DAGVAARDING
Heden, de op verzoek van:
1. de vereniging met volledige rechtsbevoegdheid CONSUMENTENBOND (hierna: de “Consumentenbond”), gevestigd te Den Haag en kantoorhoudende te (2521DA) Den Haag, aan het Enthovenplein 1;
Voor deze zaak woonplaats kiezende te (1077 AR) Amsterdam aan de Apollolaan 151, ten kantore van bureau Brandeis, waarvan mr. Chr. A. Alberdingk Thijm, mr. X.X.X. xx Xxxxx en mr.
X.X. xxx Xxxxx in deze zaak als advocaat optreden en als zodanig worden gesteld,
Heb ik,
GEDAGVAARD:
1. de besloten vennootschap Samsung Electronics Benelux B.V., statutair gevestigd te Delft en kantoorhoudende te (1118CX) Schiphol aan de Xxxxx xxx xx Xxxxxxxxxx 000, te dezer zake woonplaats kiezende te (1077 AB) Amsterdam aan de Apollolaan 15 ten kantore van xx. X. Xxxxxxxxx;
aldaar dit exploot gedaan en afschrift van dit exploot:
❑ gelaten aan:
❑ achtergelaten in een gesloten envelop waarop de door de wet voorgeschreven gegevens zijn vermeld, omdat ik daar niemand aantrof aan wie ik rechtsgeldig een afschrift kon laten,
2. de vennootschap naar vreemd recht Samsung Electronics Co. Ltd., kantoorhoudende te Maetan 0-Xxxx, Xxxxxx-Xx 000, Xxxxx Xxxx, Xxxxxxx-Xx (Korea), te dezer zake woonplaats kiezende te (1077 AB) Amsterdam aan de Apollolaan 15 ten kantore van xx. X. Xxxxxxxxx (hierna gezamenlijk ook wel: “Samsung”)
aldaar dit exploot gedaan en afschrift van dit exploot:
❑ gelaten aan:
❑ achtergelaten in een gesloten envelop waarop de door de wet voorgeschreven gegevens zijn vermeld, omdat ik daar niemand aantrof aan wie ik rechtsgeldig een afschrift kon laten,
OM:
datum
op woensdag (de “Roldatum”), des voormiddags te tien uur (10:00 uur), niet in
persoon, maar vertegenwoordigd door een advocaat, te verschijnen in het geding ten overstaan van de rechtbank Den Haag, te houden in het gerechtsgebouw aan de Xxxxx Xxxxxxxxx 00 xx (0000 XX) Xxx Xxxx,
MET AANZEGGING DAT:
✓ indien een gedaagde niet uiterlijk op de eerste of op een door de rechter nader bepaalde roldatum een advocaat stelt of het hierna te noemen griffierecht niet tijdig betaalt, en de voorgeschreven termijnen en formaliteiten in acht zijn genomen, de rechtbank verstek zal verlenen tegen die gedaagde en de hierna omschreven vorderingen zal toewijzen, tenzij deze haar onrechtmatig of ongegrond voorkomen;
✓ indien ten minste één van de gedaagden in het geding verschijnt en het griffierecht tijdig heeft voldaan, tussen alle partijen één vonnis zal worden gewezen, dat als een vonnis op tegenspraak wordt beschouwd;
✓ bij verschijning in het geding van ieder van de gedaagde een griffierecht zal worden geheven, te voldoen binnen vier weken te rekenen vanaf het tijdstip van verschijning. De hoogte van de griffierechten is vermeld in de meest recente bijlage behorend bij de Wet griffierechten burgerlijke zaken, die onder meer is te vinden op de website xxx.xxxx.xx/xxxxxxxxxxxxxxxxxxx;
✓ van een persoon die onvermogend is, een bij of krachtens de wet vastgesteld griffierecht voor onvermogenden wordt geheven, indien hij op het tijdstip waarop het griffierecht wordt geheven heeft overgelegd:
- een afschrift van het besluit tot toevoeging, bedoeld in artikel 29 van de Wet op de rechtsbijstand, of indien dit niet mogelijk is ten gevolge van omstandigheden die redelijkerwijs niet aan hem zijn toe te rekenen, een afschrift van de aanvraag, bedoeld in artikel 24, tweede lid, van de Wet op de rechtsbijstand, dan wel
- een verklaring van de raad als bedoeld in artikel 1, onder b, van die wet, waaruit blijkt dat zijn inkomen niet meer bedraagt dan de bedragen, bedoeld in artikel 35, derde en vierde lid, telkens onderdelen a tot en met d dan wel in die artikelleden, telkens onderdeel e, van die wet, met dien verstande dat als gevolg van een inmiddels van kracht geworden wijziging van de Wet op de rechtsbijstand nu geldt dat de verklaring wordt verstrekt door het bestuur van de raad voor rechtsbijstand, bedoeld in artikel 2 van die wet, terwijl de bedragen waaraan het
inkomen wordt getoetst zijn vermeld in artikel 2, eerste en tweede lid, van het Besluit eigen bijdrage rechtsbijstand;
✓ van gedaagden die bij dezelfde advocaat verschijnen en gelijkluidende conclusies nemen of
gelijkluidend verweer voeren, op basis van artikel 15 van de Wet griffierechten burgerlijke zaken slechts eenmaal een gezamenlijk griffierecht wordt geheven;
TENEINDE:
te antwoorden op de volgende vorderingen van de Consumentenbond:
INHOUDSOPGAVE
Markt van smartphones en marktpositie van Samsung 6
Het belang van Updates en Upgrades 9
Updates en Upgrade performance data 14
Overleg Consumentenbond en Samsung 19
Non-conformiteit (art. 7:17 BW) 22
Mededelingen Samsung en Google 26
Standaarden en zorgplichten in de markt voor veiligheid en beveiliging 27
Artikel 13 Wet bescherming persoonsgegevens 27
Niet (tijdig) verstrekken van Updates en Upgrades is een oneerlijke handelspraktijk 31
Toepasselijkheid artikel 7:17 BW 40
Kwetsbaarheden inherent aan software 41
INLEIDING
1. Deze zaak gaat over de vraag of Samsung de software op haar smartphones tijdig moet voorzien van (beschikbare) updates en upgrades en welke informatie Samsung de consument moet verstrekken ten aanzien van haar update- en upgradebeleid.
2. Inzet van deze procedure is een tweetal verklaringen voor recht dat Samsung, kort gezegd, in strijd handelt met de zorgvuldigheid die van haar in het maatschappelijk verkeer mag worden verwacht en/of in strijd handelt met een aantal specifieke wettelijke verplichtingen door (i) niet en/of niet tijdig updates en/of upgrades te verstrekken en (ii) door consumenten niet op heldere wijze te informeren over het update- en upgradebeleid.
3. De Consumentenbond verzoekt uw Rechtbank verder Samsung te bevelen binnen een maand nadat deze beschikbaar komen software updates en upgrades te verstrekken gedurende een periode van vier jaar na de introductie op de markt en/of twee jaar na het moment van verkoop.
4. De Consumentenbond vraagt uw Rechtbank ook, kort gezegd, Samsung te bevelen op duidelijke en ondubbelzinnige wijze consumenten te informeren over haar update- en upgradebeleid met betrekking tot ieder model dat Samsung op de markt heeft gebracht of zal brengen.
5. Deze procedure speelt zich af tegen de achtergrond van het toenemende belang van de smartphone in onze samenleving en de inherente veiligheidsrisico’s die daarmee gepaard gaan. Veiligheidsrisico’s die Samsung kan afwenden door tijdig de software op haar toestellen te updaten. Bovendien kan de consument bij gebrek aan deugdelijke informatie over het beleid van Samsung geen geïnformeerde aankoopbeslissing nemen.
6. De Consumentenbond heeft eerder een kort geding tegen Samsung gevoerd (productie 1), gelet op de dreiging van het zgn. Stagefright lek. De voorzieningenrechter van de Rechtbank Amsterdam heeft de vorderingen van de Consumentenbond toen afgewezen, onder meer, vanwege het ontbreken van een spoedeisend belang.1 Om alsnog te bewerkstelligen dat Samsung haar smartphones daadwerkelijk en voor de volledige levensduur van de smartphone voorziet van updates en upgrades, start de Consumentenbond deze bodemprocedure.
FEITEN
Consumentenbond
7. De Consumentenbond is een vereniging met volledige rechtsbevoegdheid die zich ten doel stelt de belangen van de consumenten in het algemeen en van de leden van de bond in het bijzonder in Nederland – en voor zover mogelijk en zo nodig daarbuiten – te behartigen (productie 2 en
1 Vzr Rb Amsterdam 8 maart 2016, ECLI:NL:RBAMS:2016:1175
3).
8. In het kader van deze doelstelling informeert de Consumentenbond consumenten over de deugdelijkheid van producten en diensten, onder meer van smartphones en benadrukt zij het belang van veiligheid en privacy, zoals onder meer blijkt uit de acties Updaten!, Stop DigiDwang! en Helder over Online Privacy (productie 4).
Markt van smartphones en marktpositie van Samsung
9. Vier op de vijf Nederlanders bezit een smartphone, ofwel een telefoon die uitgebreide computermogelijkheden biedt. Een smartphone combineert de kenmerken van een mobiele telefoon met die van een personal computer.
10. De basis van elke smartphone is het besturingssysteem, de software die de hardware (de smartphone) aanstuurt en die fungeert als medium tussen de smartphone en de gebruiker, de consument. De consument herkent een besturingssysteem voornamelijk aan de vormgeving.
11. De meest gebruikte besturingssystemen zijn Android van Google, iOS van Apple en Windows Phone van Microsoft.
12. Daarbinnen dekken Android en iOS samen het overgrote deel (meer dan 90%) van de smartphonemarkt. Android is marktleider, zowel wereldwijd als in Nederland. In 2013 draaide meer dan 75% van alle verkochte toestellen wereldwijd op Android. Ook in Nederland is Android dominant. Volgens recente cijfers van GfK over januari-juni 2016 is het Android aandeel op het totaal aantal smartphones 66%.
13. Samsung is wereldwijd marktleider op het gebied van smartphones en de grootste aanbieder van smartphones met het Android besturingssysteem. Wereldwijd vertegenwoordigt Samsung meer dan 45% van de markt. In Nederland is het aandeel van Samsung in alle smartphones 41,7%.2 Binnen Android vertegenwoordigt het aandeel van Samsung 63,1%. Daarmee is Samsung markleider in Nederland op het gebied van smartphones. Deze cijfers worden bevestigd door de Global Mobile Consumer Survey over 2015 van Deloitte (productie 5).
14. Samsung verkoopt een groot assortiment smartphones, onder meer via haar website.3 De toestellen van Samsung zijn daarnaast verkrijgbaar via andere webshops, zoals CoolBlue en Xxx.xxx en via de (web)winkels van telecomproviders zoals KPN en Vodafone.
Android
2 In 2015 was dit 40,5 %, zie de Deloiite Global Mobile Consumer Survey 2015.
3 xxxx://xxx.xxxxxxx.xxx/xx/xxxxxxxx/xxxxxx-xxxxx/xxxxxxxxxxx/xxxxxxxxxxx/.
15. Het Android besturingssysteem is ontwikkeld door Google en wordt sinds 2007 open source aangeboden (productie 6). Het besturingssysteem wordt gratis aangeboden door Google en iedereen mag er mee werken.
16. Android is het meest gebruikte besturingssysteem op smartphones. Naast Samsung maken ook fabrikanten als HTC, LG, Sony en Huawei gebruik van Android als besturingssysteem.
17. Android is dus de basis van elke Samsung smartphone.
Updates en Upgrades
18. Inherent aan software en dus ook aan het Android besturingsprogramma is dat deze kwetsbaarheden bevat of gaat bevatten, waardoor misbruik mogelijk is. Daarom werkt Google continu aan het verbeteren van de veiligheid en beveiliging van Android. Op de security-pagina van de Android website omschrijft Google welke maatregelen zij neemt om de veiligheid van Android te waarborgen (productie 7).4
The first task in handling a security vulnerability is to identify the severity of the bug and which component of Android is affected. The severity determines how the issue is prioritized, and the component determines who fixes the bug, who is notified, and how the fix gets deployed to users. […] The severity of a bug generally reflects the potential harm that could occur if a bug was successfully exploited.5
20. De meest ernstige kwetsbaarheden (bugs) krijgen de kwalificatie “critical”, wat wil zeggen dat kwaadwillenden bij succesvolle “exploitation” een zogenaamde “remote root” mogelijkheid krijgen. 6 Dit betekent dat kwaadwillenden op afstand volledige controle over het apparaat kunnen krijgen.
21. Andere kwalificaties zijn “high”, “moderate” en “low”. In het geval van een “high”-rating kunnen kwaadwillenden nog steeds toegang krijgen tot data die normaliter niet vrijelijk toegankelijk is.
4 xxxxx://xxxxxx.xxxxxxx.xxx/xxxxxxxx/ en xxxxx://xxxxxx.xxxxxxx.xxx/xxxxxxxx/xxxxxxxx/xxxxxxx-xxxxxxxxx.xxxx.
5 xxxxx://xxxxxx.xxxxxxx.xxx/xxxxxxxx/xxxxxxxx/xxxxxxx-xxxxxxxxx.xxxx#xxxxxxxx_xxxx.
