Verkopers IoT-apparaten vanaf 27 april wettelijk verplicht updates te leveren

Verkopers van Internet of Things (IoT)-apparaten, zoals smart tv’s en horloges, printers, camera’s en babyfoons, zijn vanaf 27 april wettelijk verplicht om software- en beveiligingsupdates te leveren. Dat las ik bij Security.nl vorige week. Nadat in februari de Tweede Kamer akkoord was met een updateplicht, stemt nu ook de Eerste Kamer in. En ja, 27 april was vorige week maar de stemming was op 19 april en het ging om invoering van een Europese regel, dus heel veel rek was er niet meer.

De kern van de updateplicht staat in artikel 7:18 lid 4 BW:

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.
Een zaak met digitale elementen is hoe wetgevingsjuristen een IoT-apparaat of “slim apparaat” omschrijven: een ding dat op je tenen valt (en dan pijn doet) maar met software erin. De regel geldt dan weer niet voor los verkochte software op een drager, en ook niet voor software-als-download.

De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is. Bij een slimme vaatwasser (ik heb er een: hij appt me als hij klaar is, dit schijnt slim te zijn) mag je denk ik langer updates verwachten dan bij een speelgoedlaptop voor kleuters, om eens wat te noemen. Maar simpelweg weigeren updates te leveren, of verwijzen naar de fabrikant, dat zit er niet meer in.

Zoals ik in februari al blogde, er is een gaatje in lid 6 van datzelfde artikel:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.
Mij is nog steeds niet duidelijk of dit een verplicht te aanvaarden vinkje mag zijn. Ik vermoed ondertussen van wel, mits maar duidelijk in de begeleidende informatie staat dat het zonder updates komt.

Een interessante signalering nog in de comments bij Security.nl:

Er komt een certificering Cyberveiligheid van consumenten IoT, zie https://www.kiwa.com/nl/nl/service/etsi-en-303-645-beveiliging-iot-consumentenelectronica/. De betreffende norm (ETSI EN 303 645) is redelijk specifiek in waar aan voldaan moet worden.
Een winkel zou bij haar inkoopbeleid dan kunnen eisen dat fabrikanten een dergelijke ETSI-certificering hebben, zodat zij weten dat de software goed te updaten is.

Arnoud

Tweede Kamer akkoord met updateplicht voor verkopers slimme apparaten

De Tweede Kamer is akkoord gegaan met een verplichting voor verkopers van slimme apparaten en digitale diensten om software- en beveiligingsupdates uit te brengen. Dat meldde Security.nl onlangs. Volgens mij was er niet heel veel keus, gezien dit uit een Europese Richtlijn komt en dus gewoon geregeld moest. Desondanks: mooi nieuws, en ik ben benieuwd. We hebben al zó lang last van gebrekkige apparaten met internettoegang.

De regeling omtrent updates wordt opgenomen in artikel 18 van boek 7 van het Burgerlijk Wetboek, dat is de plek waar conformiteit (“wettelijke garantie”) van verkochte zaken worden geregeld. De wettelijke term wordt “zaken met digitale elementen”. De kern is als volgt (lid 4):

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.
De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is.

Uitgangspunt is dus wel dat er updates gaan komen. Expliciet zeggen “wij verkopen zonder updates” is daarmee niet mogelijk, want dit is wel dwingend consumentenrecht. Maar er is een gaatje:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.
Ja, dat is weer een extra vinkje dat je dan moet zetten. Ik kan nergens vinden of de verkoper je mag verplichten dat vinkje te zetten of anders geen verkoop, maar ik denk het wel. Dat zou dan acceptabel zijn omdat je het héél duidelijk apart gemeld wordt en je dus apart moet zeggen dat je dat wil.

Verder vermeldt het wetsvoorstel een regeling over als de consument de update niet installeert. Niet verrassend is de leverancier dan niet aansprakelijk voor fouten die de update zou hebben opgelost, mits de update voldoende duidelijk was aangekondigd en de installatie-instructies duidelijk genoeg waren.

In alle gevallen gaat het dus over de verkoper, zeg maar de Mediamarkt of Coolblue, en dus niet de fabrikant. Daar heb je als consument eigenlijk nooit direct wat mee te maken, immers. Wel is het zo dat als de fabrikant iets aankondigt of meldt over het product, dit bindend wordt op de verkoper. Het is dan dus mogelijk dat zeg Samsung zorgt voor het melden en beschikbaar stellen van updates, maar dat jij gewoon de Mediamarkt aansprakelijk stelt als die update je telefoon versteent.

