Achtergrond
image

Kun je een appstore-aanbieder aansprakelijk houden voor malafide apps?

woensdag 20 augustus 2025, 10:40 door Arnoud Engelfriet, 6 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Regelmatig worden er malafide browser-extensies in de Chrome Web Store aangetroffen. Ik veronderstel dat in principe dat mijn verantwoordelijkheid is. Maar als ik afga op de "Verified" status die Google na controle geeft, kan ik hen dan wegens nalatigheid aanspreken?

Antwoord: Het is juridisch niet geheel duidelijk of je een appstore-aanbieder aansprakelijk kunt houden voor malafide apps. De appstore selecteert of filtert niet welke apps worden opgenomen, en kan daardoor al snel rekenen op de beperkte aansprakelijkheid voor tussenpersonen en platforms (artikel 6 DSA, section 230 in Amerikaanse wetgeving).

Ik weet dat Google elke nieuwe extensie screent https://developer.chrome.com/docs/webstore/review-process maar kan niet achterhalen hoe grondig en inhoudelijk dat is, gezien men "de meeste inzendingen" binnen 24 uur screent en 90% in drie dagen. Dat voelt kort voor een inhoudelijk menselijk onderzoek. En dat is relevant, want de jurisprudentie trekt een (vage) grens ergens tussen oppervlakkige toetsing en redactioneel goedkeuren.

Er zijn echter extra signalen, met name de "Established Publisher badge" die je van Google krijgt als je als uitgever een "consistent goede reputatie op het gebied van Google-services" hebt. Dat is een uitspraak van Google waar je op mag afgaan als afnemer, ook als de app vervolgens niet inhoudelijk grondig is onderzocht. (En je hoeft niet de kleine lettertjes te lezen wat dit dan precies zou betekenen en wat het voor aansprakelijkheid betekent.)

En ja, ook bij zo'n gevestigde uitgever kan het misgaan. Recent las ik bij Koi Security bijvoorbeeld een geavanceerde aanval waarbij bona fide apps na een paar jaar een update kregen waarmee ze allerlei backdoors en andere malafide functies verkregen. Omdat ze werden vertrouwd, kon die update automatisch en zonder toestemming worden uitgevoerd.

Het grote probleem blijft natuurlijk: toon maar aan wat je schade was. Welk op geld waardeerbaar nadeel heb jij als consument geleden, waarbij je tijd per definitie nul euro kost. Waarbij natuurlijk komt dat je dan óók nog een dure rechtszaak moet voeren.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (6)
Reageer met quote
20-08-2025, 12:58 door wallum
Het grote probleem blijft natuurlijk: toon maar aan wat je schade was. Welk op geld waardeerbaar nadeel heb jij als consument geleden, waarbij je tijd per definitie nul euro kost. Waarbij natuurlijk komt dat je dan óók nog een dure rechtszaak moet voeren.
Waarom is je tijd als particulier eigenlijk gratis? Om onterechte kosten te voorkomen wordt je gedwongen tijd te steken in het oplossen van fouten die door commerciële bedrijven gemaakt zijn. Soms zijn die fouten zelfs bewust gemaakt omdat bedrijven er meer geld mee verdienen dan een eventuele boete + schadevergoeding hen kost. Er zijn bedrijven die hier een verdienmodel van hebben gemaakt, zie bv https://www.nrc.nl/nieuws/2025/06/27/klik-klik-en-ineens-heb-je-een-abonnement-zonder-dat-je-het-weet-dit-is-het-verdienmodel-van-multinational-aether-a4898085
Reageer met quote
20-08-2025, 13:50 door Anoniem
Door wallum:
Het grote probleem blijft natuurlijk: toon maar aan wat je schade was. Welk op geld waardeerbaar nadeel heb jij als consument geleden, waarbij je tijd per definitie nul euro kost. Waarbij natuurlijk komt dat je dan óók nog een dure rechtszaak moet voeren.
Waarom is je tijd als particulier eigenlijk gratis? Om onterechte kosten te voorkomen wordt je gedwongen tijd te steken in het oplossen van fouten die door commerciële bedrijven gemaakt zijn. Soms zijn die fouten zelfs bewust gemaakt omdat bedrijven er meer geld mee verdienen dan een eventuele boete + schadevergoeding hen kost. Er zijn bedrijven die hier een verdienmodel van hebben gemaakt, zie bv https://www.nrc.nl/nieuws/2025/06/27/klik-klik-en-ineens-heb-je-een-abonnement-zonder-dat-je-het-weet-dit-is-het-verdienmodel-van-multinational-aether-a4898085

Hoeveel reken je per uur voor je prive tijd? 100 euro, 200 euro, 1000 euro.
Wat is je vrije tijd je waard (als je die moet opgeven)?
Reageer met quote
Gisteren, 11:34 door Anoniem
Door wallum:
Het grote probleem blijft natuurlijk: toon maar aan wat je schade was. Welk op geld waardeerbaar nadeel heb jij als consument geleden, waarbij je tijd per definitie nul euro kost. Waarbij natuurlijk komt dat je dan óók nog een dure rechtszaak moet voeren.
Waarom is je tijd als particulier eigenlijk gratis?
Hoeveel tijd heb je bespaard door gebruik te maken van gratis apps?
Reageer met quote
Gisteren, 16:54 door Anoniem
Door Anoniem:
Door wallum:
Het grote probleem blijft natuurlijk: toon maar aan wat je schade was. Welk op geld waardeerbaar nadeel heb jij als consument geleden, waarbij je tijd per definitie nul euro kost. Waarbij natuurlijk komt dat je dan óók nog een dure rechtszaak moet voeren.
Waarom is je tijd als particulier eigenlijk gratis? Om onterechte kosten te voorkomen wordt je gedwongen tijd te steken in het oplossen van fouten die door commerciële bedrijven gemaakt zijn. Soms zijn die fouten zelfs bewust gemaakt omdat bedrijven er meer geld mee verdienen dan een eventuele boete + schadevergoeding hen kost. Er zijn bedrijven die hier een verdienmodel van hebben gemaakt, zie bv https://www.nrc.nl/nieuws/2025/06/27/klik-klik-en-ineens-heb-je-een-abonnement-zonder-dat-je-het-weet-dit-is-het-verdienmodel-van-multinational-aether-a4898085

Hoeveel reken je per uur voor je prive tijd? 100 euro, 200 euro, 1000 euro.
Wat is je vrije tijd je waard (als je die moet opgeven)?

mijn vrije tijd is meer waard dan mijn zakelijk uurtarief. Anders zou ik wel werken.
Reageer met quote
Vandaag, 13:56 door Bitje-scheef
Ik vraag me af in hoeverre je dit kunt koppelen aan de verplichting van een telefoonfabrikant die je dwingt om een bepaalde store te gebruiken.

Je wordt immers beperkt in de keuze, dan zou je toch ook wat meer verplichtingen verwachten richting de fabrikant met de aansprakelijkheid.
.
Reageer met quote
Vandaag, 14:35 door Anoniem
Niet voor niets Google 'LLC'
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure