Nou Arnold, ik ben het vaak niet eens met kritiek op je schrijfsels maar nu wel.
Het is een simpele vraag: Kan in sommige gevallen de consument zelf aansprakelijk zijn?
Na 5 paragrafen met irrelevante opmerkingen komt uiteindelijk de conclusie dat dat "in de praktijk niet zal gebeuren".
Maar de vraag WAS helemaal niet of de consument op te sporen zou zijn en of de fabrikant iets had moeten doen, de
vraag was of de consument aansprakelijk is voor zijn handelen op internet (via een door hem gekocht apparaat).

Zeg maar: als je bij de bouwmarkt een kettingzaag koopt en je gaat daarmee de bomen in het park omzagen, ben je
daar dan aansprakelijk voor? Of komt dan de fabrikant in beeld? Of ga je zeggen "maar die man die dat deed is niet
zo gemakkelijk op te sporen?". Lijkt me niet.

De vraag blijft staan. Kan een consument aansprakelijk gesteld worden voor gedragingen op internet door apparatuur
die hij zelf heeft gekocht en aangesloten.

In theorie - en in de wat simpeler praktijk - ja .

Als jouw wasmachine of waterleiding kapot gaat en lekkage schade geeft bij de benedenburen, ben jij aansprakelijk jegens de buren .

Misschien dat jii die schade dan weer kunt verhalen op de fabrikant (bij een fabricage fout), maar jij als eigenaar bent aansprakelijk voor degenen die schade hebben als gevolg van "jouw" handelen. (of niet handelen, of pech van defecte dingen van jou) .

Bij allerlei andere overlast zaken zijn er deels normen voor wat mensen maar moeten accepteren ("leefgeluid") , en soms hakt een rechter (rijdend of niet) bij een grensgeval de knoop door .
Vaak is het een persoon die bewust kiest voor een overlastgevende activiteit , en dan opgelegd kan krijgen om die activiteit niet, of alleen overdag - te doen. (drum oefeningen ), of het geluid te firewallen.

Kippen - en zeker hanen zijn qua geluidsproductie autonoom - maar nog steeds kan een eigenaar opgelegd worden om die dan maar niet te houden in een achtertuin.

Met al dat soort precedenten denk ik dat je in extreme gevallen dus inderdaad als eigenaar aansprakelijk kan zijn voor het "houden" van een overlastgevend IoT device .
En in andere mate dat anderen "maar moeten leven" met een bepaalde mate van "Internet ruis" .
(net zoals je krijsende baby's niet kunt verbieden).

Ik snap trouwens niet waarom gedaan wordt alsof IoT zo speciaal is - in de praktijk is voor vrijwel iedereen de huisPC evenzeer een "autonoom" apparaat dat eventueel overlast geeft op Internet .

Zeg maar gerust veel meer. Meer dan 95% van de incidenten komen van de huispc. De leverancier van de software ontkent elke aansprakelijkheid. Als je dat niet accepteert mag je deze niet gebruiken.
De goedheid zelve roept elke 2e dinsdag van maand de PC's naar de garage om te "fixen".
Als Toyota dat elke maand zou doen was het huis te klein en het model al lang van de markt gehaald.
Deze leverancier heeft dus veel te veel macht en toont eigenlijk alleen maar aan dat die PC ook voor andere doeleinden wordt gebruikt!

"Als jouw wasmachine of waterleiding kapot gaat en lekkage schade geeft bij de benedenburen, ben jij aansprakelijk jegens de buren."

Zou in de regel zo moeten zijn ware het niet dat dit best een heftig gevecht kan zijn met verzekeringen en buren.
Bewijs maar eens dat het water afkomstig is van je "bovenburen" en niet je eigen schuld is.
Lek in de gevel, eigen water leiding, vooral als je bovenburen niet thuis geven omdat zij geen overlast hebben gehad.

Bij IoT zal dit net zo zijn.
Storing op het wifi, radio spectrum is al zo oud als dat er "handige draadloze" apparaten bestaan.
Zo kwam ik er achter dat mijn kerststrui met lampjes stoort op het wifi 2.4 ghz spectrum.
Dit duurde een paar jaar voordat ik hier achter kwam. Zelfde met feestverlichting van de buurt, in de december maand is het weer raak de buurt klaagt over slechte wifi ontvangst en nu zit de gehele buurt aan de wifi Booster.
De ISP had natuurlijk kunnen meten wat de oorzaak was en of de kanalen beter in regelen zodat niet iedereen op kanaal 11 zit maar dat is waarschijnlijk te veel werk?

"Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft."

