Verkopers IoT-apparaten vanaf 27 april wettelijk verplicht updates te leveren

| AE 13305 | Informatiemaatschappij, Ondernemingsvrijheid | 14 reacties

Verkopers van Internet of Things (IoT)-apparaten, zoals smart tv’s en horloges, printers, camera’s en babyfoons, zijn vanaf 27 april wettelijk verplicht om software- en beveiligingsupdates te leveren. Dat las ik bij Security.nl vorige week. Nadat in februari de Tweede Kamer akkoord was met een updateplicht, stemt nu ook de Eerste Kamer in. En ja, 27 april was vorige week maar de stemming was op 19 april en het ging om invoering van een Europese regel, dus heel veel rek was er niet meer.

De kern van de updateplicht staat in artikel 7:18 lid 4 BW:

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.
Een zaak met digitale elementen is hoe wetgevingsjuristen een IoT-apparaat of “slim apparaat” omschrijven: een ding dat op je tenen valt (en dan pijn doet) maar met software erin. De regel geldt dan weer niet voor los verkochte software op een drager, en ook niet voor software-als-download.

De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is. Bij een slimme vaatwasser (ik heb er een: hij appt me als hij klaar is, dit schijnt slim te zijn) mag je denk ik langer updates verwachten dan bij een speelgoedlaptop voor kleuters, om eens wat te noemen. Maar simpelweg weigeren updates te leveren, of verwijzen naar de fabrikant, dat zit er niet meer in.

Zoals ik in februari al blogde, er is een gaatje in lid 6 van datzelfde artikel:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.
Mij is nog steeds niet duidelijk of dit een verplicht te aanvaarden vinkje mag zijn. Ik vermoed ondertussen van wel, mits maar duidelijk in de begeleidende informatie staat dat het zonder updates komt.

Een interessante signalering nog in de comments bij Security.nl:

Er komt een certificering Cyberveiligheid van consumenten IoT, zie https://www.kiwa.com/nl/nl/service/etsi-en-303-645-beveiliging-iot-consumentenelectronica/. De betreffende norm (ETSI EN 303 645) is redelijk specifiek in waar aan voldaan moet worden.
Een winkel zou bij haar inkoopbeleid dan kunnen eisen dat fabrikanten een dergelijke ETSI-certificering hebben, zodat zij weten dat de software goed te updaten is.

Arnoud

Tweede Kamer akkoord met updateplicht voor verkopers slimme apparaten

| AE 13149 | Ondernemingsvrijheid | 18 reacties

De Tweede Kamer is akkoord gegaan met een verplichting voor verkopers van slimme apparaten en digitale diensten om software- en beveiligingsupdates uit te brengen. Dat meldde Security.nl onlangs. Volgens mij was er niet heel veel keus, gezien dit uit een Europese Richtlijn komt en dus gewoon geregeld moest. Desondanks: mooi nieuws, en ik ben benieuwd. We hebben al zó lang last van gebrekkige apparaten met internettoegang.

De regeling omtrent updates wordt opgenomen in artikel 18 van boek 7 van het Burgerlijk Wetboek, dat is de plek waar conformiteit (“wettelijke garantie”) van verkochte zaken worden geregeld. De wettelijke term wordt “zaken met digitale elementen”. De kern is als volgt (lid 4):

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.
De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is.

Uitgangspunt is dus wel dat er updates gaan komen. Expliciet zeggen “wij verkopen zonder updates” is daarmee niet mogelijk, want dit is wel dwingend consumentenrecht. Maar er is een gaatje:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.
Ja, dat is weer een extra vinkje dat je dan moet zetten. Ik kan nergens vinden of de verkoper je mag verplichten dat vinkje te zetten of anders geen verkoop, maar ik denk het wel. Dat zou dan acceptabel zijn omdat je het héél duidelijk apart gemeld wordt en je dus apart moet zeggen dat je dat wil.

Verder vermeldt het wetsvoorstel een regeling over als de consument de update niet installeert. Niet verrassend is de leverancier dan niet aansprakelijk voor fouten die de update zou hebben opgelost, mits de update voldoende duidelijk was aangekondigd en de installatie-instructies duidelijk genoeg waren.

In alle gevallen gaat het dus over de verkoper, zeg maar de Mediamarkt of Coolblue, en dus niet de fabrikant. Daar heb je als consument eigenlijk nooit direct wat mee te maken, immers. Wel is het zo dat als de fabrikant iets aankondigt of meldt over het product, dit bindend wordt op de verkoper. Het is dan dus mogelijk dat zeg Samsung zorgt voor het melden en beschikbaar stellen van updates, maar dat jij gewoon de Mediamarkt aansprakelijk stelt als die update je telefoon versteent.

