Is de eigenaar (of fabrikant) van een Internet of Things-apparaat aansprakelijk voor de schade?

| AE 13204 | Ondernemingsvrijheid | 7 reacties

Een lezer vroeg me:

Stel dat je als consument een IoT-apparaat aanschaft en dit apparaat wordt gehackt. Is de fabrikant dan aansprakelijk voor de schade? Kan in sommige gevallen de consument zelf aansprakelijk zijn?
Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Recente wetgeving gaat hier hopelijk iets van verbetering in brengen, al blijft het in eerste instantie bij duidelijke informatie tot wanneer je updates krijgt. Maar een wettelijke plicht dat je als consument zelf een wachtwoord moet instellen, die is er nog steeds niet. Dus de kans dat je brakke apparaat met internettoegang (de Nederlandse vertaling van IoT-apparaat) ergens schade aanricht, is er nog steeds.

Waar schade is, ruiken advocaten aansprakelijkheid. En terecht, want in de wet staat immers dat je schade moet vergoeden – tenminste, als die door een “onrechtmatige daad” is toegebracht. Dat is een daad die niet hoorde te gebeuren, zeg maar even, iets dat tegen de wet is of tegen wat we de “maatschappelijke zorgvuldigheid” noemen.

Een hele lastige is natuurlijk hoe je de eigenaar van zo’n apparaatje achterhaalt, want dat is wel een voorwaarde voordat je schadeclaims kunt indienen. Met een IP-adres uit een botnetaanval bijvoorbeeld kan dat in theorie (via de provider) maar dat is een hoop, duur werk en of je de héle schade bij die ene bot z’n onwetende baasje kunt neerleggen, daar zijn juridische scripties over te schrijven. Dus praktisch gezien zie ik dit niet echt gebeuren.

De fabrikant is iets makkelijker aansprakelijk te stellen, al krijg je daar het probleem dat de schade ook door andere dingen veroorzaakt kan zijn. Updates niet bijgewerkt, de firewall niet conform de handleiding dichtgezet, ga zo maar door. En natuurlijk de vraag of het fair is dat een stilgevallen elektriciteitscentrale (door een ddos-aanval met brakke koelkasten) voor rekening van de koelkastfabrikant moest komen.

Praktisch gezien zie ik het dus niet echt gebeuren, niet tegen consumenten in ieder geval. Bij fabrikanten zal er vast over een paar maanden een interessante zaak komen, maar verwacht geen kortetermijnuitkomsten.

Arnoud

Pornosite moet van rechter toestemming vragen aan mensen op amateurbeelden

| AE 13174 | Ondernemingsvrijheid | 17 reacties

De pornowebsite Vagina.nl mag alleen naaktbeelden publiceren na toestemming van de personen die in beeld komen, las ik bij Nu.nl. Dit bepaalde de rechtbank Amsterdam in een massaclaim van stichting Stop Online Shaming (SOS) en Helpwanted.nl vorige week. De site bevat naast professionele porno ook amateurporno, waaronder heimelijk gefilmd materiaal waarop mensen te zien zijn die geheel of gedeeltelijk ontkleed zijn. Het rondzingen van zulk materiaal is schadelijk voor de slachtoffers, en met deze massaclaim wilde men paal en perk daartegen stellen.

De site is een typische pornosite: gebruikers mogen zelf materiaal uploaden, dat komt na een minimale screening online en komt dan in een van tientallen categorieën terecht. De algemene voorwaarden klinken mooi, en er is een notice-takedown procedure die wederom op papier mooi klinkt: stuur een klacht, we kijken ernaar en als het ons terecht lijkt, halen we het weg.

Leuk en aardig, maar voor veel mensen is dit een lastige hobbel. Je moet dan aantonen dat jij in beeld was, dat jij géén toestemming hebt gegeven en dat het bezwaarlijk of schadelijk voor je is en ga zo maar door. Nog los van dat vele sites gewoon geen gehoor geven aan je sommatie, wetende dat je toch niet naar de rechter gaat als slachtoffer.

De stichting draaide het in haar massaclaim om: de eis kwam neer op een verklaring voor recht (een “gerechtelijk bevel”, zo u wilt) dat het onrechtmatig is om amateurporno online te zetten zonder dat je aantoonbaar toestemming hebt van de betrokken acteurs. Zoiets kan tegenwoordig onder de Wet massaclaims. Zoals de rechtbank het uitlegt, de wet gaat uit van de fictie dat alle Nederlanders die onder de groep vallen voor wiens belangen wordt opgekomen, betrokken zijn in het geding, tenzij ze expliciet hebben aangeven niet vertegenwoordigd te willen zijn door de eisers (opt-out).

Allereerst constateert de rechter dat de site inhoudelijk filtert op wat mensen uploaden. De stichting had een paar testvideo’s geupload, en die werden met inhoudelijke motivatie afgekeurd. Dan ben je dus redactioneel bezig, en dan kun je je niet beroepen op de vrijstelling voor platforms.

