Tweede Kamer akkoord met updateplicht voor verkopers slimme apparaten

| AE 13149 | Ondernemingsvrijheid | 18 reacties

De Tweede Kamer is akkoord gegaan met een verplichting voor verkopers van slimme apparaten en digitale diensten om software- en beveiligingsupdates uit te brengen. Dat meldde Security.nl onlangs. Volgens mij was er niet heel veel keus, gezien dit uit een Europese Richtlijn komt en dus gewoon geregeld moest. Desondanks: mooi nieuws, en ik ben benieuwd. We hebben al zó lang last van gebrekkige apparaten met internettoegang.

De regeling omtrent updates wordt opgenomen in artikel 18 van boek 7 van het Burgerlijk Wetboek, dat is de plek waar conformiteit (“wettelijke garantie”) van verkochte zaken worden geregeld. De wettelijke term wordt “zaken met digitale elementen”. De kern is als volgt (lid 4):

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.
De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is.

Uitgangspunt is dus wel dat er updates gaan komen. Expliciet zeggen “wij verkopen zonder updates” is daarmee niet mogelijk, want dit is wel dwingend consumentenrecht. Maar er is een gaatje:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.
Ja, dat is weer een extra vinkje dat je dan moet zetten. Ik kan nergens vinden of de verkoper je mag verplichten dat vinkje te zetten of anders geen verkoop, maar ik denk het wel. Dat zou dan acceptabel zijn omdat je het héél duidelijk apart gemeld wordt en je dus apart moet zeggen dat je dat wil.

Verder vermeldt het wetsvoorstel een regeling over als de consument de update niet installeert. Niet verrassend is de leverancier dan niet aansprakelijk voor fouten die de update zou hebben opgelost, mits de update voldoende duidelijk was aangekondigd en de installatie-instructies duidelijk genoeg waren.

In alle gevallen gaat het dus over de verkoper, zeg maar de Mediamarkt of Coolblue, en dus niet de fabrikant. Daar heb je als consument eigenlijk nooit direct wat mee te maken, immers. Wel is het zo dat als de fabrikant iets aankondigt of meldt over het product, dit bindend wordt op de verkoper. Het is dan dus mogelijk dat zeg Samsung zorgt voor het melden en beschikbaar stellen van updates, maar dat jij gewoon de Mediamarkt aansprakelijk stelt als die update je telefoon versteent.

Al langer was geregeld dat de verkoper zelf een bindend verhaalsrecht (regresrecht) heeft op de importeur of fabrikant, deze wet verandert daar niets aan. Dus de Mediamarkt mag dan de Europese importeur van Samsung aansprakelijk stellen, of Samsung zelf. En in de zakelijke levercontracten kan dát niet worden verboden.

Arnoud

Kan iemand me uitleggen waar de NCTV ook weer goed voor is?

| AE 13025 | Regulering | 10 reacties

De Autoriteit Persoonsgegevens heeft zware kritiek op het wetsvoorstel dat de Nationaal Coördinator Terrorismebestrijding (NCTV) toestaat om burgers online te volgen en gevoelige persoonsgegevens te verzamelen, analyseren en met binnen- en mogelijk ook buitenlandse partijen te delen. Dat meldde Security.nl onlangs. Na het lezen van het stuk kan er voor mij maar een conclusie mogelijk zijn (en dat zie je niet vaak bij de AP): waarom wilden we ook weer een NCTV?

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is een instantie van de Nederlandse overheid die in 2012 werd ingesteld “om Nederland te beschermen tegen bedreigingen die de maatschappij kunnen ontwrichten. Samen met partners binnen overheid, wetenschap en bedrijfsleven zorgt de NCTV ervoor dat de Nederlandse vitale infrastructuur veilig is én blijft.” Van zo veel ambtenarenjargon ontgaat je meteen de lust om er wat van te vinden, met name die “én” met accent is een plastic lipje in je toetje van 220 euro.

En wat dóen ze nou precies? Nederlanders volgen op social media, wat dus een probleem is omdat dat niet mag zonder nadere bevoegdheden. Die ze niet hadden, vandaar een wetsvoorstel – wat sowieso al raar is, als een dienst tegen de wet handelt dan zou ik zeggen dat je die dienst vijf jaar lang niet in de búúrt laat komen van die activiteiten in plaats van het te legaliseren. Maar ja, wie ben ik.

