Achtergrond

Zijn advertenties die malware bevatten de verantwoordelijkheid van de website waarop ze staan?

woensdag 25 februari 2026, 15:24 door Arnoud Engelfriet, 7 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik werd laatst op mijn werk gewaarschuwd voor het risico van malware advertenties en hoe neppe advertenties op legitieme websites je computer, zelfs zonder erop te klikken, kunnen infecteren met malware als je je browser niet netjes hebt geüpdatet. Dit zou bij gewoon een bekende krant of andere grote site kunnen gebeuren. Heeft zo'n uitgever geen eigen verantwoordelijkheid daarin? En kan ik ze aansprakelijk stellen als ik geïnfecteerd wordt via zo'n kanaal?

Antwoord: In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren.

Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website. Natuurlijk zal de hoogte van de schade moeten worden aangetoond, en dat is niet eenvoudig. Wat kostte jouw data? Je tijd is niet relevant, de daarna gauw gekochte virusscanner is geen schade.

Of de eigenaar wist van de malware, doet er daarbij niet toe. Over het algemeen is voor een onrechtmatige daad niet verplicht dat je bewust of zelfs opzettelijk de schade berokkende. De lat ligt bij "schuld", is jou enig verwijt hierin te maken.

Bij advertentiegedreven diensten zit hier de makke. Dit gaat volledig geautomatiseerd, en geen mens die nog even kijkt of advertenties wel legitiem zijn, passen bij de content en dergelijke. (Vele pijnlijke voorbeelden hiervan zijn bekend.) Op malware wordt natuurlijk gescreend, maar er zijn genoeg trucs om daar weer omheen te komen.

Bij zo'n kat-en-muisspel zeggen dat de aanbieder automatisch nalatig was omdat er wat doorheen glipte, gaat mij nogal ver. Je zult meer nodig hebben: hoe makkelijk was dit te detecteren, wat zijn de kosten om meer te kunnen doen versus de kans dat je dan wél meer vangt, et cetera.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Online datalek-checkers bieden de mogelijkheid te zoeken op gelekte persoonsgegevens. Hebben zij daar wel een grondslag voor?

Door een hack bij mijn telecomprovider zijn al mijn gegevens gestolen. Kan ik de kosten verhalen op de provider?

Reacties (7)

Reageer met quote

25-02-2026, 16:16 door Anoniem

De website eigenaar kiest zelf voor het tonen van advertenties aangeleverd door derden en wordt daarvoor betaald. Daarmee is er geldelijk gewin.
Om deze redenen lijkt het me dat de eigenaar geen aansprakelijkheid omtrent de advertenties kan wegwuiven. Dat er zaken geautomatiseerd zijn doet er verder niet toe.

Reageer met quote

25-02-2026, 18:23 door Anoniem

Je zult meer nodig hebben: hoe makkelijk was dit te detecteren, wat zijn de kosten om meer te kunnen doen versus de kans dat je dan wél meer vangt, et cetera.

Um, "wat zijn de kosten om meer te doen"? Dus, de kosten van detectie gaan boven de infectie van alle bezoekers? De uitbater van de website wil advertenties tonen, ik hoef ze niet te zien. Dus als de uitbater toch advertenties wil tonen, dan moet 'ie er maar voor zorgen dat 'ie mij daarmee geen schade berokkend. (De uitbater zou overigens ook de leverancier van de advertenties aansprakelijk kunnen stellen, lijkt me? Het zou in elk geval niet mijn probleem moeten zijn: ik vraag niet om advertenties.)

Maar ik weet het: we praten over de wet, en de wet is er niet noodzakelijk om jou en mij te beschermen.

Reageer met quote

25-02-2026, 19:10 door Anoniem

Ik ben toch elke keer weer bij met mijn ad blocker...

Reageer met quote

26-02-2026, 09:12 door Named

Dit gaat volledig geautomatiseerd, en geen mens die nog even kijkt of advertenties wel legitiem zijn, passen bij de content en dergelijke. ... Bij zo'n kat-en-muisspel zeggen dat de aanbieder automatisch nalatig was omdat er wat doorheen glipte, gaat mij nogal ver.

Je kan het argument maken dat dit automatisatie proces op zichzelf al nalatig was.
Want het advertentie bureau behoort te controleren dat de advertenties die zij publiceren aan de wet voldoen.

