image

Juridische vraag: Wie is aansprakelijk als een gebruiker op advies van een leverancier niet updatet en besmet raakt?

woensdag 31 juli 2019, 15:00 door Arnoud Engelfriet, 13 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Een leverancier van een bloedglucose sensor (gebruikt door diabetici) heeft de mogelijkheid om een sensor uit te lezen via een app op een mobiele telefoon. Nu stelt deze leverancier dat, zodra er een update van de softwareversie van de mobiele telefoon beschikbaar is je dient te wachten met updaten tot zij hun app hebben geupdated.

Dit om te voorkomen dat, door incompatibiliteit tussen de app en de nieuwe software versie, je meetdata kwijt bent. Op zich logisch, je hebt als diabeet met een reden een sensor en als er incompatibiliteit bestaat zal de app niet kunnen werken.

Wie is alleen aansprakelijk als de telefoon besmet/geïnfecteerd/onbruikbaar raakt op het moment dat er wel een nieuwe softwareversie beschikbaar is maar de eindgebruiker deze nog niet geïnstalleerd heeft op verzoek van een app programmeur. Is dit in algemene voorwaarden van de app af te vangen en is dus de (vaak onbekwame eindgebruiker) zelf verantwoordelijk?

Antwoord: Op zich vind ik het heel netjes van die leverancier om zo expliciet te waarschuwen voor mogelijke incompatibiliteit. Het zou erg vervelend zijn als de app net niet goed meer werkte en daardoor gegevens verloren gingen, of nog erger onjuiste metingen worden gedaan.

Daar staat tegenover dat het natuurlijk onveilig kan zijn dat je je smartphone-software (je OS dus) niet kunt updaten, zeker als het gaat om een security update of iets anders kritisch. Het is minstens zo vervelend als er in dat tijdsinterval een of andere malware binnendringt en schade aanricht of gegevens steelt.

De wet zegt helaas niet waar de verantwoordelijkheid ligt bij dit soort zaken. Er is ook geen jurisprudentie over deze interactie tussen risico's. De hele algemene regel is dat als je als dienstverlener je best doet om problemen te vermijden, je niet aansprakelijk bent als er desondanks eens iets misgaat (voor juristen: de zorgplicht van een goed dienstverlener, art. 7:401 BW).

Vanuit die algemene zorgplicht lijkt het mij dat deze leverancier bovenop de OS-updates moet zitten en moet zorgen dat er zo snel mogelijk een update aan de app komt. Gaat er in het dan nog overblijvende tijdswindow iets mis, dan zie ik niet hoe je de app-leverancier nog een juridisch verwijt kunt maken.

Voor mij weegt zwaar dat het zal gaan om iets dat zelden voorkomt, een korte periode van risico betreft en dat niet ieder gat automatisch grootschalig geëxploiteerd wordt met gevolgen voor de smartphone-eigenaren.

Ik zou wel verwachten dat verlies van data op meerdere manieren voorkomen wordt. Backups van oude datasets zijn toch vrij eenvoudig te maken?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (13)
31-07-2019, 17:43 door Briolet - Bijgewerkt: 31-07-2019, 17:46
Vanuit die algemene zorgplicht lijkt het mij dat deze leverancier bovenop de OS-updates moet zitten en moet zorgen dat er zo snel mogelijk een update aan de app komt. Gaat er in het dan nog overblijvende tijdswindow iets mis, dan zie ik niet hoe je de app-leverancier nog een juridisch verwijt kunt maken.

De meeste OS'en brengen beta versies uit van hun OS. Als je als fabrikant zulke kwetsbare software gebruikt, dan test je je software altijd tegen de betaversies en als het niet compatibel is, kun je je eigen app al updaten voor het OS zelf een update krijgt. Of je wijst de maker van het OS er op dat er iets in de beta niet klopt.