6 Op de website omschrijft Google dit als volgt: “A remote attack vector indicates the bug could be exploited without installing an app or without physical access to the device. This includes bugs that could be triggered by browsing to a web page, reading an email, receiving an SMS message, or connecting to a hostile network”.
22. Kwetsbaarheden in de software worden gerepareerd met een zogenaamde “patch” (pleister), een stukje software dat de fout repareert. Zodra Google een kwetsbaarheid of lek vindt in Android, maakt zij daarvoor een “patch” (hierna: “Update”), en informeert zij vervolgens haar partners die Android gebruiken en stelt zij tegelijkertijd de Update beschikbaar.
23. Google maakt in ieder geval Updates voor de versies van Android die de afgelopen drie jaar zijn verschenen.
When a moderate or higher severity security vulnerability in AOSP [Android Open Source Project, advocaat] is fixed, we'll notify Android partners of issue details and provide patches for a minimum of the most recent three Android releases. The Android security team currently provides patches for Android versions 4.4 (KitKat), 5.0 (Lollipop), 5.1 (Lollipop MR1), and 6.0 (Marshmallow). This list of backport-supported versions changes with each new Android release.7
24. Het verstrekken van Updates doet Google via maandelijkse Android Security Bulletins (productie 7). Volgens het “Security program overview” is het verstrekken van deze maandelijks security Updates één van de “key components” van het Android beveiligingsprogramma en “an important tool to make and keep Android users safe”. 8 In de Security Bulletins omschrijft Google de kwetsbaarheden die zijn gevonden, de ernst daarvan, en (de werking van de) Updates.
25. Updates worden door Google beschikbaar gesteld voor Google Pixel (tot voor kort: Nexus) apparaten, de eigen smartphone van Google)9 en aan alle fabrikanten waarmee zij samenwerkt (“all our device manufacturing partners”). Vervolgens is het aan deze fabrikanten, zoals Samsung, om deze Updates aan te passen en te installeren op de door hen aangeboden smartphones.
26. In het kader van transparantie publiceert Google sinds 2014 jaarlijks Android Security Reports (productie 7), waarin zij het beveiligingsproces van Google in relatie tot Android nog eens omschrijft. 10 Daaruit blijkt ook dat Google het doorvoeren van maandelijkse updates door fabrikanten stimuleert, onder meer door een Android Security patch level te introduceren.
We continued to provide device manufacturers with ongoing support for fixing security vulnerabilities in devices, and have expanded the program to include monthly public
7 xxxxx://xxxxxx.xxxxxxx.xxx/xxxxxxxx/xxxxxxxx/xxxxxxx-xxxxxxxxx.xxxx.
8 xxxxx://xxxxxx.xxxxxxx.xxx/xxxxxxxx/xxxxxxxx/xxxxx.xxxx.
9 Google Pixel (tot voor kort: Nexusl) is een serie van mobiele toestellen geproduceerd door Google in samenwerking met verschillende hardwarefabrikanten. De fabrikant varieert per keer.
10xxxxx://xxxxxx.xxxxxxxxxxxxxxxxx.xxx/xxxxx/xxxxxx.xxxxxxx.xxx/xx/xx/xxxxxxx/xxxx/xxxxxxxx/xxxxxxx/ Google_Android_Security_2014_Report_Final.pdf en xxxx://xxxxxx.xxxxxxxxxxxxxxxxx.xxx/xxxxx/xxxxxx.xxxxxxx.xxx/xx// security/reports/Google_Android_Security_2015_Report_Final.pdf.
security bulletins with security patches released to the Android Open Source Project (AOSP). In addition to the updates that we release for Nexus devices, several device manufacturers and network providers are also working toward monthly updates of their devices and services for users. As part of this process, we introduced the Android security patch level, which makes checking if an Android device is up-to-date with all security patches as simple as knowing today’s date.
27. Sinds de eerste introductie van Android in 2008 zijn er veel nieuwe functies toegevoegd en wijzigingen aangebracht. Net zoals Apple regelmatig nieuwe versies (van iOS 4 in 2010 naar iOS 10 in 2016) uitbrengt, zijn er inmiddels 24 versies van Android verschenen. Zo werd in 2012 “Jelly Bean” gelanceerd, gevolgd door “KitKat” in 2013, “Lollipop” in 2014 en “Marshmallow” in 2015. De meest recente versie van Android dateert van 22 augustus 2016 en is bekend onder de naam “Nougat”. Deze nieuwe versies van het besturingssysteem zullen in het vervolg ook wel worden aangeduid met de term “Upgrades”.
28. Upgrades bevatten veelal nieuwe functionaliteiten (denk aan notificatieschermen en opties als vingerafdrukscanners), applicaties, performanceverbeteringen (zoals snelheid en batterijduur) en/of nieuwe vormgevingselementen.
29. Upgrades kunnen echter ook beveiligingsupdates - en instellingen bevatten. Zo bood Android Marshmallow consumenten voor het eerst de mogelijkheid om per applicatie (individueel) permissies te geven voor het delen van (persoons)gegevens in plaats van (voor het geheel) in de Google Play Store, 11 zoals onder Lollipop nog het geval was (productie 8).12 Met deze wijziging, waarmee consumenten zelf kunnen bepalen wat zij wanneer delen en de app- machtingen op elk moment kunnen in- of uitschakelen, wordt in belangrijke mate tegemoet gekomen aan de privacy van consumenten. Hiermee onderkent Android dat apps niet continu toegang nodig hebben tot de (locatie)gegevens van consumenten.
Het belang van Updates en Upgrades
30. Updates en Upgrades zijn van essentieel belang om de informatieveiligheid (cybersecurity) en bescherming van persoonsgegevens van consumenten te kunnen garanderen. Daar zijn alle partijen het over eens.
31. In de Richtsnoeren Beveiliging van Persoonsgegevens zet de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens) uiteen wat een “passend beveiligingsniveau” inhoudt. De toezichthouder hanteert als uitgangspunt een aantal beveiligingsmaatregelen die binnen het vakgebied informatiebeveiliging gebruikelijk en
11 Via de Google Play Store kunnen gebruikers gratis en betaalde apps vinden en filteren. Google Play is vergelijkbaar met de IOS App Store.
12 xxxxx://xx.xxxxxxxxx.xxx/xxxx/Xxxxxxx_(xxxxxxxxxxxxxxxxx).
Software, zoals browsers, virusscanners en operating systems, wordt up-to-date gehouden. Ook installeert de verantwoordelijke tijdig oplossingen die de leverancier uitbrengt voor beveiligingslekken in deze software. Meer in het algemeen verkrijgt de verantwoordelijke tijdig informatie over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden wordt geëvalueerd en de verantwoordelijke treft geschikte maatregelen voor de behandeling van de risico’s die daarmee samenhangen.13
33. Het belang van het tijdig uitbrengen van “patches’ (ofwel: Updates) is ook onderstreept door de rechtbank Rotterdam in een zaak waarin het ging om de vraag of KPN voldoende maatregelen had getroffen om een kwetsbaarheid in haar netwerk tijdig te verhelpen. Volgens de rechtbank moest KPN maatregelen treffen om kwetsbaarheden in de software te verhelpen door onder meer het uitbrengen van “patches”. Omdat KPN de betrokken software gedurende een periode niet had gepatcht, had KPN haar zorgplicht geschonden.
Voorts is niet weerlegd dat eiseres ten tijde in geding geen centrale coördinatie uitvoerde ter zake van patchmanagement, dat werkzaamheden met betrekking tot het vinden van kwetsbaarheden slechts voor een deel van het door ACM in het onderzoek centraal gestelde deel van het netwerk is uitgevoerd en dat de in rechtsoverweging 1.5 genoemde software gedurende een periode niet is gepatcht.14
13 CBP Richtsnoeren Beveiliging van Persoonsgegevens, februari 2013. Te vinden op: xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/ sites/default/files/downloads/rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf.
& Markt had KPN naar het oordeel van de rechtbank terecht een boete opgelegd voor het onvoldoende beveiligen van klantgegevens.15
35. Het belang van Updates op mobiele apparaten blijkt ook uit een onderzoek dat de Federal Communications Commission (FCC) en de Federal Trade Commission (FTC) in de Verenigde Staten momenteel doen naar het (gebrekkige) upgrade- en updateproces van fabrikanten van smartphones (productie 9 a en 9 b).16 De toezichthouders maken zich zorgen dat Updates met veel vertraging beschikbaar worden gemaakt voor smartphones, en dat sommige, oudere apparaten überhaupt geen Updates ontvangen. De toezichthouders vroegen onder meer Samsung en Google om hun updatebeleid toe te lichten.
Consumers may be left unprotected, for long periods of time or even indefinitely, by any delays in patching vulnerabilities once they are discovered. To date, operating system providers, original equipment manufacturers, and mobile service providers have responded to address vulnerabilities as they arise. There are, however, significant delays in delivering patches to actual devices—and that older devices may never be patched.17
36. De fabrikanten kregen 45 dagen om te antwoorden op een uitgebreide questionnaire (productie 9 c) over hun Updateproces en de selectie van toestellen die Updates krijgen.
In order to gain a better understanding of security in the mobile ecosystem, the Federal Trade Commission has issued orders to eight mobile device manufacturers requiring them to provide the agency with information about how they issue security updates to address vulnerabilities in smartphones, tablets, and other mobile devices.18
37. Ten aanzien van HTC formuleerde de FTC eerder in 2013 al een klacht waarin geconcludeerd wordt dat HTC “failed to employ reasonable and appropriate security in the design and customization of the software on its mobile devices” (productie 10, randnummer 7). De klacht mondde uiteindelijk uit in een schikking. Onderdeel daarvan is niet alleen dat HTC tijdig patches (Updates) moet uitbrengen, maar ook dat HTC de komende 20 jaar onder verscherpt toezicht staat. 19
00 Xx. Xxxxxxxxx 8 januari 2015, ECLI:NL:RBROT:2015:22 (KPN/ACM).
16 xxxx://xxx.xxxxxxxxx.xxx/xxxx/xxxxxxxx/0000-00-00/xxxxx-xxxxxx-xxx-xxxxxxxx-xxxxxxxx-xxxxx-xx-x-x-xxxxx-xxxxxxxx.
17 xxxx://xxxxxxxxxx.xxx.xxx/Xxxxx_Xxxxxxxx/Xxxxx_Xxxxxxxx/0000/xx0000/XXX-000000X0.xxx.
18 xxxxx://xxx.xxx.xxx/xxxx-xxxxxx/xxxxx-xxxxxxxx/0000/00/xxx-xxxxx-xxxxxx-xxxxxx-xxxxxxxxx-xxxxxxxx-xxxxxx-xxxxxxxxx.
in de software te verhelpen (productie 11). Software waarvan de “End-of-Life” datum is verstreken, dat wil zeggen de datum waarna de software niet langer ondersteund wordt met Upgrades en Updates, is volgens het NCSC niet langer houdbaar en kan niet langer als veilig worden beschouwd.
39. Het zijn slechts voorbeelden. Ook talloze partijen en instanties benadrukken het belang van Updates en Upgrades. In dit kader startte bijvoorbeeld Europol in oktober 2016 een campagne om de gevolgen van “mobile malware” tegen te gaan, oftewel schadelijke software die zich richt op smartphones (productie 12). Updates zijn een belangrijk middel in dit verband.20 Alert Online adviseert tevens om alle software zo snel mogelijk te updaten om te voorkomen dat virussen gebruikmaken van kwetsbaarheden in oude versies.21
41. Een bekende kwetsbaarheid in Android-software is bijvoorbeeld het in juli 2015 door Zimperium bekend gemaakte beveiligingslek Stagefright (productie 13 a). Dit lek is aangetroffen op alle Android-versies vanaf Android 2.2 (Froyo uit 2010), wat betekent dat vrijwel alle miljoenen Android-smartphones die momenteel in omloop zijn eraan blootgesteld zijn of waren.
42. Door middel van het Stagefright lek kunnen kwaadwillenden in potentie op afstand volledig toegang krijgen tot een Android-smartphone, zonder dat enige handeling van de consument vereist is en zonder dat de consument daar zelfs maar iets van merkt. Om die reden kreeg het Stagefright-lek van Google de kwalificatie “critical” (productie 13 b). De risico’s van Stagefright zijn het grootst bij toestellen die op Android 4.0 of lager draaien, wat het zelfstandige belang van Upgrades, naast Updates, onderstreept.
43. Het was dit Stagefright-lek dat voor Google aanleiding vormde het security-beleid van Android aan te scherpen en de maandelijkse Updates te introduceren, zo wordt onder meer omschreven in een artikel in Bloomberg (productie 14).
20 xxxxx://xxx.xxxxxxx.xxxxxx.xx/xxxxxxx/xxxxxx-xxxxxxx.
21 xxxxx://xxx.xxxxxxxxxxx.xx/.
44. Andere bekende kwetsbaarheden zijn Fake ID, TowelRoot, ObjectInputStream deserializable, One class to rule them all22 en de zeer recente lek Drammer.23
As consumers and businesses turn to mobile broadband to conduct ever more of their daily activities, the safety of their communications and other personal information is directly related to the security of the devices they use. There have recently been a growing number of vulnerabilities associated with mobile operating systems that threaten the security and integrity of a user’s device, including “Stagefright” in the Android operating system, which may affect almost 1 billion Android devices globally.24
46. Hierboven (randnummers #) is al uiteengezet dat Google Updates als een belangrijk middel beschouwt om de veiligheid van gebruikers te kunnen waarborgen, reden waarom zij deze maandelijks aanbiedt aan fabrikanten die Android gebruiken.
