Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Stel dat je als consument een IoT-apparaat aanschaft en dit apparaat wordt gehackt. Is de fabrikant dan aansprakelijk voor de schade? Kan in sommige gevallen de consument zelf aansprakelijk zijn?
Antwoord: Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.
Recente wetgeving gaat hier hopelijk iets van verbetering in brengen, al blijft het in eerste instantie bij duidelijke informatie tot wanneer je updates krijgt. Maar een wettelijke plicht dat je als consument zelf een wachtwoord moet instellen, die is er nog steeds niet. Dus de kans dat je brakke apparaat met internettoegang (de Nederlandse vertaling van IoT-apparaat) ergens schade aanricht, is er nog steeds.
Waar schade is, ruiken advocaten aansprakelijkheid. En terecht, want in de wet staat immers dat je schade moet vergoeden - tenminste, als die door een "onrechtmatige daad" is toegebracht. Dat is een daad die niet hoorde te gebeuren, zeg maar even, iets dat tegen de wet is of tegen wat we de "maatschappelijke zorgvuldigheid" noemen.
Een hele lastige is natuurlijk hoe je de eigenaar van zo'n apparaatje achterhaalt, want dat is wel een voorwaarde voordat je schadeclaims kunt indienen. Met een IP-adres uit een botnetaanval bijvoorbeeld kan dat in theorie (via de provider) maar dat is een hoop, duur werk en of je de héle schade bij die ene bot z'n onwetende baasje kunt neerleggen, daar zijn juridische scripties over te schrijven. Dus praktisch gezien zie ik dit niet echt gebeuren.
De fabrikant is iets makkelijker aansprakelijk te stellen, al krijg je daar het probleem dat de schade ook door andere dingen veroorzaakt kan zijn. Updates niet bijgewerkt, de firewall niet conform de handleiding dichtgezet, ga zo maar door. En natuurlijk de vraag of het fair is dat een stilgevallen elektriciteitscentrale (door een ddos-aanval met brakke koelkasten) voor rekening van de koelkastfabrikant moest komen.
Praktisch gezien zie ik het dus niet echt gebeuren, niet tegen consumenten in ieder geval. Bij fabrikanten zal er vast over een paar maanden een interessante zaak komen, maar verwacht geen kortetermijnuitkomsten.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.