Tweede Kamer akkoord met updateplicht voor verkopers slimme apparaten

De Tweede Kamer is akkoord gegaan met een verplichting voor verkopers van slimme apparaten en digitale diensten om software- en beveiligingsupdates uit te brengen. Dat meldde Security.nl onlangs. Volgens mij was er niet heel veel keus, gezien dit uit een Europese Richtlijn komt en dus gewoon geregeld moest. Desondanks: mooi nieuws, en ik ben benieuwd. We hebben al zó lang last van gebrekkige apparaten met internettoegang.

De regeling omtrent updates wordt opgenomen in artikel 18 van boek 7 van het Burgerlijk Wetboek, dat is de plek waar conformiteit (“wettelijke garantie”) van verkochte zaken worden geregeld. De wettelijke term wordt “zaken met digitale elementen”. De kern is als volgt (lid 4):

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.
De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is.

Uitgangspunt is dus wel dat er updates gaan komen. Expliciet zeggen “wij verkopen zonder updates” is daarmee niet mogelijk, want dit is wel dwingend consumentenrecht. Maar er is een gaatje:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.
Ja, dat is weer een extra vinkje dat je dan moet zetten. Ik kan nergens vinden of de verkoper je mag verplichten dat vinkje te zetten of anders geen verkoop, maar ik denk het wel. Dat zou dan acceptabel zijn omdat je het héél duidelijk apart gemeld wordt en je dus apart moet zeggen dat je dat wil.

Verder vermeldt het wetsvoorstel een regeling over als de consument de update niet installeert. Niet verrassend is de leverancier dan niet aansprakelijk voor fouten die de update zou hebben opgelost, mits de update voldoende duidelijk was aangekondigd en de installatie-instructies duidelijk genoeg waren.

In alle gevallen gaat het dus over de verkoper, zeg maar de Mediamarkt of Coolblue, en dus niet de fabrikant. Daar heb je als consument eigenlijk nooit direct wat mee te maken, immers. Wel is het zo dat als de fabrikant iets aankondigt of meldt over het product, dit bindend wordt op de verkoper. Het is dan dus mogelijk dat zeg Samsung zorgt voor het melden en beschikbaar stellen van updates, maar dat jij gewoon de Mediamarkt aansprakelijk stelt als die update je telefoon versteent.

Al langer was geregeld dat de verkoper zelf een bindend verhaalsrecht (regresrecht) heeft op de importeur of fabrikant, deze wet verandert daar niets aan. Dus de Mediamarkt mag dan de Europese importeur van Samsung aansprakelijk stellen, of Samsung zelf. En in de zakelijke levercontracten kan dát niet worden verboden.

Arnoud

18 reacties

  1. Toch jammer, dat de wetgever verzuimt om een duidelijkere eis te stellen. Er worden regelmatig telefoons verkocht, die niet alleen geen updates meer krijgen, maar zelfs van verouderde software zijn voorzien. Ook zijn er reclame-acties, waarbij gratis tablets worden beloofd. Bij nadere bestudering is dat dan b.v. een Android tablet met een versie die dan volgens de beschikbare versie al niet meer ondersteund wordt. Maak behalve het verplichten van updates ook het leveren van ondersteunde besturingssystemen verplicht en stel dat updates beschikbaar moeten zijn tot ten minste 3 jaar na verkoop van het artikel. En niet de mogelijkheid om de klant daarvan af te laten zien. Digitale veiligheid laat je niet over aan de consument, die heeft over het algemeen onvoldoende kennis om de consequenties te overzien. Een argument van Samsung en co. dat door de eigen schil en de veelheid aan apparaten het onmogelijk is om ze allemaal voldoende lang te ondersteunen, is geen argument maar een blijk van onvermogen. Laat dan die schil weg en draai het basis OS, dat wel voldoende lang ondersteund kan worden. Het enige argument voor het niet updaten mag zijn, dat de hardware de nieuwere versie niet meer ondersteunt. En dan moet aangetoond worden, dat er voldoende tijdig naar nieuwere hardware is overgestapt en niet met al bekende bijna end-of-life spullen is doorgewerkt.