47. Ook Samsung zelf lijkt het belang van Updates en Upgrades op de door haar verkochte mobiele apparaten te onderkennen. In de “licentieovereenkomst voor eindgebruikers van
software” (ofwel de “end user license agreement”, de “EULA”) die zij sluit met consumenten op het moment dat zij hun smartphone installeren (productie 15) verbindt zij zich er ook toe deze te verstrekken.
48. Artikel 4 van deze licentieovereenkomst (“Updates voor software van Samsung”) gaat over Updates en Upgrades. Volgens dit artikel is Samsung bevoegd updates, upgrades, aanvullingen en add-ons voor de software van Samsung ter beschikking te stellen na de datum waarop de consument het oorspronkelijke exemplaar van de software van Samsung heeft verkregen. De licentieovereenkomst is volgens artikel 4 ook van toepassing op deze latere Updates.
Samsung is bevoegd u updates, upgrades, aanvullingen en add-ons (indien van toepassing) voor de Software van Samsung ter beschikking te stellen, waaronder bugfixes, service-upgrades (geheel of gedeeltelijk) en –updates, verbeteringen en functieverbeteringen of verwijderingen van Software van Samsung (inclusief volledig
22 Deze recente lekken (2014-2015) zijn tevens gebruikt in een onderzoek van de University of Cambridge, zie http:// xxxxxxxxxxxxxxxxxxxxxx.xxx/xxxxx .
23 xxxx://xxx.xx.xx/xxxxxx/0000000/xxxxxxxxxxx-xxxxxxxxxxxx-xxxxxx-xxxxxxx-xxxxx-xxx-xx-xxxxxxx.xxxx/.
24 xxxx://xxxxxxxxxx.xxx.xxx/Xxxxx_Xxxxxxxx/Xxxxx_Xxxxxxxx/0000/xx0000/XXX-000000X0.xxx.
nieuwe versies) (gezamenlijk aangeduid als de ‘Update’) na de datum waarop u het oorspronkelijke exemplaar van de Software van Samsung hebt verkregen. Deze licentieovereenkomst voor eindgebruikers is van toepassing op alle onderdelen van de Update […] (productie 15, p.11).
49. In hetzelfde artikel benadrukt Samsung het belang van Updates voor de beveiliging van de smartphone. Om die reden kunnen Updates ook automatisch, zonder toestemming van de consument, worden gedownload en geïnstalleerd. Verder adviseert Samsung consumenten, met het oog op de veiligheid, om regelmatig te controleren op nieuwe Updates.
Aangezien het van groot belang is dat u Updates voor beveiligingssoftware op tijd ontvangt zodat het systeem wordt beschermd tegen nieuwe bedreigingen, kunnen beveiligingsupdates zonder uw toestemming worden gedownload en geïnstalleerd, zelfs als u de functie “updates automatisch downloaden” hebt uitgeschakeld. Hiermee is uw mobiele apparaat van Samsung beveiligd en daarnaast elk mobiele apparaat van Samsung dat wordt gebruikt via het concept “herd” of “community immunity”. Voor optimaal gebruik van uw apparaat raden we u aan regelmatig te controleren op nieuwe updates. (productie 15, p.11)
50. Ook op haar website en Mobile Security Blog benadrukt Samsung “the importance of protecting our users’ security and privacy” en committeert zij zich tot het zo spoedig mogelijk leveren van Updates aan consumenten. (productie 16 c).
Updates en Upgrade performance data
51. Helaas is van deze toezeggingen van Samsung in de praktijk weinig te merken. In werkelijkheid duurt het vaak maanden voordat Updates beschikbaar zijn voor installatie door de consument op de verschillende smartphones van Samsung. Voor sommige toestellen worden die Updates in het geheel niet verstrekt, zoals ook de FTC en FCC signaleren.
52. In juli 2015 is de Consumentenbond de campagne “Updaten!” gestart (productie 4). Met deze campagne dringt de Consumentenbond er bij fabrikanten op aan smartphones langer te ondersteunen met updates. Aanleiding voor de campagne is een onderzoek van de Consumentenbond in juli 2015 (productie 17 Digitaalgids). Daaruit blijkt dat veel Android- toestellen van Samsung niet worden ondersteund met de nieuwste software en dat een groot deel van de toestellen zelfs draait op een onveilige versie van Android.
53. Illustratief is het Stagefright-lek. Hoewel Google binnen een week na ontdekking van het lek een Update beschikbaar had gemaakt voor haar partners, heeft het vervolgens nog eens 3 á 4 maanden geduurd voordat Samsung deze ook daadwerkelijk begon door te zetten naar haar toestellen.
54. De wijze waarop Samsung Updates doorvoert, binnen welke termijn en via welke processen, is onvoldoende transparant.
55. Op een FAQ-pagina op Samsung’s website met de titel “Software ondersteuning Samsung” (productie 16 b)25 staat te lezen dat Samsung ernaar streeft Updates zo snel
mogelijk voor zoveel mogelijk toestellen uit te rollen, maar dat het ook zomaar kan dat een bepaald toestel geen Updates krijgt.
Als er een bug of beveiligingskwetsbaarheid in Android wordt gevonden, maakt Google daarvoor een patch (herstelsoftware). We gaan die patch zo snel mogelijk testen en aan onze partners (mobiele providers) voorleggen. We willen een patch pas uitrollen nadat we zeker weten dat onze toestellen ook na installatie van die patch aan onze hoge eisen van gebruikerservaring en veiligheid voldoen. Het kan echter zijn dat bepaalde updates voor jouw toestel niet beschikbaar zullen komen.
56. Op de pagina wordt ook melding gemaakt van een wereldwijd maandelijks update-programma dat Samsung in oktober 2015 is gestart voor “geselecteerde toestellen”, zoals de Galaxy S7, S7 edge, S6, S6 edge, S6 edge+, S5, Note 4 en Tab S2. Deze maandelijkse cyclus geldt dus enkel voor een select aantal populaire toestellen. Voor andere toestellen wordt de mogelijkheid van security Updates per kwartaal onderzocht, aldus de informatiepagina.
57. Op Samsung’s Engelstalige Mobile Security Blog (productie 16 c), die zij sinds oktober 2015 bijhoudt, staat een overzicht van beschikbare patches uit de maandelijkse patch cyclus. De blog vermeldt welke lekken in de (Android) software zijn gedicht, maar niet welke lekken (nog) niet zijn gedicht.
58. De vraag hoe lang smartphones van Samsung in zijn algemeenheid van Updates worden voorzien, wordt niet vermeld. Dit moet voor elk model worden opgezocht op de website van Samsung. Samsung lijkt echter in Nederland uit te gaan van een periode van maximaal 2 jaar te rekenen vanaf het moment dat de smarpthone op de markt wordt geïntroduceerd. Zo krijgt de Samsung Galaxy s6, een smartphone die nu nog in de winkel ligt en ook te koop is via de website van Samsung, volgens de website nog maximaal 5 maanden software support, tot maart 2017.
59. Gelet op het ondoorzichtige proces van veiligheidsupdates van Samsung, is het niet duidelijk of en, zo ja, wanneer Samsung Updates beschikbaar maakt.
25 xxxx://xxx.xxxxxxx.xxx/xx/xxxxxxx/xxx/xxx/0000000.
60. Deze onduidelijkheid vormde voor de Amerikaanse FTC recent reden om een informatiebevel uit te vaardigen tegen een aantal fabrikanten, waaronder Samsung. Samsung moet binnen 45 dagen gedetailleerde informatie verstrekken over de vraag of, en zo ja wanneer, zij voor welke specifieke toestellen Updates verstrekt.
In order to gain a better understanding of security in the mobile ecosystem, the Federal Trade Commission has issued orders to eight mobile device manufacturers requiring them to provide the agency with information about how they issue security updates to address vulnerabilities in smartphones, tablets, and other mobile devices.
[…]
Among the information recipients must provide under the orders are:
• the factors that they consider in deciding whether to patch a vulnerability on a particular mobile device;
• detailed data on the specific mobile devices they have offered for sale to consumers
since August 2013;
• the vulnerabilities that have affected those devices; and
• whether and when the company patched such vulnerabilities. (productie 9 b,
persbericht FTC, zie de volledige questionnaire in productie 9 c).
61. De data die door derden wél beschikbaar wordt gemaakt over Updates laat ondertussen geen rooskleurig beeld zien. Uit een wereldwijd onderzoek van de Universiteit van Cambridge uit oktober 2015 (productie 18) blijkt dat maar weinig Android apparaten tijdig Updates ontvangen.26 87,7% van de Android-toestellen is volgens dit onderzoek kwetsbaar voor ernstige beveiligingslekken in Android.27 Het onderzoek is uitgevoerd met de “Device Analyzer”, een applicatie waarmee de status van een Android toestel kan worden gemonitord.
62. Het onderzoek geeft fabrikanten een score uit 10 afhankelijk van de veiligheid die zij hun klanten de afgelopen jaren konden garanderen. Samsung krijgt een score van 2.81. De score is gebaseerd op een formule waarmee rekening wordt gehouden met het aantal apparaten dat vrij is van kwetsbaarheden, het aantal apparaten dat is bijgewerkt naar de meest recente versie van het besturingssysteem en het aantal kwetsbaarheden dat nog niet gerepareerd is met een Update.
63. Volgens het onderzoek ligt de “bottleneck” bij het doorvoeren van Updates niet bij Google als aanbieder van Android, maar bij de fabrikanten die Updates niet tijdig doorvoeren. Het rapport concludeert ook dat sprake is van een informatie-asymmetrie tussen de fabrikant en de consument, omdat alleen de fabrikant weet of een kwetsbaarheid aanwezig is en of daarvoor een
26 Security metrics for the Android ecosystem by Xxxxxx X. Xxxxxx, Xxxxxxxx X. Xxxxxxxxx and Xxxxxx Xxxx in ACM CCS Workshop on Security and Privacy in Smartphones and Mobile Devices (SPSM) 2015.
27 xxxx://xxxxxxxxxxxxxxxxxxxxxx.xxx/.
Update is of zal worden uitgebracht. De consument weet eenvoudigweg niet of zijn apparaat veilig is.
The security of Android depends on the timely delivery of updates to critical vulnerabilities. Unfortunately few devices receive prompt updates, with an overall average of 1.26 updates per year, leaving devices unpatched for long periods. We showed that the bottleneck for the delivery of updates in the Android ecosystem rests with the manufacturers, who fail to provide updates to critical vulnerabilities. This arises in part because the market for Android security today is like the market for lemons: there is information asymmetry between the manufacturer, who knows whether the device is currently secure and will receive updates, and the consumer, who does not.Consequently there is little incentive for manufacturers to provide updates.28
64. Uit een recent artikel van Bloomberg van mei 2016 (productie 14) blijkt andermaal dat de bottleneck in het updateproces niet ligt bij Google, maar bij de fabrikanten. Sterker nog, Google ervaart het gebrek aan het tijdig installeren van Updates en Upgrades door partners als “the weakest link on security on Android” en neemt allerlei stappen om te bewerkstelligen dat fabrikanten sneller updaten en upgraden.
The issue -- a mishmash of different smartphones running outdated software lacking the latest security and features -- has plagued Android since its debut in 2007. But Google has stepped up its efforts recently, accelerating security updates, rolling out technology workarounds and reducing phone testing requirements. […]
Google is making progress persuading phone makers and carriers to install security updates quicker "for the good of users," Xxxxxxxxxx [Senior Vice president Android, xxxxxxxx] said. The same expedited process may then be used to send operating system updates to phones, he explained.29
Google is using more forceful tactics. It has drawn up lists that rank top phone makers by how up-to-date their handsets are, based on security patches and operating system versions, according to people familiar with the matter. Google shared this list with Android partners earlier this year. It has discussed making it public to highlight proactive manufacturers and shame tardy vendors through omission from the list […].
28 Security metrics for the Android ecosystem by Xxxxxx X. Xxxxxx, Xxxxxxxx X. Xxxxxxxxx and Xxxxxx Xxxx in ACM CCS Workshop on Security and Privacy in Smartphones and Mobile Devices (SPSM) 2015, p. 11.
66. Data over Android-Upgrades zijn makkelijk te vinden.
67. Uit het Google Developers Dashboard (productie 27 a), de pagina waarop informatie wordt verstrekt over de Android versies die draaien op de apparaten (devices) die gebruik maken van Android als besturingssysteem, blijkt dat nog slechts 18,7% van de Android-apparaten is uitgerust met Xxxxxxxxxx.30 Verreweg het grootste deel van de apparaten draait nog op Lollipop uit 2014 of zelfs KitKat uit 2013. En maar liefst 15,6% draait op het oude Jelly Bean systeem. Dit terwijl Xxxxxxxxxxx al sinds 5 oktober 2015 beschikbaar is. Inmiddels is alweer een nieuwe versie, Nougat, beschikbaar.
68. Vergelijkbare resultaten vloeien voort uit een eigen onderzoek van de Consumentenbond (productie 17). De Consumentenbond heeft in de periode 0000-0000 000 smartphones getest en moeten vaststellen dat 84% daarvan niet draait op de (toen) laatste Android-versie.
