Aansprakelijkheid voor gebrekkig updatebeleid bij smartphones

Inleiding

Door de toenemende digitalisering van onze maatschappij worden aansprakelijkheids- en verzekeringskwesties steeds ingewikkelder. Een interessante ontwikkeling in dit verband zijn rechtszaken die – naar de eisende partij stelt – aanhangig worden gemaakt met het oog op het algemene belang. Dergelijke procedures worden ook wel aangeduid met de uit de Verenigde Staten overgewaaide term ‘public interest litigation’. Verschillende partijen kunnen daarmee een gerechtelijke uitspraak uitlokken over de vraag wie moet opdraaien voor zogeheten ‘strooischade’ die verspreid – door vele bedrijven en/of consumenten – wordt geleden.

Hét voorbeeld van een dergelijke procedure in Nederland is het al lang lopende geschil tussen de Consumentenbond en Samsung over het updatebeleid van Samsung bij haar smartphones. De Consumentenbond heeft eerst een kort geding aanhangig gemaakt, maar toen dat op procedurele gronden strandde heeft zij vervolgens haar geluk beproefd in een bodemprocedure. De Consumentenbond wilde – in haar eigen woorden – ‘een breed voorkomend probleem’ aan de kaak stellen: de informatieverplichtingen en veiligheid van met het internet verbonden producten voor consumenten.

Op 30 mei 2018 heeft Rechtbank Den Haag[1] zich in dat verband opnieuw uitgesproken over het beveiligingsbeleid van Samsung. De vorderingen van de Consumentenbond ten aanzien van de softwareondersteuning in verband met veiligheidsrisico’s van smartphones werden afgewezen. De stellingen van de Consumentenbond en de onderbouwing daarvan werden onvoldoende geacht om aan te nemen dat sprake is van een veiligheidsrisico, of dat het updatebeleid moet veranderen. Casuïstiek of een voorbode voor toekomstige, vergelijkbare zaken?

Achtergrond en ontvankelijkheid

Over de informatieverplichtingen van Samsung en de veiligheid van smartphones heeft de Consumentenbond een kort geding aanhangig gemaakt in 2016. Daarbij vorderde de Consumentenbond in een collectieve actie, op grond van art. 3:305a BW, dat Samsung alle kritieke beveiligingslekken van haar Android smartphones zou dichten.

De vorderingen in kort geding zijn, zoals gezegd, op procedurele gronden afgewezen.[2] De Consumentenbond had volgens de voorzieningenrechter het spoedeisend belang bij haar vorderingen onvoldoende aangetoond. Dat belang zou zijn gelegen in de aanwezigheid van beveiligingslekken en kwetsbaarheden in het Android besturingssysteem, maar dat vond de voorzieningenrechter dus niet aannemelijk.

Collectieve actie (3:305a BW).

De Consumentenbond bleef van mening dat Samsung te weinig doet in het kader van haar updatebeleid. Ook zou Samsung te weinig doen ter bestrijding van de veiligheidsrisico’s van kritieke kwetsbaarheden in Android (ontwikkeld door Google). Daarnaast stak het de Consumentenbond dat consumenten onvoldoende zouden worden geïnformeerd over het updatebeleid van Samsung. Daarom heeft de Consumentenbond een bodemprocedure aanhangig gemaakt.

Bij een collectieve actie zoals die van de Consumentenbond, moeten de vorderingen zich lenen voor ‘bundeling van belangen.’ De vorderingen van de Consumentenbond zien op veelsoortige en bovendien uiteenlopende gevallen: het gaat om verschillende smartphones, verschillende kwetsbaarheden en om veiligheidsrisico’s van verschillende aard en met uiteenlopende mate van ernst. Toch worden de belangen die de vorderingen beogen te dienen ‘gelijksoortig’ geoordeeld door de rechtbank, zodat ze gebundeld kunnen worden in een collectieve actie. De vorderingen van de Consumentenbond voldoen volgens de rechtbank dus aan de eisen die artikel 3:305a BW stelt. Wat ons betreft is dat oordeel correct.

Toekomstig handelen.

De Consumentenbond is echter niet-ontvankelijk geoordeeld voor zover haar vorderingen in de woorden van de rechtbank “in de toekomst kijken”. Een verklaring voor recht die ziet op toekomstige handelingen van Samsung, moet gaan over:

(i) een situatie waarin die handelingen onder alle omstandigheden onrechtmatigheid opleveren; waarbij
(ii) steeds een concreet belang is vereist, te weten een reële dreiging van onrechtmatig handelen.