Al langer was geregeld dat de verkoper zelf een bindend verhaalsrecht (regresrecht) heeft op de importeur of fabrikant, deze wet verandert daar niets aan. Dus de Mediamarkt mag dan de Europese importeur van Samsung aansprakelijk stellen, of Samsung zelf. En in de zakelijke levercontracten kan dát niet worden verboden.

Arnoud

EU-wetsvoorstel geeft consumenten recht op ‘nodige updates’ elektronica

De EU wil consumenten meer bescherming geven wanneer ze apparaten kopen die afhankelijk zijn van software. Dat meldde Tweakers vorige week. De Belgische Europarlementariër Pascal Arimont heeft het Europese wetsvoorstel gedaan waarmee consumenten recht hebben op de nodige updates gedurende een redelijke periode, een verplichte garantieperiode van één of twee jaar en het recht om defecte producten gratis te repareren of of vervangen. Mooi nieuws, met name natuurlijk het recht op updates zou een verademing zijn in een wereld waar zelfs tandenborstels updates krijgen (en ineens willen weten waar je bent).

Het wetsvoorstel voor een Richtlijn zou vereisen dat alle lidstaten hun wetgeving aanpassen. Het wordt dus geen Verordening zoals de AVG die in één keer Europees van kracht is. Dit is denk ik omdat consumentenrecht sterk hangt aan nationaal recht. Je moet dus straks nog steeds kijken in welk land je iets koopt om de juiste wet te vinden, maar de strekking zal in elk EU-land daarmee hetzelfde zijn. Het voorstel laat de optie open dat lidstaten zelf de wet nog strenger maken, overigens.

Het stuk over updates kan ik niet direct vinden in de laatste gepubliceerde tekst, maar misschien komt er nog een nieuwe publicatie. Uit het persbericht maak ik op dat men updates als een vorm van repareren ziet: je apparaat moet gedurende een zekere periode conform de verwachtingen zijn, en updates zijn een manier om conformiteit terug te brengen. Als mijn televisie geen Youtube meer kan draaien, en daarmee deze nonconform wordt, dan moet de leverancier een update uitgeven zodat Youtube weer werkt. Zoiets.

Ingewikkeld lijkt me nog wel dat deze regels allemaal bindend zijn op de verkoper die het product aan de consument biedt. Logisch, want je wilt als consument gewoon terug naar waar je ‘m gekocht hebt en die zoekt het maar lekker uit met de importeur of ver weg gelegen fabrikant. En voor een herstel voldoet dat ook wel, want dan kan die winkel het product desnoods terugsturen naar de centrale herstelafdeling of omruilen voor een nieuwe die hij dan nabestelt.

Hoe gaat dat werken bij updates? Een nieuw apparaat geven als dozenschuiver heeft geen zin, daar staan de updates ook niet op. Moet je ze dan zelf downloaden van de fabriek en gaan installeren op de klant z’n apparaat? Moet de importeur dat doen? En wat nu als de fabrikant ver weg is en geen zin heeft in updates, dan wil de klant zijn geld terug – en dat mag, van de nieuwe Richtlijn. Dat voelt wel wat onhandiger dan bij ‘gewone’ defecten.

Arnoud

Nederlandse rechter verplicht Samsung niet om snel Android-updates aan te bieden

De rechtbank in Den Haag heeft in een zaak van de Consumentenbond bepaald dat Samsung niet snel beveiligingsupdates voor alle smartphones hoeft aan te bieden. Dat meldde Tweakers vorige week. De Bond had een principezaak tegen de smartphonemaker aangespannen omdat zij vond dat Samsung te weinig informatie gaf over updates, en bovendien te traag was met security updates uitgeven. Samsung belooft goedkopere modellen minimaal twee jaar na de release te voorzien van updates, terwijl dat bij high-end modellen minimaal drie jaar is.

De Consumentenbond spande de zaak aan in 2016. Op dat moment stond Samsung bekend als niet zo’n snelle updater, zeker voor goedkope modellen was er vaak snel geen fatsoenlijke security update te krijgen. Dat is sindsdien fors verbeterd, zo lees ik overal. Die verbeterslag weegt mee in het vonnis, want de rechtbank beoordeelt Samsung naar hoe ze nu werkt en niet naar hoe het bij de dagvaarding was.

Het eerste aspect dat in het vonnis aan de orde kwam, was dat Samsung met name te weinig doet om securityupdates zo snel mogelijk naar de consument te krijgen, en wel eigenlijk gewoon binnen een maand nadat de patch is verschenen. Maar dat vindt de rechtbank te rigide: Samsung zit nu eenmaal vast aan het updateproces zoals door Google gedefinieerd, en kan dus niet altijd zo snel met een update komen. Het is een complex proces en daarom kun je niet in het algemeen zeggen dat Samsung te weinig doet en daarmee nodeloos risico’s bij de consument legt.