69. iOS, het door Apple ontwikkelde besturingssysteem voor de iPhone en de iPad, laat een heel ander beeld zien (productie 27 b). Volgens het Developers Dashboard van Apple draait 88% van de apparaten in september 2016 op iOS 9.31 Inmiddels is in september 2016 het nieuwe besturingssysteem van iOS geïntroduceerd, iOS 10. Na vijf weken is deze nieuwste versie al op meer dan de helft van alle toestellen geïnstalleerd (namelijk op 60%). Bij iOS krijgen toestellen
30 xxxxx://xxxxxxxxx.xxxxxxx.xxx/xxxxx/xxxxxxxxxx/xxxxx.xxxx.
31 xxxxx://xxxxxxxxx.xxxxx.xxx/xxxxxxx/xxx-xxxxx/.
dus veel sneller Upgrades. Bovendien blijkt iOS in de praktijk tot 4 jaar na introductie van het toestel Upgrades te verschaffen.32
70. Over Upgrades merkt Samsung op haar website op dat zij er gedurende de software- ondersteuningsperiode naar streeft “zoveel mogelijk toestellen van de laatste Android-versies te voorzien”, maar dat zij niet kan beloven dat de consument steeds de nieuwste versie op zijn telefoon krijgt. Uit een onderzoek van de Consumentenbond bleek dat acht maanden na release van Android 6 nog slechts 20% van alle Samsungtoestellen de nieuwe versie had ontvangen (productie 17).33
71. Veel fabrikanten zijn, net als Samsung, vaag zijn over hun beleid en voeren Updates en Upgrades met grote vertraging door. Toch kan het ook beter. Zo krijgen de Pixel-telefoons (voorheen Nexus) van Google minstens 3 jaar lang Updates na de lancering op de markt (of tenminste 18 maanden na de laatste verkoop, afhankelijk van wat langer is) en ten minste twee jaar lang Upgrades (productie 19). iOS van Apple blijkt in de praktijk tot vijf jaar na introductie van het toestel Updates en vier jaar Upgrades te krijgen .34
Overleg Consumentenbond en Samsung
72. Deze zaak kent inmiddels een lange voorgeschiedenis.
73. Naar aanleiding van het onderzoek van de Consumentenbond, waaruit blijkt dat het overgrote deel van de smartphones van Samsung draait op een oude versie van Android (productie 17), vraagt de Consumentenbond op 2 juli 2015 aan Samsung welke maatregelen zij zal nemen om
32 xxxxx://xxx.xxxxxxxx.xxx/xxxxx/0000/xxx-xxxxxx-xxxxxxxxxxxxx/.
33 xxxxx://xxx.xxxxxxxxxxxxxxx.xx/xxxxxx/xxxxxxx/xxxxxxxxxx-xxxxxxx-xxxx-xxxxxxx-0.0.
34 xxxxx://xxx.xxxxxxxx.xxx/xxxxx/0000/xxx-xxxxxx-xxxxxxxxxxxxx/.
ervoor te zorgen dat consumenten niet worden blootgesteld aan beveiligingslekken (productie 20 a). Samsung reageert hierop niet inhoudelijk.
74. De Consumentenbond stuurt vervolgens op 16 juli 2015 een overzicht van de laatste Android- versies op de smartphones van Samsung (productie 20 b). Samsung reageert op 22 juli 2015 dat deze smartphones wel vaak recente Updates ontvangen waarmee beveiligingslekken worden gedicht. Er zouden alleen geen Upgrades beschikbaar zijn voor deze toestellen (productie 20 c).
75. Op 22 juli 2016 laat Samsung in een e-mail weten dat zij ernaar streeft om de laatste systeemupdates beschikbaar te stellen op de Galaxy modellen. Voor de modellen die niet in staat zijn om Upgrades te ontvangen streeft Samsung ernaar om alles eraan te doen deze "apparaten toch te voorzien van regelmatige updates" (Productie 20 d).
76. De Consumentenbond verzoekt Samsung per e-mail van 8 september 2015 consumenten te informeren over het upgradebeleid van Samsung met betrekking tot de nieuwste versie Android
6.0 Marshmallow (Productie 20 e). In deze e-mail wijst de Consumentenbond ook (nogmaals) op het lek Stagefright en geeft zij aan dat dit lek nog niet gedicht is.
77. Op 29 september 2015 heeft de Consumentenbond nog geen reactie ontvangen. De Consumentenbond nodigt Samsung vervolgens op kantoor uit om te praten over het updatebeleid van Samsung (Productie 20 f). Op 8 oktober 2015 vindt deze bespreking plaats. Tijdens de bespreking doet Samsung geen concrete toezeggingen. Naar het oordeel van de Consumentenbond is de bespreking dan ook niet toereikend.
78. Op 2 december 2015 sommeert de Consumentenbond Samsung om essentiële informatie op haar website te plaatsen en om de Samsung smartphones met een kritiek beveiligingslek van Updates te voorzien (productie 20 g). De Consumentenbond biedt ook nogmaals aan in overleg te treden. Dit overleg vindt plaats op 17 december 2015.
79. Naar aanleiding van dit overleg zou Samsung met een voorstel komen om aan de sommatie van de Consumentenbond tegemoet te komen. Samsung vraagt hiervoor extra uitstel, xxxx verzoek de Consument honoreert.
80. Zonder de Consumentenbond op de hoogte te stellen, publiceert Samsung echter op 24 december 2015 een persbericht waarin zij aangeeft haar Update en Upgrade beleid aan te scherpen (productie 28). Na dit persbericht ontvangt de Consumentenbond geen voorstel meer van Samsung.
81. Omdat het beleid dat Samsung in het persbericht introduceert ontoereikend is en niet voldoet aan essentiële elementen uit de sommatie van de Consumentenbond, besluit de Consumentenbond een kortgeding te starten. Dit kortgeding vindt plaats op 16 februari 2016.
82. Bij vonnis van 8 maart 2016 wijst de voorzieningenrechter van de Rechtbank Amsterdam de vorderingen van de Consumentenbond af vanwege, met name, het ontbreken van een spoedeisend belang.35
83. Op 4 november 2016 vindt er wederom overleg plaats tussen Samsung en de Consumentenbond. In dit overleg worden onder meer de vorderingen van de onderhavige dagvaarding besproken. Ook dit overleg leidt er niet toe dat Samsung haar handelwijze aanpast.
84. Uit het feitelijk kader volgt dat Samsung thans nog steeds ernstig tekort schiet in haar Update- en Upgradebeleid. Om die reden ziet de Consumentenbond zich genoodzaakt de onderhavige bodemprocedure te starten.
XXXXXXXXX XXXXX
85. Uit het feitelijk kader volgt onder meer dat:
• veel Samsung-toestellen niet draaien op de laatste (of zelfs maar de op één na laatste versie) van Android;
• Samsung slechts voor een select aantal toestellen maandelijkse Updates beschikbaar stelt;
• de overige toestellen van Samsung met grote vertraging of helemaal geen Updates ontvangen;
• er momenteel Samsung-toestellen te koop zijn die nog slechts een paar maanden software- support (Updates en Upgrades) krijgen; en
• Samsung consumenten geen enkele concrete toezegging doet over de vraag of zij Updates
en Upgrades kunnen verwachten en, zo ja, binnen welke termijn.
86. Door Updates en Upgrades niet en/of niet tijdig beschikbaar te stellen, althans niet voor de gehele levensduur van het toestel, stelt Samsung consumenten bloot aan mogelijk misbruik door kwaadwillenden en handelt Samsung in strijd met diverse wettelijke verplichtingen en handelt zij in strijd met de zorgvuldigheid die in het maatschappelijk verkeer betamelijk is.
87. De Consumentenbond stelt zich op het standpunt dat Samsung al haar toestellen gedurende hun normale levensduur moet voorzien van maandelijkse Updates die kwetsbaarheden in de software repareren, en dat voor een periode van vier jaar na de introductie van het toestel op de markt of ten minste twee jaar na het moment van verkoop van een toestel aan de consument (afhankelijk van wat langer is). Daarnaast moet Samsung al haar toestellen gedurende hun normale levensduur voorzien van Upgrades van Android, zodra die beschikbaar komen.
88. Ten slotte moet Samsung de consument op duidelijke en ondubbelzinnige wijze vooraf informeren over het Update-en Upgradebeleid.
35 Vzr Rb Amsterdam 8 maart 2016, ECLI:NL:RBAMS:2016:1175
89. De handelwijze van Samsung is in strijd met meerdere wettelijke bepalingen. Eveneens is sprake van handelen in strijd met hetgeen in met maatschappelijk verkeer betamelijk is. In het navolgende zal de Consumentenbond toelichten dat de handelwijze van Samsung strijdig is met het leerstuk van non-conformiteit (artikel 7:17 BW), de zorgplicht ten aanzien van beveiliging van persoonsgegevens (artikel 13 Wbp), het verbod op oneerlijke handelspraktijken (artikel 6:193b BW), de Radioapparaten Richtlijn en de zorgvuldigheid die in het maatschappelijk verkeer van haar verwacht mag worden (artikel 6:162 BW). De vorderingen zien erop deze schendingen van wettelijke bepalingen en het handelen in strijd met de maatschappelijke zorgvuldigheid zoveel mogelijk weg te nemen. De vorderingen zien er, kort gezegd, op dat dat Samsung een updateverplichting en een informatieverplichting heeft.
Non-conformiteit (art. 7:17 BW)
90. De Consument die een Samsung smartphone aanschaft, al dan niet via de website van Samsung, koopt een smartphone met daarop geïnstalleerd het (door Samsung aangepaste) besturingssysteem Android. Op het moment dat Samsung bekend raakt met een kwetsbaarheid in de software, waardoor deze minder veilig is en consumenten blootstelt aan misbruik, en Samsung deze kwetsbaarheid niet herstelt, dan bevat deze software niet de eigenschappen die de consument daarvan mag verwachten en is sprake van non-conformiteit.
91. Op het moment dat de consument de smartphone installeert, moet hij instemmen met de “licentieovereenkomst voor eindgebruikers van software” van Samsung Electronics Co. Ltd (productie 15). Doet de consument dit niet, dan mag hij de smartphone niet gebruiken, zo bepaalt de inleidende paragraaf van de overeenkomst. De consument moet dus eerst klikken op “akkoord” alvorens hij de smartphone kan gebruiken. Op het moment dat de consument dat doet, gaat hij een contractuele relatie met Samsung aan.
Deze Licentieovereenkomst voor eindgebruikers is een wettelijke overeenkomst tussen u (een individu of een entiteit) en Samsung Electronics Co. Lrd (‘Samsung’) betreffende software die eigendom is van Samsung en aan haar gelieerde bedrijven en eventuele externe leveranciers en licentiehouders […].
Door het gebruik van dit apparaat of enig ander mobiel product van Samsung, inclusief mobiele telefoons en tablets, waarop het Android-besturingssysteem is geïnstalleerd (‘Mobiel apparaat van Samsung’), stemt u in met de voorwaarden van deze Licentieovereenkomst voor eindgebruikers. Als u niet instemt met deze voorwaarden, mag u het Mobiele apparaat van Samsung of de Software van Samsung niet gebruiken.
92. De overeenkomst verschaft de consument in artikel 1 een beperkte, niet-exclusieve licentie om de software van Samsung te installeren, gebruiken, openen, weer te geven en uit te voeren op de smartphone.
93. Zoals hierboven (randnummers #) uiteengezet, gaat artikel 4 van de licentieovereenkomst over de Updates en Upgrades die Samsung zal verstrekken.
94. In artikel 5 wordt aangegeven dat de consument, als hij Updates wilt ontvangen, akkoord gaat met het verzamelen en gebruiken van een aantal (persoons)gegevens door Samsung.
95. Ingevolge artikel 8 heeft de licentieovereenkomst een onbeperkte duur. De licentie wordt in beginsel verstrekt voor de volledige levensduur van het toestel, behoudens de situatie dat de consument de voorwaarden van de Licentieovereenkomst niet naleeft. Hetzelfde geldt voor de licentie in het Privacybeleid (productie 21, artikel 7.1).
96. De consument sluit dus een aparte licentieovereenkomst met Samsung voor het (duurzame) gebruik van de software en het ontvangen van Updates en Upgrades. Het is Samsung met wie de consument in dit verband contracteert en het is Samsung die zelfstandig verantwoordelijk is voor het leveren en up-to-date houden van de software. Het is tevens Samsung die bepaalt óf Updates en Upgrades worden verstrekt.
