image

ACM: IoT-fabrikant moet informatie over updatebeleid geven

dinsdag 26 november 2019, 10:40 door Redactie, 13 reacties

Fabrikanten en verkopers van Internet of Things-apparaten moeten aan potentiële kopers van tevoren informatie over beveiligingsupdates geven, zo meldt de Autoriteit Consument & Markt (ACM). De toezichthouder gaat de komende tijd bekijken of aanbieders van slimme apparaten hier wel aan voldoen.

Wanneer dit niet het geval blijkt zal de ACM fabrikanten hierop aanspreken en mogelijk een boete opleggen. "Consumenten moeten voordat zij een slim apparaat kopen niet alleen informatie ontvangen over wat het apparaat doet en wat het kost, maar ook hoe wordt omgegaan met updates die voor de veiligheid en de functies van het apparaat zorgen. Deze informatie kunnen zij dan betrekken in hun keuze", zo laat de toezichthouder weten. "Want als er geen updates worden ‘meegeleverd’ kan dit betekenen dat het apparaat binnen afzienbare termijn onbruikbaar en/of onveilig wordt."

De ACM wil dan ook dat fabrikanten voor de koop alle relevante informatie aan potentiële kopers verstrekken. Eigenaren van een IoT-product worden door de toezichthouder opgeroepen om hun ervaringen met de aankoop van hun apparaat te delen. Zo kan via de website ConsuWijzer van de ACM worden gemeld wanneer fabrikanten geen informatie over het updatebeleid geven.

"Juist bij slimme apparaten is het van groot belang dat consumenten weten hoe het is geregeld met updates. Dan weet je namelijk ook hoe lang het apparaat goed en veilig gebruikt kan worden. Wij vinden het belangrijk dat consumenten met vertrouwen gebruik kunnen maken van slimme apparaten. Daarom gaat de ACM hier de komende periode extra op letten", zegt Edwin van Houten, directeur consumenten bij de ACM.

Reacties (13)
26-11-2019, 11:10 door Anoniem
Ze moeten dan ook verplichten om de privacy voorwaarden, met alle verwijzingen, geprint mee te leveren in een leesbaar normaal lettertype!
26-11-2019, 11:31 door Anoniem
Interessant dat men schrijft "updates die voor de veiligheid en de functies van het apparaat zorgen".
Impliceert dat dat de leverancier niet alleen geacht wordt updates te leveren als de veiligheid van het apparaat (of anderen) in gevaar komt, maar ook als de functies van het apparaat verloren gaan in de loop der tijd?
En wellicht zelfs als de functies worden ingehaald door veranderende "eisen van de tijd"?
Ok er wordt niet geeist dat er daadwerkelijk updates verstrekt worden, alleen dat daar van te voren informatie over wordt
gegeven. Maar dat zal ongetwijfeld alleen leiden tot weer een extra pagina met moeilijke juridische zinnen die er op neer
komen dat je nergens op mag rekenen... immers geen enkele fabrikant wil zijn eigen hachje afhankelijk maken van
externe factoren die niet in de hand te houden zijn.
26-11-2019, 12:46 door Anoniem
Door Anoniem: Interessant dat men schrijft "updates die voor de veiligheid en de functies van het apparaat zorgen".
@11:31 door Anoniem
Hoe zie jij dat qua veiligheid en functies zorgen?
Houdt dat in dat die updates de veiligheid en functies nu sowieso ook al geborgd moet zijn?
Kan een apparaat door fabrikanten dat op die punten niet c.q. volledig is geborgd wel per definitie altijd voldoen aan het doel en eis(en)?
26-11-2019, 13:48 door Anoniem
Ik zal een voorbeeld geven:
Stel je hebt in het verleden een apparaat gemaakt dat om het de bedienen/configureren vereist dat er een Java plugin
beschikbaar is in de browser van de gebruiker. Dat betekent dat je apparaat nu niet meer te benaderen is. Wellicht
kan het nog wel functioneren maar het kan niet meer beheerd worden.
Zou je dan als fabrikant nu een update moeten uitbrengen wat de configuratie interface omzet naar iets moderns?
En (in de context van dit topic) moet je dan als fabrikant van te voren al aangeven of je wel of niet van plan bent dit
te gaan doen, en zo ja gedurende hoeveel jaren?
Nu kunnen we makkelijk zeggen "dan had je maar geen Java plugin moeten gebruiken" maar in die tijd waren er zat
mensen die dit een goed idee vonden en je kon er leuk werkende browser apps mee maken tov wat er zonder Java
mogelijk was. Dus ik snap best dat fabrikanten daarvoor gekozen hebben, niet wetend dat dit een tijdbom was.

