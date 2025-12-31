Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Af en toe gebeurt het dat een bedrijf een software-update uitbrengt met daarin beveiligingsupdates of fixes, maar zonder expliciet te melden dat die er in zitten. Men spreekt dan van "nieuwe features en bugfixes" en je moet maar hopen dat ergens staat dat het ook securityfixes zijn. Dat is hartstikke riskant: een gebruiker kan de update besluiten over te slaan en dan een security fix missen. Wat zijn de juridische implicaties hiervan?

Antwoord: De praktijk van "silent patching" is helaas nog steeds niet uitgeroeid. Vaak werkt men op deze manier om te voorkomen dat er aandacht komt voor de bug, want dat zou kwaadwillenden maar op slechte ideeën brengen. Dit is onzin, maar wel een staande praktijk.

Inderdaad loop je het risico dat mensen een update weigeren of uitstellen als die niet belangrijk lijkt. Maar er is op dit moment geen algemene zorgplicht om security bugs snel te fixen, dus je kunt daarin ook niet te kort schieten en aansprakelijk worden voor de gevolgen.

Als de Cyber Resilience Act (CRA) eindelijk van kracht wordt (11 december 2027), komt dat een beetje anders te liggen. Vanaf dan moeten producten zo zijn ontworpen dat ze automatisch beveiligingsupdates doorvoeren, met toestemming van de gebruiker als randvoorwaarde. Ook moeten fabrikanten vanaf dan gebruikers informeren over kwetsbaarheden, in ieder geval zodra daar een update voor beschikbaar is gekomen.

Het stiekem doorvoeren van securityupdates is dus vanaf eind 2027 een overtreding van de CRA, waar de toezichthouder boetes voor mag uitdelen. Of dit ook automatisch leidt tot burgerlijke aansprakelijkheid valt te bezien.