97. In het Beeldbrigade-arrest heeft de Hoge Raad bevestigd dat de kooptitel tevens van toepassing is op overeenkomsten tot het aanschaffen van standaardsoftware.36 Dit leidt de Hoge Raad af uit artikel 7:47 BW, waarin is bepaald dat koop ook betrekking kan hebben op vermogensrechten en waaruit blijkt dat de wetgever de kooptitel een ruim bereik heeft willen geven wat betreft het voorwerp van de koopovereenkomst. De Hoge Raad acht verder van belang dat de licentie de verkrijger een “niet in tijdsduur beperkt gebruik” op de software verschaft. De Hoge Raad acht het wenselijk dat de kooptitel tevens op dergelijke overeenkomsten van toepassing is.37
98. Ook het Europese Hof van Justitie (HvJEU) heeft het verstrekken van een in tijd onbeperkt, niet-exclusief en niet overdraagbaar gebruiksrecht door de houder van het auteursrecht van een kopie van een computerprogramma aan een klant aangemerkt als de “verkoop” van dat programma.38
100. Dit volgt ook uit artikel 7:5 lid 5 BW, dat de bepalingen over consumentenkoop van toepassing verklaart op de levering van digitale inhoud die niet op een materiële drager is geleverd. Digitale inhoud wordt in de wet (artikel 6:230g BW en artikel 1 sub 11 Richtlijn
36 HR 27 april 2012, ECLI:NL:HR:2012:BV1301 (Beeldbrigade).
37 HR 27 april 2012, ECLI:NL:HR:2012:BV1301 (Beeldbrigade), r.o. 3.5.
38 HvJEU 3 juli 2012, zaak C 128/11, ECLI:EU:C:2012:407 (UsedSoft).
Consumentenbescherming)39 gedefinieerd als “gegevens die in digitale vorm geproduceerd en geleverd worden”. Zowel in overweging 19 van de richtlijn Consumentenbescherming als in de Memorie van Toelichting bij de Nederlandse implementatiewet, wordt software nadrukkelijk als voorbeeld van digitale inhoud genoemd.40
102. Op grond van artikel 7:17 lid 1 en 2 dient Samsung een smartphone met software af te leveren die overeenstemt met hetgeen de consument daarvan mag verwachten, mede gelet op de aard ervan en mededelingen die Samsung heeft gedaan.
103. Wat mag de consument redelijkerwijs verwachten van zijn Samsung smartphone en de software die daarop staat?41 Welnu, hij mag verwachten dat hij een smartphone ontvangt die veilig is, uitgerust is met de meest recente versie van het besturingssysteem, up-to-date, en waarvan de software geen kwetsbaarheden bevat die kan worden misbruikt door kwaadwillenden. Als die kwetsbaarheden zich wel (gaan) voordoen, verwacht hij dat Samsung die kwetsbaarheden binnen afzienbare tijd dicht, door Updates en/of Upgrades te verstrekken. Dat geldt helemaal voor Updates die “kritieke” beveiligingslekken dichten, dat wil zeggen lekken die door Google als “kritiek” zijn aangemerkt gelet op de (potentiële) ernst van de gevolgen (zie randnummers 19-21 hierboven).
104. Opgemerkt zij dat conformiteitsproblemen onder meer kunnen zien op de kwaliteit en veiligheid van digitale inhoud, zoals kwetsbaarheden in de software die veiligheidsrisico’s met zich meebrengen. Dat is in de literatuur aanvaard.
One may think of the situation where software contains a defect or bug, with security risks as a result. Such a problem can be classified as a security matter, but also a quality problem.42
39 Richtlijn 2011/83/EU
40 Kamerstukken II 2012/13, 33 520, nr. 3, p. 19.
41 Gekeken moet worden naar de verwachtingen die de gemiddeld geïnformeerde, omzichtige en oplettende gewone consument heeft. HvJ EG 16 juli 1998, nr. C-210/96, Jur. 1998, blz. I-4657, NJ 0000/000 (Xxx Xxxxxxxxxxxxx).
00 X.X.X. Xxxx, X. Xxxxxxxxx, X. Xxxxxxxx, X. Xxx, X. Xxxxxxx, X.X. Xxxxxx, X. xxx xxx Xxxxx & X. Xxxxxx, Analysis of the
applicable legal frameworks and suggestions for the contours of a model system of consumer protection in relation to digital content contracts, FINAL REPORT: Comparative analysis, Law & Economics analysis, assessment and development of recommendations for possible future rules on digital content contracts, 2011, p. 108 en 121.
105. Dat bovengenoemde verwachtingen van de consument gerechtvaardigd zijn, blijkt ook uit een beoordeling van de relevante omstandigheden. Van belang zijn onder meer i) de normale levensduur van een smartphone en de licentie van Samsung, ii) de mededelingen van Samsung en Google, iii) de aard van de zaak, iv) de hoogte van de prijs, v) de potentiële risico’s en vi) standaarden in de praktijk. 43
Levensduur en licentie
106. De consument verwacht zijn Samsung smartphone, en dus ook de software daarop, gedurende een langere periode op een veilige manier te kunnen gebruiken. De gemiddelde verwachte gebruiksduur van de consument is 2,26 jaar (productie 22). Veel consumenten sluiten een twee-jaar abonnement af. De verwachte levensduur is echter nog veel langer dan dat, wat ook blijkt uit de levendige handel in gebruikte smartphones zonder abonnement en het feit dat veel consumenten na twee jaar overstappen op sim only-abonnementen.
107. Hieruit vloeit al voort dat de verplichtingen van Samsung niet ophouden na het moment van aanschaf. Dat volgt ook uit het feit dat de consument van Samsung een niet in tijd beperkte licentie krijgt voor het langdurig gebruik van de software (productie 15), en dat Samsung in deze licentieovereenkomst ook toezegt Updates en Upgrades te verstrekken. Deze licentie gaat er dus, conform de algemeen aanvaarde praktijk, vanuit dat de software op de smartphone moet worden bijgewerkt. Doet Samsung dat niet, dan is sprake van non-conformiteit.
108. Hierin schuilt ook het verschil met – bijvoorbeeld – een wasmachine of televisie. Bij die zaken mag van de verkoper pas een actieve rol verwacht worden nadat de consument over een bepaald gebrek heeft geklaagd. Ten aanzien van de software op een smartphone, daarentegen, mag een pro-actieve rol verwacht worden van de leverancier om non-conformiteit te voorkomen. Gezien de aard van de gebreken, kan niet van de consument worden verlangd dat hij eerst klaagt, al is het maar omdat hij doorgaans niet weet da de software op zijn smartphone een kwetsbaarheid bevat.
109. Het is een feit van algemene bekendheid dat zowel de geleverde software als de digitale omgeving van de consument onderhevig is aan wijzigingen. Samsung weet dat haar software onvermijdelijk aan kwetsbaarheden zal worden blootgesteld en zal deze veiligheidsgebreken moeten herstellen.
110. De verwachting van de consument dat Samsung Updates en Upgrades zal verzorgen voor zijn smartphone, is mede gerechtvaardigd op basis van de licentieovereenkomst. Maar zelfs als partijen niet zouden zijn overeengekomen dat Samsung verplicht is regelmatig Updates en Upgrades te verzorgen, is Samsung daartoe wel verplicht. Zou dit anders zijn, dan zou de dwingendrechtelijke bescherming die artikel 7:17 BW de consument biedt, worden ondermijnd. Dit wordt onder anderen bevestigd door Xxxx:
43 M.B.M. Loos Consumentenkoop (Monografieën BW nr. B65b), Deventer: Kluwer 2014, nr. 30.
Voor andere overeenkomsten tot levering van digitale inhoud kunnen uitdrukkelijke afspraken worden gemaakt over de levering van digitale inhoud. Waar dergelijke afspraken niet zijn gemaakt, mag de consument mijns inziens desalniettemin verwachten dat de leverancier er gedurende een redelijke, naar de omstandigheden van het geval te bepalen, periode zorg voor draagt dat de consument gebruik kan maken van de digitale inhoud en dat de leverancier dit gebruik zo nodig ondersteunt door middel van het zenden van gratis updates.44
Mededelingen Samsung en Google
“Voor Samsung heeft de bescherming van de privacy en de beveiliging van gegevens van consumenten de hoogste prioriteit. Als wereldwijde marktleider op het gebied van mobiele apparaten streven wij ernaar ook op dit gebied voorop te lopen. Samen met onze softwareleveranciers, mobiele providers en consumentenverenigingen werken we er continue aan het proces rondom software- en security-updates zo efficiënt mogelijk te laten verlopen.” (productie 16 b)
112. Google, op haar beurt, schrijft dat “Android seeks to be the most secure and usable operating system for mobile platforms” (productie 7 a).45 Ook deze mededeling beïnvloedt de gerechtvaardigde verwachting van de consument dat hij een smartphone koopt met het meest veilige besturingssysteem dat er is.
113. Een smartphone is voor veel consumenten een essentieel product in hun dagelijkse leven. De afhankelijkheid van de smartphone is groot en consumenten gebruiken hun telefoon allang niet meer alleen om te kunnen communiceren. Consumenten slaan bovendien grote hoeveelheden (gevoelige) (persoons)gegevens op hun telefoon op, zoals hun agenda, contactpersonen, foto’s, mail et cetera. Die belangrijke functie brengt mee dat consumenten ook hoge verwachtingen koesteren met betrekking tot de veiligheid van hun smartphone.
114. Die verwachting is ook gerechtvaardigd gelet op de hoge prijs die consumenten betalen voor een
smartphone. De marktpositie van Samsung als wereldwijde marktleider schept eveneens verwachtingen.
44 M.B.M. Loos, ‘Europese harmonisatie van online en op afstand verkoop van zaken en de levering van digitale inhoud (II), NtER juni 2016, nr. 4, p. 153. Zie ook M.B.M. Loos, ‘Consumentenovereenkomsten tot levering van digitale inhoud na de implementatie van de Richtlijn consumentenrechten, Mediaforum 2015-3, p. 100.
45 xxxxx://xxxxxx.xxxxxxx.xxx/xxxxxxxx/.
115. Het feit dat consumenten grote hoeveelheden (gevoelige) (persoons)gegevens opslaan op hun smartphone, brengt mee dat de potentiële gevolgen van misbruik groot zijn, zeker in het geval van kritieke beveiligingslekken. Ook gelet op deze risico’s is de verwachting van de consument dat Samsung gedurende de levensduur van de smartphone deze voorziet van Updates en Upgrades, gerechtvaardigd.
Standaarden en zorgplichten in de markt voor veiligheid en beveiliging
116. Zoals in het feitelijk kader uiteengezet, wordt het belang van Updates en Upgrades door toezichthouders en rechters benadrukt en vormen “patches” een essentieel onderdeel van standaarden op het gebied van informatiebeveiliging.
117. Consumenten laten zich bij hun verwachtingen over de veiligheid van hun telefoon bovendien leiden door de adviezen van overheid en experts. Nu de vele adviezen van deze partijen Updates en Upgrades zo centraal stellen (zie randnummers 30-39) is de verwachting van de consument dat ook zijn smartphone deze zal blijven ontvangen.
118. Het feit dat leveranciers als Apple (iOS) en Google (Nexus en Pixel) voorzien in langdurige Updates en Upgrades voort soortgelijke smartphones in dezelfde prijsklasse, heeft eveneens invloed op de verwachtingen van de consument.
119. Op grond van artikel 7:21 lid 1 sub b jo. lid 3 BW heeft de consument recht op reparatie van de gebrekkige software. Deze “reparatie” kan plaatsvinden door Updates en Upgrades te verstrekken, waarmee het gebrek in de software wordt gerepareerd. Op grond van lid 3 moet dit binnen een redelijke termijn gebeuren. Een termijn van een maand is redelijk en realistisch omdat Samsung momenteel voor een aantal modellen maandelijks updates uitbrengt.
Artikel 13 Wet bescherming persoonsgegevens
120. De verplichting om Upgrades en Updates te verstrekken, en in ieder geval Updates voor kritieke beveiligingslekken, volgt ook uit de wet.
121. Artikel 13 van de Wet Bescherming Persoonsgegevens (“Wbp”) bepaalt dat de verantwoordelijke voor een verwerking van persoonsgegevens passende technische en organisatorische maatregelen moet nemen om persoonsgegevens te beveiligen.
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen
gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
122. Deze zorgplicht is rechtstreeks van toepassing op Samsung, aangezien Samsung persoonsgegevens van de gebruikers van haar smartphones verwerkt, zoals blijkt uit artikel 5 van de licentieovereenkomst (productie 15, p. 12) en het privacybeleid (productie 21). Samsung verzamelt onder meer locatiegegevens, gegevens over het apparaat (zoals het unieke IMEI nummer), het IP-adres, telefoonnummer, en contactgegevens. Deze (deels gevoelige) gegevens zijn herleidbaar naar een natuurlijk persoon (de gebruiker van het toestel) en moeten derhalve worden aangemerkt als persoonsgegevens in de zin van artikel 1 Wbp. Samsung geldt als verantwoordelijke ten aanzien van deze verwerkingen.
123. Daarnaast is het een feit van algemene bekendheid dat de consument in toenemende mate (gevoelige) persoonsgegevens op zijn smartphone opslaat, onder meer in zijn agenda, zijn adressenbestand en zijn e-mail.
124. In de al eerder genoemde Richtsnoeren Beveiliging van Persoonsgegevens van de Autoriteit Persoonsgegevens , werkt de Autoriteit Persoonsgegevens de beveiligingsplicht uit artikel 13 Wbp verder uit. Het up-to-date houden van software, zoals operating systems, door het tijdig installeren van patches is volgens de toezichthouder één van de maatregelen die de verantwoordelijke moet nemen. 46
126. Ook toezichthouder ACM heeft patchmanagement geïdentificeerd als een essentieel onderdeel van de informatiebeveiliging. Kwetsbaarheden in software zorgen volgens ACM voor een “altijd aanwezig veiligheidsrisico”. Daarom moet een onderneming ervoor zorgen dat noodzakelijke patches worden doorgevoerd.
Tot slot wijst ACM er nog op dat zij ten aanzien van adequaat patchmanagement ook heeft geconstateerd dat deze maatregel een algemeen geldend en aanvaard onderdeel van informatiebeveiliging is. Bij vrijwel alle programmatuur wordt regelmatig geconstateerd dat er kwetsbaarheden in zitten. Deze kwetsbaarheden bieden de mogelijkheid om programmatuur anders te gebruiken dan de bedoeling is en maken het bijvoorbeeld mogelijk om de afscherming van gevoelige gegevens zoals persoonsgegevens te doorbreken. Dit zorgt voor een altijd aanwezig veiligheidsrisico.