Als fabrikant weet je helemaal niet dat Java in de toekomst uit de gratie zal geraken en dat je dus wellicht een ingrijpend
redesign van de software moet doen om de functies van het apparaat te behouden. Dus fabrikanten zullen geen
uitspraken willen doen op dit vlak, anders dan uitspraken dat ze het in principe niet gaan doen.
Wat heeft dat dan voor zin tov van de de-facto situatie dat ze het veelal niet gaan oplossen/updaten?
26-11-2019, 14:07 door Anoniem
Door Anoniem: Ze moeten dan ook verplichten om de privacy voorwaarden, met alle verwijzingen, geprint mee te leveren in een leesbaar normaal lettertype!
Dat doen ze, maar jij leest geen hinees ;)
26-11-2019, 14:10 door Anoniem
Laat de ACM eerst maar eens definieren wat zij onder een IoT apparaat verstaan. Alle IoT apparaten, die ik heb gekocht, heb ik zelf (opnieuw) geprogrammeerd, dus alleen ikkzelf ben verantwoordelijk.
Gelukkig is OTA helemaal makkelijk te implementeren, vandaag de dag, dus (regelmatige) updates zijn geen probleem
26-11-2019, 17:38 door Anoniem
Door Anoniem:
Door Anoniem: Ze moeten dan ook verplichten om de privacy voorwaarden, met alle verwijzingen, geprint mee te leveren in een leesbaar normaal lettertype!
Dat doen ze, maar jij leest geen hinees ;)
Niemand kan dat lezen, misschien wel Chinees!
26-11-2019, 18:09 door Anoniem
Wat is een IOT apparaat?
26-11-2019, 18:54 door Remmilou
Door Anoniem: Ik zal een voorbeeld geven:
Stel je hebt in het verleden een apparaat gemaakt dat om het de bedienen/configureren vereist dat er een Java plugin
beschikbaar is in de browser van de gebruiker. Dat betekent dat je apparaat nu niet meer te benaderen is. Wellicht
kan het nog wel functioneren maar het kan niet meer beheerd worden.
Zou je dan als fabrikant nu een update moeten uitbrengen wat de configuratie interface omzet naar iets moderns?
Ja.
En (in de context van dit topic) moet je dan als fabrikant van te voren al aangeven of je wel of niet van plan bent dit
te gaan doen
Ja.
en zo ja gedurende hoeveel jaren?
Geen idee. Zal wel iets met "redelijke termijn" of "economische levensduur" worden en lastig te beoordelen.
Nu kunnen we makkelijk zeggen "dan had je maar geen Java plugin moeten gebruiken" maar in die tijd waren er zat
mensen die dit een goed idee vonden en je kon er leuk werkende browser apps mee maken tov wat er zonder Java
mogelijk was. Dus ik snap best dat fabrikanten daarvoor gekozen hebben, niet wetend dat dit een tijdbom was.
Als fabrikant weet je helemaal niet dat Java in de toekomst uit de gratie zal geraken en dat je dus wellicht een ingrijpend redesign van de software moet doen om de functies van het apparaat te behouden. Dus fabrikanten zullen geen uitspraken willen doen op dit vlak, anders dan uitspraken dat ze het in principe niet gaan doen.
Wat heeft dat dan voor zin tov van de de-facto situatie dat ze het veelal niet gaan oplossen/updaten?
Ondernemersrisico.
De kosten voor het voldoen aan regels en het dempen van de risico's kunnen ze natuurlijk weer doorberekenen aan de klant. Dat is dan de prijs die wij als consumenten betalen voor betere kwaliteit/service. Als alle fabrikanten gedwongen worden die regels na te leven ontstaat er weer een gelijk speelveld voor die fabrikanten. Zo probeert men het ook met garantie op producten.
Toegegeven... het is allemaal niet makkelijk te handhaven. Maar met niks doen wordt het een zooitje. Dat is al gebleken.
26-11-2019, 20:30 door Anoniem
Denkt de ACM het zelfde over pakjes ham in de supermarkt? Dat als die heel misschien mogelijk met listeria besmet zijn. Of ebola of zo. Dat het dan goed is als de supermarkt maar belooft dat er, wanneer die zelf tijd en zin hebben, een update voor beschikbaar komt?

