Juridische vraag: moet ISP schade door router-lek vergoeden?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Is mijn internetprovider aansprakelijk voor schade die ontstaat door een fout of een bug in de door hem aan zijn klanten beschikbaar gestelde router? Hierbij ga ik er van uit dat mijn eigen pc qua veiligheid op orde is.
Antwoord: Wie een product levert, moet zorgen dat die aan de redelijkerwijs gewekte verwachtingen voldoet. Of het nu gaat om een appel, een wasmachine of een tablet. Blijkt dat niet zo te zijn, dan heeft de consument recht op gratis herstel of vervanging van het product.
Deze 'conformiteitseis' staat geheel los van eventuele garanties of toezeggingen van de fabrikant of leverancier. Een fabrikant kan garanderen dat de tablet een jaar lang perfect werkt, maar als na anderhalf jaar de batterij de geest geeft dan kun je toch écht bij de winkel gratis herstel daarvan verlangen. Ja, bij de winkel. Want volgens de wet is niet de fabrikant maar de winkel verantwoordelijk.
Probleem is altijd wel: wat is een redelijke verwachting bij dit soort dingen? Dit is namelijk niet hetzelfde als "is foutloos". Dat een appel na een week bruin en oneetbaar wordt, is niet onredelijk. Die appel voldoet dus aan de conformiteitseis, en je kunt geen herstel of vervanging van de appel eisen. Een wasmachine die na een week defect is, is evident niet conform de verwachtingen.
Bij ICT-producten is dit een groot grijs gebied, met name als het gaat om security. We blijken met z'n allen nog steeds niet in staat om veilige en foutloze producten af te leveren. Dus enige fouten of problemen moet je helaas verwachten. Er is nog geen norm zoals we die wel kennen voor veiligheid: een router mag niet fysiek ontploffen of 240 volt op de netwerkaansluitingen zetten. Dat is per definitie buiten de conformiteitseis, ongeacht de reden voor een dergelijke fout.
Je moet dus op zoek naar de aard van de fout: hoe kon deze schade ontstaan, hoe moeilijk was het geweest dit te fixen en vooral had je redelijkerwijs mogen verwachten dát de fout er niet zou zijn? En daar is weinig zinnigs over te zeggen zonder te weten wat voor fout, wat voor router en wat voor gebruik daarvan.
Het lijkt mij dat wanneer een bedrijf een router levert met verouderde firmware - dus met bekende fouten - je al heel snel mag spreken van een conformiteitsgebrek. Dat hoort gewoon niet te gebeuren. Maar dat er fouten worden ontdekt in wat er is uitgeleverd, dat is nu eenmaal de praktijk. Meer dan een upgrade installeren, kun je niet doen denk ik.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Fritz heeft in eerste instantie op haar website gezet dat de routers niet kwetsbaar waren en dat mensen gewoon hun router konden blijven gebruiken. Vervolgens is er gesteld dat er alleen een kwetsbaarheid was als mensen de beheerinterface hadden aangezet op de internetaansluiting, inplaats van alleen vanuit binnen. Nu blijkt uit reverse engineeren dat er in de router een XSRF kwetsbaarheid aanwezig is, waardoor het bezoeken van een "gevaarlijke" website al voldoende is om de router te laten hacken.
Bovenstaande lijkt me laakbaar gedrag en eventuele schade die is ontstaan door deze bewust onjuiste voorlichting zal volgens mij gewoon door de ISP en/of routerfabrikant moeten worden vergoed.
Ik snap niet dat de wetgevende en rechterlijke macht meegaan met dit kletsverhaaltje wat de ICT industrie zelf ophangt.
Als het gaat om electrische eigenschappen dan zijn er gewoon duidelijke eisen zoals je al schrijft, en iedereen voldoet
eraan of gaat diep door het stof als dat niet zo blijkt te zijn.
Maar als het gaat om security dan heet het ineens dat dat niet goed kan (terwijl de werkelijkheid is dat de fabrikanten
featurism prefereren boven security) en als er wat fout is dan is het "kan gebeuren".
Nee niet "kan gebeuren" maar "incompetentie" en "verkeerde prioriteiten".
Als men daar goed op zou worden aangepakt dan kan het ineens wel, let maar op!
