Blog

Hoelang moeten smartphones voorzien zijn van beveiligingsupdates?

Gisteren stonden Samsung en de Consumentenbond tegenover elkaar in de rechtszaal. De Consumentenbond eist van Samsung dat zij haar smartphones langer en vaker van beveiligingsupdates voorziet.

De zaak is het vervolg op een kort geding uit februari 2016. Toen stelde de Consumentenbond al ongeveer hetzelfde. Maar de rechter is in kort geding beperkt, en heeft de vorderingen toen wegens de complexiteit ervan en wegens een gebrek aan spoedeisendheid afgewezen. Op zich opmerkelijk, aangezien toen de acute beveiligingsrisico’s door stagefright aanleiding waren voor het kort geding.

Hoe dan ook, daarop heeft de Consumentenbond Samsung dus gedagvaard in een bodemprocedure. In een bodemprocedure wordt de zaak volledig beoordeeld. Gisteren vond de zitting plaats in de Rechtbank Den Haag.

In deze zaak eist de Consumentenbond van Samsung – kort gezegd – dat zij haar smartphones van updates voorziet voor de gehele gebruiksduur. Volgens de Consumentenbond is die duur minimaal 2 jaar na aankoop of 4 jaar na introductie. Ook vindt de Consumentenbond dat Samsung consumenten duidelijke en goed vindbare informatie moet verstrekken over het updatebeleid.

rechtspraakDe zaak is van groot belang. Android telefoons zoals die van Samsung worden maar beperkt voorzien van veiligheidsupdates. De updates liggen vaak achter op de uitrol van updates door Android-leverancier Google. Dat er enige vertraging in zit, is nog wel te begrijpen (Samsung moet immers de updates passend maken binnen haar eigen ‘Samsung-schil’). Daardoor draait ruim 90% van de Android telefoons niet op de nieuwste software. En maar liefst 84% blijkt meer dan twee maanden achter te lopen op de veiligheidsupdates. Maar ook de informatievoorziening blijft vaak achter.

Samsung kan zich niet vinden in de vorderingen van de Consumentenbond. Kennelijk meent zij met een gegarandeerde ondersteuning van vier jaar na introductie geen eigen afweging meer te kunnen maken. Ook zou ze na twee jaar meer telefoons moeten updaten, dat meer geld zou kosten. Het zou ook onwenselijk zijn omdat ze dan geen voorrang zou kunnen geven aan de meest urgente kwetsbaarheden. Een vreemde redenering, wat mij betreft.

Door de NOS zijn Arnoud Engelfriet en ik gevraagd naar onze visie op de zaak:

Bovendien is er niet eerder uitspraak gedaan in een vergelijkbare zaak, waar de rechter zich op kan baseren. “Het is echt een nieuw gebied. De jurisprudentie gaat baanbrekend zijn”, zegt ICT-jurist Arnoud Engelfriet. “De fabrikant is nu verplicht om te zorgen dat een product bijvoorbeeld brandveilig is en niet giftig, maar ICT-veiligheid zou daar ook onder kunnen vallen”.

Dat zegt ook ICT-advocaat Wouter Dammers. “De wetgeving die er nu is, slaat op producten, zoals wasmachines. Maar dit gaat over software en veiligheid, dat is nieuw.” Hij denkt dat Samsung nog een zware kluif kan hebben aan deze zaak. “De consumentenwetgeving is best beschermend in Nederland.”

Volgens Engelfriet heeft de Consumentenbond een goede zaak. “Gezien het belang van telefoons in onze maatschappij is het goed dat hier naar gekeken wordt.” De vraag die volgens hem centraal staat is hoe ver je daarin moet gaan. “Moet een mobiele telefoon de hele levensduur veilig zijn, of maar een paar jaar?”

 

Het is dus een interessante zaak, die we nauwlettend in de gaten houden.

Deze kwestie speelt niet alleen in Nederland. Ook in de VS liggen smartphoneleveranciers onder vuur. De Amerikaanse telecomwaakhond FTC heeft in 2016 onderzoek gedaan naar het beveiligingsupdatebeleid van fabrikanten als Apple, Blackberry, Google, HTC, LG, Microsoft, Motorole en ook Samsung. Uit het onderzoek blijkt dat dit beleid op allerlei vlakken verbeterd moet worden. Volgens de toezichthouder is het belangrijk dat smartphones tijdig beveiligingsupdates ontvangen, omdat ze een steeds grotere rol spelen in ons dagelijks leven en voor allerlei zaken worden gebruikt. De FTC heeft verschillende aanbevelingen gedaan om het updateproces te verbeteren. Fabrikanten moeten aangeven hoe lang ze een toestel blijven ondersteunen en ze moeten gebriukers waarschuwen als de ondersteuning afloopt. Beveiligingsupdates moeten worden uitgerold los van generieke softwareupdates. Ook worden fabrikanten erop gewezen om beveiliging bij het ontwerp van het product te betrekken. Consumenten moeten worden gewezen op het belang van updates en de rol die ze daarbij spelen.

Gerelateerde berichten