Is de eigenaar (of fabrikant) van een Internet of Things-apparaat aansprakelijk voor de schade?

Een lezer vroeg me:

Stel dat je als consument een IoT-apparaat aanschaft en dit apparaat wordt gehackt. Is de fabrikant dan aansprakelijk voor de schade? Kan in sommige gevallen de consument zelf aansprakelijk zijn?
Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Recente wetgeving gaat hier hopelijk iets van verbetering in brengen, al blijft het in eerste instantie bij duidelijke informatie tot wanneer je updates krijgt. Maar een wettelijke plicht dat je als consument zelf een wachtwoord moet instellen, die is er nog steeds niet. Dus de kans dat je brakke apparaat met internettoegang (de Nederlandse vertaling van IoT-apparaat) ergens schade aanricht, is er nog steeds.

Waar schade is, ruiken advocaten aansprakelijkheid. En terecht, want in de wet staat immers dat je schade moet vergoeden – tenminste, als die door een “onrechtmatige daad” is toegebracht. Dat is een daad die niet hoorde te gebeuren, zeg maar even, iets dat tegen de wet is of tegen wat we de “maatschappelijke zorgvuldigheid” noemen.

Een hele lastige is natuurlijk hoe je de eigenaar van zo’n apparaatje achterhaalt, want dat is wel een voorwaarde voordat je schadeclaims kunt indienen. Met een IP-adres uit een botnetaanval bijvoorbeeld kan dat in theorie (via de provider) maar dat is een hoop, duur werk en of je de héle schade bij die ene bot z’n onwetende baasje kunt neerleggen, daar zijn juridische scripties over te schrijven. Dus praktisch gezien zie ik dit niet echt gebeuren.

De fabrikant is iets makkelijker aansprakelijk te stellen, al krijg je daar het probleem dat de schade ook door andere dingen veroorzaakt kan zijn. Updates niet bijgewerkt, de firewall niet conform de handleiding dichtgezet, ga zo maar door. En natuurlijk de vraag of het fair is dat een stilgevallen elektriciteitscentrale (door een ddos-aanval met brakke koelkasten) voor rekening van de koelkastfabrikant moest komen.

Praktisch gezien zie ik het dus niet echt gebeuren, niet tegen consumenten in ieder geval. Bij fabrikanten zal er vast over een paar maanden een interessante zaak komen, maar verwacht geen kortetermijnuitkomsten.

Arnoud

7 reacties

  1. Gelukkig staan er in Nederland maar weinig van dat soort apparaten rechtstreeks aan het internet – er zit tenminste een modem met NAT tussen. Dus zolang dat modem UPnP tegenhoudt, kun je ze vanaf buiten niet meteen benaderen. Maar die apparaten hebben allemaal een “phone home” functie om verbinding te leggen met een centrale server, waarna de brakke app via die server verbinding kan maken. Daar zit volgens mij het risico…

    1. Dat geldt alleen voor ‘slimme’ apparaten die door de eigenaars daadwerkelijk aan hun netwerk zijn gehangen. Dat is niet noodzakelijk of zelfs waarschijnlijk, als je bijvoorbeeld een ‘slim’ apparaat koopt maar het er nooit van komt, of het de eigenaar niet zo boeit en hij hem om andere redenen/features heeft uitgekozen.

      Nu zal je denken ‘mooi dan hangt ie dus helemaal nergens aan’ maar veel van die apparaten hebben af-fabriek een open wifi-accesspoint waar je mee moet verbinden om de configuratie in te stellen. Soms met wachtwoord (in de handleiding) maar soms ook niet. En die kun je dus door wardrivers laten hacken.

      Geen idee hoe waarschijnlijk dat is (omdat je er fysiek voor op pad moet) maar wel iets om in je achterhoofd te houden, samen met de gedachte dat er misschien meer van dit soort ingangetjes zijn waar we met zijn allen nog niet aan hebben gedacht.

  2. In de voorbeelden in het blog gaat het om schade aan derde door bijvoorbeeld onbewust lid zijn van een botnet. Maar wat nou als het schade aan dingen van de eigenaar van het apparaat zelf is? Dan kom je dichter in de buurt van de situatie van de vraagsteller.

    Om het voorbeeld van het plaatje bij deze blog te gebruiken. Stel jouw wasmachine wordt gehackt waardoor hij altijd een kookprogramma doet ongeacht wat je zelf probeert in te stellen en hierdoor raakt kleding van jou beschadigd. Kan je dan de fabrikant aansprakelijk stellen? Of is dit dan gewoon garantie? De wasmachine doet niet wat jij mag verwachten wat hij doet, en het maakt niet uit of dat gebeurd door een defect of door een hack

  3. Afwijkend gedrag nadat het apparaat gehackt is, lijkt mij altijd voor kosten van (uiteindelijk) de fabrikant. Helaas voor hen, zit er in de Nederlandse wetgeving nog de verkoper tussen. Maar in het geval van Ronald, dat de machine alleen nog kookwas draait, kun je spreken van een non-conform gedrag. Dus de machine moet worden vervangen door een goedwerkend (en niet connected) exemplaar en de beschadigde kleding moet worden vergoed naar rato.

  4. Even terzijde maar bewakingscamera’s, zodat je overal vandaan kan zien wie er voor je deur staat, televisies die streams van Internet kunnen bekijken, en thermostaten die je alvast aan kan zetten als je van je werk vertrekt snap ik allemaal. Maar kan iemand uitleggen wat het praktisch nut is van een IoT koelkast, wasmachine, of magnetron?

    1. Koelkast: In de supermarkt via een camera in de koelkast op je mobiel kunnen zien of je nog genoeg melk heb thuis.

      Wasmachine: Notificatie op je mobiel als je was klaar is. (Een timer op je mobiel kan dit ook, je weet immers hoe lang een programma duurt.)

      Magnetron: Recepten van internet halen. Ik verwacht dit eerder bij een combi-magnetron, omdat die meer mogelijkheden heeft voor het bereiden van je eten. (Recepten database updaten via USB-stick zou veel veiliger zijn.)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.