Dat je je geld dus zeker niet terug krijgt. Ook niet gewaarschuwd hoeft te worden. Dat terugroep acties van zulke pakjes ham wat overdreven zijn en qua kosten misschien wel erg slecht voor het bedrijfsleven en dus voor de economie in het algemeen? Dat dat dus ook banen op de tocht zet en zo?

Dat we maar moeten accepteren dat we kwalijke rommel kopen. En ons consumentenrecht zich inmiddels beperkt heeft tot het recht op updates?

Welke blonde muts gaat nu haar bluetooth krultang zitten updaten (ondanks dat het hele huis anders kan af fikken)?????

Van welke planeet is die ACM?

Of moet ik vragen van welke generatie..........
26-11-2019, 23:08 door Anoniem
en zo ja gedurende hoeveel jaren?

Geen idee. Zal wel iets met "redelijke termijn" of "economische levensduur" worden en lastig te beoordelen.

Volgens mij kan je levensduur als fabrikant wel definiëren en updates voor die levensduur ook nakomen.
Wat dan als je naar economische levensduur kijkt?
Je kan dan evengoed zeggen, kijk meer naar de lanceer duur die de fabrikant erin steekt.
Tegelijk zou je als fabrikant voor economische levensduur ook een aantal referentie-lijnen kunnen hanteren.
Namelijk zoiets als de technologische ontwikkel-curve, naar voorbeeld van de long-tail curve.
Zet dat naast de technische levensduur van het product en de trendlijnen van data-groei en je ziet daartussen een verschil.
Lijkt me een aardige als uitgangspunt om een economische levensduur te "mappen".
Is je product meer-data intensief dan zou je afhankelijk van je bedrijfs-groei vooruitzichten wellicht redelijkerwijs uit kunnen gaan van een kortere levensduur(?).
Is je product een minder veelomvattend geheel dan een computer dan valt wellicht een nog langere economische levensduur te behalen.

Maar is het niet interessanter om de levensduur af te stemmen op de primaire functie en omvang van bijkomende functionaliteiten die met het product mogelijk zijn c.q. waar het onderdeel in een keten van is?
Een apparaat dat deel in een keten komt te staan en geen endpoint an zich is, maar ook nog bijvoorbeeld sms, internet messaging als data input kan verwerken moet volgens mij ofwel extra makkelijk uit te faseren zijn en/of lang mee kunnen gaan voor de functie waarvoor het is ontworpen c.q. specifiek voor wordt samengesteld.
Wanneer het specifiek wordt samengesteld zou je uit kunnen gaan van meer verantwoordelijkheid voor de gehele veiligheid bij de samensteller dan de fabrikant.


Nu kunnen we makkelijk zeggen "dan had je maar geen Java plugin moeten gebruiken" maar in die tijd waren er zat
mensen die dit een goed idee vonden en je kon er leuk werkende browser apps mee maken tov wat er zonder Java
mogelijk was. Dus ik snap best dat fabrikanten daarvoor gekozen hebben, niet wetend dat dit een tijdbom was.
Als fabrikant weet je helemaal niet dat Java in de toekomst uit de gratie zal geraken en dat je dus wellicht een ingrijpend redesign van de software moet doen om de functies van het apparaat te behouden. Dus fabrikanten zullen geen uitspraken willen doen op dit vlak, anders dan uitspraken dat ze het in principe niet gaan doen.
Wat heeft dat dan voor zin tov van de de-facto situatie dat ze het veelal niet gaan oplossen/updaten?
Ondernemersrisico.
De kosten voor het voldoen aan regels en het dempen van de risico's kunnen ze natuurlijk weer doorberekenen aan de klant. Dat is dan de prijs die wij als consumenten betalen voor betere kwaliteit/service. Als alle fabrikanten gedwongen worden die regels na te leven ontstaat er weer een gelijk speelveld voor die fabrikanten. Zo probeert men het ook met garantie op producten.
Toegegeven... het is allemaal niet makkelijk te handhaven. Maar met niks doen wordt het een zooitje. Dat is al gebleken.