Het tweede punt is dat Samsung te weinig zou doen om de consument te informeren over veiligheidsrisico’s die aan haar smartphones kleven. Dat zou eigenlijk wel moeten, want dat is toch essentiële informatie zou je zeggen en dan ben je wettelijk verplicht daarover actief mede te delen. Maar de rechtbank ziet dat Samsung op haar site een uitgebreide uitleg publiceert over beveiliging, en oordeelt dat dat genoeg is voor de gemiddelde consument:

De rechtbank neemt daarbij mede in aanmerking dat de “maatman consument” waarop de onder meer door de Consumentenbond ingeroepen artikel 6:193a e.v. 3W zien, een gemiddeld geïnformeerde, omzichtige en oplettende consument is, van wie verwacht mag worden dat hij bereid is zich in de aangeboden informatie te verdiepen, tvaarbij denkbaar is dat informatie langs verschillende wegen wordt aangeboden. De gemiddelde consument wordt in beginsel geacht in staat te zijn om verstrekte informatie op waarde te schatten, om zo nodig nadere informatie te zoeken en om vervolgens informatie uit verschillende bronnen met elkaar in verband te brengen; enige onderzoeksplicht is inherent aan de maatstaf van de gemiddelde consument.

De ‘maatman’ lijkt me daarmee iets proactiever en ondernemender in zijn informatieverwerving dan ik gewend ben. Het is jammer dat er niet inhoudelijk is ingegaan op waar deze lat had moeten liggen.

Alles bij elkaar worden alle eisen dus afgewezen; Samsung mag doorgaan met haar huidige beleid en hoeft niet meer te doen om de consument op te voeden.

Arnoud

Waarom wordt mijn embedded Android niet geupdate?

android-open-source.pngEen lezer vroeg me:

Steeds meer apparatuur bevat Android als operating system, en daarvan is bekend dat er van tijd tot tijd gaten in worden ontdekt. Maar die software wordt eigenlijk nooit geupdate. Is dat niet tegen de wet? Hoe kan ik afdwingen dat deze software bijgewerkt wordt?

De wet zegt niets over security of het bijwerken van software. Een gemiste kans bij de wetsupdate van 2014, wat mij betreft. Je moet dus terugvallen op algemene regels en daaruit proberen te beredeneren dat het anno 2015 impliceert dat embedded software moet worden geupdate.

Een hoofdregel uit de wet is dat een product moet voldoen aan de redelijkerwijs gewekte verwachtingen (art. 7:17 BW). Als dat niet zo is, moet de winkelier dat herstellen of een vervangend product verschaffen. Wil je het hiermee rondkrijgen, dan moet je dus aantonen dat je redelijkerwijs mag verwachten dat een product veilig is en/of dat ontdekte gaten

Dat een product veilig is, is helaas nog steeds geen gebruikelijke situatie. (Ik erger me daar al tijden aan.) Bovendien worden gaten ook tijdens de levensduur van het product ontdekt, dus is het denk ik ook niet realistisch te verwachten dat producten binnenkort veilig worden en blijven. Updaten is de enige manier om daaraan tegemoet te komen.

Zijn updates an sich dan een redelijke verwachting? Nou, bij Android wel. Iedereen weet dat Android regelmatig met security- en andere updates komt, dus je mag verwachten dat dat ook bij jouw apparaat gaat gebeuren als gemeld is dat er Android in zit. Die verwachting komt dan mee.

De per 1 januari in werking tredende meldplicht datalekken + beveiligingsplicht gaat daar niets aan veranderen. Die geldt namelijk voor zakelijke partijen die persoonsgegevens van anderen opslaan. Een consument met een Androidapparaat voldoet niet aan die omschrijving en heeft dus niets te maken met die wet. Ook niet als door een gat in zijn OS zijn telefoonboek of ander bestand met persoonsgegevens lekt.

Een praktisch punt is nog wel, kúnnen die apparaten wel eenvoudig geupdate worden? Bij een telefoon lukt dat nog wel, maar bij een simpele dvd-speler zonder netwerkmogelijkheid is dat al wat ingewikkelder. Eisen dat je de firmware moet kunnen flashen is denk ik niet redelijk. Bovendien, als het apparaat geen netwerkmogelijkheid heeft, hoe wordt het dan gehackt van buitenaf?

Arnoud