    1. Ik snap je bedoeling, maar ik ben het niet met je eens. Als updates tot 3 jaar na verkoop van het artikel verplicht blijven maakt dat het vrijwel onmogelijk om restpartijen verouderde apparaten goedkoop te verkopen; terwijl er meer dan genoeg volkomen valide redenen zijn waarom mensen zoiets zouden willen. Op deze manier dwing je iedereen alleen nog maar nieuwe, vaak daarom dure, apparaten te kunnen gebruiken, terwijl een heleboel mensen daar helemaal geen geld voor hebben of behoefte aan hebben. Wat is er mis met een verouderd model TV drie jaar na de introductiedatum nog te verkopen zodat iemand die op zolder kan zetten voor gebruik met een oude spelcomputer? Dit soort zaken zie ik ook nog wel rechtszaken van komen. Het idee van wat nog prima te gebruiken is en wat echt niet meer kan en vervangen moet worden ligt voor veel mensen ver uit elkaar. Ik loop zelf nog rond met een smartphone van nu 3 jaar oud. Draait op Android 10, er zal geen Android 11 voor komen. Ik heb niet meer nodig, ik heb geen behoefte aan een nieuwe, dus zolang het ding het blijft doen wil ik het gebruiken. Als ik hem kapot zou laten vallen zou ik graag hetzelfde model weer kopen, voor een lagere prijs uiteraard. Ik heb gezien dat er nog winkels zijn die er nog wat hebben liggen. Waarom zou dat niet meer mogen?

      1. Natuurlijk heb je een goed punt, en vanuit een praktisch en ecologisch standpunt ben ik het volledig met je eens.

        Aan de andere kant is het probleem wel dat verouderde apparaten met verouderde firmware een veiligheidsrisico voor anderen kunnen vormen. Wanneer een apparaat met netwerk-verbinding relatief eenvoudig gehackt kan worden door verouderde software en ingezet kan worden voor verschillende soorten cyber-aanvallen, en je weet dat die kwetsbaarheden nooit meer gefixed gaan worden, moet je die dan nog actief willen verkopen omdat de gebruiker dat toevallig zo’n handig apparaat vindt, en de risico’s hem/haar niet bekend zijn of interesseren?

        1. Dat ja. Het gaat om het blijven voldoen aan wat je kunt verwachten o.b.v. de koopovereenkomst: een veilige telefoon voor voice en data. Prima als er geen nieuwe major OS-versie op komt, maar -juist- ook de gemiddelde niet-nerd gebruiker behoeft veiligheidsupdates. Zowel voor zichzelf / hun eigen privacy en veiligheid als dat van anderen. En verkoper c.q. fabrikant hoeft dan ook niet mooie nieuwe functies te bouwen, maar wel dat gat dichten waar ze weet van hebben. Als de oude TV in het voorbeeld geen netwerkverbinding heeft, dan vast ook geen beveiligingsgaten en behoeft het geen update. Als het wel een internetverbinding hebt verwacht je er veiligheidsupdates.

          Ecologisch standpunt: het is beter voor het milieu als er wel updates blijven komen voor ook die goedkope telefoon. Dat verbetert de levensduur van de apparaten ook voor mensen die wel aandacht hebben voor de beveiliging. Des te meer als de telefoons een tientje duurder worden om de langere ondersteuning te bekostigen (en men mogelijk minder snel vervangende apparatuur koopt).

      2. Die televisie van drie jaar oud mag prima verkocht worden. Echter, als de fabrikant niet kan garanderen dat er nog tenminste drie jaar beveiligingsupdates voor het besturingssysteem komen, dan moet die televisie gewoon verkocht worden met een hardwarematig uitgeschakelde netwerkverbinding en dus zonder zijn ‘smart’ functionaliteiten. Veiliger voor iedereen en als koper weet je dat je niet hoeft te verwachten dat je de NPO app kunt installeren.
        Overigens zou ik de termijn voor een televisie eerder stellen op 10-15 jaar. Verkopers mogen wat mij betreft echt verplicht worden om beveiligingsupdates te geven voor tenminste dat aantal jaar na de laatste verkoop van het model. Hoe ze dat met de fabrikant gaan regelen zal mij een rotzorg zijn. Alternatief is simpelweg de netwerkverbinding hardwarematig uitschakelen en de TV op die manier verkopen.

