Donderdag 13 juli 2017

Bestaat er een verplichting tot het bijwerken van software?

Inleiding
Steeds meer apparaten die op de markt komen zijn voorzien van software. Bekend zijn natuurlijk computers en smartphones. Er komen echter steeds meer apparaten bij die af en toe van een software update moeten worden voorzien om bijvoorbeeld een lek in de software op te lossen of het apparaat te verbeteren. Zo rijden er al een geruime tijd auto’s rond die voorzien zijn van opties die de auto autonoom kan laten rijden welke ook met enige regelmaat geüpdatet worden om de auto veiliger te maken in het verkeer dan wel beter te beveiligen tegen mogelijke hackers. In januari van dit jaar verscheen er een twitterbericht van de CEO van Tesla waarin hij aangaf dat Tesla niet zal stoppen met innoveren en haar eigen auto’s steeds zal voorzien van nieuwe updates. ¹http://www.nu.nl/gadgets/4410189/tesla-zal-autos-jaarlijks-flink-vernieuwen.html Interessant aan dit bericht is dat tevens aangegeven werd dat ‘oude’ modellen van Tesla (dit zijn auto’s die amper drie jaar op de markt zijn) niet meer worden voorzien van de laatste software updates, omdat de oudere Tesla niet over de juiste hardware voor de update zou beschikken. Van een software update wordt een auto doorgaans veiliger. Zo ontstaat dus het probleem dat er veilige en minder veilige auto’s met opties die de auto autonoom kan laten rijden aan het verkeer deelnemen. De vraag die hierbij gesteld kan worden is, of er een plicht bestaat voor een producent om software bij te werken indien er een nieuwe update beschikbaar is. Zo ook bij (ver)ouder(d)e modellen van de producent. Daarbij wordt als voorbeeld het bericht van de CEO van Tesla gebruikt evenals een procedure tussen de Consumentenbond en Samsung.

Open normen
In een recente procedure tussen de Consumentenbond en Samsung (8 maart 2016) deed dezelfde vraag zich voor: er was mogelijk sprake van onveilige software op bepaalde modellen Samsung telefoons. Samsung gebruikt software voor haar telefoons die afkomstig is van Google, welke zij vervolgens aanpast door middel van eigen software die de software van Google aanvult, maar niet vervangt. ²https://www.android.com/ In het onderhavige geval was het zo dat Samsung belangrijke software updates van Google laat of in zijn geheel niet doorvoerde, waardoor er bepaalde beveiligingslekken in de software niet gedicht werden. Het gevolg daarvan was dat de gebruiker met een Samsung telefoon rondliep die op afstand overgenomen kon worden, met alle mogelijke gevolgen van dien. ³Rb. Amsterdam 8 maart 2016, ECLI:NL:RBAMS:2016:1175 Dit gaf aanleiding voor de Consumentenbond om een procedure te starten met de vraag of er een plicht bestaat voor Samsung om updates door te voeren die de software weer veilig(er) doen maken. ⁴P.T.J. Wolters, ‘De verplichting tot het bijwerken van onveilige software’, WPNR 2016/7123, afl. 147, p.832-839 Uit de procedure volgde dat een letterlijke plicht niet volgt uit de wet. Wel kwam uit de uitspraak naar voren dat het mogelijk is dat die plicht zich voordoet onder bepaalde open normen uit de wet. Drie open normen zijn van belang: conformiteit, de onrechtmatige daad en in het geval het apparaat persoonsgegevens verwerkt kan de plicht ook voortvloeien uit de Wet bescherming persoonsgegevens.

Conformiteit
Uit artikel 17 lid 2 van Burgerlijk Wetboek 7 ⁵http://wetten.overheid.nl/BWBR0005290/2017-03-10#Boek7_Titeldeel1_Afdeling2_Artikel17 volgt dat een product non-conform is indien het afgeleverde product niet de eigenschappen heeft die de koper van het product mag verwachten ten tijde van de aankoop. Software is nooit honderd procent waterdicht en dat mag ook niet verwacht worden bij een aankoop. ⁶Rb. ’s-Gravenhage 11 juli 2001, CR 2001, p. 268 Een beveiligingslek, of een update van een optie op een auto dat tot verbetering leidt, maar die op een later moment ontdekt wordt kan dus niet tot non-conformiteit leiden. Wel is het zo dat wanneer niet aan een bepaalde mate van ondersteuning van het product voldaan wordt non-conformiteit het gevolg kan zijn indien de ondersteuning, waar ook het bijwerken van de software indien een dergelijk beveiligingslek zich voordoet onder valt, niet wordt uitgevoerd dan wel te laat wordt uitgevoerd. ⁷Rb. Amsterdam 8 maart 2016, ECLI:NL:RBAMS:2016:1175 Het is niet duidelijk voor welke periode de ondersteuning plaats moet vinden, daarbij wordt enkel gesproken over een zekere ‘bepaalde periode’. Aangenomen wordt in het geschil tussen de Consumentenbond en Samsung dat deze bepaalde periode in ieder geval twee jaar beslaat. ⁸Rb. Amsterdam 8 maart 2016, ECLI:NL:RBAMS:2016:1175 In de uitspraak is deze termijn van twee jaar gebaseerd op de gemiddelde gebruiksduur van een telefoon in combinatie met het abonnement wat er vaak bij wordt afgesloten. In het geval van Tesla is het goed mogelijk dat een ondersteuning van twee jaar te weinig is om aan het criterium van een ‘bepaalde periode’ te voldoen. Indien software vervolgens niet wordt bijgewerkt binnen een bepaalde periode kan dat tot non-conformiteit leiden. De producent kan dat oplossen door het product van een software update te voorzien.