In dit verband is de enkele stelling van Samsung dat software kwetsbaarheden kan bevatten die veiligheidsrisico’s kunnen opleveren, voor de rechtbank onvoldoende. Omdat de specifieke (technische) omstandigheden van de toekomst nog onbekend zijn, kan de rechtbank niet op voorhand beoordelen of de handelingen in de toekomst onrechtmatigheid zullen opleveren. Over de aard en de ernst van eventuele toekomstige veiligheidsrisico’s kan, net als over het toekomstig handelen van Samsung, dan ook niets worden besloten. Ook hiermee zijn wij het eens; de rechtbank past basale procesrechtelijke regels toe en de uitkomst op dit punt kan de advocaten van de Consumentenbond niet hebben verrast.

Vorderingen: updates, upgrades en informatie

De op de toekomst gerichte vorderingen worden – kortom – niet inhoudelijk behandeld, zodat de rechtbank zich beperkt tot de handelwijze van Samsung in het verleden en heden. Kort gezegd wil de Consumentenbond bewerkstelligen dat Samsung tijdig updates en upgrades voor de software op haar smartphones verstrekt, gedurende de normale levensduur van een smartphone. Ook zou Samsung meer informatie over haar updatebeleid en de risico’s van onveilige smartphones moeten geven.

De Consumentenbond heeft de vorderingen gegrond op meerdere leerstukken:

  • een oneerlijke handelspraktijk, te weten een misleidende praktijk in de zin van artikel 6:193b BW;
  • een misleidende omissie, te weten het achterhouden van essentiële informatie in de zin van artikel 6:193d BW en/of artikel 6:193 BW;
  • art. 7:17 BW over conformiteit en nakoming;
  • de algemene zorgplicht van Samsung ex art. 6:162 BW;
  • art. 13 Wet bescherming persoonsgegevens over passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen; en
  • de Radioapparaten Richtlijn.

Bij de bespreking van het gevorderde benadrukt de rechtbank dat voor toewijzing van de vorderingen steeds vereist is dat er een reëel veiligheidsrisico bestaat en dat Samsung te weinig doet om die aanzienlijke risico’s te bestrijden. De Consumentenbond had concreet moeten stellen en bewijzen dat hiervan sprake is. In de kern draait de uitspraak om deze regels van stelplicht en bewijslast, omdat de vorderingen dáárop stranden.

Updates en upgrades

Inzoomend op het niet tijdig verstrekken van updates en upgrades: Samsung voorziet smartphones met Android (het besturingssysteem van Google) niet altijd van upgrades en updates. De Consumentenbond wil er voor zorgen alle smartphones gedurende ‘de normale levensduur’[3] tijdig van upgrades en updates worden voorzien. Voor toewijzing van de vorderingen in dit verband, is vereist dat Samsung feitelijk – en aantoonbaar – te weinig doet ter bestrijding van reële veiligheidsrisico’s voor smartphone-gebruikers.

In het kader van de vereiste ‘reële veiligheidsrisico’s’ verwijst de Consumentenbond naar een aantal kwetsbaarheden in Android, die door Google als ‘critical’ zijn aangemerkt. Met betrekking tot de genoemde kwetsbaarheden is echter niet gesteld door de Consumentenbond dat deze een reëel veiligheidsrisico hebben opgeleverd. Ook is volgens de rechtbank niet aangetoond dat die gevaren zich op enig moment hebben verwezenlijkt, zodat de gevolgen van mogelijke beveiligingsproblemen onduidelijk blijven. Dat als ‘critical’ bestempelde kwetsbaarheden daadwerkelijk leiden tot gevaar, zodat van veiligheidsrisico’s sprake zou zijn, wordt daarom niet aangenomen door de rechtbank. Voor die conclusie is het betoog van de Consumentenbond te algemeen en ‘high-level’ geformuleerd.

Naast de vraag of er sprake is van ‘reële veiligheidsrisico’s’, moest worden beoordeeld of Samsung feitelijk ook onvoldoende doet om deze risico’s tegen te gaan. De Consumentenbond heeft haar stelling ook op dat punt onvoldoende concreet uitgelegd en onderbouwd, zodat ook dit is niet aangetoond. Voor het oordeel dat Samsung sneller zou moeten updaten, en dat het bedrijf ten onrechte updates achterwege laat, zijn specifieke overwegingen nodig die concrete aanknopingspunten bieden. Ook spelen technische afwegingen daarbij een rol. De door de Consumentenbond ingediende stukken wegen in dat verband volgens de rechtbank niet op tegen de meer specifieke en technische verklaringen van Samsung.