Ondernemersrisico???
Dit aspect heeft misschien minder specifiek met het algemeen begrip ondernemersrisico te maken.
Misschien gaat het bij zoiets als java dat wordt ingezet om het apparaat te kunnen gebruiken meer om inkoop/ontwerp keuzes van de fabrikant i.r.t. diens toeleveranciers?
En ook om hoe uitgebreid de fabrikant/samensteller van het product geacht kan worden om daarvoor vooraf een functie dekkende omschrijving op te stellen.
Hoewel het ook aan de fabrikant/samensteller is om degelijke producten af te leveren die aan normen en eisen voldoen, moet hij ook afwegen in hoeverre hij het product meer wil inrichten met pakketten, compleet geïnstalleerde en uitgeschreven / gecompileerde software code van universele leveranciers of dat alles meer inhouse ontwikkeld wordt.
Idem of het altijd nodig is dat gegevens via open ketens worden ingelezen of dat het voor de functie van de software en het geheel met meer harde vooraf ingebedde en gelijkblijvende input af kan.
Berkely DB, Django, php, json en tal van dynamische stukken software bevatten al eerder menig onveilig element.
Zo staat ook menig CMS en CRM systeem bol van dynamische software maar zijn bijvoorbeeld de kwetsbaarheden in Drupal, Joomla, en andere pakketten enorm talrijk en chronisch gebleken.
Wordpress niet daargelaten.
Menig CMS en CRM pakket is op zogenaamde dynamische leest geschroeid en staat bol van die kwetsbare software delen.
Menig Operating Systeem is denk ik nog weer de overtreffende trap qua veiligheid problemen en omvang.
Het doorontwikkelen van software vanaf een hoofdzakelijk op libraries gebaseerd iets tot een meer op maat toegesneden en oer degelijk getest stuk software is ook nog een afweging.

Volgens mij begint menig product/software afnemer al met al zo langzamerhand wel weer op aarde te landen na al die fantastisch interessante vergezichten met tal van beloftes van wat er allemaal kan.
Niet ontkennende dat het niet kan, het gaat vooral veel duurder zijn en waarschijnlijk ook meer tijd kosten als ze het tenminste op basis van verantwoorde en realistische vertrekpunten baseren.
26-11-2019, 23:10 door Anoniem
Dat is dan de prijs die wij als consumenten betalen voor betere kwaliteit/service
Dat slaat inderdaad ook terug op veiligheid van apparaten.
Meer specifieker nog gaat het volgens mij om met het gebruikersperspectief en het technische nut dat een consument door de fabrikant en verkopers wordt geschetst.
En dat is niet bij elk apparaat echt gelijkwaardig.
En ook wat het handelingsperspectief is dat consumenten wordt geboden door fabrikanten / samenstellers.
Support vervalt nu zelfs bij menig premium product.
Op een gegeven moment is support qua updates eigenlijk een soort omgekeerde trechter van lastige vragen.
De consument is vaak 100% afhankelijk van het release kanaal van de fabrikant.
Dat release kanaal bevindt zich teveel boven de macht van het individu.
Zeker wanneer het wordt afgesloten.
Zo krijgt het na opschalen van een probleem dezelfde shit van de fabrikant omgekeerd en ongegeneerd over zich heen teruggestort.
Het handelingsperspectief dat bij zo'n premium product wordt geboden verbeterd door de jaren heen wel enigszins maar nadert in meerdere van voornoemde gevallen toch pijlsnel tot een dieptepunt.

Als een fabrikant nou een telefoon verkoopt met een heus systeem, zeg Android of iOS, dan wordt dat als het ware als standaard pakket in een doos geleverd.
Het apparaat is specifiek samengesteld door bijvoorbeeld een Apple, Samsung, Huawei e.d.
De consument heeft nu bij zo'n standaard pakket in een doos vrijwel 0 invloed op hoe lang de updates voor veiligheid geleverd blijven worden.
Het is eenzijdig afhankelijk van de fabrikant.
Als de fabrikant ondertussen wel nieuwe functies blijft ontwikkelen en nieuwe(re) apparaten blijft ontwerpen (bv. Apple en Samsung) dan zijn ze volgens mij ook nog eens enorm onverantwoordelijk bezig zo lang de bestaande klanten van de fabrikant van alle afnemers niet de hoogste prioriteit hebben.
In veel gevallen laten ze bestaande klanten qua veiligheid updates gewoon bungelen.
Het technische nut van veel van die nieuwe fancy features is bovendien ook zeker in de eerste periode na uitbrengen beperkt.
Het economische nut van dergelijke features, is ondanks eventueel waarde voor investeerders, dus zeker in de begin jaren ervan ook nihil!
Niet alleen wordt menig consument in de praktijk tegenover dat vrijwel nihille economische nut op een dwaal spoor gezet door aan te sturen op aankoop van een duurder apparaat met vrijwel nihil extra waarde.
Ook wordt menig consument wijs gemaakt dat de aankoop van een telefoon met minder fancy-features in zekere mate voor een ongedefinieerde periode verantwoord is en dat het tegelijk 20-50% of nog goedkoper kan.