Onrechtmatige daad
Indien er zich schade zou voordoen door een beveiligingslek in de software, kan de producent hiervoor aansprakelijk gesteld worden. Aansprakelijkheid kan dan worden aangenomen via de weg van de onrechtmatige daad op grond van artikel 162 van Burgerlijk Wetboek 6. ⁹http://wetten.overheid.nl/BWBR0005289/2017-03-10#Boek6_Titeldeel3_Afdeling1_Artikel162 De producent heeft in dat geval, indien er zich schade voordoet bij een gebruiker van het product door een kritiek-beveiligingslek, gehandeld in strijd met de maatschappelijke zorgvuldigheid. ¹⁰P.T.J. Wolters, ‘De verplichting tot het bijwerken van onveilige software’, WPNR 2016/7123, afl. 147, p.832-839 Op grond van deze zorgvuldigheidsplicht uit de onrechtmatige daad kan een verplichting tot het bijwerken van de software voortvloeien uit het gegeven dat de producent zijn zorgvuldigheidsplicht heeft geschonden indien de producent op de hoogte was van het beveiligingslek en dit lek niet heeft verholpen. Belangrijk daarbij is dan wel dat de schade die is ontstaan voortvloeit uit het lek in de beveiliging, en dat de producent de mogelijkheid moet hebben gehad om het beveiligingslek te verhelpen. Zoals onder conformiteit al is aangehaald mag namelijk niet worden aangenomen dat software honderd procent veilig is, in verband met de complexiteit van hedendaagse software. ¹¹Rb. ’s-Gravenhage 11 juli 2001, CR 2001, p. 268

Wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens (hierna Wbp) is enkel van toepassing indien de producent persoonsgegevens verwerkt van de gebruikers van het product. Indien dat het geval is, is artikel 13 van de Wbp van toepassing. ¹²http://wetten.overheid.nl/BWBR0011468/2017-03-10#Hoofdstuk2_Paragraaf1_Artikel13 Uit dit artikel vloeit voort dat een producent verplicht is het product te voorzien van een passend beveiligingsniveau. Of het product over een passend beveiligingsniveau beschikt hangt vooral af van de stand van de techniek van dat moment en de kosten die ermee gepaard gaan om het product van de nieuwe software update te voorzien. Een niet-kritiek lek in de software leidt dus niet meteen tot een plicht tot bijwerken van de software, indien het product met dit niet-kritieke lek in de software nog steeds over een passend beveiligingsniveau beschikt. ¹³P.T.J. Wolters, ‘De verplichting tot het bijwerken van onveilige software’, WPNR 2016/7123, afl. 147, p.832-839 Bij een kritiek lek in de software vloeit uit deze bepaling dus wél een plicht voort om de software bij te werken. Voor Samsung was deze plicht er dus wel aangezien zij persoonsgegevens verwerkte. ¹⁴Rb. Amsterdam 8 maart 2016, ECLI:NL:RBAMS:2016:1175 Indien Tesla ook persoonsgegevens zou verwerken (mogelijk verkeersgegevens) geldt de Wbp ook voor hen en dus ook de plicht tot het bijwerken van onveilige software.

Conclusie
Er staat geen letterlijke verplichting in de wet tot het bijwerken van (onveilige) software. De plicht tot het bijwerken van software kan daarentegen wel voortvloeien uit een aantal open normen. Een van die open normen is conformiteit. Onzeker bij conformiteit blijft nog voor welke periode een product ondersteund dient te worden om aan het criterium van een bepaalde periode te voldoen. In de procedure tussen de Consumentenbond en Samsung werd die ondersteuningstermijn gesteld op 24 maanden. Daarbij werd als uitgangspunt genomen dat bij een mobiele telefoon een abonnement van 24 maanden wordt afgesloten en dat daarom 24 maanden dan ook een minimale ondersteuningstermijn is voor het bijwerken van de software van de telefoon. Het is dus niet zeker of deze termijn ook gehanteerd zal gaan worden in andere gevallen. Zo is goed mogelijk dat in het geval van Tesla deze ondersteuningstermijn een stuk langer zal zijn. Daarnaast kan de plicht tot het bijwerken van software ook volgen uit de zorgvuldigheidsplicht van de onrechtmatige daad. Een probleem bij de onrechtmatige daad is dat er sprake moet zijn van schade. Wanneer er geen schade is kan de plicht tot het bijwerken van software daar dan ook niet uit voortvloeien. Ten slotte kan de plicht ook nog volgen uit artikel 13 van de Wbp. De plicht uit de Wbp is het sterkst aangezien aangegeven wordt dat het product voorzien moet zijn van een passend beveiligingsniveau. Het probleem daarbij is wel dat het product persoonsgegevens moet verwerken alvorens de Wbp van toepassing is, en niet elk product voorzien van software verwerkt ook automatisch persoonsgegevens.