Lenovo geeft drie maanden oude Moto E4-smartphones geen update naar Android 8

| AE 9683 | Aansprakelijkheid | 24 reacties

Smartphonemaker Lenovo zal zijn Moto E4-serie van toestellen die deze zomer verschenen geen update geven naar Android 8.0. Dat meldde Tweakers vorige week. De reden is me niet helemaal duidelijk, gezien andere toestellen (zoals de Z- en G5-modellen) wel een update naar Android 8 “Oreo” krijgen. Wat dan de vraag oproept, zijn ze niet verplicht om dat door te voeren?

Helaas biedt de wet geen duidelijk antwoord over wat een fabrikant (of winkelier) nu precies moet doen met embedded software. Ja, het product moet veilig zijn en moet aan de gewekte verwachtingen voldoen. Maar vanaf daar wordt het altijd discussie.

Ik blijf erbij: embedded software moet veilig zijn, dat is iets dat iedere consument verwacht. En dan kom je bij de conformiteitseis uit: een product moet aan de overeenkomst beantwoorden, en daarbij geldt dat

de koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.

Veiligheid lijkt me bij (embedded) software vandaag de dag wel een eigenschap die voor normaal gebruik nodig is. Je mag niet verwachten dat software foutvrij is, want iedereen weet dat dat niet kan voor de prijs van een smartphone, maar je mag wel verwachten dat fouten van tijd tot tijd worden gerepareerd lijkt me zo. Updaten dus.

Belangrijk is voor mij wel dat een nieuwe versie van het besturingssysteem gewoonlijk eerder een upgrade dan een update genoemd wordt. Dat maakt nogal uit. Je krijgt bij een upgrade namelijk nieuwe features en functionaliteiten, die je niet hoefde te verwachten gezien de oude software. Ik denk dat je hoe dan ook niet meer kunt verwachten dan een update, waarbij fouten worden hersteld en dingen hooguit in lichte mate worden verbeterd. Dus een nieuw OS hoef je wettelijk niet te verwachten.

Arnoud

Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Aansprakelijkheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade is, moet nog worden bepaald. In ieder geval vallen daar de kosten onder van het inschakelen van een waarnemend huisarts.

Dit is het vervolg op de zaak waar ik in januari over blogde. In het algemeen lijkt het goed af te lopen voor deze IT-leverancier, schreef ik toen. Maar dat valt nu tegen:

De rechtbank heeft al geoordeeld dat tijdsdruk geen goede reden was om van het maken van een back-up (of controle daarvan) af te zien, kort gezegd vanwege het grote belang van [eiseres] c.s. bij haar praktijkgegevens en omdat [gedaagde] haar niet vooraf had gewaarschuwd voor de risico’s (tussenvonnis onder 4.6). Wat [gedaagde] daarover bij akte heeft aangevoerd, doet niets af aan zijn verantwoordelijkheid als deskundig ICT-dienstverlener jegens [eiseres] c.s. [gedaagde] kan zich niet verschuilen achter een beweerd blind uitvoeren van ‘opdrachten’ van [eiseres] c.s. zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.

De rechtbank doet nu einduitspraak. Voorop staat dat je als “redelijk bekwaam en redelijk handelend ICT-dienstverlener” er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is. In ieder geval niet in situaties waarin het belang van die backup groot is (de administratie van een huisartsenpraktijk) en waarin de documentatie bij upgrade die je gaat uitvoeren expliciet waarschuwt “maak een backup”. Dan moet je écht controleren of deze klopt.

Doe je dat niet, dan hang je:

Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.

En nee, algemene voorwaarden hadden hier waarschijnlijk niet bij geholpen. De rechtbank laat doorschemeren dat deze tekortkoming volgt uit het verzaken van de zorgplicht die je als dienstverlener hebt. Botweg de aansprakelijkheid voor zulk verzaken uitsluiten gaat gewoon niet, dat is niet redelijk. Je gaat gewoon betalen als je klantdata kwijtmaakt of niet zorgt voor een goede backup.

Mogelijk had een expliciete waiver hier wel geholpen. Dan zeg je als dienstverlener “u, klant, wilt iets héél onverstandigs en u tekent hierbij voor afzien van aansprakelijkheidstelling”. Dat kan, maar het moet wel redelijk zijn. Dus dat in je algemene voorwaarden: vergeet het maar. Een op maat gesneden tekst (“Gezien de bloedspoed bij de klus en de schriftelijke verzekering van KPN dat u een online backup heeft, ziet u af van een backup voordat ik begin”) gaat het denk ik wel redden.

Alleen: de tijd die je daarmee bezig bent, is waarschijnlijk vergelijkbaar met de tijd om gewoon even een backup te maken. Of ik mis iets en backups maken is anno 2017 toch nog heel tijdrovend en ingewikkeld.

(Het wordt wel een beetje de week van dataverlies&backup deze week, maar goed, data ís nu eenmaal de kern van ICT-diensten.)

Arnoud

Kun je Microsoft aansprakelijk stellen voor schade uit een ransomware-aanval?

| AE 9521 | Aansprakelijkheid, Software | 25 reacties

De computersystemen zijn nog steeds niet bruikbaar, zo liggen beide containerterminals van APM in de Rotterdamse Haven nog steeds stil. Dat las ik bij Bright. De ransomware Petya wist vele computers te gijzelen in de IT-omgeving van de Haven, en dat is niet eenvoudig op te lossen. De reden blijkt een bug in Windows, die al tijden bij de NSA bekend zou zijn maar nooit gemeld is. Is er nu enige mogelijkheid Microsoft aansprakelijk te stellen voor de schade van zulke downtime?