        Jouw oude telefoontoestel hoeft geen update te krijgen naar Android 11, als hij maar beveiligingspatches krijgt. Mijn toestel is nu 2 jaar oud (kort na release gekocht) en krijgt hopelijk nog een late update naar Android 11 maar zal nooit naar Android 12 worden geüpdatet. Hij is momenteel echter wel voorzien van de januari 2022 patch, netjes up-to-date dus. Als een verkoper niet meer kan garanderen dat de komende 3 jaar (voor een telefoon wel prima denk ik) het toestel voorzien kan worden van beveiligingsupdates? Dan moet dat toestel gewoon niet meer worden verkocht.

        @Arnoud: Het lijkt erop dat de live-view van de comment wel een &ltbr> tag plaatst als een gebruiker een enter/return/line-break/\n/\n\r invoert maar bij het plaatsen van het bericht dat niet wordt gedaan. Alleen bij een dubbele line-break wordt er een nieuwe alinea gestart met <p>

  2. Ben benieuwd wat ‘aan de overeenkomst beantwoord’ is en wat een redelijke termijn is. Als mijn zes jaar oude LG TV geen Netflix meer wil doen omdat Netflix iets in haar protocol verandert, de TV geen update heeft (of wellicht niet eens kan krijgen omdat de hardware ontoereikend is) en ik met dit probleem naar de Media Markt stap vraag ik me af wat de uitkomst van de discussie zal worden. Preciezer; wat mag je verwachten? Dat de TV beeld geeft? Lijkt me logisch. Dat de TV alle diensten biedt die bij levering ook werden geboden? Lijkt me al veel moeilijker.

    Ik kan me voorstellen dat fabrikanten in de algemene voorwaarden een hele nauwe core-functie omschrijven en daarvoor indien nodig updates uitbrengen. Andere features als ‘gratis’ omschrijven en die gewoon uitschakelen in plaats van updaten mochten er veiligheidsissues zijn.

  3. @Arnoud: Betekent dit nu ook dat verkopers van apparaten met een digitaal element bij wet verplicht gaan zijn, of meer waarschijnlijk deze wet als argument gaan gebruiken om, bij de verkoop van dergelijke zaken allerhande persoons- en contactgegevens van mensen te gaan noteren? Hoe kan je immers kopers informeren als je niet weet wie die kopers zijn en hoe je ze moet bereiken? Ik voorzie “nieuwsbrieven” elke keer als er een minor firmware update beschikbaar is waarvoor je je niet af kan melden want “informeren vloeit voort uit een wettelijke plicht”. En als je weigert je e-mailadres, naam, adres, telefoonnummer, geboortedatum e.d. op te geven dan moet je even tekenen dat je bewust afziet van deze verplichting. Is hier iets voor, of beter gezegd tegen, geregeld?

    1. Wettelijk is dat zeker niet hoe het moet. Gewoon zoals Windows het doet “Er is een update, nu installeren of vanavond” zou ook prima zijn. Of “Over zes maanden de laatste update”. Je kunt prima pushberichten sturen naar je app lijkt me. (Als je apparaat dat niet kan, hangt ie niet aan internet en zie ik het probleem minder.)

      Verder zegt de AVG dat je aan dataminimalisatie moet doen. Dus hoezo heb jij al die gegevens nodig om een update te melden? Een emailadres vooruit, uw download/update staat voor u klaar. Maar meer, ik zou de argumentatie niet weten.

  4. Wat ik mij nu afvraag…

    Achteraf gezien, was het legaal dat Sony zonder toestemming van de gebruiker de Linux functionaliteit uit het OS van de PS3 heeft verwijderd? Afgezien van dat je er voor kon kiezen om updates niet te installeren, wat in mijn opinie nooit de giecheltoets voor ‘redelijke keuze’ zou overleven. Niet gezien de lekken die ermee gerepareerd werden én het feit dat toekomstige software (games) nieuwere firmware als eis ging stellen om sowieso te werken? Stel dat het toen legaal was, zou het dat nog zijn onder deze Updateplicht?