Ok misschien kun je dan niet meer je stereo-installatie keihard zetten terwijl je op een eilandje aan de andere kant van
de wereld ligt. En DAT verkoopt veel beter dus DAAR besteedt men wel tijd aan. Niet aan security, want dat verkoopt
toch niet.
Ik snap niet dat de wetgevende en rechterlijke macht meegaan met dit kletsverhaaltje wat de ICT industrie zelf ophangt.
Als het gaat om electrische eigenschappen dan zijn er gewoon duidelijke eisen zoals je al schrijft, en iedereen voldoet
eraan of gaat diep door het stof als dat niet zo blijkt te zijn.
Maar als het gaat om security dan heet het ineens dat dat niet goed kan (terwijl de werkelijkheid is dat de fabrikanten
featurism prefereren boven security) en als er wat fout is dan is het "kan gebeuren".
En "iedereen" gaat daar in mee--echt niet alleen de rechterlijke macht. Overigens iets waar wijlen E.W. Dijkstra* zich reeds over verbaasde: Waarom accepteren we zulke slechte prestaties? Maar bedenk dat zolang de algemene verwachting rotte software en omvallende hardware accpeteert dit binnen deze conformiteitseis valt.
En wat moet de rechter dan? Zelf standaarden gaan bedenken? Dat is niet zijn taak. En de wetgever? Alsof die daar verstand van heeft! En laten we wel wezen, dat er ambtenaren/lobbyisten/ivootejs+fredjes gaan zitten bedenken wat de kompjoeter wel en niet zou mogen doen is ook niet wenselijk. Kijk naar het nmap-verbod in Duitsland.
* Een van de belangrijkere namen in de historie van de informatica.
Als het gaat om electrische eigenschappen dan zijn er gewoon duidelijke eisen zoals je al schrijft, en iedereen voldoet
eraan of gaat diep door het stof als dat niet zo blijkt te zijn.
Maar als het gaat om security dan heet het ineens dat dat niet goed kan (terwijl de werkelijkheid is dat de fabrikanten
featurism prefereren boven security) en als er wat fout is dan is het "kan gebeuren".
Nee niet "kan gebeuren" maar "incompetentie" en "verkeerde prioriteiten".
Als men daar goed op zou worden aangepakt dan kan het ineens wel, let maar op!
Ok misschien kun je dan niet meer je stereo-installatie keihard zetten terwijl je op een eilandje aan de andere kant van
de wereld ligt. En DAT verkoopt veel beter dus DAAR besteedt men wel tijd aan. Niet aan security, want dat verkoopt
toch niet.
Het kan gebeuren dat nieuwe technieken en inzichten er voor zorgen dat een systeem wat eerder veilig was opeens niet meer veilig is. Dat is helaas niet te voorkomen en het is zichtbaar op alle platforms. Dat kan helaas leiden tot schade, zeker wanneer de leverancier het rustig aan doet met het uitbrengen van een oplossing. Zeker als blijkt dat een product bekende lekken heeft is de verantwoordelijkheid bij de leverancier neer te leggen, maar zodra het gaat om niet eerder ontdekte lekken is het heel moeilijk aan te tonen dat het product ondeugdelijk is.
Het is ondeugdelijk geworden door recente ontwikkelingen die niet te voorzien waren. Althans, dat nemen we dan aan. Veel van deze lekken zijn al eens her en der genoemd zonder dat er een werkbare toepassing was om er misbruik van te maken. Het is dan ook zaak dat leveranciers deze ontwikkelingen volgen.
Waar je een punt hebt is de impact op de reputatie van een merk. Neem het voorbeeld van Windows en Linux dan heeft Windows de reputatie om een stuk minder te presteren op het gebied van veiligheid dan Linux. Los van hoe dat komt en of het terecht is doet dat wel iets met die producten. Microsoft onderneemt hier actie op door te patchen en zo geven ze de consument het vertrouwen dat ondanks de eventuele gebreken de oplossing meestal niet lang op zich laat wachten. Zo nemen ze verantwoordelijkheid en mogen hun producten verkocht worden als deugdelijke producten.
Wat betreft deze vorm van veiligheid zou er een certificering kunnen ontwikkeld waarbij eisen worden gesteld aan de snelheid waarop de leverancier zou moeten reageren op ontwikkelingen op het gebied van de veiligheid van het product en de tijdspanne van de ondersteuning. Voor XP is dat inmiddels een jaar of 12... ik vraag me af of je dat ook voor een router of een iPad mag verwachten.
