Blog Legal Look: Victor de Pous over updaten

> Betreft updaten van software een juridische plicht? Cloud computing betekent automatisering op afstand, in datacenters en via internet. De apparatuur aan gebruikerszijde genoemd, bestaat uit PC, notebook, tablet en smartphone. Dat ook deze apparaten uit veiligheidsoverwegingen voortdurend moeten worden voorzien van de laatste softwareversies, hoeft nauwelijks uitleg.

Denk alleen al aan elektronisch bankieren en betalen - een zuivere clouddienst. Zo heeft de Nederlandse Vereniging van Banken eind 2013 samen met de Consumentenbond regels opgesteld voor veilig elektronisch bankieren en betalen. Als consumenten schade lijden, maar deze veiligheidsregels hebben nageleefd, dan kunnen zij erop rekenen dat zij het bedrag dat zonder toestemming van de rekening is gehaald, vergoed krijgen. Let op: regel 3 gaat over de beveiligingsplicht. De rekeninghouder behoort voor een goede beveiliging van apparatuur te zorgen, die voor online bankieren wordt gebruikt.

> Wie is verantwoordelijk voor updaten? Vroeger gold wel als juridische vuistregel dat een computerprogramma zeven jaar na eerste levering door de leverancier moet worden onderhouden. Dat gebeurde tegen betaling en het sluiten van een onderhoudsovereenkomst. En dan gaat het vooral om correctief onderhoud: de software behoort immers volgens de gepubliceerde specificaties te blijven functioneren. Vaak ontving de licentienemer van zijn leverancier op gezette tijden een update, die hij zelf moest installeren. Een implementatieplicht werd in beginsel niet opgelegd. Mede door de komst van cloud computing zijn gewoonten en gebruiken veranderd. Tegenwoordig zorgen leveranciers voortdurend voor updates: groot en klein; correctief, adaptief en preventief. Meestal hoeft de gebruiker niets te doen, behalve de update te accepteren. Dat kan in veel gevallen mede by default. Ten aanzien van de implementatieplicht kun je zeggen dat wanneer deze niet door de leverancier contractueel wordt voorgeschreven, uit het algemene recht volgt dat een gebruiker er in redelijkheid alles aan behoort te doen, om zijn gegevensverwerking veilig te laten plaatsvinden. Updaten is dus noodzakelijk geworden.

> Wat gebeurt er als leveranciers niet meewerken? De casus is ronduit actueel; ook op andere wijze. Veel Android-toestellen die de Consumentenbond tussen 2013 en 2015 testte, worden namelijk niet meer ondersteund met de nieuwste software en een groot deel draait zelfs op een onveilige versie van Android, aldus blijkt uit onderzoek. De bond heeft er inmiddels bij fabrikanten op aangedrongen dat ze smartphones langer ondersteunen. 84% van de 171 toestellen die de Consumentenbond in de laatste twee jaar testte, is niet geüpdatet naar Android 5.0 en de helft daarvan beschikt zelfs over Android 4.3 of ouder, terwijl er bekende veiligheidslekken in deze versie zitten.

Kiezen voor een bepaald technisch platform kan gevolgen hebben voor de veiligheid van digitale technologie en gegevensverwerking, soms zelfs verregaand. En voor de keuze voor een individuele smartphone binnen een platform, zoals Android, geldt soms hetzelfde. Fouten in technologie worden kennelijk onvoldoende aangepakt door leveranciers. Dat kunnen we uiteenlopend becommentariëren. Ja, gebruikers hebben recht op veilige technologie. De termijn van twee jaar geldt desgewenst als het absolute minimum. Maar denk ook aan de gevolgen voor zakelijke gebruikers en de verwerking van bedrijfsgegevens, die van overheidsorganisaties incluis. Hier ontbreekt veelal beleid in het kader van het nieuwe werken. Of voorzie de ellende van gammele technologie, wanneer de Wet meldplicht datalekken en bestuurlijke boetebevoegdheid op 1 januari 2016 in werking treedt. Afhankelijk van de overtreding: tot 810.000 euro boete. Wanneer leveranciers niet updaten en hierover niet tijdig de klant informeren, ligt aansprakelijkheid in de rede.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.