Per jaar worden wereldwijd duizenden kwetsbaarheden in software ontdekt. Om
46 Richtsnoeren p. 23.
kwetsbaarheden in software te verhelpen publiceren leveranciers regelmatig zogenoemde ’security patches’. […]
Daarnaast zal er een proces moeten zijn voor het omgaan met de verschenen patches
(daarbij hoort het analyseren van de risico’s van de kwetsbaarheid, het testen van de patch, het maken van de afweging om de patch te installeren en de tijdsperiode waarbinnen zich dit allemaal moet afspelen). Verder moet worden bijgehouden welke patches er al dan niet geïnstalleerd zijn op welke systemen.
Een onderneming met deugdelijk patchmanagement heeft inzicht in de actuele stand van kwetsbaarheden van de gebruikte software en systemen en in de door de onderneming reeds toegepaste patches. Daarbij dient een onderneming te zorgen voor het invoeren van de noodzakelijke patches en bewaakt zij dat dit patchen zo min mogelijk verstoringen of bijvoorbeeld beveiligingsrisico’s voor de bescherming van persoonsgegevens met zich brengt.47
127. Dit oordeelde de ACM in het kader van een toetsing aan artikel 11.3 Telecommunicatiewet (“Tw”). Dit artikel bevat een met artikel 13 Wbp corresponderende verplichting voor aanbieders van openbare communicatienetwerken- en diensten.48 Artikel 11.3 Tw luidt:
De in artikel 11.2 bedoelde aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.
128. ACM oordeelde dat KPN deze zorgplicht had geschonden door haar systemen onvoldoende te beveiligen en legde in december 2013 een boete op. ACM verwijt KPN onder meer dat zij de kwetsbaarheid in de software gedurende 2 maanden na bekendwording hiermee niet had
47 Beslissing op bezwaar van de Autoriteit Consument en Markt inzake het bezwaarschrift van KPN B.V. gericht tegen het besluit
van 16 december 2013 waarbij aan KPN B.V. een boete is opgelegd van EUR 364.000 voor overtredingen van artikel 11.3, eerste lid, jo. artikel 11.2 en artikel 18.7, derde en vijfde lid, van de Telecommunicatiewet, alsmede tegen het besluit van 14 februari 2014 waarbij op grond van artikel 8 van de Wet openbaarheid van bestuur is bepaald dat het eerstgenoemde besluit openbaar zal worden gemaakt, randnummers 91-92. Te vinden op: xxxxx://xxx.xxx.xx/xx/xxxxxxxxxxx/xxxxxxxxxx/00000/Xxxxxxxxxx-xx- bezwaar-KPN-zorgplicht/.
48 Dat beide zorgplichten hetzelfde inhouden, volgt uit artikel 11.2 Tw, overweging 20 bij de e-Privacyrichtlijn en is ook in de parlementaire geschiedenis herhaaldelijk benadrukt. Zie onder meer Kamerstukken II 2010/11, 32 549, nr. 7, p. 42 en Kamerstukken II 2010/11, 32 549, nr. 3, p. 73.
gepatcht, terwijl de leverancier al wel een Update beschikbaar had gemaakt. 49 Volgens ACM had KPN de patch direct moeten installeren. 50
129. Het besluit is door ACM bekrachtigd in bezwaar in juni 2014. In beroep heeft ook de meervoudige kamer van de rechtbank Rotterdam de boete in stand gelaten.51 Ook de rechtbank oordeelt dat KPN haar zorgplicht heeft geschonden, onder meer omdat de betrokken software gedurende een periode niet was gepatcht. Volgens de rechtbank gaat het bij artikel 11.2 Tw en artikel 13 Wbp om een “verstrekkende inspanningsplicht”. Patchmanagement is volgens de rechtbank een belangrijke component van een goed veiligheidsbeleid. Dat er in die zaak uiteindelijk geen persoonsgegevens waren onttrokken door kwaadwillenden, doet aan het oordeel dat de zorgplicht geschonden is niet af.
130. Op grond van artikel 13 Wbp is Samsung dus verplicht kwetsbaarheden in de software direct na bekendwording daarmee te herstellen door middel van Updates. Dit geldt helemaal voor kwetsbaarheden die van Google de kwalificatie “critical” krijgen. Door haar toestellen niet tijdig of zelfs helemaal niet van die Updates te voorzien, neemt Samsung onvoldoende technische en organisatorische maatregelen om de door haar verwerkte persoonsgegevens te beveiligen. Gebruikers lopen hierdoor het reële risico dat kwaadwillenden toegang krijgen tot hun persoonsgegevens.
131. Op grond van artikel 50 Wbp jo. artikel 3:305a BW kan de Consumentenbond een maatregel tot herstel van het handelen in strijd met artikel 13 Wbp vorderen, zoals in dit geval het daadwerkelijk verschaffen van Updates en Upgrades.
Radioapparaten Richtlijn
132. De handelwijze van Samsung is ook strijdig met de Radioapparaten Richtlijn,52 recentelijk geïmplementeerd in hoofdstuk 10 van de Tw. De richtlijn bevat “essentiële vereisten” waaraan radioapparaten – waaronder ook smartphones53 – dienen te voldoen. Deze “essentiële vereisten” omvatten onder andere de verplichting om apparatuur te beveiligen om de bescherming van de persoonsgegevens en de privacy van de gebruiker en de abonnee te
49 Besluit van de Autoriteit Consument en Markt tot het opleggen van een boete aan KPN B.V. voor overtredingen van de zorgplichtbepalingen zoals neergelegd in artikel 11.3, eerste lid, juncto artikel 11.2 van de Telecommunicatiewet, 16 december 2013, randnummer 102. Te vinden op: xxxxx://xxx.xxx.xx/xx/xxxxxxxxxxx/xxxxxxxxxx/00000/Xxxxx-XXX-xxxx-xxxxxxxxxxx- beveiliging-klantgegevens/.
50 Besluit van de Autoriteit Consument en Markt tot het opleggen van een boete aan KPN B.V. voor overtredingen van de
zorgplichtbepalingen zoals neergelegd in artikel 11.3, eerste lid, juncto artikel 11.2 van de Telecommunicatiewet, 16 december 2013, randnummer 111.
51 Rb. Rotterdam 8 januari 2015, ECLI:NL:RBROT:2015:22 (KPN/ACM).
52 Richtlijn 2014/53/EU van het Europees Parlement en de Raad van 16 april 2014 betreffende de harmonisatie van de wetgevingen van de lidstaten inzake het op de markt aanbieden van radioapparatuur en tot intrekking van Richtlijn 1999/5/EG.
53 Kamerstukken II 2014–2015, 34 260, nr. 3; Kamerstuk II 2015-2016, 34 260, nr. 6.
waarborgen en om fraude te voorkomen. 54
133. Op grond van artikel 10 van de Radioapparaten Richtlijn dienen fabrikanten van radioapparaten, zoals Samsung, te waarborgen dat de apparaten die zij op de markt brengen overeenstemmen met de essentiële vereisten. Overweging 27 bij de richtlijn verduidelijkt in dit verband dat alle marktdeelnemers die een rol vervullen in de toeleverings- en distributieketen passende maatregelen moeten nemen om te waarborgen dat zij uitsluitend radioapparatuur op de markt aanbieden die aan deze richtlijn voldoet.55
134. De implementatietermijn van de Radioapparaten Richtlijn is reeds verstreken (12 juni 2016). De beoogde wijziging van de Tw zal gebeuren op een bij koninklijk besluit te bepalen tijdstip. Gezien het verstrijken van de implementatietermijn zijn de bepalingen uit de richtlijn echter wel van toepassing in de Nederlandse rechtsorde omdat de rechter het Nederlandse recht richtlijnconform dient uit te leggen.56
135. Ook zonder een richtlijnconforme interpretatie dient Samsung als fabrikant van de smartphones te waarborgen dat de persoonsgegevens en privacy van de gebruikers wordt beschermd en dat fraude wordt voorkomen. De voorganger van de Radioapparaten Richtlijn, de Richtlijn 1999/5/ EG betreffende radioapparatuur en telecommunicatie-eindapparatuur,57 bevatte namelijk vergelijkbare “essentiële vereisten” die zijn vastgelegd in het huidige artikel 10.3 Tw en het Besluit randapparaten en radioapparaten 2007. 58
Niet (tijdig) verstrekken van Updates en Upgrades is een oneerlijke handelspraktijk
136. Samsung is tevens gehouden tot het gedurende de levensduur van de smartphone verschaffen van tijdige Updates en Upgrades op grond van het (verbod) op oneerlijke handelspraktijken van artikel 6:193b lid 2 BW en artikel 5 van richtlijn 2005/29/EG (“Richtlijn oneerlijke handelspraktijken”). Op grond van artikel 11 van de Richtlijn oneerlijke handelsprakijken heeft de Consumentenbond een rechtmatig belang bij het bestrijden van oneerlijke handelspraktijken ten behoeve van consumenten.
137. Een handelspraktijk is op grond van dat artikel oneerlijk indien een handelaar in strijd handelt met de vereisten van professionele toewijding en het economische gedrag van de gemiddelde consument die zij bereikt of op wie zij gericht is wezenlijk verstoort of kan verstoren.
54 Art. 3 lid 1 sub a jo. art. 3 lid 3 sub e en f van de Radioapparaten Richtlijn.
55 Overweging 27 van de Radioapparaten Richtlijn.
56 HvJEU 5 april 1979, nr. C-148/78 (Xxxxxx Xxxxx).
57 Richtlijn 1999/5/EG van het Europees Parlement en de Raad van 9 maart 1999 betreffende radioapparatuur en telecommunicatie-eindapparatuur en de wederzijdse erkenning van hun conformiteit.
58 Art. 3 lid 3 sub c en d Richtlijn 0000/0/XX xxxxxxxxxxx radioapparatuur en telecommunicatie-eindapparatuur.
138. Het begrip “handelspraktijk” heeft volgens artikel 3 lid 1 jo. artikel 2 sub c van de Richtlijn oneerlijke handelspraktijken ook betrekking op handelingen van ondernemingen na de commerciële transactie en dus ook op handelingen gedurende de uitvoering van het contract.59
139. Bij het begrip “professionele toewijding” gaat het in essentie om de zorgvuldigheid die van een redelijk bekwaam en redelijk handelend vakgenoot mag worden verwacht.60 Volgens het HvJEU in het recente Sony-arrest moet worden nagegaan in hoeverre het gedrag van de handelaar in strijd is met eerlijke marktpraktijken, mede gelet op de gewettigde verwachtingen van de gemiddelde consument.
Bijgevolg moet worden nagegaan of het gedrag van de handelaar eventueel inbreuk maakt op de eerlijke marktpraktijken of op het algemene beginsel van goede trouw in zijn sector, in casu de productie van informaticamateriaal voor het grote publiek, gelet op de gewettigde verwachtingen van een gemiddelde consument.61
141. Van een redelijk bekwaam en redelijk handelend vakgenoot mag dan ook worden verwacht dat smartphones van (kritieke) Updates en Upgrades worden voorzien. In de praktijk worden er echter toestellen verhandeld die géén of nog slechts enkele maanden Updates en Upgrades ontvangen (zie randnummers 150-153). Dit betekent dat Samsung software levert die naar zijn aard minder lang meegaat dan de economische, technische en in redelijkheid te verwachten levensduur van de bijbehorende smartphone. Dit is in strijd met de vereisten van professionele toewijding.
142. Deze handelwijze kan het economische gedrag van de consument aanmerkelijk beïnvloeden. Immers, wanneer de Consument zou weten dat zijn smartphone na een jaar (of zelfs nog korter) niet meer veilig is, zou hij wellicht – waarschijnlijk – voor een ander toestel hebben gekozen, die de veiligheid wel waarborgt (en blijft waarborgen). Dat een smartphone niet langer Updates en Upgrades krijgt, kan ook van belang zijn voor de positiebepaling van de consument ten aanzien van de vraag of, en zo ja, hij zijn smarpthone behoudt dan wel of hij de non-conformiteit daarvan inroept. 62
59 Zie ook HvJEU 16 april 2015, zaak C-388/13, ECLI:EU:C:2015:225 (Nemzeti/UPC), r.o. 36.
60 X.X.X. Xxxxxxx, Oneerlijke handelspraktijken jegens consumenten (Monografieën BW nr. B49a), Deventer: Wolters Kluwer 2016, p. 28.
61 HvJEU 7 september 2016, zaak C-310/15, ECLI:EU:C:2016:633 (Xxxxx-Xxxxxxxxx/Sony), r.o. 34.
62 Oneerlijke handelspraktijken jegens consumenten (Mon. BW nr. B49a) 2016/28.
Onrechtmatige daad
143. Het door Samsung in strijd handelen met de wettelijke plichten van artikel 7:17 BW, artikel 13 Wbp, de Radioapparaten Richtlijn en artikel 6:193b BW resulteert in een onrechtmatige daad.
