image

Juridische vraag: Mag je anno 2017 nog een telefoon verkopen met een 2 jaar oude Android-versie?

woensdag 4 januari 2017, 13:15 door Arnoud Engelfriet, 18 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wij kochten recent een Kurio telefoon, die wordt geadverteerd als “de veiligste telefoon voor kinderen”. Alleen bleek het ding binnen de kortste keren vol met virussen te staan, en na enig opruimwerk zag ik dat de telefoon Android 4.2.2 draait en dat het toestel dus zo kwetsbaar is als wat voor de Stagefright-bug uit 2015. Is dat niet gewoon een conformiteitsgebrek, zulke oude software op een gloednieuwe telefoon?

Antwoord: Dat lijkt me wel, maar helaas is deze praktijk zó wijdverbreid dat het haast ondoenlijk is hier een punt van te maken.

Een product moet voldoen aan de redelijkerwijs gewekte verwachtingen (art. 7:17 BW). Dat noemen we de conformiteitseis. Als een toestel daar niet aan voldoet, dan moet de winkel het gratis herstellen of vervangen. Laat bijvoorbeeld het scherm een stukje los na drie maanden, of doet de batterij het al na een half jaar niet meer, dan is dat een conformiteitsgebrek.

Smartphones zijn echter een stuk complexer en vertonen in de praktijk vaak eerder gebreken op het gebied van beveiliging. En dat is juridisch lastig, want er is geen expliciete regel dat ict-apparatuur goede security moet hebben. Dat maakt het dus moeilijker om aan te tonen dat sprake is van een conformiteitsgebrek als de firmware uit zo’n toestel een securitybug blijkt te hebben, ook omdat de meeste mensen zich daar moeilijk wat bij kunnen voorstellen of het niet merken als hun telefoon gehackt wordt.

De Consumentenbond heeft een proefproces hierover gestart tegen Samsung. De Bond ziet het als onrechtmatig (ik neem aan: als conformiteitsgebrek) om telefoons zonder recente firmware uit te brengen, en om niet twee jaar lang nog updates na te leveren. Men verloor eerder in kort geding omdat deze vraag te complex werd geacht voor die spoedprocedure. Ik hoop dat het vonnis uit die zaak meer duidelijkheid gaat brengen, want wat mij betreft hoort dit gewoon een uitgemaakte zaak te zijn.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (18)
04-01-2017, 13:31 door Skizmo
Is dat niet gewoon een conformiteitsgebrek, zulke oude software op een gloednieuwe telefoon?
Nee... dit is een duidelijk voorbeeld van consumenten die niet weet wat ze aanschaffen, maar ondertussen gauw een ander daar de schuld van willen geven.
04-01-2017, 13:35 door Anoniem
Nee.. een voorbeeld van 'vertrouwen wat de aanbieder roept'.. Als men roept "dit is de veiligste telefoon voor kinderen".. dan heeft men ook een belofte waar te maken.

Los van de software versie: lekke hardware hoort niet in kinderhanden thuis en is onveilig.
04-01-2017, 15:35 door Anoniem
Door Anoniem: Nee.. een voorbeeld van 'vertrouwen wat de aanbieder roept'.. Als men roept "dit is de veiligste telefoon voor kinderen".. dan heeft men ook een belofte waar te maken.

Best kans dat de belofte waar is : de telefoon heeft wellicht afgeronde hoeken, is behoorlijk valbestendig , bevat geen componenten die makkelijk losraken en dan inslik/verstikkingsgevaar geven , en de verf is niet giftig bij als je eraan likt.

Ken jij andere veiligheids_normen_ voor (kinder)producten ?
04-01-2017, 16:22 door spatieman
kuch, kinderen installeren alles wat ze onder de muis krijgen, omdat het leuk is..
04-01-2017, 16:38 door Anoniem
Als je een spiksplinternieuw toestel koopt, dan mag je er van uitgaan dat de nieuwste en niet één of ander aftands OS erop draait. Als je zoiets bij een particulier koopt, dan ben je zelf verantwoordelijk voor de software die op dat toestel zit.
04-01-2017, 17:43 door Anoniem
Idd. Maar je mag er toch wel vanuit gaan dat er minstens 5 jaar updates zijn voor een toestel vanaf het moment dat de fabrikant het uitbracht. Mischien iets minder voor een $chinees_knockoff, en een paar jaar langer voor een A-merk.