  5. Ik vraag mij alleen af hoe dat dan werkt met de vele knutsel-hardware zoals de Arduino bordjes, de Raspbery Pi en de ESP-WiFi modules. Dit zijn hardware onderdelen waarbij de software gewoon open source is. En dus koop je dan ook echt alleen maar de hardware voor je IoT apparaat. Maar dan krijg je dus ook dat een fabrikant de hardware voor een slimme camera aanbiedt en daarbij verwijst naar een GitHub account waar je de software kunt downloaden en installeren. Deze is dan open source dus regel je eigen beveiliging maar! De fabrikant gaat gewoon niet verder dan de elektronica. En dan wordt het best interessant want kan de fabrikant nog verplicht worden tot updates als de software open source is?

    1. Ik denk juist dat dat een van de verantwoordelijkheden is die je je als fabrikant op de hals haalt wanneer je producten verkoopt waar open source in verwerkt is. Vergeet overigens ook niet dat al die hardware ook firmware bevat, en het niet voldoende is om gewoon naar een Github linkje te verwijzen. Je zal ook moeten zorgen voor de juiste (versies van) device drivers.

      1. Ja en nee. Ook de firmware op deze hardware kan gewoon open source gemaakt worden en bij Arduino is dat zeker het geval. Ook de ESP8266/WiFi module is gewoon helemaal open source. De fabrikant maakt dan ook echt alleen de hardware en verder eigenlijk een standaard firmware die gebruikers zelf kunnen bijwerken. Maar die ESP8266 wordt door wel heel veel IoT apparatuur gebruikt omdat het lekker goedkoop en compact is. Er zijn tientallen SDK’s voor beschikbaar en heel veel open source projecten die op deze module gewoon geladen kunnen worden. En dat doen niet alleen fabrikanten van IoT apparatuur maar ook heel veel hobbyisten.

        Maar mijn vraag is dus gewoon heel simpel: als alle software, inclusief de firmware, gewoon beschikbaar is als open source, moet je dan als fabrikant nog aan updates doen, of wordt dit dan de verantwoording van de open source gemeenschap die er verder op bouwt?

        1. De wet legt de verplichting bij de verkoper van de hardware (die de firmware bevat). De verkoper kan de importeur en hardwaremaker aanspreken voor het maken van updates.

          Hoe de verspreiding en installatie van deze firmware geregeld is, daar zegt de wet niets over. Als je voor het eerste gebruik de firmware van GitHub downloadt en daarna installeert (netjes volgens de instructies op de Wiki), kan de leverancier een email sturen aan al zijn (bekende) klanten (bcc bij voorkeur) gat er een security update klaarstaat, met verwijzing naar diezelfde wikipagina hoe de update te installeren.

          Dit betekent dat de hardwaremaker de “plicht” heeft om ervoor te zorgen dat bugfixes gemaakt worden, mogelijk door het sponsoren van een van de Open Source ontwikkelaars, en dat zijn afnemers ingelicht worden die dan weer hun klanten kunnen inlichten.

          Een Open Source project dat compleet alternatieve firmware schrijft en dat alleen als software levert is volgens de wet niet verplicht om updates te leveren.

          1. Goed punt, alleen bevat deze hardware in principe geen firmware. In ieder geval niets dat te updaten is. De firmware is compleet open source en dus vrij beschikbaar voor iedereen om aan te passen. Als er al firmware op zit dan komt die rechtstreeks uit de open source repository, maar het is aan de gebruiker om deze bij te werken. Op dit gebied is hardware en software dus ook echt strict gescheiden.

            Dus de hardware fabrikant verkoopt ook echt alleen maar de hardware en laat de firmware over aan de klant. Ja, ze krijgen een voorbeeld-firmware mee uit GitHub maar verder eigenlijk niets. Want de meeste gebruikers van deze hardware willen dit allemaal zelf onder controle hebben.

            Vergeet ook niet dat het hier om open source hardware gaat. Iedereen kan de hardware schema’s gebruiken om hun eigen kloon te maken. Alleen de merknaam is beschermd. Alleen zelf dit soort hardware maken is veel te complex voor velen. De fabrikant neemt dit dan voor hun rekening en je krijgt dus ook echt alleen de hardware.