Ik zou wel verwachten dat verlies van data op meerdere manieren voorkomen wordt. Backups van oude datasets zijn toch vrij eenvoudig te maken?
Inderdaad. Als die data zo belangrijk is, lijkt met het verlies van de telefoon zelf een groter risico dan een probleem door een update.
31-07-2019, 22:16 door Anoniem
Backup is geen probleem, maar na installeren van nieuwe OS worden geen metingen meer verricht totdat applicatie geupdatet is. Er is dus een kortere of langere periode zonder metingen.
01-08-2019, 09:49 door Anoniem
Dank voor het antwoord!
De Nederlandse distributeur van de sensor kon ook geen antwoord geven op de vraag, volgens mij was er ook niet echt over nagedacht. De meetdata wordt inderdaad continue naar de cloud geupload, dus de historische data ben je niet kwijt als je OS toch automatisch geupdated wordt. Uit de communicatie kreeg ik alleen het gevoel dat het updaten van de app wel eens meerdere dagen kan gaan duren, toch een zorg bij een vulnerability die actief misbruikt wordt in mijn ogen.
Voor de zekerheid (en omdat de huidige telefoon van mijn vrouw niet compatibel is met de app) hebben wij voor de losse ontvanger gekozen :-)
01-08-2019, 14:01 door Anoniem
Als die app meteen niet meer werkt bij iedere willekeurige update dan is dat wel haast sabotage door de maker!
(tuurlijk kun je bij starten alle versienummers die je maar kunt vinden gaan checken en weigeren te starten als die
veranderd zijn)
Met name bij security updates zou het eigenlijk niet nodig moeten zijn om een app aan te passen, tenminste als
die geen heel rare dingen doet. Ik kan me voorstellen dat je als app maker wel even wilt kijken of alles nog OK
is als er een totaal nieuwe major versie van het OS geinstalleerd wordt, maar bij security updates meteen niet
meer werken dat is gewoon paranoide.
Wellicht is er ooit een keer een update geweest die problemen gaf bijvoorbeeld door het uitfaseren van een of
ander SSL versie of certificaat validatie, en dat ze toen dit gedrag er in geprogrammeerd hebben om gezeik te
voorkomen?
02-08-2019, 09:57 door [Account Verwijderd]
Door Anoniem: Met name bij security updates zou het eigenlijk niet nodig moeten zijn om een app aan te passen, tenminste als die geen heel rare dingen doet. Ik kan me voorstellen dat je als app maker wel even wilt kijken of alles nog OK
is als er een totaal nieuwe major versie van het OS geinstalleerd wordt, maar bij security updates meteen niet
meer werken dat is gewoon paranoide.

Bij medische toepassingen moet je (extra) uitkijken. En ik lees dat het om updates van het OS van de telefoon gaat. Die gaan niet via de Play Store.
02-08-2019, 14:28 door Anoniem
De meeste OS'en brengen beta versies uit van hun OS.

Een beta versie is anders dan de final versie, dus het zegt weinig of het uiteindelijk gaat werken. Dat zal men met die versie moeten uittesten. Helemaal omdat de appmaker geen controle heeft over / inzicht heeft in de wijzigingen tussen beta en de definitieve release. Net zo min als de gebruiker.

Als die app meteen niet meer werkt bij iedere willekeurige update dan is dat wel haast sabotage door de maker!

Volslagen onzin, aangezien die app maker geen controle heeft over OS updates, en wat daarin gewijzigd wordt. Het is logisch dat men dat uit wil testen, en het zou onverantwoordelijk zijn om dat niet te doen.
02-08-2019, 16:26 door Anoniem
Door En Rattshaverist:
Door Anoniem: Met name bij security updates zou het eigenlijk niet nodig moeten zijn om een app aan te passen, tenminste als die geen heel rare dingen doet. Ik kan me voorstellen dat je als app maker wel even wilt kijken of alles nog OK
is als er een totaal nieuwe major versie van het OS geinstalleerd wordt, maar bij security updates meteen niet
meer werken dat is gewoon paranoide.

Bij medische toepassingen moet je (extra) uitkijken. En ik lees dat het om updates van het OS van de telefoon gaat. Die gaan niet via de Play Store.

Inderdaad - en OS updates van de telefoon zijn niet terug te draaien door de (99%) gebruiker.
Wat dat betreft erg logisch dat een app developer geen blanko garantie geeft dat iets (blijft) werken na een onbekende platform wijziging. Als de app netjes geschreven is , is de kans ook echt wel groot _dat_ het 'gewoon' blijft werken, maar dat is wat anders dan "_altijd_" - en van deze app zijn mensen wel heel erg afhankelijk .

De anoniem die zich geen probleem kan voorstellen moet gewoon een tijdje langer ervaring doen om wat meer voorstellingsvermogen op te bouwen.
Ook zonder sabotage en expliciete versie checks kun je tegen "aaaah. oh shit" dingen aanlopen als developer na patches/updates/'zero impact changes". En die ontdek je liever in je test/validatie cyclus dan in de storingstelefoon nadat je je userbase gezegd hebt dat "alles blijft werken"
02-08-2019, 22:34 door Anoniem
Door Anoniem:
De anoniem die zich geen probleem kan voorstellen moet gewoon een tijdje langer ervaring doen om wat meer voorstellingsvermogen op te bouwen.
Ook zonder sabotage en expliciete versie checks kun je tegen "aaaah. oh shit" dingen aanlopen als developer na patches/updates/'zero impact changes". En die ontdek je liever in je test/validatie cyclus dan in de storingstelefoon nadat je je userbase gezegd hebt dat "alles blijft werken"

Als jij denkt dat je met testen op je eigen spullen kunt garanderen dat alles blijft werken op alle spullen van de klanten
dan vrees ik dat je zelf degene bent die nog wat ervaring moet opbouwen.
Iemand met wat ervaring (en fundamentele kennis) weet: met testen kun je niet aantonen dat iets goed is. met testen
kun je alleen aantonen dat het fout is.