144. Maar ook los daarvan handelt Samsung in strijd met de zorgvuldigheid die in het maatschappelijk verkeer van haar kan worden verwacht door haar smartphones niet, althans niet tijdig, van Updates en Upgrades te voorzien en haar gebruikers daarmee bloot te stellen aan potentiële risico’s. Net zoals de eigenaar van een café ertoe gehouden is een kelderluik zo snel mogelijk dicht te doen, omdat het open laten staan daarvan een risico creëert voor voorbijgangers, rust ook op Samsung een zorgplicht om de bij haar bekende beveilingslekken in haar software te dichten en daarmee te voorkomen dat gebruikers schade leiden door een gebrek.63
TUSSENCONCLUSIE
146. Op grond van al het voorgaande, is Samsung verplicht tijdig Updates en Upgrades te verzorgen zodat de consument zijn smartphone gedurende de normale levensduur op een veilige manier kan gebruiken. Dit geldt helemaal voor Updates die door Google als “kritiek” aangeduide kwetsbaarheden (productie 23) moeten herstellen.
Misleidende omissie
147. Naast het tijdig aanbieden van Updates en Upgrades, moet Samsung de Nederlandse consument ook op duidelijke en ondubbelzinnige wijze informeren over wat hij kan verwachten in termen van Upgrades en Updates. Door die informatie niet, althans zeer onduidelijk, te verstrekken, maakt Samsung zich (opnieuw) schuldig aan een oneerlijke handelspraktijk, meer specifiek een
63 HR 5 november 1965, NJ 1966/136 (Kelderluik).
misleidende omissie, in de zin van artikel 6:193d BW en artikel 7 van richtlijn 2005/29/EG (Richtlijn oneerlijke handelspraktijken).64
In casu blijkt uit de verwijzingsbeslissing met name dat de verkoop door Sony van computers met voorgeïnstalleerde software voldoet aan de uit de analyse van de betrokken markt blijkende verwachtingen van een belangrijk deel van de consumenten die de aankoop van een aldus uitgeruste en onmiddellijk bruikbare computer verkiezen boven de afzonderlijke aankoop van een computer en software. Bovendien werd volgens diezelfde beslissing Xxxxx-Xxxxxxxxx, als consument, vóór de aankoop van de betrokken computer door de detailhandelaar van Sony naar behoren geïnformeerd over het bestaan van voorgeïnstalleerde software op deze computer en de specifieke kenmerken van elk van de softwareprogramma’s […].65
Met betrekking tot de aan de consument gegeven toelichtingen dient te worden benadrukt dat het voor een consument van wezenlijk belang is dat hij, vóór sluiting van de overeenkomst, kennis neemt van alle contractvoorwaarden en de gevolgen van de sluiting van de overeenkomst. Op basis van de aldus verkregen informatie zal hij namelijk beslissen of hij wenst contractueel gebonden te zijn aan een verkoper door de voorwaarden te aanvaarden die deze verkoper tevoren heeft vastgelegd (arrest van 30 april 0000, Xxxxxx en Xxxxxxxx Xxxxx, X-00/00, EU:C:2014:282, punt 70).66
64 Richtlijn 2005/29/eg van het Europees Parlement en de Raad van 11 mei 2005 betreffende oneerlijke handelspraktijken van
ondernemingen jegens consumenten op de interne markt en tot wijziging van Richtlijn 84/450/EEG van de Raad, Richtlijnen 97/7/EG, 98/27/EG en 2002/65/EG van het Europees Parlement en de Raad en van Verordening (EG) nr. 2006/2004 van het Europees Parlement en de Raad („Richtlijn oneerlijke handelspraktijken”)
65 HvJEU 7 september 2016, zaak C-310/15, ECLI:EU:C:2016:633 (Xxxxx-Xxxxxxxxx/Sony), r.o. 35.
66 HvJEU 7 september 2016, zaak C-310/15, ECLI:EU:C:2016:633 (Xxxxx-Xxxxxxxxx/Sony), r.o. 40.
151. De consument die wil weten waar hij aan toe is, moet goed zoeken en doorklikken op de website van Samsung. Per toestel moet hij eerst doorscrollen naar de “Tech Specs” van een geselecteerde smartphone, waar informatie te vinden is over onder meer de processor en de resolutie van de smartphone. In het onderstaande voorbeeld is dat de Galaxy S6.
152. De consument met vervolgens klikken op “meer specificaties weergeven +”. Dan verschijnt informatie over onder meer de camera, het geheugen en de netwerkspecificaties. Wanneer de consument dan helemaal naar beneden doorscrolt, komt hij uiteindelijk67 bij het kopje “software support”, waar summierlijk informatie wordt verstrekt over de software support periode, de versie van Android en de vraag of het Stagefright-lek 1.0 en 2.0 gepatcht zijn.
153. Een consument die op dit moment (november 2016) overweegt de Samsung Galaxy s6 aan te schaffen, krijgt dus nog maximaal 4 maanden (tot maart 2017) software support. Deze belangrijke informatie kan de consument slechts vinden door bovenstaande handelingen te verrichten op de website van Samsung. De gemiddelde consument zal dat niet doen.
154. Voor meer informatie wordt verwezen naar de pagina xxx.xxxxxxx.xxx/xx/xxxxxxxx-xx- security-update. De betreffende link is niet actief, dus de consument moet deze link kopiëren en plakken in zijn browser om de betreffende pagina te bezoeken.
67 Hij scrolt eerst langs de kopjes “camera”, “geheugen”, “netwerk”, “connectiviteit”, “besturingssysteem”. “algemene informatie”, “sensors”, “fysieke specificaties”, “batterij”, “audio en video”, “services en applicaties” en “extra informatie”.
155. Doet hij dat, dan komt hij op een FAQ-pagina met de titel “Software ondersteuning
Samsung” (productie 16 b).68 Daar staat te lezen dat Samsung ernaar streeft Updates zo snel mogelijk voor zoveel mogelijk toestellen uit te rollen, maar dat het ook zomaar kan dat een bepaald toestel geen Updates krijgt.
156. Over de vraag of Upgrades verstrekt worden, merkt Samsung op dat zij er gedurende de software-ondersteuningsperiode naar streeft zoveel mogelijk toestellen van de laatste Android- versies te voorzien, maar dat zij niet kan beloven dat de consument steeds de nieuwste versie op zijn telefoon krijgt.
157. Over de garantie van de softwareondersteuning of tot welke versie bepaalde toestellen geüpdate kunnen worden is niks opgenomen. Voor de consument is volstrekt onduidelijk binnen welke termijn en met welke frequentie hij dergelijke Updates kan verwachten. Over Upgrades wordt in zijn geheel geen informatie verstrekt. Het beleid van Samsung– voor zover de FAQ-pagina van Samsung als zodanig zou kwalificeren – bevat geen enkele concrete toezegging.
158. De vraag of een smartphone met de meest recente versie van een besturingssysteem is uitgerust, dan wel of hij een Upgrade kan verwachten, is essentiële informatie voor de consument die zijn keuze bij de aanschaf van een smartphone aanmerkelijk zou kunnen beïnvloeden. Het besturingssysteem (en de status daarvan) is immers één van de belangrijkste kenmerken bij de keuze van een smartphone. Ook de vraag of een smartphone gedurende de gewenste gebruiksperiode en levensduur wordt voorzien van Updates om de beveiliging en bescherming van de privacy te waarborgen, is informatie die de beslissing van de consument kan beïnvloeden.
159. Het weglaten van die informatie kan de consument ertoe bewegen een besluit over een transactie te nemen dat hij anders niet had genomen. Xxxxxx, wanneer de consument zou weten dat zijn nieuwe Galaxy s6 smarpthone maar 4 maanden Updates krijgt in plaats van de circa twee jaar dat hij het toestel wenst te gebruiken, zou hij wellicht voor een ander toestel kiezen.
160. Dit wordt onderstreept door het feit dat gebrekkige informatievoorziening door consumenten is aangeduid als een van de voornaamste problemen bij digitale content, zoals software. Dit blijkt onder meer uit onderzoek van de Europese Commissie, die gebrek aan informatie en transparantie aanduidt als een “main source of personal detriment” voor de consument.
68 xxxx://xxx.xxxxxxx.xxx/xx/xxxxxxx/xxx/xxx/0000000.
Problems relating to the complexity, transparency and timing of contract agreements represent a source of detriment as information that is, for example, unclear, hidden or lacking, and can create problems for consumers where they are not aware of the full contract conditions when interacting with content and services.69
161. Ook beveiliging en veiligheid (“security and safety”) van de hardware en software zijn belangrijke punten van zorg van consumenten, aldus het onderzoek.70
162. Ook de risicorapportage Cyberveiligheid van het CBP (productie 24) signaleert dat vaak sprake is van onwetendheid over softwarekwetsbaarheden aan de zijde van de consument, waardoor zij vaak onnodig lang worden blootgesteld aan cyberaanvallen.
Cybercriminelen maken vaak gebruik van kwetsbaarheden en fouten in software. Fouten van softwareprogrammeurs leiden tot zwakke plekken en onwetendheid of aanpassingskosten bij eindgebruikers zorgen voor onnodig lange blootstellingen aan cyberaanvallen.71
163. Dat het Updatebeleid informatie betreft die de keuze van de consument aanmerkelijk kan beïnvloeden, blijkt uit een recent onderzoek van Sammobile (productie 25). Op de vraag “does Samsung’s update policy affect your decision to buy a new Galaxy smartphone?”, antwoordde 86% van de bijna 6000 respondenten dat dit inderdaad het geval was.72
164. Zelfs wanneer aangenomen zou worden dat Samsung wel informatie zou verstrekken over het Upgrade- en Updatebeleid, is nog steeds sprake van een oneerlijke handelsprakrijk. Op grond van lid 3 van artikel 6:193d BW is immers ook het op onduidelijke, onbegrijpelijke, of dubbelzinnige wijze verstrekken van informatie, een misleidende omissie. Nu de informatieverstrekking van Samsung over Updates en Upgrades op zijn best minimaal is, de informatie ook nog eens verstopt is achter onklikbare links, en geen enkele concrete toezegging bevat, kan niet worden gezegd dat Samsung de informatie verstrekt op een wijze die nuttig is en begrijpelijk voor de consument.73 Dat voor het aannemen van een oneerlijke handelspraktijk
69 Digital Content Services for Consumers: Assessment of Problems Experienced by
Consumers (Lot 1), Report 4: Final Report, p. 7 en p. 57 e.v. Te vinden op: xxxx://xx.xxxxxx.xx/xxxxxxx/xxxxxxxx-xxxxxxxxx/ files/empirical_report_final_-_2011-06-15.pdf.
70 Digital Content Services for Consumers: Assessment of Problems Experienced by
Consumers (Lot 1), Report 4: Final Report, p. 59.
71 CPB rapport p. 19.
72 xxxx://xxx.xxxxxxxxx.xxx/0000/00/00/xxxx-xxxx-xxxxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxx-xxxxxxxx-xx-xxx-x-xxx-xxxxxx- smartphone/.
73 Vglk. HvJEU 5 juli 2012, zaak C-49/11, ECLI:EU:C:2012:419 (Content Services), waaruit blijkt dan wanneer informatie op de website van de verkoper staat en deze enkel toegankelijk is via een aan de consument beschikbaar gestelde link, de informatie niet is verstrekt aan of ontvangen door de consument.
niet van belang is of de consument zelf de informatie kon verkrijgen heeft het HvJEU bevestigd in het arrest UPC/Nemzeti.
Gelet op de voorgaande overwegingen is het betoog van UPC dat de consument in het onderhavige geval zelf de juiste informatie kon verkrijgen, derhalve irrelevant.74
165. Voor het aannemen van een misleidende omissie is niet vereist dat de consument in kwestie daadwerkelijk heeft kennisgenomen of daadwerkelijk is beïnvloed door de handelspraktijk, maar slechts dat de onjuistheid of onvolledigheid van de handelspraktijk van voldoende materieel belang is om de gemiddelde consument (de “maatman”) te kunnen misleiden. Voldoende is dat de consument geen bewuste keuze heeft kunnen maken, zo heeft het HvJEU bevestigd.75
Een voorwaarde om te kunnen spreken van een misleidende handelspraktijk is dat een handelaar zich op zodanige wijze gedraagt «waardoor de gemiddelde consument een besluit over een overeenkomst neemt of kan nemen, dat hij anders niet had genomen». Het is de vraag of hierdoor de rechtsbescherming van de consument afneemt, zoals de vragenstellers suggereren. Naar onze mening is dit niet het geval, omdat het niet goed denkbaar is dat er feitelijk sprake is van een oneerlijke handelspraktijk, terwijl tegelijkertijd niet aan de genoemde voorwaarde is voldaan. De consument behoeft immers slechts aan te tonen dat hij op basis van de gedraging een besluit neemt of kan nemen. Het is de verwachting dat dit consumenten in de praktijk niet veel problemen zal opleveren.76
167. Toezichthouder ACM is dezelfde mening toegedaan:
Het is niet nodig dat de consument daadwerkelijk misleid is. Hij hoeft ook niet daadwerkelijk een besluit te nemen of tot een aankoop over te gaan. Het gaat erom dat de gemiddelde consument door de misleidende handelspraktijk een onjuist beeld had kúnnen krijgen en daardoor tot de aanschaf van een product of dienst had kúnnen overgaan die hij (mogelijk) anders niet had gedaan.77
74 HvJEU 16 april 2015, zaak C-388/13, ECLI:EU:C:2015:225 (Nemzeti/UPC), r.o. 54.
75 HvJEU 16 april 2015, zaak C-388/13, ECLI:EU:C:2015:225 (Nemzeti/UPC), r.o. 40.
76 Kamerstukken II 2006/07, 30 928, nr. 8, p. 6.
77 xxxxx://xxx.xxx.xx/xx/xxxxxxxxxxx/xxxxxxxxxxxxxxxx/xxxxxxxxxx-xxxxxxxxxxxxxxxxx/xxxxxxxxxxx-xxxxxxxxxxxxxxxxx/.
