Verkopers IoT-apparaten vanaf 27 april wettelijk verplicht updates te leveren

Verkopers van Internet of Things (IoT)-apparaten, zoals smart tv’s en horloges, printers, camera’s en babyfoons, zijn vanaf 27 april wettelijk verplicht om software- en beveiligingsupdates te leveren. Dat las ik bij Security.nl vorige week. Nadat in februari de Tweede Kamer akkoord was met een updateplicht, stemt nu ook de Eerste Kamer in. En ja, 27 april was vorige week maar de stemming was op 19 april en het ging om invoering van een Europese regel, dus heel veel rek was er niet meer.

De kern van de updateplicht staat in artikel 7:18 lid 4 BW:

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.
Een zaak met digitale elementen is hoe wetgevingsjuristen een IoT-apparaat of “slim apparaat” omschrijven: een ding dat op je tenen valt (en dan pijn doet) maar met software erin. De regel geldt dan weer niet voor los verkochte software op een drager, en ook niet voor software-als-download.

De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is. Bij een slimme vaatwasser (ik heb er een: hij appt me als hij klaar is, dit schijnt slim te zijn) mag je denk ik langer updates verwachten dan bij een speelgoedlaptop voor kleuters, om eens wat te noemen. Maar simpelweg weigeren updates te leveren, of verwijzen naar de fabrikant, dat zit er niet meer in.

Zoals ik in februari al blogde, er is een gaatje in lid 6 van datzelfde artikel:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.
Mij is nog steeds niet duidelijk of dit een verplicht te aanvaarden vinkje mag zijn. Ik vermoed ondertussen van wel, mits maar duidelijk in de begeleidende informatie staat dat het zonder updates komt.

Een interessante signalering nog in de comments bij Security.nl:

Er komt een certificering Cyberveiligheid van consumenten IoT, zie https://www.kiwa.com/nl/nl/service/etsi-en-303-645-beveiliging-iot-consumentenelectronica/. De betreffende norm (ETSI EN 303 645) is redelijk specifiek in waar aan voldaan moet worden.
Een winkel zou bij haar inkoopbeleid dan kunnen eisen dat fabrikanten een dergelijke ETSI-certificering hebben, zodat zij weten dat de software goed te updaten is.

Arnoud

Is de eigenaar (of fabrikant) van een Internet of Things-apparaat aansprakelijk voor de schade?

Een lezer vroeg me:

Stel dat je als consument een IoT-apparaat aanschaft en dit apparaat wordt gehackt. Is de fabrikant dan aansprakelijk voor de schade? Kan in sommige gevallen de consument zelf aansprakelijk zijn?
Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Recente wetgeving gaat hier hopelijk iets van verbetering in brengen, al blijft het in eerste instantie bij duidelijke informatie tot wanneer je updates krijgt. Maar een wettelijke plicht dat je als consument zelf een wachtwoord moet instellen, die is er nog steeds niet. Dus de kans dat je brakke apparaat met internettoegang (de Nederlandse vertaling van IoT-apparaat) ergens schade aanricht, is er nog steeds.

Waar schade is, ruiken advocaten aansprakelijkheid. En terecht, want in de wet staat immers dat je schade moet vergoeden – tenminste, als die door een “onrechtmatige daad” is toegebracht. Dat is een daad die niet hoorde te gebeuren, zeg maar even, iets dat tegen de wet is of tegen wat we de “maatschappelijke zorgvuldigheid” noemen.

Een hele lastige is natuurlijk hoe je de eigenaar van zo’n apparaatje achterhaalt, want dat is wel een voorwaarde voordat je schadeclaims kunt indienen. Met een IP-adres uit een botnetaanval bijvoorbeeld kan dat in theorie (via de provider) maar dat is een hoop, duur werk en of je de héle schade bij die ene bot z’n onwetende baasje kunt neerleggen, daar zijn juridische scripties over te schrijven. Dus praktisch gezien zie ik dit niet echt gebeuren.