Vervolgens doet de rechtbank de gebruikelijke belangenafweging: de privacy van betrokkenen versus de nieuwswaarde van de video’s (vrijheid van meningsuiting, immers) en het commercieel belang (ondernemersvrijheid) van de site. Het gaat hier specifiek om gluurvideo’s, stiekem gemaakt in situaties waarin mensen zich onbespied mogen wanen, zonder dat er enig algemeen belang of iets dergelijks te bedenken is. Ook ging het om gelekte privébeelden (zoals wraakporno), waarbij mensen misschien dan de video wel wilden maken maar zeker niet akkoord gingen met openbare publicatie.

De slotsom is dat het onrechtmatig is om op een adult website beeldmateriaal te publiceren dat heimelijk is gefilmd en dat personen herkenbaar toont die (geheel of gedeeltelijk) ontkleed zijn te zien op plekken waar zij zich onbespied wanen of dat niet professioneel is gemaakt en personen herkenbaar toont die in de privésfeer seksuele handelingen verrichten, tenzij de exploitant, in dit geval [gedaagde] , zich ervan heeft vergewist dat die personen toestemmen in de openbaarmaking van die beelden.
Dat je een notice/takedownprocedure hebt of in je algemene voorwaarden mensen zogenaamd laat zeggen dat er toestemming is van iedereen, helpt daarbij helemaal niets. Je moet de schade vergoeden van iedere persoon die herkenbaar op zo’n video staat. Bovendien, en dat is belangrijker: er staan dwangsommen op het online houden van zulke video’s, namelijk 10.000 euro per video en 500 euro per dag. Dat is een enorme opsteker voor slachtoffers, want dan hoef je dus eigenlijk geen schadebedrag te onderbouwen.

De uitspraak is niet specifiek voor deze site, andere sites die op dezelfde manier werken (en dat doen ze vrijwel allemaal) kunnen dus op dezelfde manier worden aangesproken. Alleen de dwangsom geldt formeel niet voor andere sites.

Arnoud

 

 

Ben je verzekerd tegen inboedelschade door een te spannend VR spel?

| AE 13166 | Ondernemingsvrijheid | 12 reacties

Pexels / Pixabay

Een Britse verzekeraar meldt dat het aantal claims dat consumenten vorig jaar hebben ingediend ten gevolge van ongelukken en schade door het gebruik van vr-brillen in vijf jaar tijd met 68 procent is gestegen. Dat las ik bij Tweakers afgelopen maandag. Als je met een vr-bril actief bent, maak je immers bewegingen die zich kunnen vertalen naar als doen te beschouwen gedragingen met schadebrengend gevolg, zouden juristen zeggen. Dat roept dan de vraag op: kun je dat bij je inboedelverzekering verhalen?

Het gaat bij de verzekeraar (Aviva) met name om kapotte elektronica, zoals mensen die een controller door het beeldscherm slaan of gooien omdat ze iets te enthousiast in het spel bezig zijn. Of mensen die enorm schrikken van een onverwachte zombie en dan een hevige gemoedsbeweging ondergaan die leidt tot een fysieke reactie. Kapotte tv, salontafel of bank, of erger nog, letselschade bij een huisgenoot. Even Apeldoorn bellen?

Kort door de bocht: in principe zou de inboedelverzekering dit moeten dekken, mits je een zogeheten all-risk verzekering had genomen. Bij een “extra uitgebreid” verzekering is eigen schuld niet gedekt. Zoals Independer het uitlegt:

De allrisk-dekking van een inboedelverzekering vergoedt in principe alle schades die onverwacht ontstaan. Alleen als (de oorzaak van) een schade expliciet is uitgesloten in de polisvoorwaarden ben je niet verzekerd. De allrisk-dekking is de meest uitgebreide dekking die je kunt kiezen bij een inboedelverzekering.
Ik kan geen inboedelverzekeringen vinden die schade als gevolg van virtual reality expliciet uitsluiten. Wat ze wél allemaal uitsluiten, is opzet en roekeloosheid, want dat staat in de wet (art. 7:952 BW):
De verzekeraar vergoedt geen schade aan de verzekerde die de schade met opzet of door roekeloosheid heeft veroorzaakt.
Krijg je natuurlijk meteen de vraag wat opzet of roekeloosheid (let op: ook onbewust, voor de juristen) dan precies inhoudt. Het Verbond van Verzekeraars heeft in haar model-voorwaarden uitgelegd dat zij de term “opzet” zien als gericht op het veroorzaken van de schade en niet op de handeling zelf. Een voorbeeld:
De fietser die met opzet door het rode licht rijdt en vervolgens een voetganger verwondt, kan niet met een beroep op de opzetclausule worden geconfronteerd. In het voorbeeld is het opzet van de fietser gericht op het door rood licht rijden en niet op het verwonden van de voetganger.
Pas als de fietser dus van plan zou zijn geweest die stomme voetganger eens lekker aan te rijden, dan zouden we het opzet noemen en zou de schade van die voetganger buiten de verzekering vallen. Bewijstechnisch natuurlijk ingewikkeld om aan te tonen, maar dat is een praktisch probleem.

