Securitywetsvoorstel zet verkopers onder druk

Bewindsman Dekker en bewindsvrouw Keijzer willen met hun wetsvoorstel de Europese richtlijnen over de verkoop van goederen en levering van digitale inhoud en diensten omzetten in Nederlands recht. Het doel is om consumenten bij de aankoop van slimme apparaten zoals smart tv’s, printers, camera’s, babyfoons en digitale horloges recht te geven op software- en beveiligingsupdates. Hetzelfde geldt voor de aanschaf van bijvoorbeeld games of applicaties, maar ook voor streamingdiensten.

Geval Sonos

Het gaat hierbij niet alleen om security, maar ook om functionaliteit en behoud daarvan. In de regel zijn security-updates bij streamingdiensten voor de eindgebruiker onzichtbaar en ook automatisch. Het opnemen van onlinediensten in het wetsvoorstel voor updategarantie betreft bijvoorbeeld scenario's waarbij de producent bepaalde functies wegneemt of ondersteuning voor bepaalde apparatuur zelf geheel schrapt. Dit kan eigen apparatuur van een producent betreffen, maar ook ondersteuning van bijvoorbeeld videostreaming voor en door smart-tv's van derden.

Het kabinet noemt geen namen, maar recent is smartspeakerfabrikant Sonos nog in opspraak gekomen doordat het oudere apparatuur updates wilde onthouden. Daardoor zouden die draadloze speakers van de eerste generatie worden afgesneden van gebruik in combinatie met nieuwere Sonos-apparatuur. Het plan was om de tot 2015 nog verkochte systemen niet meer te updaten, behalve wellicht nog een security-update.

Risico van 'afschaffing'

"Er bestaat nu geen expliciete verplichting om (veiligheids- en software-)updates te leveren voor apparaten die op het internet kunnen worden aangesloten of diensten die met het internet zijn verbonden. Consumenten lopen het risico dat hun apparaat of dienst het na verloop van tijd minder goed doet, omdat er op een gegeven moment geen updates meer komen", aldus het nieuwsbericht vanuit de Rijksoverheid.

De opzet is om deze verplichting voor het leveren van updates door te voeren via verkopende partijen. Die worden in het wetsvoorstel aansprakelijk gesteld voor deze taak, hoewel ze dat natuurlijk niet zelf kunnen doen. Verkopers moeten daarvoor aankloppen bij de eigenlijke producenten van hardware en leveranciers van software en services. Een achterliggende partij die weigert of tekortschiet, vormt dan voor de verkoper een risico en komt waarschijnlijk minder aan bod wat verkoop betreft. "De verkoper of handelaar zal afspraken moeten maken met een derde, zoals de fabrikant of een softwareleverancier, die de updates kunnen leveren", aldus de overheid.

Sommige producten meer garantie

Het gaat overigens niet om gelijke updategarantie voor alle betreffende apparaten, gadgets, IoT-apparatuur, apps, games en onlinediensten. "De termijn van verplichte updates is op basis van proportionaliteit: dus wat redelijk is voor een consument en vergelijkbaar met hetzelfde systeem als bij garantie op aankopen. Een duurder product zal meestal dus een langere termijn van updates krijgen."

De veiligheid van dit soort producten schiet sowieso nog te vaak tekort, vindt het kabinet. Nederland gaat daarom in Brussel lobbyen voor "het stellen van wettelijke minimumeisen voor de digitale veiligheid". "Als je slimme apparaat kwetsbaar is, ben je dat als consument ook", zegt staatssecretaris Mona Keijzer van Economische Zaken. Dit geldt natuurlijk ook voor bedrijven, wat recente security-incidenten wel duidelijk hebben gemaakt.

Campagne: doe je updates

"Dus we werken niet alleen aan bewustzijn bij mensen, en aan extra bescherming door verkopers te verplichten om updates aan te bieden. We zorgen ook dat fabrikanten veiligere apparaten gaan maken." Uit onderzoek bleek eerder dit jaar dat meer dan de helft van de Nederlanders updates van slimme apparaten uitstelt of zelfs helemaal vergeet, terwijl dit kan leiden tot gaten in de beveiliging van producten. Met een campagne probeert het kabinet mensen ertoe aan te zetten toch op tijd hun updates uit te voeren.