Er zijn wel degelijk goede alternatieven maar deze vallen niet in de "Action, Aldi, Lidl" prijs klasse.
Bovenstaande is meestal het zelfde printje/ontwerp in een ander design en doos.
Welke ook interessante bugplatform tracks records hebben en wel degelijk snel patchen.
Zie niet in waarom Agenschap telekom, Deloit ( Jiles) of TU Delft die zooi van bovenstaande merken moeten testen en goedkeuren.
Gewoon handhaven en in beslag nemen als dit in de winkel ligt.

Mag hopen dat door het chip /grondstof tekort deze zooi niet meer rendabel wordt en vanzelf verdwijnt.

En sommige leveranciers doen dit iedere dag, of meerdere keren per dag eventueel.
Andere doen dit 1 keer per kwartaal.

Dus? Je argument is?

Tesla doet dit bijvoorbeeld ook heel vaak met hun software. Wat is het verschil tussen Toyota en Tesla dan precies?

Ik denk dat jij hier de fout maakt, Auto vs Software. Een normale auto werkt heel anders dan een Elektrische auto, waarin veel meer complexe software in verwerkt is.
Je bent 2 verschillende dingen aan het vergelijken.

(zonder de hele discussie tot op de letter te hebben gelezen)
Ik mis nog een beetje in dit gesprek de opzettelijkheid. Iemand spreekt van een vergelijking van het omzagen van bomen in het park met een kettingzaag. Maar daarbij pakt de gebruiker toch echt zelf de kettingzaag en doet er iets mee dat niet hoort.

Om in deze beeldspraak te blijven: je koopt een kettingzaag, legt deze in je schuur voor gebruik in je tuin. Deze wordt gestolen en door de crimineel gebruikt om het park plat te leggen. Bij onderzoek blijkt dit jouw kettingzaag. In hoeverre is de eigenaar dan aansprakelijk te stellen? Had hij een beter slot op zijn schuur moeten zetten om dit te voorkomen? Heeft hij de kettingzaag op zijn oprit laten liggen voor de grijp voor iedereen?

Wat ik bedoel te zeggen.
Mijns inziens kan de consument niet aansprakelijk worden gesteld als hij/zij het apparaat heeft gebruikt en behandeld volgens de voorschriften en binnen wat redelijk van hem/haar te verwachten valt. Als een apparaat vol zit met lekken, dan zou het in den beginne al helemaal niet op de markt mogen komen. We verkopen die kettingzaag ook niet zonder beschermende kap rondom de ketting toch?

Vanuit die gedachtegang zie ik een grotere verantwoordelijkheid voor de fabrikant. Maar zoals Arnoud terecht opmerkt liggen daar ook uitdagingen.

Ik denk dat de schrijver van het stukje waar u op reageert niet weet dat veel EV's (en ook andere moderne auto's) op regelmatige basis OTA-updates krijgen. Ook Toyota's. Sowieso een kromme vergelijking tussen de software op je pc en de hardware van een auto.

Nou wat dat betreft ben ik het anders wel met hem eens. Software ontwikkelaars komen veel te gemakkelijk weg met
"ja maar wat wij doen is allemaal heel moeilijk en heel lastig om het goed te krijgen!". Dan moeten ze hun ambities
misschien wat lager stellen en software ontwikkelen die ze nog WEL zelf snappen en helemaal goed kunnen krijgen,
en die dan wellicht iets minder "kan". Dat doen ontwikkelaars in andere techniek segmenten ook.

Het lijkt nu allemaal veel te veel op kinderspel. "ja maar mensen kunnen fouten maken" is het excuus achter iedere
blunder, en een halve eeuw aan leertraject heeft dat nog niet echt veranderd. Verbeteringen in kwaliteit en kwaliteits
controle als onderdeel van het ontwikkelproces worden ruimschoots gecompenseerd door verhoogde ambities.
Daar mag best wel eens naar gekeken worden!

Die vraag dekt m.i. de lading niet. T.b.v. de discussie my 2 cents.

De kern van het probleem ontstaat als een specifiek apparaat, dat direct of indirect op internet is aangesloten, door derden wordt misbruikt om één of meer partijen via internet aan te vallen. Daarbij hoeft dat apparaat niet te zijn "gehackt" (een woord met een sowieso discutabele betekenis - en een m.i. afschuwelijke spelling, gehacked vind ik mooier).

Een betere vraag is m.i. dus:

IANAL maar ik vermoed dat het juridische antwoord (van rechters) daarop zal zijn:

De situatie dat een cybercrimineel specifiek jouw IoT-device misbruikt als "steppingstone" voor aanvallen op derden, zou je kunnen vergelijken met een crimineel die jouw auto steelt en gebruikt bij het plegen van bijv. een overval of een moordaanslag. Daar kun je, denk ik, moeilijk voor aansprakelijk gehouden worden, tenzij je jouw auto onafgesloten met de sleutel in het contactslot op straat hebt laten staan - vooral als bekend is dat jij dit altijd doet. Je hebt het misbruik dan niet meer redelijkerwijs helpen voorkomen.