Je kan juridische verantwoordelijkheid niet weg-automatiseren.
Anders waren ongelukken door zelfrijdende auto's ook geen juridisch probleem.

Reageer met quote

26-02-2026, 19:54 door Anoniem

Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website.

Hm.
Toch even challengen :

Toen het ging om "embedden" van copyrighted content hebben veel website eigenaren (en enthousiaste Internet nerds, en IE experts) geargumenteerd dat de website waarbinnen een stuk van een andere website gelinked werd werd NIET de boel kopieerde of verspreidde - omdat alles van de originele bron opgehaald wordt door de bezoeker .

Maar als op diezelfde manier ads gelinked worden, en er zit wat fouts tussen - moet natuurlijk wel de "zichtbare" site ervoor opdraaien, en niet het ad-netwerk ?

Ik mis het verschil.

Reageer met quote

27-02-2026, 07:51 door Anoniem

Door Anoniem:

Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website.

Geweldig en kennis van zaken. Over embedden heeft de Europese rechter al weer een tijdje geleden een prachtig vonnis geveld. Het mag maar er zijn wel condities. Om het simpel te zeggen, je website mag ramen hebben die naar de buren kijken. Maar je moet het wel netjes houden.

Wat met ads kan gebeuren (zelf doen we ze echt niet meer, onze gebruikers zijn vaak dikke vette fans en we willen niet als odido in de krant!) is vooral javascript rotgeintjes.

Juridisch kan het wel, omdat het causaal verband van schade erg zwak ligt. Ook met je raam aan de kant van de buren.

Maar om het leuk te houden in de straat ga je niet uitgebreid zitten kijken als ze thuis zijn. Of als je per ongeluk wat zou zien dan heb je het niet gezien.

Als je als website het gezellig wil houden dan knikker je zo een adverteerder er meteen uit. Of nog beter, stuur maar een banner en de link, en zelf hosten.

Juridisch kan men je weinig "maken". Maar je verzuipt je eigen toekomst. Je traffic is waar je waarde zit.

Het is daar waar je security en privacy nooit hoog genoeg in het vaandel kunnen staan. Want je vreet er wel van. En als het goed is wil je dat zo lang mogelijk blijven doen.

Reageer met quote

15-03-2026, 10:55 door Anoniem

Paar punten van aandacht;
schuld als begrip is meer; voldoende verwijtbaar, of 'meer verwijtbaar dan acceptabele verwijtbaarheid' ;)
(ergens bestaan is op zich aceptabel verwijtbaar (duidelijk jouw schuld dat jij nog steeds bestaat), ergens met grote vaart heen bewegen soms niet :P)

Is het gebruik van ge-automatiseerde reclame activiteiten an sich niet al een directe indicate van (voorwaardelijk) opzet ?
het is ten slotte algemeen bekend dat reclame-uitingen die automatisch worden getoond uit onbekende bron een onacceptabel risico vormen.
Dan hoeft de website eigenaar het dus niet te weten in een specifiek geval maar middels functie geacht worden bekend te zijn met de risico's.

Is het verplicht voor zo'n website eigenaar om aan te tonen dat zij daadwerkelijk 'voldoende' maatregelen heeft getroffen om malware te verwijderen ? (of moet je dat eerst claimen)

Ik mis het algemene makkelijke antwoord dat het dus eigenlijk nee is; in het algemeen is een website eigenaar niet aansprakelijk voor schade veroorzaakt door incidenteel vertoonde malware. (mits voldoende screening e.d.)

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Toegang banken tot de Basisregistratie Personen (BRP):

Vacature

Medior Information Security Officer

Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.

Lees meer

Vacature

Senior Information Security Officer

Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?

Lees meer

Certified Secure Salt Road Compromised Components

Wat zijn de grenzen aan de gebruiksvoorwaarden?

01-04-2026 door Arnoud Engelfriet

Juridische vraag: In discussies over hoeveel informatie sociale media van je mogen gebruiken, wordt er vaak gezegd dat je niet ...

4 reacties

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Zijn advertenties die malware bevatten de verantwoordelijkheid van de website waarop ze staan?

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Toegang banken tot de Basisregistratie Personen (BRP):

Wachtwoord Vergeten

Password Reset

Registreren