            En dat levert dan een uitweg op voor IoT leveranciers omdat ze dan de software open source maken en de gebruiker deze zelf bij moeten werken. Daarnaast maken ze een Web API waarmee de open source communiceert en de hardware met een simpele applicatie waarmee je je eigen firmware mee kunt uploaden naar je apparaat. De aard van dit soort producten is dat je er zelf mee gaat knutselen, dus moet je zelf ook de updates regelen.

            1. Van gebruikers die zelf hun eigen versies van de firmware in elkaar zetten mag je verwachten dat ze zelf de upstream bugfixes bijhouden en verwerken. Het zou me trouwens niet verbazen als veel kopers van deze open hardware de bordjes (netjes verpakt in een professionele behuizing) doorverkopen aan klanten als onderdeel van een of ander netwerk systeem. In dat geval zijn zij als leverancier van de hardware met firmware verantwoordelijk voor het onderhoud. (Zij zijn ook de makers van de firmware en zouden dus de benodigde kennis horen te hebben.)

              Ik verwacht niet dat een IoT apparaat waar je eerst firmware op moet zetten veel zal verkopen, veel te lastig voor een niet-technische gebruiker.

              1. Het zou me trouwens niet verbazen als veel kopers van deze open hardware de bordjes [snip] doorverkopen aan klanten als onderdeel van een of ander netwerk systeem.

                Oh, dat zal zeker gebeuren maar dan is het tevens een B2B project en het gaat hier om consumentenrecht. Bij B2C producten met dergelijke hardware erin kun je denken aan Lego Mindstorms maar ook vele soorten lasercutters en 3D printers maar ook allemaal robot-autootjes, vliegende drones en dat soort bouwpakketten. Maar ook b.v. de Bero robotjes die wel beperkte firmware updates krijgen. Maar ook hier gaat het om hardware die je zelf verder moet programmeren. Deze kwam uit in 2013 met apps voor Android en Ios, alleen zijn die apps dus niet meer waar ze vertellen dat ze zijn. Zo jammer… Broncode ervan is wel open source, inclusief de Android/Ios App, alleen is de originele repository weer op sourceforge en vrij lastig te vinden. De laatste update ervan was in 2013 en sindsdien lijken ze het product alleen maar te verkopen zonder nieuwe software of firmware erbij. Originele domeinnaam is momenteel te koop en hun FB pagina is ook sinds 2013 niet meer bijgewerkt. Idem voor Twitter. De webwinkel is nog wel aanwezig maar is volledig uitverkocht. De KickStarter pagina vertelt hoe het ooit begon in 2012 en een jaar later was het product eigenlijk alweer ten einde, wat vaker gebeurt met dit soort projecten…

                Het probleem van Bero is wat je met veel IoT projecten kunt verwachten. Een fabrikant maakt een mooi product en het verkoopt goed. Maar de fabrikant maakt niet genoeg winst of gaat de fout in met investeren en leidt verlies en de fabrikant gaat failliet. Maar de webwinkel waar je het kocht kan jou ook niet verder helpen met updates want dat moet via de fabrikant. (Of via de open source gemeenschap!) Dus wat is de “redelijke verwachting” die je kunt hebben met dit soort producten?

                En zou je KickStarter erop aan kunnen spreken?

              2. Dat is zo lastig als je het zelf maakt. Het OS van een Synology NAS is opgeslagen op de disks die je er meestal zelf los bij moet kopen en in moet steken. Bij de installatie van het apparaat start deze een eenvoudige kickstarter firmware op van een flashchip waarmee je zelf de echte firmware moet uploaden.

                Om de vergelijking terug te trekken naar de ESP bordjes; Deze worden vaak helemaal zonder firmware geleverd maar veel community projecten bieden een eenvoudige firmware flasher applicatie aan. Na installatie kun je meestal via een webinterface verdere updates installeren. Het zou ook mogelijk kunnen zijn om ESP bordjes te (ver)kopen met een blanco firmware die alleen een eenvoudige webinterface aanbied voor het flashen. Sterker nog, het zou mij niets verbazen als dat in een toekomstige versie standaard wordt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.