Achtergrond
image

Soms vermelden bedrijven niet expliciet dat een update een security patch bevat. Wat zijn de juridische implicaties hiervan?

woensdag 31 december 2025, 11:46 door Arnoud Engelfriet, 9 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Af en toe gebeurt het dat een bedrijf een software-update uitbrengt met daarin beveiligingsupdates of fixes, maar zonder expliciet te melden dat die er in zitten. Men spreekt dan van "nieuwe features en bugfixes" en je moet maar hopen dat ergens staat dat het ook securityfixes zijn. Dat is hartstikke riskant: een gebruiker kan de update besluiten over te slaan en dan een security fix missen. Wat zijn de juridische implicaties hiervan?

Antwoord: De praktijk van "silent patching" is helaas nog steeds niet uitgeroeid. Vaak werkt men op deze manier om te voorkomen dat er aandacht komt voor de bug, want dat zou kwaadwillenden maar op slechte ideeën brengen. Dit is onzin, maar wel een staande praktijk.

Inderdaad loop je het risico dat mensen een update weigeren of uitstellen als die niet belangrijk lijkt. Maar er is op dit moment geen algemene zorgplicht om security bugs snel te fixen, dus je kunt daarin ook niet te kort schieten en aansprakelijk worden voor de gevolgen.

Als de Cyber Resilience Act (CRA) eindelijk van kracht wordt (11 december 2027), komt dat een beetje anders te liggen. Vanaf dan moeten producten zo zijn ontworpen dat ze automatisch beveiligingsupdates doorvoeren, met toestemming van de gebruiker als randvoorwaarde. Ook moeten fabrikanten vanaf dan gebruikers informeren over kwetsbaarheden, in ieder geval zodra daar een update voor beschikbaar is gekomen.

Het stiekem doorvoeren van securityupdates is dus vanaf eind 2027 een overtreding van de CRA, waar de toezichthouder boetes voor mag uitdelen. Of dit ook automatisch leidt tot burgerlijke aansprakelijkheid valt te bezien.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (9)
Reageer met quote
31-12-2025, 13:13 door Anoniem
Soms wordt bij zero-days wel eens patch uitgerold, met kort daarna (binnen een week) een uitgebreidere uitleg.
Dit geeft dan een a twee dagen bescherming.

De meeste issues worden door middel van reverse engineering van een patch binnen dag alsnog exploiteerbaar gemaakt.
Reageer met quote
31-12-2025, 16:52 door Anoniem
Dat men beveiligingsfouten repareert, ja graag.

Helaas stoppen bedrijven, HP is hier een notoire in, ook ongewenste "verbeteringen" bij deze reperatie's.
En dan zijn de deze verbeteringen enkel voor het bedrijf een verbetering want de klant gaat er 9/10 op achteruit. Bij het voorbeeld van HP was de inkt van 3de spontaan niet meer bruikbaar na een beveiligingsreparatie.

Ziens dien ben ik weer huiverig voor de beveiligingsreparatie die niet vertellen wat ze repareren of toevoegen.
Tegen beter weten in, raad ik mensen aan om een HP product dus ook niet bij te werken, de kans is gewoon te groot dat je functionaliteit verliest of opgezadeld wordt nog meer spionagesoftware.
Reageer met quote
02-01-2026, 11:42 door Anoniem
Een security patch is bijna altijd een bugfix. Immers... er wordt incorrect en ongewenst / onbedoeld gedrag gerepareerd.
Hang de meuk niet aan het net, behalve daar waar je er echt niet aan ontkomt. Dan heb je zeker driekwart van de ellende al getackled.
Reageer met quote
02-01-2026, 12:17 door Anoniem
Straks mag dat niet meer volgens de CRA wet.
Reageer met quote
04-01-2026, 12:35 door Anoniem
Ik ga er vanuit zolang ik geen probleem heb met hardware of software dat ik geen updates doe. Je weet inderdaad nooit of er functionaliteit verwijderd of begrensd word.

Een populaire maken van router hardware en hun software moet vaak van klanten vernemen dat er een CVE is. Zij beloven steeds het beter te regelen maar hebben een strenge regeling voor de melding daarvan.

Gevolg is dat zij vaak het op fora moeten lezen dat de CVE "grace" termijn verlopen is en dat de kwetsbaarheid nu nog actiever gebruikt wordt.
Reageer met quote
05-01-2026, 11:57 door Anoniem
Het stiekem doorvoeren van een security-update lijkt me niet verboden volgens de CRA, maar het niet aanbieden van een security-update als die wel beschikbaar is wel.

Ik zie het nut wel van Silent Patching: Als je als fabrikant zelf als eerste je vulnerability vind, en het silent patched, dan voorkom je dat je een security patch aanbied die na 2 uur gereverse-engineered is, en door de halve wereld misbruikt wordt.

Bundel die patch dan met een andere security-patch die veel minder spannend is, en daarna met eentje die spannender is, net zolang tot iedereen 'm wel heeft.

De CRA-politie heeft volgens mij meer werk aan notoire slechte-security-partijen, dan aan een partij die er zo erg bovenop zit dat ze nadenken over uitrol-mechanismen.
Reageer met quote
07-01-2026, 17:08 door Anoniem
Er worden hier diverse termen door elkaar gebruikt. En dat geeft verwarring. Een PATCH is altijd een reparatie. Het kan zijn om foutjes te verhelpen, maar ook om bijvoorbeeld een Zero Day fix uit te voeren. Meestal heeft een patch geen zichtbare veranderingen voor de gebruiker in de gebruiks interface.

Updates / Upgrades zijn meestal product verbeteringen en kunnen inderdaad de productbeleving veranderen. Tevens kunnen deze ook patches bevatten.

Het is daarom belangrijk dat je altijd de patches draait. En dit ook zodra de patch beschikbaar is. Met upgrades is het vaak zaak om niet teveel achter de meest recente release te lopen. Fabrikanten noemen dit de GA release.
Reageer met quote
15-01-2026, 12:44 door Anoniem
Zorg dat als je een printer aansluit die niet aan het net hangt dan. Updates bij printers zijn 100% nutteloos. Die dingen printen gewoon. Alleen na een update niet meer met aftermarket cardrigdes en toners.
Reageer met quote
20-02-2026, 13:46 door Anoniem
Door Anoniem: Zorg dat als je een printer aansluit die niet aan het net hangt dan. Updates bij printers zijn 100% nutteloos. Die dingen printen gewoon. Alleen na een update niet meer met aftermarket cardrigdes en toners.

Updates kunnen ook patches bevatten. Dus reparaties aan de software. Dit kan ook zijn om de beveiliging te verbeteren. Bijna 100% van de Botnets in de wereld draaien op "niet-computers". Printers, IP camera's, thermostaten etc. Waarom? Omdat dit vaak eenvoudig te hacken zijn. Veelal een default user/password.

Zodra iets "programeerbaar" is, dus wijziging van instellngen of een update van software etc. is het ook gevoelig voor misbruik. En via die printer kan je leuk meekijken op het netwerk. Dan zie je vanzelf wel wat leuks passeren. Of je kan vanuit dat apparaat andere apparaten benaderen. Kortom, niet patchen/upgraden is erg onnozel vanuit een IT Security principe.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components