Daar zou de rechterlijke macht of Europa natuurlijk wel op kunnen sturen.
Het is een beetje te vergelijken met iemand die een auto wil gaan kopen en bij de verkopers van Toyota en Mercedes aangeeft een gewoon goede auto te willen (vergelijkbaar met Xs4all die zich als beste internetprovider profileert). Als de beste dan eindelijk zijn auto geleverd krijgt en tot de conclusie komt dat de centrale vergrendeling telkens spontaan ontgrendeld, hij bij de fabrikant te horen krijgt dat hij wel films kan streamen vanaf Netflix en de auto automatisch kan inparkeren en daarom toch in redelijkheid een goede auto is. Dit slaat ook helemaal nergens op.
Dus waarom zouden we het niet accepteren van Toyota of Mercedes, maar wel van AVM?
En dit is waarschijnlijk ook de reden waarom het zo mysterieus stil blijft bij dit soort lekken, men is veel te bang voor allerlei schadeclaims. Daardoor blijven details achterwege of bekendmaking van het volledige probleem duurt veel en veel te lang, wat er weer voor zorgt dat er minder effectief kan worden opgetreden tegen een specifiek lek / probleem.
Eventueel moet dan via de website gratis ondersteuning (inclusief eventueel huisbezoek) worden aangeboden, indien de oplossing ingewikkelde handelingen vergt van potentieel onhandige klanten.
Doet men dit niet en binnen een redelijke tijd nadat de patch beschikbaar is wordt een klant alsnog het slachtoffer, dan is imh de isp aansprakelijk.
100% security bestaat niet. Security is een proces, geen eind resultaat.
En wat moet de rechter dan? Zelf standaarden gaan bedenken? Dat is niet zijn taak. En de wetgever? Alsof die daar verstand van heeft!
Als een wasmachine niet wast of een koelkast niet koelt dan HANGT de leverancier.
Maar als een firewall niet firewalled of als een externe toegang tot een router niet veilig is dan is het ineens een
onoverkomelijke eigenschap van alles wat software is.
Dit is echter niet iets wat de wetgever bedacht heeft. De producent heeft het bedacht. En de wetgever en rechter er
van overtuigd dat dit nou eenmaal de realiteit is.
Dat zou niet moeten kunnen. Als een fabrikant zichzelf niet in staat acht om een goed product te maken dan moet hij
gewoon de tent sluiten en de productie in dat marktsegment aan een ander overlaten, die wel competent is.
Zo gaat dat in wasmachine- en ijskast land ook.
Het is ondeugdelijk geworden door recente ontwikkelingen die niet te voorzien waren. Althans, dat nemen we dan aan.
gaan uitbreiden met "leuke features" zoals een service waarmee je waar je ook op de wereld bent toegang kunt krijgen
tot je router.
Dat was er eerst niet, toen was het veilig, toen hebben ze dat er bij gebouwd en toen was het onveilig.
Dat is gewoon voor de volle 100% de fabrikant te verwijten! Als je zo iets gaat inbouwen dan WEET je dat er security
implicaties zijn en als je daar niet goed mee omgaat dan heb je geen fatsoenlijke kwaliteitscontrole en geen fatsoenlijk
product. Dat is gewoon hetzelfde als wanneer je een ijskast maakt met zelfontdooier en dat ding gaat alleen nog maar
ontdooien en niet meer koelen, waarna de inhoud bederft. Je hebt dan een ondeugdelijk product wat de leverancier
moet repareren, en wellicht kun je ook een schadevergoeding voor bedorven waar eisen.
Om bij het door Arnoud Engelfriet gegeven antwoord te blijven: de ontploffende router. Stel, dat dientengevolge die ontploffing mijn huis afbrandt. Wordt die schade dan ook door de fabrikant vergoed? Vaak probeert men dat middels de kleine lettertjes uit te sluiten. Maar is die uitsluitingsgrond dan wel rechtsgeldig?
In geval van het gehackte modem van FRITZ!Box modems van XS4ALL nam de laatste zijn verantwoordelijkheid, door de onterecht gemaakte belkosten te schrappen. Ik neem aan, dat XS4ALL dan in overleg gaat met de fabrikant? Of kunnen ze die belkosten ongedaan maken door domweg niet te betalen en tegen die provider zeggen, bekijk het maar?
