Column


IT-jurist Peter van Schelven over…

Zorgplichten: bommetjes onder het securitygras?

Financiële instellingen in ons land zijn de laatste jaren in de rechtszaal regelmatig nat gegaan op het schenden van hun zorgplicht tegenover klanten. Spaar- en beleggingsproducten die in het verleden onder fantasierijke namen in de markt zijn gezet, bleken soms dermate complex dat vrijwel geen consument zonder goede voorlichting snapte wat hij kocht.

Banken kregen van de rechter meer dan eens de kous op de kop. In een lange reeks uitspraken is het principe vastgelegd dat zij vanwege hun maatschappelijke functie tegenover hun klanten een ‘bijzondere zorgplicht’ hebben.

Die zorgplicht kan bijvoorbeeld inhouden dat banken vanwege hun vooronderstelde deskundigheid klanten tevoren goed moeten adviseren of soms zelfs moeten waarschuwen om een financieel product niet te kopen. Die extra zware verantwoordelijkheid is nodig omdat de gemiddelde consument, aldus de rechtspraak, vertrouwen moet kunnen hebben in zoiets belangrijks als het financiële verkeer.

Cybersecurity
De ontwikkeling naar een bijzondere zorgplicht voor banken heeft de laatste tijd een sterke impuls gegeven aan de vraag of op het vlak van security ook voor ICT-leveranciers zorgplichten kunnen worden aangenomen. De kernvraag daarbij is in welke mate een ICT-leverancier zich de securitybelangen van zijn klanten dient aan te trekken.

Het onderwerp staat volop in de belangstelling, getuige het feit dat het inmiddels op de agenda van de Cyber Security Raad staat. Naar verwachting komt de Cyber Security Raad binnenkort met een praktische handreiking over zorgplichten rondom security.

Argusogen
In kringen van ICT-leveranciers worden zorgplichten op het gebied van security met argusogen bekeken. Terwijl de betere ICT-bedrijven zich terdege beseffen dat zij een gedegen bijdrage moeten leveren aan het vertrouwen van de samenleving in ICT en dus ook aan de security van ICT, vrezen zij dat zorgplichten als bommetjes onder het gras zijn. Zij zijn er wel, maar je ziet ze niet en zij kunnen onverwachts tot ontploffing komen. Immers, je vindt de inhoud van een zorgplicht niet hard in de wet omschreven. De rechter die in een concreet geval een zorgplicht meent te moeten aannemen, doet dat na een ad-hocafweging van belangen van de ICT-leverancier en van de betrokken gebruiker. Zo’n afweging is tot op zekere hoogte onvoorspelbaar.

Tot op heden hebben ICT-leveranciers in de rechtspraak nog weinig last gehad van zorgplichten. Een sprekend voorbeeld vormt het vonnis van 8 maart van dit jaar in een kort geding dat door de Consumentenbond tegen Samsung was aangespannen. In deze rechtszaak draaide het om het bekende stagefright-lek dat op Android-smartphones van Samsung was aangetroffen. De Consumentenbond verweet Samsung onder meer dat zij consumenten niet goed had geïnformeerd over dit in zijn ogen ernstig beveiligingslek en tevens dat het consumenten bij de aankoop van een smartphone in het ongewisse had gelaten over de vraag of – en zo ja hoe lang – zij na aankoop security-updates kunnen ontvangen. De Consumentenbond vorderde daarom onder meer gratis updates.

Bloed
In de procedure trok de Consumentenbonden echter aan het kortste eind. De rechter oordeelde dat het op het eerste gezicht niet aannemelijk is dat het bij het stagefright-lek om een zo acuut beveiligingsrisico gaat als de Consumentenbond had doen voorkomen. Samen met Samsung meende de rechtbank voorts dat de kans gering is dat een succesvolle exploit voor dit lek voor alle modellen van de smartphones wordt ontwikkeld. Ook had de Consumentenbond nagelaten aannemelijk te maken dat er daadwerkelijk een smartphone gehackt was, aldus de rechter. Het lijkt erop dat de rechter denkt: ik zie nergens slachtoffers van dit beveiligingslek, dan is er dus ook geen goede grond voor een dergelijke procedure. De zorgplicht gaat in die visie dus niet ver: de rechter wil kennelijk eerst bloed zien.

Security-updates
Het is zeer de vraag of een dergelijke motivering de toets der kritiek kan doorstaan. Securityvoorzieningen zijn naar hun aard immers gericht op het voorkomen van benadeelden en slachtoffers en het lijkt erop dat de rechter dat in deze kwestie over het hoofd heeft gezien. Zou dat anders zijn geweest, dan zou de zorgplicht wel eens zo ver kunnen gaan dat aan consumenten – personen die niet handelen in het kader van een bedrijf of beroep – tot enkele jaren na aankoop van een smartphone security-updates verstrekt moeten worden. Voor die gedachte valt naar ik meen wel wat te zeggen, al besef ik me dat één enkele uitspraak van een Nederlandse rechter het wereldwijde securitybeleid van een ICT-leverancier kan doorkruisen. Ook dat laatste is een belang waar de rechter in voorkomend geval rekening mee moet houden.

Hoe je tegen dit vraagstuk ook aankijkt, meer in het algemeen geldt dat verstandige ICT-leveranciers meer dan ooit rekening moeten houden met het idee dat naar Nederlands recht zorgplichten op hun pad komen, met name in verhoudingen tot consumenten. Voor banken bestaan ze al, voor ICT-leveranciers hangen ze in de lucht.


Lees meer over