Verkopers van Internet of Things (IoT)-apparaten, zoals smart tv’s en horloges, printers, camera’s en babyfoons, zijn vanaf 27 april wettelijk verplicht om software- en beveiligingsupdates te leveren. Dat las ik bij Security.nl vorige week. Nadat in februari de Tweede Kamer akkoord was met een updateplicht, stemt nu ook de Eerste Kamer in. En ja, 27 april was vorige week maar de stemming was op 19 april en het ging om invoering van een Europese regel, dus heel veel rek was er niet meer.
De kern van de updateplicht staat in artikel 7:18 lid 4 BW:
Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.Een zaak met digitale elementen is hoe wetgevingsjuristen een IoT-apparaat of “slim apparaat” omschrijven: een ding dat op je tenen valt (en dan pijn doet) maar met software erin. De regel geldt dan weer niet voor los verkochte software op een drager, en ook niet voor software-als-download.
De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is. Bij een slimme vaatwasser (ik heb er een: hij appt me als hij klaar is, dit schijnt slim te zijn) mag je denk ik langer updates verwachten dan bij een speelgoedlaptop voor kleuters, om eens wat te noemen. Maar simpelweg weigeren updates te leveren, of verwijzen naar de fabrikant, dat zit er niet meer in.
Zoals ik in februari al blogde, er is een gaatje in lid 6 van datzelfde artikel:
Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.Mij is nog steeds niet duidelijk of dit een verplicht te aanvaarden vinkje mag zijn. Ik vermoed ondertussen van wel, mits maar duidelijk in de begeleidende informatie staat dat het zonder updates komt.
Een interessante signalering nog in de comments bij Security.nl:
Er komt een certificering Cyberveiligheid van consumenten IoT, zie https://www.kiwa.com/nl/nl/service/etsi-en-303-645-beveiliging-iot-consumentenelectronica/. De betreffende norm (ETSI EN 303 645) is redelijk specifiek in waar aan voldaan moet worden.Een winkel zou bij haar inkoopbeleid dan kunnen eisen dat fabrikanten een dergelijke ETSI-certificering hebben, zodat zij weten dat de software goed te updaten is.
Arnoud
Kan dit gezien worden als een verduidelijking van een al bestaande regel (goed werken en aan redelijke verwachtingen voldoen) waardoor het ook van toepassing is op aankopen van voor 27 april? De regel bestond toen immers al, men was alleen niet geïnformeerd dat dit daar ook onder viel.
Ik bedoel hier niet mee dat verkopers bestraft moeten worden voor het vroeger niet vermelden van bepaalde informatie. Mijn doel is het kunnen eisen van updates op producten die al gekocht zijn maar nog in de verwachte update duur zitten.
Dat vind ik altijd een lastige. Ik zie ook wel wat in het argument dat het er voorheen niet onder viel, en dat we daarom een nieuwe regel maken zodat het wél verplicht wordt. Waarom maak je een nieuwe regel als de oude het al dekte? Het enige argument dat je dan hebt is “verduidelijken”, en heel sterk vind ik dat niet.
Stel ik heb vorig jaar een slimme lamp gekocht waarbij niks vermeld was over de update periode. De winkel verkoopt na 27 april nog steeds dezelfde lamp en vermeld nu dat hier 2 jaar software updates op zitten. Het lijkt mij dan niet onredelijk om te verwachten dat ik ook 2 jaar aan updates op mijn vorig jaar gekochte lamp heb.
Ik zou het wel onredelijk vinden als je updates eist omdat er toen geen vinkje stond dat je bevestigd dat er geen updates zijn, terwijl dat vinkje er nu wel staat. Of als je updates wilt voor een apparaat die nu niet meer verkocht wordt.
Niet noodzakelijk, de lamp die nu in de winkel ligt heeft wellicht een andere hard- of firmwareversie.
Mijn tosti-ijzer heeft ook een scherm (van X bij Y pixels) waar teksten op verschijnen. Is dat ook een zaak met digitale elementen?