De fabrikant is iets makkelijker aansprakelijk te stellen, al krijg je daar het probleem dat de schade ook door andere dingen veroorzaakt kan zijn. Updates niet bijgewerkt, de firewall niet conform de handleiding dichtgezet, ga zo maar door. En natuurlijk de vraag of het fair is dat een stilgevallen elektriciteitscentrale (door een ddos-aanval met brakke koelkasten) voor rekening van de koelkastfabrikant moest komen.

Praktisch gezien zie ik het dus niet echt gebeuren, niet tegen consumenten in ieder geval. Bij fabrikanten zal er vast over een paar maanden een interessante zaak komen, maar verwacht geen kortetermijnuitkomsten.

Arnoud

ACM wijst fabrikanten en winkels op informatieplicht bij IoT-apparaten

Fabrikanten en winkels moeten klanten laten weten hoelang aangeboden Internet of Things-apparaten beveiligingsupdates ontvangen. Dat meldde Security.nl onlangs. Deze eis volgt uit de wet, en de Autoriteit Consument en Markt gaat deze marktpartijen nu expliciet wijzen op hoe dit uitpakt bij zogenaamd ‘slimme’ apparaten. Naast informatie over updates moet je ook te horen krijgen welke andere diensten er nodig zijn (zoals abonnementen bij apparaten) en wat er gebeurt met je persoonsgegevens.

Het is velen al lang een doorn in het oog. Koop je een nieuwe telefoon of ‘slim’ apparaat (wie een betere term weet, mag het zeggen) en blijk je al na een paar maanden geen updates meer te krijgen. Of had je toch een abonnement of zelfs maar een gratis registratie nodig. Of je stofzuiger doet het niet omdat in Amerika een server uitgevallen is. Dat voelt vrij essentieel allemaal, en dus dingen die je wil weten voordat je het product koopt.

De wet (art. 6:230m BW, gebaseerd op Europese regels) eist dat een winkelier je de “voornaamste kenmerken” van een product noemt, de dingen dus die essentieel zijn om te besluiten of je het wil hebben. Hieronder valt naast de prijs ook de wijze van levering, beperkingen aan interoperabiliteit, DRM beperkingen en hoe lang je updates mag verwachten.

In oktober maakte de ACM bekend dat grote spelers zoals Bol.com, Coolblue en de MediaMarkt expliciet informatie op dit punt gaan verstrekken. Zij hebben sinds die tijd informatie over de minimale update periode, en over andere compatibele producten. Ik kon zo snel nergens vinden dat je Ring-deurbel of Roomba-stofzuiger afhankelijk is van de dienstverlening van Amazon, maar wellicht ben ik een kniesoor.

De informatie over verwerking van persoonsgegevens lijkt vooralsnog nergens expliciet vermeld te worden, terwijl je toch heel vaak op zijn minst een account nodig hebt om de afluister-, pardon ‘slimme’ diensten te kunnen gebruiken.

Nou ja, voor mijn verjaardag (ja, die is vandaag, 0x2E alweer dank u) dan liever lekke warme domme sokken.

Arnoud

Samsung bakt er niets van met algemene voorwaarden voor hun nieuwe oven

“To use my oven I have to accept terms and conditions”, klaagde Morten Nielsen recent op Twitter. De hele discussie rond die oven is interessant. Zo blijkt de oven internet op te gaan ook als je dat uitschakelt, de bedienings-app wil toegang tot je contactenlijst en de voorwaarden beperken aansprakelijkheid voor schade nogal. Spannend, want de oven kan op afstand worden bediend namelijk, inclusief voorverwarmen. En natuurlijk zit er alleen stokoude software in. Het internet der dingen wordt zo steeds meer een synoniem voor krakkemikkige prutsapparaten.

Vroeger was het nog wel eens een grap, dat je oven of je auto algemene voorwaarden zou tonen voordat je kon wegrijden. Maar de werkelijkheid heeft dit allang ingehaald: het wegklikken van zulke voorwaarden is een bekend fenomeen bij nieuwere apparatuur. Hoewel ik het zelf bij ovens nog niet heb gezien.

