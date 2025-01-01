Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Regelmatig worden er malafide browser-extensies in de Chrome Web Store aangetroffen. Ik veronderstel dat in principe dat mijn verantwoordelijkheid is. Maar als ik afga op de "Verified" status die Google na controle geeft, kan ik hen dan wegens nalatigheid aanspreken?

Antwoord: Het is juridisch niet geheel duidelijk of je een appstore-aanbieder aansprakelijk kunt houden voor malafide apps. De appstore selecteert of filtert niet welke apps worden opgenomen, en kan daardoor al snel rekenen op de beperkte aansprakelijkheid voor tussenpersonen en platforms (artikel 6 DSA, section 230 in Amerikaanse wetgeving).

Ik weet dat Google elke nieuwe extensie screent https://developer.chrome.com/docs/webstore/review-process maar kan niet achterhalen hoe grondig en inhoudelijk dat is, gezien men "de meeste inzendingen" binnen 24 uur screent en 90% in drie dagen. Dat voelt kort voor een inhoudelijk menselijk onderzoek. En dat is relevant, want de jurisprudentie trekt een (vage) grens ergens tussen oppervlakkige toetsing en redactioneel goedkeuren.

Er zijn echter extra signalen, met name de "Established Publisher badge" die je van Google krijgt als je als uitgever een "consistent goede reputatie op het gebied van Google-services" hebt. Dat is een uitspraak van Google waar je op mag afgaan als afnemer, ook als de app vervolgens niet inhoudelijk grondig is onderzocht. (En je hoeft niet de kleine lettertjes te lezen wat dit dan precies zou betekenen en wat het voor aansprakelijkheid betekent.)

En ja, ook bij zo'n gevestigde uitgever kan het misgaan. Recent las ik bij Koi Security bijvoorbeeld een geavanceerde aanval waarbij bona fide apps na een paar jaar een update kregen waarmee ze allerlei backdoors en andere malafide functies verkregen. Omdat ze werden vertrouwd, kon die update automatisch en zonder toestemming worden uitgevoerd.

Het grote probleem blijft natuurlijk: toon maar aan wat je schade was. Welk op geld waardeerbaar nadeel heb jij als consument geleden, waarbij je tijd per definitie nul euro kost. Waarbij natuurlijk komt dat je dan óók nog een dure rechtszaak moet voeren.