De Hoge Raad ziet het iets genuanceerder:

[Van opzet gericht op de schade spreken we ook] indien, gelet op de aard van de gedraging en de omstandigheden waaronder deze werd verricht, het in feite toegebrachte letsel of de zaakschade naar objectieve maatstaven als een te verwachten of normaal gevolg van de desbetreffende gedraging kan worden aangemerkt. In zodanig geval moet aangenomen worden dat de gedraging van de verzekerde gericht was op het doen ontstaan van het in feite toegebrachte letsel of de zaakschade, ook al was deze soort of ernst van letsel of zaakschade niet door hem beoogd.
Ik vond nog een vonnis uit Den Bosch waarin een ernstige inschattingsfout niet als opzet werd aangemerkt:
In deze casus heeft de benadeelde zelf verklaard dat sprake was van een inschattingsfout voor wat betreft de afstand tot het mechanisme van de versnipperaar, waarbij wellicht de nieuwe bril die hij kort voordat het ongeval plaatsvond kreeg en waar hij (kennelijk) nog aan moest wennen, een rol heeft gespeeld.  … Er is simpelweg sprake van een ernstige inschattingsfout. Dat benadeelde zich ervan bewust moet zijn geweest dat het inherent gevaarlijk is om zijn hand dicht bij de draaiende messen van de machine te brengen, doet daar niet aan af.
Mijn inschatting is dat je bij werken of gamen in virtual reality ook eerder zult spreken van inschattingsfouten dan van opzet. Als je gaat rondlopen met een vr-bril op, dan kun je inderdaad botsen tegen mensen of dingen. En als je met je handen beweegt (zeker in een spel) dan kan dat tot schade leiden. Maar om nou te zeggen dat het “te verwachten of normaal gevolg” is, gaat mij te ver.

Ik zit er nog een beetje mee wat de positie is van een spelontwikkelaar die zo’n schrikeffect in 3d inbouwt. Je moet ergens weten dat mensen dan forse reacties kunnen geven in kleine woonkamers en andere plekken; zeker als professional zou je dan toch soort van moeten bedenken dat dit een probleem kan zijn. Kun je dat dan zo makkelijk afschuiven met een generieke disclaimer op het opstartscherm?

Arnoud

Webshop die geen back-ups maakte verliest rechtszaak van softwareleverancier

| AE 12971 | Ondernemingsvrijheid | 9 reacties

Een webshop die geen back-ups van haar boekhoudgegevens maakte, en door een probleem met een softwarekoppeling klantgegevens verloor, heeft de rechtszaak tegen de leverancier van de koppeling verloren. Dat meldde Security.nl vorige week. De koppeling bleek gegevens van crediteuren in het boekhoudprogramma te overschrijven met debiteurenboekingen. Volgens het Gerechtshof staat het vast dat de webshop… Lees verder

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me: Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag… Lees verder

Niks stortvloed aan claims vanwege dat ene ransomware-zorgplicht-vonnis

| AE 12031 | Ondernemingsvrijheid | Er zijn nog geen reacties

Automatiseerders wacht stortvloed aan claims om schade door hackers, kopte het FD onlangs. Leg aansprakelijkheid bij hack vast, reageerde ICT Waarborg meteen. Allemaal vanwege dat ene vonnis over de zorgplicht als IT-bedrijf: een automatiseerder draaide op voor de schade van ransomware omdat ze de klant een lakse beveiliging had laten hebben, in strijd met haar… Lees verder

Ben ik strafbaar als ik in opdracht tijdelijk illegale software installeer?

| AE 11726 | Intellectuele rechten, Ondernemingsvrijheid | 7 reacties

Een lezer vroeg me: Onze organisatie gebruikt al jaren bepaalde software onder licentie. Deze blijkt enige maanden geleden te zijn verlopen en het heractiveren duurt om onduidelijke redenen heel erg lang. Mijn manager heeft me opgedragen dan maar tijdelijk een illegale versie te installeren zodat het werk niet blokkeert, en ze gaan dat rechttrekken in… Lees verder

Een rechtbank mag providers (en dus ook Facebook) tot notice en *stay* down verplichten

| AE 11534 | Ondernemingsvrijheid, Uitingsvrijheid | 8 reacties

Het Hof van Justitie in Luxemburg heeft bepaald dat er geen EU-regels zijn die zich verzetten tegen een verplichting voor hostingproviders als Facebook om commentaren te verwijderen die sterk gerelateerd zijn aan eerdere onwettig verklaarde commentaren. Dat las ik bij Tweakers. Nogal een omweg om te zeggen dat rechters providers kunnen verplichten om onrechtmatig verklaarde… Lees verder

Kun je de IoT-eigenaren van een botnet aansprakelijk stellen voor je schade?

| AE 11441 | Security | 12 reacties

Een lezer vroeg me: Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade? Wanneer je in Nederland… Lees verder