De voorwaarden lijken de algemene cloudvoorwaarden van Samsung te zijn, dus strikt gesproken niet die voor de oven zelf maar voor de diensten die men eraan koppelt. Wie ze leest, zal concluderen dat ze vol staan met gebakken lucht zoals gebruikelijk bij generieke cloudvoorwaarden. Er is een dienst, deze kan wijzigen, er zijn geen garanties en geen aansprakelijkheid en een heleboel meer blabla die niets wezenlijks doet.

Op zich zie ik er niets in dat de werking van de oven betreft, noch dat aansprakelijkheid voor problemen met de oven zou beperken. Dat kan natuurlijk juridisch ook niet. Wel kun je je afvragen wat er zou gebeuren als door een slechte levering van deze dienst de oven oververhit en de keuken in de fik zet. Het lijkt me dat een beetje rechtbank dan de beperking van aansprakelijkheid opzij zet, alleen is hier een complicatie dat je niet naar de rechtbank mag maar private arbitrage moet doen.

Een praktisch probleem bij deze oven lijkt me (zo te zien) wel dat je niet verder kunt zonder de voorwaarden te accepteren. En dat is precies de ergernis die dit oproept: het klopt niet maar je moet wel.

Of het bindend is, die voorwaarden accepteren, is natuurlijk zeer de vraag. Het is rijkelijk laat na het aankoopmoment, en algemene voorwaarden moeten overal ter wereld bij de verkoop worden gemeld of genoemd. Daar staat tegenover dat het de voorwaarden zijn van een aanvullende dienst die je strikt gesproken optioneel afneemt, en ze worden geboden op het moment dat je die aanvullende dienst in gebruik neemt. Dus ik denk dat er vanuit die hoek weinig aan te doen is.

Arnoud

Mag je andermans brakke IoT-apparaten op afstand onschadelijk maken?

De brickerbot is terug, las ik bij Ars Technica. Het gaat om een initiatief van de mysterieuze “Janit0r”, een handige hacker die brakke apparaatjes met internetverbinding kaapt en gebruikt om hun broertjes en zusjes permanent stuk te maken (“bricken”, oftewel de enige resterende functionaliteit is die van een baksteen). Dit omdat dergelijke apparaten zó veel schade aanrichten dat het niet mooi meer is, en geen hond zin heeft daar wat aan te doen.

De frustratie is begrijpelijk. Aanvallen door gekaapte Internet-of-Things apparaten lopen aan alle kanten de spuigaten uit. Zo zette een denial-of-service aanval door gehackte videorecorders en webcams het wereldrecord voor grootste aanval ooit. En dat is belachelijk: hoe moeilijk is het nu werkelijk om een webcam of recorder te beveiligen tegen triviale kapingen?

Het probleem is, zoals security-expert Bruce Schneier recent mooi aangaf, dat niemand zich geroepen voelt er wat tegen te doen. Consumenten vinden het niet hun probleem dat een apparaat lek is. Leveranciers pakken de snelle winst en verwachten geen toename in de verkoop als er “Nu extra veilig tegen hacks” of “100% niet-kaapbaar garantie” op de doos staat. Internetproviders merken weinig van de aanvallen, omdat de data in één specifiek netwerk te klein is om overlast te geven. En voor toezichthouders is het probleem te diffuus om op te treden, nog los van ontbrekende wetgeving. Brakke apparaten aan internet hangen is volstrekt legaal.

De oplossing zit natuurlijk in dat laatste: verplicht leveranciers tot ICT-veilige apparatuur. Net zoals apparaten niet mogen ontploffen en niet giftig mogen zijn, mogen apparaten niet onveilig zijn in de zin van hackbaar of te kapen voor ddos-aanvallen. Dat is niet moeilijk, wel een hoop gedoe en natuurlijk kost het geld, maar als álle leveranciers dat moeten dan blijft het speelveld gelijk.