Volgens mij niet:
Digitale inhoud is ” gegevens die in digitale vorm worden geproduceerd en geleverd”, gezien de MvT gaat dat over data, zoals muziek of foto’s, en niet over software. Dat valt onder een digitale dienst: Onder i valt dus software waarmee je bij de opgeslagen data kunt, denk aan een UI waarmee je een speelgoedtelefoon geluidjes kunt laten maken. Jouw tosti-ijzer doet niets met opgeslagen data denk i, dus dan gaan we naar ii: delen of interactie met gecreëerde of geuploade gegevens. Mijn gevoel is dat dat er ook niet onder valt.Als de software zichzelf kan updaten via internet, dan valt het onder i want dan is dat een dienst die gegevens opslaat (namelijk door ze te downloaden).
https://www.etsi.org/deliver/etsien/303600303699/303645/02.01.0160/en303645v020101p.pdf Valt nog mee 34 paginas maar als we dit in basis voor elkaar zouden krijgen dan zijn we al een heel eind.
Het lijkt erop dat de underscores worden weggehaald waardoor de link niet meer klopt. Gisteren had ik dit probleem ook toen ik een reactie plaatste met een link erin.
Die redelijkheids toets is interessant. Vooral bij telefoons voorzie ik een interessante discussie. Veel telefoons worden al na een jaar of 2 à 3 niet meer voorzien van updates omdat men de firmware niet meer update en zo wordt de telefoon binnen geen tijd onveilig.
Die drie jaar is vanaf release, als consument koop je zo’n telefoon ook zo een jaar later. Dan kan je de telefoon eigenlijk nog maar 2 jaar veilig gebruiken. Mag je redelijkerwijs langere updates verwachten? Ik denk van wel. Google heeft laten zien dat het kan met de pixel 6/6 pro die update garantie van 5 jaar hebben.
Overigens: kan deze nieuwe wetsbepaling ook retroactief worden toegepast op aankopen die al gedaan zijn en na dato van inwerkingstreding niet meer worden voorzien van updates terwijl dat onredekelijk is?
Dat zal inderdaad een interessante discussie worden, want de redelijkheid rondom het aantal jaren updates lijkt nogal leverancierafhankelijk: 5 of 6 jaar updates voor een iphonemodel is doodnormaal, maar zoals uit je verhaal blijkt, kan dat voor Android-telefoons nogal anders liggen.
De grote discussie is natuurlijk tussen de fabrikant die het een fashion-item vindt en dus 1 of 2 of 3 jaar wel genoeg vindt, en de modale gebruiker die het een duurzaam gebruiksgoed vindt en eerder 7 tot 10 jaar verwacht.
Als ik 800-1000 Euro uitgeef voor een telefoon vind ik het helemaal niet redelijk dat die na 2 of 3 jaar niet meer werkt, of nog slechts basisfuncties heeft.
(Iedereen vind het normaal dat een klein zakapparaatje zoals een telefoon net zoveel mag kosten als een afwasmachine, een goede laptop, een smart TV, een elektrische fiets, een jaar collegegeld aan een universiteit in de Europese top 100 of een minimum maandloon voor een 19 jarige. Ik vind dat eigenlijk belachelijk)
Je schrijft dat dit nieuwe artikel is gericht op IoT-devices, maar onder een “zaak met digitale elementen” waarbij sprake is van “levering van de digitale inhoud of digitale dienst” valt toch ook ‘gewoon’ een pre-installed laptop, desktop, tablet, of ander device? Met andere woorden het daarop geïnstalleerde OS en andere software/bloatware? Of zie ik dat verkeerd?
Stel ik koop bij de electrowinkel in het dorp een smartphone. Nieuw in doos, maar oude voorraad. Android 8. Koopje. Wordt door de fabrikant al een jaar niet meer bijgewerkt en heeft vele bekende Android beveiligingsproblemen. Mag ik nu verwachten dat de winkelier zelf nieuwe software gaat schrijven (of dit laten doen) en mij een gepatchte android versie biedt?
Een slimme winkelier zal bij zo’n verkoop die uitzondering gebruiken en zeggen “Oude versie Android, niet ondersteund geen updates”. Als ze dat expliciet melden bij de verkoop en jou ermee akkoord laten gaan, dan hoeven ze verder niets.
Als ze zonder iets te zeggen een doos met een Android 8-telefoon in het koopjesschap gooien, dan heb jij recht op grofweg 3 jaar updates. (Een smartphone gaat volgens de meeste organisaties toch wel 3 jaar mee.) Echter, omdat het hier echt onmogelijk is om nog updates te verschaffen, denk ik dat je dan een gratis telefoon hebt: zodra je hem niet meer wil, ga je klagen over gemis aan updates en laat je de koop ontbinden omdat herstel of vervanging onmogelijk is. Je krijgt dan je geld terug, en géén vergoeding voor het gebruik van het apparaat tot jouw moment van ontbinding.