Samsung informeert voldoende over de risico’s van onveilige smartphones

Het verwijt dat Samsung klanten onvoldoende zou informeren, treft evenmin doel. Samsung geeft op haar website voldoende duidelijke en toegankelijke informatie over de onveiligheid van smartphones, zo vindt de rechtbank. Om de informatie te bereiken moet veel worden ‘doorgeklikt en doorgescrold’. Gelet op de weergave van de informatie op de website van Samsung, is de rechtbank klaarblijkelijk van oordeel dat van consumenten een actieve en oplettende houding mag worden verwacht.

En nu?

Deze ‘vlaggenschipzaak’ van de Consumentenbond is op voor haar pijnlijke wijze afgedaan op het niet hebben voldaan aan haar stelplicht. Niet alleen de gestelde beveiligingsrisico’s, maar ook het tekortschieten van Samsung is volgens de rechtbank onvoldoende duidelijk en aannemelijk gemaakt.

Het komt er dus op neer dat Samsung voor het update- en upgradeproces, dat complex is en waarbij veel partijen bij betrokken zijn, een voldoende robuust en evenwichtig systeem heeft om haar smartphones veilig te houden. Het beveiligingsbeleid van Samsung kan volgens de rechtbank door de beugel. De talloze juridische leerstukken die door de Consumentenbond zijn aangedragen laat de rechtbank daarmee veelal onbesproken.

Toch is de uitspraak relevant. Hij maakt duidelijk dat een rechter – in hoger beroep of een andere ‘public interest litigation-zaak’ – concrete en overtuigende aanknopingspunten moet worden aangereikt. Bij een collectieve actie ligt het gevaar op de loer dat het ‘claimvehikel’ te weinig inzoomt op concrete situaties en schades, en teveel in algemeenheden blijft hangen. Ook ligt er een normatief en juridisch element verscholen in deze uitspraak – zoals bekend is het ‘afdoen’ van een zaak op de stelplicht in feite ook een oordeel over waar de grens voor aansprakelijkheid in een concreet geval is gelegd. De rechtbank had immers, als zij had gewild, over onvolkomenheden in het gestelde heen kunnen stappen. De terughoudendheid lijkt terecht, vooral omdat anders een stortvloed aan vergelijkbare claims valt te verwachten. Kort gezegd: Gevaren dienen zich te hebben verwezenlijkt, althans risico’s dienen zeer reëel en concreet te zijn. Bewijsstukken moeten voldoende specifiek zijn en zien op het geschetste gevaar, waarbij technische specificaties niet uit het oog mogen worden verloren. Via deze invulling van de stelplicht wordt de juridische lat al met al hoog gelegd.

De normen die hier aan de orde waren, zijn voor veel partijen relevant. Ook de rechtbank overweegt dat het onderwerp waarvoor de Consumentenbond aandacht vraagt van groot maatschappelijk belang is. Toewijzing van onvoldoende ‘sterke’ vorderingen zou aanmerkelijke (technische) implicaties voor Samsung, andere elektronicaconcerns én andere producenten van hightech producten hebben. Wat ons intussen bezig houdt, is de vraag of de Consumentenbond haar geluk opnieuw zal beproeven in hoger beroep, of dat zij een andere ‘testcase’ zal uitzoeken waarin sprake is van meer evidente problemen.

Dit artikel is geschreven door:

Evelyn_72x100 Sonja_van_Harten_72x100
Evelyn Tjon-En-Fa  Sonja van Harten

[1] Rechtbank Den Haag 30 mei 2018, ECLI:RBDHA:2018:6310, Link: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2018:6310

[2] Rechtbank Amsterdam 8 maart 2016, ECLI:NL:RBAMS:2016:1175.

[3] Upgrades moeten volgens de Consumentenbond, binnen drie maanden na het uitbrengen van de upgrade te worden uitgevoerd. Rechtbank Den Haag 30 mei 2018, ECLI:RBDHA:2018:6310, r.o. 4.6.

 



Categories: Litigation

Tags: , , , , , , ,