Eigenlijk moet dat niet voor een ongedefinieerde periode zijn (zie eerder genoemde redenen in dit discussie topic),
het moet voor zover onmogelijk voor ONBEPAALDE periode zijn.
Oftewel,
tenzij anders gedefinieerd moet het apparaat oneindig lang veilig te gebruiken blijven.
De consument is nu dankzij de fabrikant die in een fancy-feature wedstrijd is verwikkeld teveel een kwetsbare ingang waarmee andere gebruikers in diens omgeving (mogelijk onbewust) bloot wordt gesteld aan die veiligheid issue's.
Zowel de digitale contacten als ook het hele netwerk van (mede)gebruikers die diezelfde telecom-diensten/apparaten afnemen.
Fabrikanten moeten denk ik daarom gebruikers tegen een redelijke korting OF als "trouwe klant" dienst worden geholpen.
Dusdanig dat het gebruik van het reeds betaalde product tegen een laag prijs-model qua veiligheid gewaarborgd blijft.
Dat lijkt mij pas een maatschappelijk relevante en onvermijdelijke game-changer.

En laat men al dat diseruptie en stroomversnelling denken maar gewoon over aan menig coke-snuivende c.q. gediagnostiseerd mentaal afgestompte investeerders in de financiële wereld.
Die verdienen dagelijks hun brood aan kleine tot grotere schommelingen, afwijkingen en game-changers.
In een dergelijke sector gaat naar verluidt het 10-voudige om van de waarde die de rekeningen en betalingen van consumenten en bedrijfsbetalingen vertegenwoordigt.
Slechts een fractie daarvan sijpelt ervan door naar de consument en bedrijven.
Een bedrijfsvoering gestoeld op grote schommelingen en afwijkingen gaat derhalve denk ik zeer ten koste van de klanten. En dat lijkt mij al 1 sector teveel.
Boeing is trouwens nog steeds zwaar in de problemen door tal van hardnekkige afwijkingen in hun software.
Dit terwijl het juist aan de wieg stond van het zogenaamde wendbaar software ontwikkelen.
Volgens mij zijn er voorbeelden te over denk ik van (sterk) afnemende c.q. buitensporig weinig kwaliteit en dalend economisch toegevoegde waarde!
Alle reden en veel mogelijkheden dus volgens mij voor een bijstelling van het update beleid.
En laat de fabrikanten daarbij eventueel als dat het haalbaarder maakt gebruikers de mogelijkheid bieden om na een periode waarin ze dan toch per sé met fancy-features willen komen de bestaande klanten de optie bieden om voortaan een versimpelde versie van de software te blijven gebruiken.
Een versimpelde versie betekent minder een complexe software.
En met mindere complexiteit neemt het overzicht onevenredig meer toe.
En dus navenant ook het inzicht in risico's en veiligheid kwesties.
Dat maakt denk ik dat het beheer ervan voor de langere / verlengde levensduur een boel minder moeite voor de fabrikant en klant vergt.
27-11-2019, 15:40 door Anoniem
Dit zeggen ze presies verkeerd om :

"Want als er geen updates worden ‘meegeleverd’ kan dit betekenen dat het apparaat binnen afzienbare termijn onbruikbaar en/of onveilig wordt."

Het moet zijn : als een aparaat niet geupdate hoeft te worden, is het een goed product.
Een aparaat wat geupdate moet worden is nog niet af, incompleet en niet veilig.

Maarja : dat word geaccepteerd net zoals windows, alsof het normaal is dat iets verkocht word dat niet goed werkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.