Het makkelijke antwoord is natuurlijk nee, want in de voorwaarden van Microsoft staat gewoon dat ze niet aansprakelijk zijn voor de gevolgen van fouten in hun software. En ja, dat is rechtsgeldig bij grote partijen zoals de Rotterdamse Haven. Bij consumenten in principe niet, tenzij er heel bijzondere omstandigheden zijn (zoals, blijf ik volhouden, wanneer de software gratis beschikbaar werd gesteld).

Maar goed, wat in het hypothetische geval dat er geen rechtsgeldige beperking van aansprakelijkheid was. Dan zou het kunnen. Wel moet er dan aan een aantal eisen zijn voldaan. Kort gezegd is de belangrijkste vraag of Microsoft deze fout had moeten voorkomen, vanuit hun zorgplicht als dienstverlener. Of iets anders geformuleerd, of je het Microsoft kunt aanrekenen dat die fout erin zat (toerekenbare tekortkoming).

Ik denk dat je daar in het algemeen niet meteen van kunt spreken, tenzij men de fout kende en deze dan onnodig lang liet liggen. Alle software heeft fouten, zeker zulke grote en complexe software als Windows. Het is onvermijdelijk dat er dan van tijd tot tijd een exploit opduikt die mensen schade berokkent.

Verder, zelfs als je uitkomt bij een toerekenbare tekortkoming of verzaken van de zorgplicht, dan nog heb je altijd het verweer “waarom had je geen backup” of andere maatregelen ter beperking van de schade. Want anno 2017 behoort iedereen te weten dat je je systeem goed moet afschermen voor onheil van buitenaf, en dat je je data moet backuppen om terug te kunnen na een geslaagde aanval. Het voelt weinig redelijk om je bedrijfsdata kwijt te spelen door een aanval en dan Microsoft de rekening te geven.

Bij consumenten blijf je zitten met het probleem dat zij juridisch gezien meestal geen schade hebben. Zet maar eens een geldbedrag op het gegijzeld hebben van je vakantiefoto’s of persoonlijke administratie. En zonder schade geen claim.

Arnoud

Hoe de Supreme Court 20 jaar geleden internet anders dan televisie verklaarde

| AE 9511 | Aansprakelijkheid | 11 reacties

Deze week twintig jaar geleden, op 26 juni 1997, verklaarde de Amerikaanse Hoge Raad het internet fundamenteel anders dan radio en televisie. Op die dag deed zij uitspraak in een zaak rond de Communications Decency Act, die internet moest reguleren. De Act verklaarde het illegaal om inhoud te versturen wanneer deze indecent zou zijn en… Lees verder

Ministers stelt ontwikkelaars aansprakelijk voor softwarefouten

| AE 9502 | Aansprakelijkheid, Software | 23 reacties

Demissionair staatssecretaris Klaas Dijkhoff heeft in een Kamerbrief gezegd zegt dat softwareontwikkelaars op verschillende manieren aansprakelijk zijn voor schade die als gevolg van hun product ontstaat. Dat las ik bij Tweakers. Juridisch gezien zegt hij weinig nieuws; de regels over conformiteit bij producten bevatten immers geen uitzondering voor de software-delen van producten. Nieuw is wel… Lees verder

Ex-werknemer Nederlandse vps-provider wist alle server- en klantgegevens

| AE 9480 | Aansprakelijkheid, Arbeidsrecht | 12 reacties

Auw. Een medewerker van hostingprovider Verelox uit Den Haag heeft alle servergegevens verwijderd, las ik bij Tweakers. Dat betekent dat ook alle klantgegevens zijn gewist, en mogelijk ook niet allemaal meer terug te halen zijn. Buitengewoon pijnlijk voor het bedrijf, want hierdoor moet Verelox druk aan de bak om alle servers weer te herstellen. Wat… Lees verder

Pleegt Mozilla smaad met haar anti-http-waarschuwing?

| AE 9329 | Aansprakelijkheid, Meningsuiting | 19 reacties

Een beheerder van de website Oil and Gas International heeft tegenover Mozilla geklaagd omdat Firefox op de website een melding geeft dat het onveilig is om in te loggen of via een creditcard te betalen. Dat las ik bij Security.nl vorige week. De website biedt gebruikers namelijk een inlogveld via http aan en sinds kort… Lees verder

Geldt de meldplicht datalekken ook voor defaced websites?

| AE 9315 | Aansprakelijkheid, Privacy | 7 reacties

Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet… Lees verder

‘Europa vormt obstakel voor verbeteren veiligheid internet-of-things’

| AE 9298 | Aansprakelijkheid | 31 reacties

D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt… Lees verder

Hoe disclaim ik aansprakelijkheid voor mijn gebruikers?

| AE 9243 | Aansprakelijkheid | 15 reacties

Een lezer vroeg me: Heb jij een standaardtekst voor me waarmee ik mijn aansprakelijkheid voor mijn gebruikers even netjes disclaim? Ik run een groot forum en heb geen zin in claims van fotografen en andere grapjassen. Die wil ik bij mijn gebruikers neer kunnen leggen. Er is geen toverformule waarmee je aansprakelijkheid voor handelen van… Lees verder