Wat daarbij ook zal meewegen is hoe vaak criminelen auto's stelen voor hun doelen. Maar ook het effect van maatregelen, nl. hoe minder vaak dat gebeurt als we allemaal onze auto's afsluiten. Als criminelen dan vaker naar bijv. huurauto's uitwijken, schieten we er, als maatschappij, uiteindelijk niet zoveel mee op. Een derde afweging kan zijn of je wel een "misbruikbare" auto moet willen bezitten; m.a.w. wat is jouw voordeel van dat bezit vergeleken met het risico voor derden als gevolg van dat bezit.

Die drie afwegingen zullen waarschijnlijk anders uitvallen bij IoT-apparaten, waardoor de vergelijking met een auto al snel mank kan gaan.

Om er toch nog even mee door te gaan: lastiger wordt het als criminelen over een soort loper blijken te beschikken voor een specifiek merk en type auto. Als de fabrikant geen nieuwe sloten plus sleutel aanbiedt (gratis of tegen een beperkte vergoeding), ben je dan mede-aansprakelijk als jouw auto wordt misbruikt omdat je de sloten niet hebt laten vervangen? Of is de fabrikant mede-aansprakelijk als deze een hoge prijs vraagt voor nieuwe sloten? Wat is hoog?

Als deze auto met zinloze sloten nog wordt verkocht en je koopt zo'n exemplaar (wellicht omdat die auto goedkoper is dan vergelijkbare concurrenten met goede sloten), wat is dan jouw aansprakelijkheid als je dit wist of als je dit had kunnen weten?

Een ander, mogelijk groter, probleem zijn DDoS aanvallen - waarvoor apparaten vaak niet gehackt hoeven te worden. Jouw ene internetaansluiting maakt wellicht nauwelijks het verschil (alhoewel ook SOHO-aansluitingen steeds meer bandbreedte krijgen) maar het slachtoffer wordt gebombardeerd. Ook hier is de aanvaller de primair verantwoordelijke, maar als je een gelegenheid biedt die je redelijkerwijs (met updates of bijv. middels een firewall) had kunnen wegnemen, ben je m.i. medeschuldig.

Op z'n minst moeten veel meer mensen bewust worden gemaakt van de problemen - waar we met z'n allen een prijs voor betalen. Vergelijkbaar met pakjes cigaretten ("roken is dodelijk") zouden fabrikanten verplicht kunnen worden om meer te waarschuwen. Als er, met bewustzijn, onvoldoende bereikt wordt, zal er harder opgetreden moeten worden (toen ik mijn eerste modem kocht moest dat ook "PTT-goedgekeurd" zijn om het aan te mogen sluiten op het telefoonnetwerk).

Uiteindelijk is het niet rechtvaardig om slachtoffers, en daarmee de hele gemeenschap, te laten opdraaien voor aangerichte schade die door een deel van die bevolking wordt gefaciliteerd vanwege het door hen belangrijker gevonden IoT-gemak.

Zoals ik zei, my 2 cents ;-)

Daar zie je al hoe gevaarlijk het is om uit te gaan van wat er redelijkerwijs zou mogen worden verwacht.
Stel jij hebt een auto met een electronisch ontgrendel systeem en dit heeft een kwetsbaarheid waardoor met een bepaalde
sleutelkaart alle auto's die dit hebben kunnen worden opengemaakt en gestart.
Nu wordt jouw auto gebruikt bij een misdrijf via dit mechanisme.

Ben jij nu aansprakelijk als:
- dit probleem alleen in kleine kring bekend was
- dit probleem algemeen bekend was maar er was nog geen fix voor
- het was bekend en je wist het ook maar je had nog geen actie ondernomen om het te fixen (afspraak maken)
- jij wist het en je had geprobeerd een afspraak te maken maar de garage had het te druk dus het was nog niet gebeurd
- jij was er over geinformeerd en naar je garage geroepen maar je had dit niet gedaan?

Dat lijkt al meer op de scenario's zoals die bij IoT devices spelen. Ben je nu verplicht om je auto ergens binnen te
stallen (vgl je IoT device uit te zetten) of mag je gelaten toekijken tot het fout gaat?

Natuurlijk kan je dat met elkaar vergelijken. Het gaat er om of leveranciers hun verantwoordelijkheid nemen. Software leveranciers blijkbaar niet en de overheid ook niet want ?