Internetrecht door Arnoud Engelfriet

Verkopers van Internet of Things (IoT)-apparaten, zoals smart tv’s en horloges, printers, camera’s en babyfoons, zijn vanaf 27 april wettelijk verplicht om software- en beveiligingsupdates te leveren. Dat las ik bij Security.nl vorige week. Nadat in februari de Tweede Kamer akkoord was met een updateplicht, stemt nu ook de Eerste Kamer in. En ja, 27 april was vorige week maar de stemming was op 19 april en het ging om invoering van een Europese regel, dus heel veel rek was er niet meer.

De kern van de updateplicht staat in artikel 7:18 lid 4 BW:

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.

De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is. Bij een slimme vaatwasser (ik heb er een: hij appt me als hij klaar is, dit schijnt slim te zijn) mag je denk ik langer updates verwachten dan bij een speelgoedlaptop voor kleuters, om eens wat te noemen. Maar simpelweg weigeren updates te leveren, of verwijzen naar de fabrikant, dat zit er niet meer in.

Zoals ik in februari al blogde, er is een gaatje in lid 6 van datzelfde artikel:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.

Een interessante signalering nog in de comments bij Security.nl:

Er komt een certificering Cyberveiligheid van consumenten IoT, zie https://www.kiwa.com/nl/nl/service/etsi-en-303-645-beveiliging-iot-consumentenelectronica/. De betreffende norm (ETSI EN 303 645) is redelijk specifiek in waar aan voldaan moet worden.

Arnoud

Een lezer vroeg me:

Stel dat je als consument een IoT-apparaat aanschaft en dit apparaat wordt gehackt. Is de fabrikant dan aansprakelijk voor de schade? Kan in sommige gevallen de consument zelf aansprakelijk zijn?

Recente wetgeving gaat hier hopelijk iets van verbetering in brengen, al blijft het in eerste instantie bij duidelijke informatie tot wanneer je updates krijgt. Maar een wettelijke plicht dat je als consument zelf een wachtwoord moet instellen, die is er nog steeds niet. Dus de kans dat je brakke apparaat met internettoegang (de Nederlandse vertaling van IoT-apparaat) ergens schade aanricht, is er nog steeds.

Waar schade is, ruiken advocaten aansprakelijkheid. En terecht, want in de wet staat immers dat je schade moet vergoeden – tenminste, als die door een “onrechtmatige daad” is toegebracht. Dat is een daad die niet hoorde te gebeuren, zeg maar even, iets dat tegen de wet is of tegen wat we de “maatschappelijke zorgvuldigheid” noemen.

Een hele lastige is natuurlijk hoe je de eigenaar van zo’n apparaatje achterhaalt, want dat is wel een voorwaarde voordat je schadeclaims kunt indienen. Met een IP-adres uit een botnetaanval bijvoorbeeld kan dat in theorie (via de provider) maar dat is een hoop, duur werk en of je de héle schade bij die ene bot z’n onwetende baasje kunt neerleggen, daar zijn juridische scripties over te schrijven. Dus praktisch gezien zie ik dit niet echt gebeuren.

De fabrikant is iets makkelijker aansprakelijk te stellen, al krijg je daar het probleem dat de schade ook door andere dingen veroorzaakt kan zijn. Updates niet bijgewerkt, de firewall niet conform de handleiding dichtgezet, ga zo maar door. En natuurlijk de vraag of het fair is dat een stilgevallen elektriciteitscentrale (door een ddos-aanval met brakke koelkasten) voor rekening van de koelkastfabrikant moest komen.

Praktisch gezien zie ik het dus niet echt gebeuren, niet tegen consumenten in ieder geval. Bij fabrikanten zal er vast over een paar maanden een interessante zaak komen, maar verwacht geen kortetermijnuitkomsten.

Arnoud

Fabrikanten en winkels moeten klanten laten weten hoelang aangeboden Internet of Things-apparaten beveiligingsupdates ontvangen. Dat meldde Security.nl onlangs. Deze eis volgt uit de wet, en de Autoriteit Consument en Markt gaat deze marktpartijen nu expliciet wijzen op hoe dit uitpakt bij zogenaamd ‘slimme’ apparaten. Naast informatie over updates moet je ook te horen krijgen welke andere diensten er nodig zijn (zoals abonnementen bij apparaten) en wat er gebeurt met je persoonsgegevens.

Het is velen al lang een doorn in het oog. Koop je een nieuwe telefoon of ‘slim’ apparaat (wie een betere term weet, mag het zeggen) en blijk je al na een paar maanden geen updates meer te krijgen. Of had je toch een abonnement of zelfs maar een gratis registratie nodig. Of je stofzuiger doet het niet omdat in Amerika een server uitgevallen is. Dat voelt vrij essentieel allemaal, en dus dingen die je wil weten voordat je het product koopt.

De wet (art. 6:230m BW, gebaseerd op Europese regels) eist dat een winkelier je de “voornaamste kenmerken” van een product noemt, de dingen dus die essentieel zijn om te besluiten of je het wil hebben. Hieronder valt naast de prijs ook de wijze van levering, beperkingen aan interoperabiliteit, DRM beperkingen en hoe lang je updates mag verwachten.

In oktober maakte de ACM bekend dat grote spelers zoals Bol.com, Coolblue en de MediaMarkt expliciet informatie op dit punt gaan verstrekken. Zij hebben sinds die tijd informatie over de minimale update periode, en over andere compatibele producten. Ik kon zo snel nergens vinden dat je Ring-deurbel of Roomba-stofzuiger afhankelijk is van de dienstverlening van Amazon, maar wellicht ben ik een kniesoor.

De informatie over verwerking van persoonsgegevens lijkt vooralsnog nergens expliciet vermeld te worden, terwijl je toch heel vaak op zijn minst een account nodig hebt om de afluister-, pardon ‘slimme’ diensten te kunnen gebruiken.

Nou ja, voor mijn verjaardag (ja, die is vandaag, 0x2E alweer dank u) dan liever lekke warme domme sokken.

Arnoud

“To use my oven I have to accept terms and conditions”, klaagde Morten Nielsen recent op Twitter. De hele discussie rond die oven is interessant. Zo blijkt de oven internet op te gaan ook als je dat uitschakelt, de bedienings-app wil toegang tot je contactenlijst en de voorwaarden beperken aansprakelijkheid voor schade nogal. Spannend, want… Lees verder

De brickerbot is terug, las ik bij Ars Technica. Het gaat om een initiatief van de mysterieuze “Janit0r”, een handige hacker die brakke apparaatjes met internetverbinding kaapt en gebruikt om hun broertjes en zusjes permanent stuk te maken (“bricken”, oftewel de enige resterende functionaliteit is die van een baksteen). Dit omdat dergelijke apparaten zó veel… Lees verder

D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt… Lees verder

Revolv, een smarthome-hub van Googles zusterbedrijf Nest, stopt ermee. Dat meldde Tweakers alweer een tijdje geleden. Gebruikers hebben dan ook niets meer aan de 300 dollar kostende hardware waarmee ze hun huis hadden geautomatiseerd. Zeg maar dat je stofzuiger niet meer zuigt omdat Philips haar afdeling Huishoudelijke Apparaten opheft. Kun je daar wat aan doen… Lees verder

Een lezer vroeg me: Wij hebben een home cinema set met Smart TV. Daarmee kun je met apps van de leverancier televisie kijken, bijvoorbeeld Uitzending Gemist. Op zeker moment werkte dat niet meer, en navraag bij de fabrikant leerde me dat men had “besloten SmartTV niet langer te ondersteunen in het kader van verbetering van… Lees verder

De kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en… Lees verder