De tactiek van de Janit0r is slim. Door die apparaten fysiek onbruikbaar te maken, komt het probleem bij de consument te liggen. Die moet nu gaan klagen bij de winkel (waardoor het probleem verschuift) of hij heeft een nutteloos apparaat (waardoor het probleem weg is). En de winkel zou dan bij genoeg klachten zijn inkoopbeleid moeten gaan herzien.

Lastig is natuurlijk: dat mag eigenlijk niet, andermans apparaat permanent uitschakelen. Dat is binnendringen en schade aanrichten, en dat is een strafbaar feit.

Tenzij je zegt: het gaat hier om zaakwaarneming, de juridische figuur waarbij je je bemoeit met andermans zaken om verdere schade te voorkomen. Je mag bij de buren een ruitje intikken als je ziet dat er nog een spreekwoordelijk pannetje melk aan staat terwijl ze net op vakantie zijn gegaan. En als de tuinslang ’s nachts ineens op volle kracht sproeit, mag je die dichtdraaien. Dan mag je dus ook die datalekkende apparaten dichtdraaien, zou dan het argument zijn.

Wat vinden jullie? Terecht gepast ingrijpen of niet?

Arnoud

‘Europa vormt obstakel voor verbeteren veiligheid internet-of-things’

D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt en leveren anderen gigantische schade op. Maar omdat de wetgeving niets zegt over ICT-security, komen leveranciers en winkels ermee weg. Alleen: wat gaan we er aan doen?

Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Ik vind dat van de zotte. Je kunt van gewone consumenten niet verwachten dat ze hier wat tegen doen, al is het maar omdat zulke apparaten zelden te updaten zijn. Terwijl de fabrikant op zich prima een goed niveau van veiligheid kan inbouwen. De reden om het niet te doen, is eigenlijk heel simpel: dat kost geld en het levert niets extra’s op bij de klant. En dat is waarom we wetgeving nodig hebben.

Je kunt twee dingen doen. De gebruikelijke juridische manier is een open norm: een product moet adequate productsecurity hebben, anders boete. Het voordeel daarvan is dat je dan als fabrikant zelf kunt invullen wat je gaat doen (met een motivatie waarom dat “adequaat” is), en dat je ook bij veranderingen in de technologie nog steeds een maatstaf hebt. Nadeel is wel, als je geen fatsoenlijke invulling kunt geven dan heb je een groot risico, want op overtreding van die norm staat een boete. “Pas op of je moet een miljoen betalen”, wat moet je daarmee als bedrijf.

Een andere manier is dat je als wetgever concrete normen gaat stellen. Ik weet niet of die er zijn voor ICT-security bij iot-apparaten, wat gelijk al een stevige hobbel zou zijn. Maar zelfs als ze er zijn, dan moet je dus als wetgever elke maand je regels bijstellen omdat er weer iets nieuws bedacht is. En tot die tijd mogen bedrijven niet verder in een nieuwe richting. Dat geeft wel zekerheid, maar echt werkbaar voor de toekomst lijkt het me niet.

Ik denk dat ik zelf tóch voor open normen ben, gekoppeld aan de plicht voor de toezichthouder om richtsnoeren te maken en uitspraken te doen over best practices in de markt: als je dit doet, dan vinden we het prima. De praktijk laat alleen zien dat toezichthouders dat maar in beperkte mate doen. Voor een deel omdat er gewoon nog best weinig is bij ict-innovaties om een duidelijk richtsnoer voor te maken, en voor een deel omdat bedrijven gelijk het richtsnoer als algemeen geldende wettelijke regel opvatten: je zei op pagina 13 dat een sms-bericht geen algemene voorwaarden hoefde te bevatten, dus hoeft mijn app dat ook niet. Hoe dat op te lossen, daar ben ik nog niet over uit. Maar dat er iets moet gebeuren en snel ook, dat staat vast.

Arnoud

Mag Revolv gewoon apparaten bij mensen thuis uitzetten?

stop-bordRevolv, een smarthome-hub van Googles zusterbedrijf Nest, stopt ermee. Dat meldde Tweakers alweer een tijdje geleden. Gebruikers hebben dan ook niets meer aan de 300 dollar kostende hardware waarmee ze hun huis hadden geautomatiseerd. Zeg maar dat je stofzuiger niet meer zuigt omdat Philips haar afdeling Huishoudelijke Apparaten opheft. Kun je daar wat aan doen als consument?