100% security bestaat niet. Security is een proces, geen eind resultaat.
Precies, maar bij het overgrote deel van alle programmeurs is dat proces niet belangrijk, net als correct programmeren en een release uitstellen die potentieel onveilig is. Dit alles onder de druk van de bedrijven waar ze voor werken die snel geld willen. Een programma moet zo snel mogelijk klaar zijn, zodat de leverancier met de hypes mee kan en weer iets nieuws te bieden heeft. Dit is niet alleen met software, maar ook met consumentenelektronica en witgoed. Echter daar wordt WEL op veiligheid gekeurd. Lijkt me vreemd als een rechter dit niet meeneemt in zijn oordeel.
Als je iets als een remote beheer mogelijkheid over een behoorlijk gevaarlijk iets als internet mogelijk maakt, dan moet het gewoon 99% zijn of een kermis van zeer duidelijke waarschuwingen bevatten. Maar bij de FritzBoxen kon men door simpelweg te surfen (waar het apparaat voor gemaakt is) al het risico lopen dat het apparaat als cybercrime-gateway werd ingezet. Banken en bedrijven maar huilen dat consumenten te weinig met online veiligheid bezig zijn en allerlei regels op gaan leggen, want dat is dan wel iets dat door een rechter geaccepteerd word?
Ik weet ik elk geval dat er genoeg mensen zijn die liever het dubbele zou betalen voor een OS of applicatie wat functioneel, correct, stabiel, veilig en long-term supported is, dan een OS of applicatie wat er fancy uitziet, veel hype-functies bevat, maar veel sneller afgeschreven / unsupported is en daarnaast een grote gatenkaas blijkt. Maar goed, dat vinden alleen mensen die een hekel aan prutswerk hebben. Anderen zijn weer blij als ze een nieuwe fancy look erbij krijgen en alle nieuwe toeters en bellen aan vrienden en familie kunnen showen. Ander voorbeeld is de footprint van Windows 8, is het daardoor effectief veiliger? Nee. Is het daardoor minder functioneel? Ja. Dit product is wat het is omdat men iets nieuws op de markt nodig had, niet omdat het beter is dan zijn voorgangers.
Neem als ander voorbeeld de nieuwe webgui's voor internetbankieren. Sommigen zijn echt een functioneel drama, terwijl de bank meent dat het een beter product geworden is. Ander voorbeeld is wat er met Xs4all gebeurd is na KPN het met een overname 'beter' ging maken...
Hoe kan dat veranderen? In plaats van het grote geld en de enorme graailust eens niets aan maximale omzet denken maar trots willen zijn dat je bedrijf een van de beste producten op de markt ontwikkeld en altijd meer kwaliteit bied dat de concurrentie. Topmanagers en bestuurders die na hun pensioen kunnen zeggen "Ik heb de maatschappij verder geholpen met iets dat echt heel erg goed is" in plaats van "ik heb zoveel mogelijk geld bij elkaar geharkt en de maatschappij spuugt op me omdat ik alleen maar aan mezelf dacht"
Maar goed, je kan appels niet met peren vergelijken.
Als je Arnoud citeert, doe het wel goed. Volgens de Nederlands wet is de verkoper aansprakelijk en niet de fabrikant. De verkopen zal op zijn beurt de schade dan zelf op de fabrikant moeten verhalen als hij aansprakelijk gesteld wordt.
Vaak zal de fabrikant grootschalige seriefouten zelf proberen op te lossen, maar als het via een rechter gaat, moet je niet bij de fabrikant zijn.
Als je Arnoud citeert, doe het wel goed. Volgens de Nederlands wet is de verkoper aansprakelijk en niet de fabrikant. De verkopen zal op zijn beurt de schade dan zelf op de fabrikant moeten verhalen als hij aansprakelijk gesteld wordt.
Vaak zal de fabrikant grootschalige seriefouten zelf proberen op te lossen, maar als het via een rechter gaat, moet je niet bij de fabrikant zijn.
Mijn ervaring is dat de opstal- en inboelverzekering de schade vergoedt. Of die dat vervolgens verhaalt op de leverancier, betwijfel ik. Ze hebben nooit bij mij gevraagd naar de bon van apparatuur die schade veroorzaakt.
(Nee, het was niet een volledig huis)
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.