“Als je bij de geheime diensten en politie ziet met hoeveel randvoorwaarden het verwerken van dergelijke gevoelige informatie omgeven is, dan valt toch niet te verdedigen dat dit bij de NCTV niet nodig is? Dat bij de NCTV een enkele, door de NCTV zelf uit te voeren toets voldoende zou zijn? Dat is de slager die zijn eigen vlees keurt”, zegt AP-voorzitter Aleid Wolfsen.
Minister Grapperhaus liet onlangs weten dat het kabinet het wetsvoorstel snel wil behandelen, en doet daarbij zonder enige ironie een beroep op de nationale veiligheid. Oké. Maar mij is nog steeds niet duidelijk waarom we een NCTV nodig hebben naast de bestaande diensten?

Arnoud

Moet ransomware apart strafbaar worden gesteld?

| AE 8589 | Security | 22 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataCalifornië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar?

Het probleem in Californië lijkt te zijn dat hun afpersings-wetsartikel vereist dat er “force or fear” wordt gebruikt. Je kunt je afvragen of ransomware wel geweld of angst gebruikt om de betaling af te dwingen. Ransomware slaat je niet in elkaar en dreigt ook niet naar de pers te stappen als je niet snel betaalt. Dan ontstaat er dus een gaatje in de wet om te roepen dat het nog niet strafbaar is. Vandaar dit wetsvoorstel.

In Nederland hebben we twee wetsartikelen die ransomware strafbaar stellen. Het eerste artikel gaat eigenlijk over virussen en wormen (art. 350a Strafrecht). Het is strafbaar gegevens ter beschikking te stellen of verspreiden die zijn bestemd om schade aan te richten in een geautomatiseerd werk. Maar ransomware wordt ook verspreid en richt óók schade aan. Vier jaar cel maximumstraf. Daarnaast is het strafbaar (twee jaar cel) om data te wissen of onbruikbaar te maken.

Het tweede artikel is verwant aan de eigenlijke afpersing (art. 317 Strafrecht). Het is strafbaar om

met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door geweld of bedreiging met geweld iemand [te dwingen] hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld,

Hier staat dus “met geweld of dreiging met geweld” en je kunt je afvragen of een ransomware-auteur wel ‘geweld’ toepast of daarmee dreigt. Geweld is toch meer iets dat je tegen mensen zelf inzet. Misschien tegen hardware (“ik sloop je auto als je niet betaalt”) maar data is geen hardware en valt daar dan niet onder. (Het aanverwante chanteren, dreigen met smaad of onthulling van een geheim, staat in artikel 318).

Maar, lid 2:

2 Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

En dit is natuurlijk exact wat ransomware doet: dreigen dat gegevens voor altijd verloren zullen gaan tenzij er nu snel betaald wordt. Daarmee valt ransomware dus ‘gewoon’ onder afpersing, met een maximumstraf van maar liefst negen jaar cel.

Dus ja, een tikje gelegenheidswetgeving is het wel maar gezien de aard van het misdrijf toch niet onverstandig. De grote vraag natuurlijk blijft: hoe krijg je de plegers te pakken? Ransomware is een beetje de perfecte misdaad: via niet-traceerbare kanalen een dreiging uiten en via niet-traceerbare kanalen geld ontvangen.

Arnoud

Heeft het strafbaar stellen van identiteitsfraude zin?

| AE 5695 | Privacy, Regulering | 26 reacties

Wie zich op internet voor een ander uitgeeft, moet volgens de Tweede Kamer maximaal vijf jaar cel kunnen krijgen. Dat meldde RTL Nieuws gisteren. Identiteitsfraude is op zichzelf niet strafbaar; pas als je iets strafbaars doet mét die identiteit kan een sttrafbaar feit ontstaan, bijvoorbeeld oplichting of smaad. Maar hoe ze dat gaan definiëren en… Lees verder

Slappehapwetsvoorstel wil boetes op ‘aanmerkelijke’ privacylekken

| AE 5663 | Privacy | 6 reacties

Organisaties die persoonsgegevens verwerken worden binnenkort verplicht om inbreuken die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden, las ik bij Nu.nl. Dat is dan wel voor grote waarden van ‘binnenkort’, want het is nog maar een wetsvoorstel dat naar de Tweede Kamer is gestuurd. En ik ben niet onder de indruk van… Lees verder

Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

| AE 5474 | Security | 55 reacties

Minister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar. Het… Lees verder