Eerlijk gezegd zou ik het niet weten. Normaal zou je zeggen bij een niet-werkend apparaat: conformiteitsgebrek, gratis herstel of vervanging alstublieft. Maar dat gaat hier niet op. Het apparaat functioneert op zich nog steeds prima, alleen doet het weinig meer omdat de servers van Revolv ermee ophouden en je dus geen commando’s meer naar het apparaat kunt sturen. Maar omdat dat niet gaat over het apparaat zelf, zie ik geen kans voor een conformiteitsclaim.

De dienstverlener aanspreken op een slecht geleverde dienst? Ook dat kan op zich juridisch, maar het gaat hier niet om een wanprestatie in de dienst. Het gaat om een opzegging door de dienstverlener. En zoals ik al tijden roep: dat mógen ze gewoon. Bij online software. Bij smart TV’s. En bij telecom. Dus waarom niet bij huisautomatisering?

En nee, dit heeft niets met DRM te maken. Het probleem is fundamenteler: je koopt geen apparaten meer, je neemt een dienst af en je krijgt een kastje waarmee je dat gemakkelijk kunt doen. En dát is een constructie waar de wet eigenlijk niet mee om kan gaan. Er zijn geen aparte regels over diensten die met dure producten worden geleverd.

Die hub van 300 euro is een bioscoopkaartje, juridisch gezien. Leuk om te hebben, maar waardeloos als de bioscoop niet open is. En dat is onder de wet niet erg. En dát gaat een groot probleem worden voor Internet of Things en de cloud. Want als straks alles aan internet hangt en een externe dienstverlener nodig heeft, dan gaan we dit elke week meemaken.

Alleen: hoe los je het op? Je kunt moeilijk verlangen dat bedrijven een dienst tot in de eeuwigheid aanbieden. Open standaarden lijken de aangewezen route: dan had een ander bedrijf de apparaten van Revolv kunnen bedienen. Maar dat lijkt me nog knap ingewikkeld in de praktijk, want Revolv zal niet willen investeren in het opzetten van de infrastructuur als zij daar geen exclusiviteit op krijgen. Bovendien, hoe hou je dan kwaadwillende sujetten buiten de deur als iedereen moet kunnen praten met elk apparaat. Maar iets anders weet ik niet.

Arnoud

Mag mijn smarttv worden ‘verbeterd’ door dingen uit te zetten?

televisie-televisionEen lezer vroeg me:

Wij hebben een home cinema set met Smart TV. Daarmee kun je met apps van de leverancier televisie kijken, bijvoorbeeld Uitzending Gemist. Op zeker moment werkte dat niet meer, en navraag bij de fabrikant leerde me dat men had “besloten SmartTV niet langer te ondersteunen in het kader van verbetering van het product”. Kan dat zomaar, functionaliteit uitzetten in een gekocht product?

In principe kan zoiets niet. Je koopt een product met bepaalde verwachtingen, en als het product die op zeker moment niet meer waarmaakt, dan is dat een conformiteitsgebrek. Of het nu is dat de stekker doorbrandt, een knopje afbreekt of de Smart TV-functie ermee ophoudt, dat hoef je niet te verwachten dus dat is gewoon een probleem.

In principe, want er is natuurlijk een verschil tussen een afgebroken knopje en een dienst als Smart TV: dat laatste is een dienst, en diensten kunnen op zeker moment stoppen (waar we het vaker over hebben gehad).

Dit steekt behoorlijk, dat wel. Want je kóópt dat apparaat mede vanwege die functie. En hoewel iedereen wel snapt dat je van een leverancier niet kunt verlangen dat deze tot in de eeuwigheid een dienst actief houdt, krijg je nu dus wel de vraag: hoe en wanneer mag dat dan? Want het voelt erg onbillijk als men zomaar ergens de stekker uit kan trekken omdat het toevallig niet meer uitkomt.

