EU-landen werken aan richtlijn om security-updates voor smartphones af te dwingen

In EU-verband wordt gewerkt aan een nieuwe richtlijn die fabrikanten van producten als smartphones verplicht beveiligingsupdates te verstrekken. Dit blijkt uit een reactie van staatssecretaris Mona Keijzer van Economische Zaken en Klimaat op Kamervragen van SP-Kamerlid Mahir Alkaya.

"Eén van de belangrijkste onderdelen van het Nederlandse consumentenrecht is dat de consument het recht heeft op een deugdelijk product. Of een product deugdelijk is, hangt samen met wat de consument redelijkerwijs van het product mag verwachten en wordt mede bepaald aan de hand van de afspraken die de verkoper en consument hebben gemaakt. Per geval moet worden beoordeeld of een product deugdelijk is. Relevant zijn bijvoorbeeld welke reclame-uitingen de verkoper heeft gedaan en welke prijs voor het product is betaald. Bij de beantwoording van de vraag of een product deugdelijk is, kunnen alle omstandigheden worden meegenomen, ook de digitale veiligheid van een product", aldus staatsecretaris Keijzer.

'Geen zwart-wit situatie'

"Digitale veiligheid is echter geen zwart-wit situatie. Of er in een concreet geval DGETM-MC / 18131465 sprake is van een ondeugdelijk product door gebrekkige digitale veiligheid, is afhankelijk van de concrete omstandigheden, zoals het soort product en het risico dat het gebrek met zich brengt. Ik kan daarom geen algemene uitspraken doen over wanneer een product ondeugdelijk is vanwege (gebrekkige) digitale veiligheid."

De staatssecretaris noemt het van belang de digitale veiligheid van producten zoals telefoons te bevorderen. De ministeries van Economische Zaken en Klimaat en Justitie en Veiligheid hebben daarom - mede op basis van inbreng van publieke en private partijen - de Roadmap Digitaal Veilige Hard- en Software opgesteld. Deze roadmap omschrijft een reeks maatregelen om onveiligheden in hard- en software te voorkomen, kwetsbaarheid op te sporen en de gevolgen hiervan te beperken.

Minimale veiligheidseisen

Ook wetgeving speelt hierbij een rol. Zo onderzoekt het kabinet welke minimale veiligheidseisen kunnen worden gesteld aan apparaten via de Europese Radio Equipment Directive. Ook wordt gewerkt met de Cybersecurity Act op Europees niveau gewerkt aan een raamwerk voor (vrijwillige) cybersecurity-certificatie. Staatssecretaris Keijzer noemt het van belang op EU-niveau afspraken te maken, aangezien digitale veiligheid een grensoverschrijdend onderwerp is.

In EU-verband wordt op dit moment eveneens onderhandeld over een richtlijn over de contracten voor het leveren van digitale content, zoals films, muziek en software. Dit voorstel legt de rechten van zowel de consument als de verkoper wacht, zoals de contractuele eisen aan de te leveren digitale content en rechtsmiddelen die de consument kan inzetten indien de verkoper de overeenkomst niet naleeft. Het voorstel verplicht verkopers van apparaten om beveiligingsupdates te verstrekken. Deze verplichting geldt echter niet indien de consument vooraf aan de aankoop uitdrukkelijk erop is gewezen dat deze updates niet worden verstrekt en de klant hier uitdrukkelijk mee heeft ingestemd. De staatssecretaris benadrukt dat een vermelding in bijvoorbeeld de algemene voorwaarden niet volstaat.