloos risico’s bij de consument legt.

Het tweede punt is dat Samsung te weinig zou doen om de consument te informeren over veiligheidsrisico’s die aan haar smartphones kleven. Dat zou eigenlijk wel moeten, want dat is toch essentiële informatie zou je zeggen en dan ben je wettelijk verplicht daarover actief mede te delen. Maar de rechtbank ziet dat Samsung op haar site een uitgebreide uitleg publiceert over beveiliging, en oordeelt dat dat genoeg is voor de gemiddelde consument:

De rechtbank neemt daarbij mede in aanmerking dat de “maatman consument” waarop de onder meer door de Consumentenbond ingeroepen artikel 6:193a e.v. 3W zien, een gemiddeld geïnformeerde, omzichtige en oplettende consument is, van wie verwacht mag worden dat hij bereid is zich in de aangeboden informatie te verdiepen, tvaarbij denkbaar is dat informatie langs verschillende wegen wordt aangeboden. De gemiddelde consument wordt in beginsel geacht in staat te zijn om verstrekte informatie op waarde te schatten, om zo nodig nadere informatie te zoeken en om vervolgens informatie uit verschillende bronnen met elkaar in verband te brengen; enige onderzoeksplicht is inherent aan de maatstaf van de gemiddelde consument.

De ‘maatman’ lijkt me daarmee iets proactiever en ondernemender in zijn informatieverwerving dan ik gewend ben. Het is jammer dat er niet inhoudelijk is ingegaan op waar deze lat had moeten liggen.

Alles bij elkaar worden alle eisen dus afgewezen; Samsung mag doorgaan met haar huidige beleid en hoeft niet meer te doen om de consument op te voeden.

Arnoud

6 reacties

  1. De ‘maatman’ is niet een beetje proactiever en ondernemender dan je gewend bent, maar véél proactiever en ondernemender dan we allemaal gewend zijn. Ik ken (buiten de mensen in mijn werkomgeving) werkelijk waar bijna niemand, die zich bij het aanschaffen van een telefoon gaat verdiepen in de aangeboden updates, hoe snel deze gaan en of er security updates bij zitten. Ze willen gewoon de nieuwste, grootste en meest bekende telefoon. Sterker nog, ik hoor regelmatig mensen mopperen dat hun telefoon ‘blijft zeuren om weer een update te installeren’, als ik dan vraag of ze dat doen, reageren ze met ‘nee, dat stel ik altijd uit, want anders ben ik misschien 10 minuten niet bereikbaar’. En dan vinden ze het gek dat de telefoon wekelijks een herinnering stuurt voor het installeren van die update.

  2. Het is een beetje flauw om naar Google te wijzen en dan te zeggen we kunnen er niets aan doen. Security fixes voor high-end toestellen volgen meestal binnen een maand nadat google een patch heeft uitgebracht. Bij budget toestellen is dat soms wel drie maanden, we hebben het hier over bug fixes, waarvan de meeste geen enkele functionaliteit veranderen. Je standaard test suite draaien en klaar, dat hoeft echt geen 3 maanden te duren, dat is volkomen onacceptabel en een rechter die dit wel acceptabel vindt weet duidelijk niet waar hij het over heeft.

    Tijd dat de wetgever er in stapt en gewoon een verplichting oplegt om voor een minimale periode binnen een redelijke tijd (zeker niet langer dan een maand en wellicht iets ruimer voor bugs die geen veiligheidsimplicaties hebben ) na het uitkomen van een fix deze uit te brengen. Jammer voor Samsung als ze daar door hun ‘beleid’ van markt overspoelen met 100 varianten van goedkope nauwelijks ondersteunde telefoons moeten aanpassen.

    1. Wat mij betreft een prima plan om dit wettelijk te regelen, maar….. Nu hebben we het over (android) Smartphones. Als we dit uitbreiden naar bijvoorbeeld IoT apparaten? Hier is zo verschrikkelijk veel pure junk van in omloop, die hoegenaamd geen beveiliging hebben. M.I. is dit een veel groter gevaar dan security updates op telefoons die slechts 1 keer per 3 maanden worden uitgerold. Neemt niet weg dat het hele Andorid ecosysteem gewoon een slechte manier van updates en applicaties heeft. Alles is gebaseerd op volledige images ipv per hardware onderdeel een driver zoals in de laptop/pc wereld. Het is hoegenaamd niet mogelijk om zelf een OS op een smartphone te installeren. De fabrikanten van (android) smartphones houden dit dan ook krampachtig in stand om zo maar een zo groot mogelijke omzet van nieuwe verkopen te kunnen realiseren. Ze gaan het niet riskeren dat een telefoon via herinstallatie nog eens een paar jaar bruikbaar te houden. (terwijl de hardware specificaties van bijvoorbeeld een Samsung Galaxy S6 van 3 jaar oud echt niet zo slecht zijn om bijvoorbeeld Android 9 niet te kunnen draaien.)

      1. Helemaal met je eens dat dit breder verplicht moet worden gesteld. Het zal bij computer analfabeten wel verkeerd vallen, maar een hele hoop van die goedkope china crap mag wat mij betreft in Nederland gewoon verboden worden voor gebruik op openbare communicatie netwerken ivm de veiligheid. Ik heb er namelijk geen enkel vertrouwen in dat zelfs als je de wet invoert dat een dozenschuiver uit Shenzen zich daaraan gaat houden. Immers buiten een invoer verbod en inbeslagnemen aan de grens is er niets wat Nederland tegen deze ondernemingen kan doen.

  3. Ik lees uit het vonnis vooral dat de consumentenbond (te?) weinig heeft gedaan om concreet gevaar van Samsungs handelswijze te bewijzen, in plaats van theoretisch gevaar.

    Ik vind trouwens wel dat de twee-jaars termijn NA MARKTINTRODUCTIE voor updates kort is, te kort. Een model kan makkelijk een jaar of meer na marktintroductie nog nieuw verkocht worden door een door Samsung beleverde winkel. Dat zou betekenen dat de echte updatetermijn die de consument krijgt, maar een jaar, of zelfs minder, is. Dat lijkt me minder dan je realistisch mag verwachten als consument.

    Moet dan voor de periode tussen 1 jaar en 2 jaar verkoper, bijv de mediamarkt, voor conformiteit zorgen door zelf dan maar updates uit te geven? Dat lijkt me toch niet!

    Maar wat kun je als consument concreet met een toestel dat je 1 jaar na marktintroductie gekocht hebt en dat 18 maanden na aankoop een kritische update moet hebben? Samsung zegt: pech, twee jaar is voorbij.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.