Helaas is dit een ongeregeld iets uit de wet. De enige optie is de algemene regel over redelijkheid en billijkheid (art. 6:248 BW), maar dat is in feite niet meer dan “dit kan niet waar zijn” in juridische taal. Waarom is het niet redelijk? Of beter gezegd: wanneer zou het wel redelijk zijn? Wanneer mag een leverancier zeggen, ik stop met deze dienst want het wordt me te duur/complex?

Arnoud

De brakke spullen uit het Internet der Dingen

webcam-camera-babyDe kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en ga zo maar door. Hoe kan dat anno 2016 nog zo makkelijk bestaan?

Op brakke beveiliging is niet strafbaar, schreef ik in 2013. Tegenwoordig soms wel: als je persoonsgegevens niet adequaat beveiligt, kun je een boete van maximaal €820.000 opgelegd krijgen. (Bovendien moet je het melden, een aparte nieuwe verplichting). Maar dat gaat over bedrijven die persoonlijke gegevens beheren, niet over bedrijven die apparatuur op de markt brengen. Ik zou niet weten op grond van welk wetsartikel de leverancier van een IP-enabled webcam met fabriekswachtwoord 12345 te beboeten is.

Volgens Ars Technica is de reden hiervoor heel simpel: geld.

Consumers do not perceive value in security and privacy. As a rule, many have not shown a willingness to pay for such things. As a result, webcam manufacturers slash costs to maximize their profit, often on narrow margins. Many webcams now sell for as little as £15 or $20. “The consumers are saying ‘we’re not supposed to know anything about this stuff [cybersecurity],” he said. “The vendors don’t want to lift a finger to help users because it costs them money.”

Ik denk dat het iets subtieler ligt. Mensen geven wel om veiligheid en privacy, maar gaan er vanuit dat een apparaat in een mooi doosje op de plank bij een bekende winkel gewoon veilig is. Auto’s zitten ook netjes op slot, je brood is vers en als een blik tomatensoep ontploft in de koelkast dan verdient dat aandacht in RTL Nieuws om half acht. Dat model van vertrouwen nemen mensen gewoon mee naar digitale apparatuur, ook als die internet-enabled is. Handig joh, dat je op je smartphone de webcam thuis kunt bekijken. Maar het idee dat iedereen dan mee kan kijken omdat hij op een algemeen bekende poort draait en het standaardwachtwoord in de op internet staande handleiding te vinden is, dat speelt niet bij brood of tomatensoep. Dus ook niet bij die webcam.

En nee, het is te makkelijk om dan te zeggen “dan moeten die mensen maar beter nadenken en lezen wat er in de handleiding staat”. Want dat doen mensen niet, en ik vind het ondertussen ook steeds oneerlijker worden om te verwachten dat ze dat wel gaan doen. Ik hoef ook geen handleiding van mijn voordeurslot te lezen – daar staat politiekeurmerk 2 sterren op en de installateur had een keurige blauwe overall aan, dus dat zit wel goed met dat voordeurslot.

Deze bal hoort te liggen bij de leveranciers van deze producten. In Amerika lijkt dat al een beetje door te dringen: Ars Technica citeert een FTC-woordvoerder die zegt “If you don’t have reasonable security then that could be a violation of the FTC Act.” Bij ons vind ik het moeilijk een dergelijke kapstok te verzinnen. Om dit nu onder de conformiteitseis (wettelijke garantie) te schuiven gaat een beetje ver, dat criterium is daar volgens mij niet voor bedoeld.

Ik denk dus dat er echt een wetswijziging voor nodig is om een stok te introduceren om IoT-dingen-produceren te dwingen de veiligheid van hun producten te vergroten. Maar dat gaat een moeizaam proces worden, want het klinkt zo redelijk, dat mensen toch zelf even een handleiding kunnen lezen en een wachtwoord kunnen wijzigen. Maar eh, wees eens eerlijk: wie doet dat bij alle producten in zijn huis?

Arnoud