Gebruikers van Hue-lampen moeten in de toekomst verplicht een account aanmaken, las ik bij Tweakers. Zonder zo’n account wordt een fors aantal functies onbruikbaar. In de reacties de opmerking: “Ben geen jurist maar een account achteraf verplichten is volgens mij juridisch onhoudbaar.” Ik ben wel jurist, wat vind ik?
Hue is een dienst van het bedrijf Signify, waarmee je instelbare lampen op zeer uitgebreide wijze kunt bedienen op afstand. Een selling point was altijd dat je dit puur lokaal kon doen, dus je moest thuis zijn om de hub te kunnen benaderen en het licht te variëren. Echter:
“Nu het aantal features dat we ontwikkelen groeit, groeit ook de noodzaak voor geavanceerdere beveiliging”, zegt het bedrijf. Het verwijst naar de mogelijkheid om tweetrapsauthenticatie toe te voegen, nieuwe gebruikers aan accounts toe te voegen en om gebruikerspermissies te verwijderen. Het bedrijf zegt ook dat aanvallers op die manier ‘niet binnen kunnen dringen in je huis’. Dat is niet zo; door een cloudverbinding te verplichten ontstaat voor veel gebruikers juist een nieuwe aanvalsvector.Het is dus de toevoeging van een cloudverbinding en een account waar de bezwaren tegen zijn. Helemaal omdat dit dus niet gemeld is (ook niet als speculatie of toekomstig plan) bij de eerdere verkoop van de producten.
Dit is en blijft dat kernprobleem van de informatiemaatschappij: digitale dienstverlening is nog steeds veel te slecht geregeld. Ja, de DSA en DMA staan vol met randvoorwaarden, inclusief zaken als interoperabiliteit en vanuit het consumentenrecht zijn er allerlei verboden op al te eenzijdig opgelegde of te strenge regels.
Hier hebben we het over software-updates die extra functies toevoegen en oud gedrag breken. Daar is geen regel tegen. Je moet dan echt heel diep en indirect gaan redeneren vanuit de verwachtingen bij het product (conformiteit) of dat hiermee de toegezegde prestatie wordt ontnomen (zwarte lijst sub a). En het probleem daarmee is dat een eenvoudig verhaaltje over veiligheid dan al genoeg is om gerede twijfel te zaaien.
Een betoog over conformiteit komt erop neer dat een gemiddeld consument bij aanschaf geen account hoefde te verwachten, bijvoorbeeld omdat niet op de doos stond “Account verplicht” of dat Signify adverteerde met “bij ons kan het ook zónder account”. Dat adverteren heb ik niet gezien.
Het punt met de doos: inderdaad stond daar niet op “geen account verplicht”, maar dat is volgens mij meer omdat het hebben van accounts door salesmensen niet wordt gezien als een belangrijke feature, niet iets waar je een premiumplek zoals de doos voor gebruikt. En dat raakt dan aan het argument van conformiteit, als het niet belangrijk genoeg is om in de verkoopmaterialen genoemd te worden, waarom moet je er dan rekening mee houden bij het bepalen van de verwachtingen van consumenten?
Natuurlijk zullen er genoeg consumenten zijn die het kopen vanwege de afwezigheid van accounts. Alleen: niemand zegt dat tegen de winkel, zodat die er ook om die reden geen rekening mee hoeft te houden. Alles kán natuurlijk best essentieel zijn voor iemand, maar de standaard is of een gemiddeld consument het essentieel zou vinden.
Arnoud