Ik denk dat een telefoon gewoon niet het geschikte platform is, als die app zo labiel is. En ik denk ook dat die
ontwikkelaar niet zo'n beste is, als het al niet lukt om een meetwaarde vanuit een standalone meetapparaat te
versturen naar een cloudplatform zonder dat het bij iedere update breekt. Maar dat is mijn mening, en die is kennelijk
anders dan die van jullie.
03-08-2019, 06:05 door Anoniem
Een app die het niet meer doet door een OS update? Dan val je toch terug op de vorige versie van het OS.
En data kwijt raken door een OS update? Ik heb het nog nooit meegemaakt en in dit geval jammer van de historische data maar dat heeft geen invloed op de huidige werking. Ooit is die app tenslotte ook zonder data begonnen.

Maar ik denk dat ik voor een app zou passen die mij verhindert om mijn OS te updaten. Moet je je een server met duizenden applicaties of een mainframe eens voorstellen.
03-08-2019, 10:16 door Anoniem
Door Anoniem: Moet je je een server met duizenden applicaties of een mainframe eens voorstellen.
Dat kunnen alleen hobbyisten zich voorstellen. Een ICT professionel zet geen duizenden applicaties op een server
of mainframe. Die kent het gebruik van virtualisatie en beperkt het aantal applicaties per virtuele machine zoveel
mogelijk, of op zijn minst beperkt hij het tot applicaties ter realisatie van een enkele functionaliteit.
Anders schilder je je in no-time in een hoek.
03-08-2019, 12:01 door karma4
Door Anoniem: ...
Maar ik denk dat ik voor een app zou passen die mij verhindert om mijn OS te updaten. Moet je je een server met duizenden applicaties of een mainframe eens voorstellen.
Servers mainframes worden uitgebreid getest voordat de complete stack wordt vrijgegeven. Tenminste dat was ooit d werkwijze met kritische systemen. Nu geld goedkoop en snel leveren de eerste prioriteit is ben ik daar niet meer zeker van.

Smartphones worden niet getest als embedded systeem complete stack. Het is ieder voor zich.
Je zou natuurlijk voor elke applicatie / app / een aparte machine ofwel apart toestel kunnen inzetten.
Gewoon een 10 tal van die dingen voor het persoonlijk gebruik aan je lijf hangen,
04-08-2019, 04:40 door Anoniem
Door Anoniem:Dat kunnen alleen hobbyisten zich voorstellen. Een ICT professionel zet geen duizenden applicaties op een server of mainframe. Die kent het gebruik van virtualisatie en beperkt het aantal applicaties per virtuele machine zoveel mogelijk, of op zijn minst beperkt hij het tot applicaties ter realisatie van een enkele functionaliteit.
Anders schilder je je in no-time in een hoek.
Ik kan je verzekeren dat op een mainframe hoe je hem ook indeelt; met Sysplex, VM's, LPAR's Address Spaces en de hele rimram er op elk moment duizenden applicaties actief kunnen zijn van verschillende eigenaren. Het idee alleen al dat daar tientallen applicaties tussen zouden zitten die een update of fix van het OS of hypervisor zouden kunnen tegenhouden is absurd.

Bij een majeure update krijgen klanten hooguit de mogelijkheid om in een weekeinde wat te testen. Een uitrol wordt bijna nooit tegengehouden en een fallback is uiterst zeldzaam. Het OS is wat het is en de klanten passen daar waar nodig hun applicaties maar op aan. Support en snelle acties zijn natuurlijk wel van belang.
19-08-2019, 10:48 door Anoniem
Ik weet niet of het om dezelfde leverancier gaat.. maar ik heb een insuline pomp die ALLEEN kan worden uitgelezen via de website van de leverancier.. Nu is het zo dat de leverancier een verouderde JAVA plugin gebruikt en via brief een tijdje terug gevraagd heeft om je browser niet te updaten of over te gaan naar Internet Explorer.

Daarnaast vond dezelfde leverancier het verstandig als ik mijn PERSOONLIJKE inloggegevens deelde met mijn diabetesverpleegkundige. Op die manier kon zij makkelijk en snel mijn gegevens inzien.

Er gaat helaas nog veel mis bij die leverancier in Heerlen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.