Maar dan moet je zelf wel je zakcomputer/mobieltje updaten op het moment dat je hem koopt.
04-01-2017, 18:25 door Anoniem
Op naar een onafhankelijk keurmerk, dat doen we in Nederland wel vaker bij b.v. voeding, hang en sluitwerk en auto's.
04-01-2017, 19:40 door Anoniem
Gezien het feit dat ze op de website webfilters en applicatiebeheer functionaliteit noemen als punten waarom deze smartphone geschikt is voor kinderen lijkt me het dat je redelijk sterk staat als je non-conformiteit claimt.
04-01-2017, 20:44 door cowboysec
Arnoud, helder verhaal dat de problematiek goed verwoordt. ICT-beveiliging is vooralsnog een 'black-hole' met veel grijze massa aan informatie en maatregelen daaromheen. In mijn carrière heb ik regelmatig met juristen samengewerkt en ik weet dus uit eigen ervaring dat we er nog steeds niet zijn. Maar het klaart steeds meer op. Kern van de zaak is, dat cyberspace net als de echte wereld is en er dus met handel geld verdiend moet worden (over de rug van...).

Als een smartdevice aan alle eisen zou moeten voldoen dan liepen we met een kleine pantser laptop rond, met een militair internet verbonden en deskundige gebruikers...maar de consument wil het snel, goedkoop, leuk, blits...en nog beter als de buurman / familie en elke uitgave weer opnieuw...en opnieuw...En opleiding, instructie, advies opvolgen...ho dat kost me te veel tijd en snap ik toch niet. Waar gaat het dan nog om. En om dat (juridisch) allemaal te behappen, op te anticiperen is vrijwel niet mogelijk. De toekomst zal het uitwijzen.

Ik lees regelmatig columns en artikelen van jou en vind die al jaren (een van) de beste...chapeaux Arnoud.
04-01-2017, 20:47 door Anoniem
Ik neem aan dat de verkoopprijs ook meegenomen wordt in de redelijkerwijs gewekte verwachtingen (art. 7:17 BW)
05-01-2017, 10:32 door Anoniem
Dat ding staat niet meer onder producten op de website, misschien hebben ze zelf ook wel door dat ze dat niet meer kunnen verkopen.

Waar heeft u het gekocht? Ik zou er mee terug gaan naar de winkel.
05-01-2017, 10:35 door Anoniem
Door Skizmo:
Is dat niet gewoon een conformiteitsgebrek, zulke oude software op een gloednieuwe telefoon?
Nee... dit is een duidelijk voorbeeld van consumenten die niet weet wat ze aanschaffen, maar ondertussen gauw een ander daar de schuld van willen geven.
Je bedoelt dat degene die een complex produkt produceert en dus ook wel specialistische kennis daarover moet hebben geen verantwoordelijkheid draagt voor het resultaat, en dat iemand die dat produkt alleen maar gaat gebruiken, die specialistische kennis niet heeft maar de specialist daarvoor betaalt door het produkt aan te schaffen, die verantwoordelijkheid zelf maar moet dragen?

Kennelijk sta jij een maatschappij voor waarin beunhazen en oplichters vrij spel hebben en de slachtoffers niet moeten zeuren. Of heb je niet door dat dat de consequentie is van jouw manier van denken?
05-01-2017, 11:04 door Secu_jay
De juridische link naar het niet strafbaar zijn is uit 2013, en kan wellicht op het gebied van privacy een update gebruiken. Daarnaast lijkt het me vanuit verantwoord adviseren zaak om dit te doen. Het is niet te verwachten van de consument om kwetsbaarheden op OS te kunnen herkennen. Zoiets wel adverteren lijkt me dus wel degelijk misleidende reclame, wat het teruggeven van geld zou moeten ratificeren..
05-01-2017, 13:49 door Anoniem
In het grotere plaatje is hier nog heel weinig geregeld. De IMO meest practische oplossing voor kopers is om te gaan voor een open source oplossing want dan ik iig zelf updates maken als dat moet, en die wellicht beschikbaar maken aan anderen die hetzelfde apparaat gekocht heeft. (In dat licht is het opdoeken van cyanogenmod zeer negatief te noemen.) Ook als je zelf niets hebt met open source maar gewoon een werkend apparaat wil kan je dus voordeel hebben van kiezen voor hardware met open source firmware.