Al langer was geregeld dat de verkoper zelf een bindend verhaalsrecht (regresrecht) heeft op de importeur of fabrikant, deze wet verandert daar niets aan. Dus de Mediamarkt mag dan de Europese importeur van Samsung aansprakelijk stellen, of Samsung zelf. En in de zakelijke levercontracten kan dát niet worden verboden.

Arnoud

EU-wetsvoorstel geeft consumenten recht op ‘nodige updates’ elektronica

| AE 11109 | Ondernemingsvrijheid | 9 reacties

De EU wil consumenten meer bescherming geven wanneer ze apparaten kopen die afhankelijk zijn van software. Dat meldde Tweakers vorige week. De Belgische Europarlementariër Pascal Arimont heeft het Europese wetsvoorstel gedaan waarmee consumenten recht hebben op de nodige updates gedurende een redelijke periode, een verplichte garantieperiode van één of twee jaar en het recht om defecte producten gratis te repareren of of vervangen. Mooi nieuws, met name natuurlijk het recht op updates zou een verademing zijn in een wereld waar zelfs tandenborstels updates krijgen (en ineens willen weten waar je bent).

Het wetsvoorstel voor een Richtlijn zou vereisen dat alle lidstaten hun wetgeving aanpassen. Het wordt dus geen Verordening zoals de AVG die in één keer Europees van kracht is. Dit is denk ik omdat consumentenrecht sterk hangt aan nationaal recht. Je moet dus straks nog steeds kijken in welk land je iets koopt om de juiste wet te vinden, maar de strekking zal in elk EU-land daarmee hetzelfde zijn. Het voorstel laat de optie open dat lidstaten zelf de wet nog strenger maken, overigens.

Het stuk over updates kan ik niet direct vinden in de laatste gepubliceerde tekst, maar misschien komt er nog een nieuwe publicatie. Uit het persbericht maak ik op dat men updates als een vorm van repareren ziet: je apparaat moet gedurende een zekere periode conform de verwachtingen zijn, en updates zijn een manier om conformiteit terug te brengen. Als mijn televisie geen Youtube meer kan draaien, en daarmee deze nonconform wordt, dan moet de leverancier een update uitgeven zodat Youtube weer werkt. Zoiets.

Ingewikkeld lijkt me nog wel dat deze regels allemaal bindend zijn op de verkoper die het product aan de consument biedt. Logisch, want je wilt als consument gewoon terug naar waar je ‘m gekocht hebt en die zoekt het maar lekker uit met de importeur of ver weg gelegen fabrikant. En voor een herstel voldoet dat ook wel, want dan kan die winkel het product desnoods terugsturen naar de centrale herstelafdeling of omruilen voor een nieuwe die hij dan nabestelt.

Hoe gaat dat werken bij updates? Een nieuw apparaat geven als dozenschuiver heeft geen zin, daar staan de updates ook niet op. Moet je ze dan zelf downloaden van de fabriek en gaan installeren op de klant z’n apparaat? Moet de importeur dat doen? En wat nu als de fabrikant ver weg is en geen zin heeft in updates, dan wil de klant zijn geld terug – en dat mag, van de nieuwe Richtlijn. Dat voelt wel wat onhandiger dan bij ‘gewone’ defecten.

Arnoud

Nederlandse rechter verplicht Samsung niet om snel Android-updates aan te bieden

| AE 10642 | Ondernemingsvrijheid, Security | 6 reacties

De rechtbank in Den Haag heeft in een zaak van de Consumentenbond bepaald dat Samsung niet snel beveiligingsupdates voor alle smartphones hoeft aan te bieden. Dat meldde Tweakers vorige week. De Bond had een principezaak tegen de smartphonemaker aangespannen omdat zij vond dat Samsung te weinig informatie gaf over updates, en bovendien te traag was… Lees verder

Waarom wordt mijn embedded Android niet geupdate?

| AE 7954 | Ondernemingsvrijheid, Security | 16 reacties

Een lezer vroeg me: Steeds meer apparatuur bevat Android als operating system, en daarvan is bekend dat er van tijd tot tijd gaten in worden ontdekt. Maar die software wordt eigenlijk nooit geupdate. Is dat niet tegen de wet? Hoe kan ik afdwingen dat deze software bijgewerkt wordt? De wet zegt niets over security of… Lees verder