In het specifieke geval, lijkt het me dat je dit op de zelf-gemaakte claims als "veiligste smartphone voor kinderen" kan aanpakken. Iets dat makkelijk geinfecteerd raakt, valt maar heel moelijk als "veilig" te betitelen. Dat staat er ook niet, er staat "veiligste".

Dan gelijk een interessante vraag: Stel nou dat ondanks dat dit evident een onding is want vatbaar voor virussen en malware, toch echt zeer aannemelijk de veiligste (... in Nederland verkrijgbare ...) smartphone "voor kinderen" zou zijn. Bijvoorbeeld omdat de enige concurrentie die zich op diezelfde doelgroep richt nog erger is. Is dat afdoende verweer tegen dat evidente onding zijn?
05-01-2017, 14:07 door Anoniem
Een smartphone heeft geen muis, dus dat is pluis.

Niet pluis is misleidende reclame op de buis.

Is magnie, is geld terug.
06-01-2017, 08:38 door Anoniem
"Smartphones zijn echter een stuk complexer en vertonen in de praktijk vaak eerder gebreken op het gebied van beveiliging."

Dit is waar, tot het moment dat je als fabrikant stelt "De veiligste" te hebben, dan is een elders reeds-gepatchde exploit als de stagefright bug juist een mooi voorbeeld waar je rekening mee moet houden m.b.t. support, of minstens die marketing-communicatie intrekken.
Deze exploit is zo bekend en heeft zo'n niveau van potentiele impact, dat het beweren dat het het veiligste toestel voor kinderen zou zijn zo haaks staat op de aanwezigheid van dit gebrek dat het een complete tegenstelling genoemd mag worden.
06-01-2017, 09:15 door superglitched - Bijgewerkt: 06-01-2017, 09:23
Door Skizmo:
Is dat niet gewoon een conformiteitsgebrek, zulke oude software op een gloednieuwe telefoon?
Nee... dit is een duidelijk voorbeeld van consumenten die niet weet wat ze aanschaffen, maar ondertussen gauw een ander daar de schuld van willen geven.
Ik vind dit persoonlijk echte intellectuele armoede: doen alsof heel Nederland logischerwijs zou moeten weten dat een Android versie achter loopt met als gevolg missende security updates. Natuurlijk zou iedereen moeten weten dat de meest recente updates erop moeten staan, maar op het moment dat je iets in de winkel koopt mag iedereen er vanuit gaan dat het in orde is, en niet met bekende security leaks in de winkel ligt.

Denk maar niet dat een BCC winkelverkoper tegen een koper van een dergelijke telefoon zal zeggen: "Mevrouw, deze zou ik niet kiezen, deze heeft security problemen vanwege een oude Android versie". Daar hebben de winkelverkopers geen idee van, hoe kunnen we dan ooit verwachten dat kopers dat wel hebben, aangezien niet iedereen uitgebreid internet onderzoek wil en kan doen.

Daarom vind ik uw reactie zo'n ongelooflijke onzin, de verantwoordelijk ligt namelijk niet alleen bij de koper, maar ook bij de verkoper. Een verkoper die oude troep verkoopt, en de klant niet genoeg hierover informeert.
06-01-2017, 16:25 door karma4
Door Anoniem: In het grotere plaatje is hier nog heel weinig geregeld. De IMO meest practische oplossing voor kopers is om te gaan voor een open source oplossing want dan ik iig zelf updates maken als dat moet, en die wellicht beschikbaar maken aan anderen die hetzelfde apparaat gekocht heeft. .....
Hmmmm Android heet open source te zijn http://source.android.com/source/index.html dus mag je het er zlef op zetten of verwacht je een werkend up to date apparaat op het moment dat je het koopt. Ik ga voor het laatste, je verwacht een goed werkend apparaat hoe dat gemaakt is is vers 2a en voor hoe lang vers 3c.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.