169.Het feit dat Samsung gebruikers niet individueel meldt dat en, zo ja wanneer, zij stopt met de levering van Updates en Upgrades, hoewel ze wel over de persoonsgegevens beschikt, is tenslotte een zelfstandige oneerlijke handelspraktijk. Als gevolg van deze misleidende omissie, kunnen consumenten immers geen aanvullende veiligheidsmaatregelen nemen, zoals het maken van backups.
VERWEREN SAMSUNG
170. Bij de bespreking van de feiten en het juridisch kader hierboven is al deels ingegaan en geanticipeerd op de bekende en verwachte verweren van Samsung. In aanvulling daarop zal de Consumentenbond nog kort reageren op de overige door Samsung aangevoerde verweren tijdens haar pleidooi in het eerdere kort geding.
Nog geen exploits
171. Samsung stelt zich op het standpunt dat de (informatie)veiligheid van consumenten niet echt in gevaar zou zijn, omdat daarvoor vereist is dat dat misbruik wordt gemaakt van kwetsbaarheden in de software. In het eerdere kort geding zette Samsung daarom zwaar in op het feit dat er (nog) geen bekende exploits van Stagefright waren geweest (verwijzingen).
172. Het enkele feit dat er nog geen misbruik is gemaakt van een kritiek beveiligingslek, neemt echter niet weg dat het risico daarop wel groot aanwezig is en dat de gevolgen zeer ernstig kunnen zijn.
173. Dat geldt temeer nu hackers intensiever zullen zoeken naar mogelijke kwetsbaarheden naarmate bepaalde software meer gebruikers heeft. Android, het meest verkochte besturingssysteem ter wereld, is daardoor extra kwetsbaar voor misbruik, zo concludeert ook het Centraal Planbureau in haar recente risicorapportage op basis van cijfers (productie 24).78
78 P. 17 en 18.
174. Het enkele feit dat een kwetsbaarheid (nog) niet succesvol is misbruikt of heeft geleid tot een datalek, betekent dus niet dat die kwetsbaarheden niet of langzamer verholpen hoeven te worden. Integendeel, op Samsung rust de zorgplicht om beveiligingslekken zo snel mogelijk te dichten om haar klanten te beschermen teneinde het gevaar op schade zoveel mogelijk weg te nemen. Zoals hierboven toegelicht, is dat ook hoe de Autoriteit Persoonsgegevens, de ACM en de rechtbank Rotterdam de plicht om persoonsgegevens te beveiligen interpreteren.
175. Samsung heeft zich in het eerdere kort geding op het standpunt gesteld dat de regels van non- conformiteit niet van toepassing zijn. Primair meent Samsung dat deze regels niet van toepassing zouden zijn op de software op smartphones. Subsidiair meent Samsung dat van non- conformiteit geen sprake is omdat kwetsbaarheden inherent zijn aan software. Ook meent Samsung dat software op basis van haar licentieovereenkomst “as is” wordt verstrekt en de consument dus geen reden geeft om Updates of Upgrades te verwachten.
Toepasselijkheid artikel 7:17 BW
176. Zoals hierboven (randnummers 47-50) uiteengezet, sluit de consument die een smartphone aanschaft een aparte licentieovereenkomst voor het (duurzame) gebruik van de software en het ontvangen van Updates.
177. Het is Samsung met wie de consument in dit verband contracteert en het is Samsung die zelfstandig verantwoordelijk is voor het leveren en up-to-date houden van de software. Het is tevens Samsung die bepaalt óf, hoe en wanneer Updates en Upgrades worden verstrekt. Dat is ook het geval als de bijbehorende smartphone (de hardware) niet door Samsung verkocht wordt, maar door een derde (zoals een provider). In dat geval is het immers nog steeds alleen Samsung die de Updates en Upgrades, vanuit de cloud, naar de smartphone van de consument “pusht”.
178. Samsung kan, voor wat betreft de software, dan ook niet worden aangemerkt als “hulppersoon” van de provider, maar heeft daarentegen te gelden als zelfstandig leverancier, die door de consument kan worden aangesproken op non-conformiteit. Conform het Beeldbrigade-arrest, is de kooptitel op deze licentie van toepassing. 79
180. Voor zover vereist zou zijn dat sprake is van “digitale inhoud”, zoals Samsung aanvoert (pleitnotities nr. 4.11), geldt dat daar zonder meer aan is voldaan. Software is digitale inhoud .
181. Gelet op het zelfstandige karakter van de contractuele relatie tussen de consument en Samsung en de zelfstandige economische waarde die de software van Samsung vertegenwoordigt, gaat het bij de aanschaf van een smartphone om een gemengde overeenkomst van koop en digitale inhoud. De software moet worden aangemerkt als digitale inhoud die niet op een materiële drager is geleverd. Dat geldt ook voor de Updates en Upgrades, die door de consument gedownload worden op de smartphone. Ingevolge artikel 7:5 lid 5 BW is de kooptitel daarop van toepassing.
182. Opgemerkt zij echter dat ook als zou worden aangenomen dat het gaat om digitale inhoud op een materiële drager (in dit geval: een telefoon), de kooptitel – en dus de conformiteitsregels – daarop eveneens van toepassing zijn.80 In dat geval wordt de digitale inhoud als een roerende zaak beschouwd in de zin van artikel 7:5 lid 1 BW. Als tegenprestatie gebruikt Samsung de data en persoonsgegevens van de consument om, onder meer, het gebruik van het toestel te analyseren en om gepersonaliseerde aanbiedingen te doen. Samsung plaatst ook cookies, beacons en soortgelijke technische middelen op de smartphone van de consument voor analytische- en reclamedoeleinden.
Kwetsbaarheden inherent aan software
183. Dat kleine fouten en kwetsbaarheden inherent zijn aan software, zoals Samsung heeft aangevoerd in het kort geding (pleitnotities 5.7), wordt door de Consumentenbond niet ontkend. De Consumentenbond stelt zich ook niet op het standpunt dat het enkele bestaan van zo’n kwetsbaarheid al leidt tot non-conformiteit. De non-conformiteit schuilt hem, daarentegen, in het niet of niet-tijdig herstellen van die kwetsbaarheid door middel van een Update of Upgrade.
79 HR 27 april 2012, ECLI:NL:HR:2012:BV1301 (Beeldbrigade).
80 Kamerstukken II 2012/13, 33 520, nr. 3, p. 19.
184. Ook Xxxxxxxxx en Loos merken – terecht – op dat het enkele feit dat software kwetsbaarheden bevat of gaat bevatten nog niet per definitie leidt tot non-conformiteit, maar nemen daarbij als vanzelfsprekend aan dat aanbieder van digitale content in dat geval voorziet in Updates, die de consument ook moet installeren.
“More difficult to answer is the question whether flawed digital content that does not itself cause detriment but that leaves the consumer’s hardware or software open to viruses and Trojan horses is also considered not to be in conformity with the contract. From the side of the industry, it is argued that it is normal that complex software has some flaws, defects, or bugs when it is first put on the market. In fact, automatic services updates are also used to address and remedy newly discovered flaws as quickly and as efficiently as possible. […] A relevant and yet unresolved question in that context is to what extent consumers must cooperate, e.g., through installing the requested updates, in order to “qualify” for protection. It would seem justified that suppliers of digital content can reasonably expect the consumer to keep her software programmes updated and to allow for repairs of discovered defects, flaws, and bugs through automated services update. […].81
186. Elke andere uitleg zou ook strijdig zijn met het doel van de conformiteitsregels om een hoog niveau van consumentenbescherming te waarborgen, aangezien daarmee op eenvoudige wijze dwingendrechtelijke regels konden worden weg gecontracteerd. Dit is niet toegestaan, zo volgt uit artikel 7:6 lid 1 BW en artikel 6:237 sub b BW.82
Updateproces ingewikkeld en kostbaar
188. Ook als het juist zou zijn dat het beschikbaar maken van Updates en Upgrades voor al haar apparaten complex en tijdrovend zou zijn, ontslaat dat Samsung er niet van om tijdig Updates
81 Helberger, Loos e.a., Digital Contracts for Consumers, p. 53.
82 Een en ander zou ook in strijd zijn met de eisen die voortvloeien uit de redelijkheid en billijkheid, artikel 6:248 BW.
beschikbaar te maken. De prioritering tussen toestellen mag er evenmin toe leiden dat consumenten langdurig rondlopen met een toestel met daarop software die potentieel op ernstige wijze kan worden misbruikt. Het feit dat Samsung ervoor kiest om een groot assortiment duurdere en (iets) minder dure smartphones aan te bieden, moet vanzelfsprekend voor haar eigen rekening blijven.
189. Over de afhankelijkheid van Google voor het aanleveren van Updates, kan de Consumentenbond kort zijn. Dat Google niet de bottleneck is in het Updateproces, is hierboven in het feitelijk kader al toegelicht. Google maakt patches op zeer korte termijn en in ieder geval maandelijks beschikbaar voor haar partners, waaronder Samsung. Waar het de Consumentenbond in deze zaak om te doen is, is dat Samsung de door Google beschikbaar gemaakte patches tijdig (binnen 1 maand) implementeert voor haar apparaten.
Samsung presteert bovengemiddeld
190. Samsung zal aanvoeren dat andere producenten nog minder (duidelijke) informatie verstrekken (pleitnotities 6.8) en/of nog minder lang Updates en Upgrades verstrekken. Vermoedelijk zal Samsung ook aanvoeren dat haar smartphones relatief goed scoren in consumententests.
191. Het feit, echter, dat andere fabrikanten net zo slecht of zelfs slechter presteren dan Samsung, betekent vanzelfsprekend niet dat Samsung als marktleider niet kan worden aangesproken op haar eigen tekortschieten.
192. Dat Samsung-toestellen goed uit de tests komen, zegt evenmin iets over de vraag of Samsung voldoet aan haar zorgplicht op het gebied van Updates en Upgrades. De tests zien immers op de hardware, het toestel zelf. (Het gebrek aan tijdige) Updates en Upgrades is een ervaring na het moment van verkoop aan de consument. Zoals in het feitelijk kader aangegeven zijn Update perfomance data bovendien niet openbaar beschikbaar en is Samsung hierover niet transparant, waardoor Updateperformance sowieso niet kan worden meegewogen bij de test.
VORDERINGEN
193. In het petitum worden de navolgende begrippen als volgt gedefinieerd:
➢ “Software”: het Android-besturingssysteem op de smartphone, al dan niet voorzien van een extra softwareschil van Samsung;
➢ “Update”: een patch waarmee een kwetsbaarheid in de Software (tijdelijk) wordt
gerepareerd;
➢ “Upgrade”: een nieuwe versie van het Android-besturingssysteem;
➢ “Smartphone”: een smartphone die Samsung onder haar merknaam op de markt brengt of doet brengen;
➢ “Kritieke Update”: een Update die een kwetsbaarheid in de Software repareert die
door Google als kritiek (critical) wordt aangemerkt
194. De vorderingen kunnen als volgt worden toegelicht.
195. De vorderingen onder I en II betreffen twee verklaringen voor recht dat Samsung, kort gezegd, in strijd handelt met de zorgvuldigheid die in het maatschappelijk verkeer betaamt en/of met haar wettelijke verplichtingen, door (i) de smartphones die zij aanbiedt niet gedurende de normale levensduur van de smartphone en/of niet tijdig van Updates en/of Upgrades te voorzien en (ii) door consumenten niet op heldere wijze te informeren over de duur dat het toestel wordt beschermd en – meer in zijn algemeenheid – over het Update- en Upgradebeleid.
196. Met de vorderingen onder III en V wil de Consumentenbond bewerkstelligen dat Samsung tijdig Updates en Upgrades voor de Software op haar smartphones verstrekt gedurende de normale levensduur van de smartphone. Subsidiair vordert Samsung dat dit bevel in ieder geval wordt toegewezen voor “kritieke” Updates.
197. Gekozen is voor een periode van vier jaar na de introductie op de markt en/of twee jaar na het moment van verkoop door Samsung of via een retailkanaal. De twee-jaar termijn sluit aan bij de gemiddelde verwachting van de consument, die doorgaans een twee-jaarabonnement afsluit. Met de vier jaar termijn wilt de Consumentenbond waarborgen dat een consument niet een telefoon koopt die nog slechts een paar maanden wordt ondersteund met Updates en/of Upgrades, zoals nu wel het geval is, omdat consumenten ook toestellen kopen die al langer op de markt zijn. De vier jaar-termijn waarborgt dus dat consumenten in de praktijk daadwerkelijk (ten minste) twee jaar lang Upgrades en Updates krijgen. Het moment van de introductie op de markt is objectiveerbaar en biedt daarom een goed startpunt. Een dergelijke termijn wordt ook gehanteerd door Apple in het kader van iOS. Voor de twee-jaar termijn kan worden aangesloten bij het moment dat consumenten instemmen met de licentieovereenkomst en het privacybeleid van Samsung.
198. Een termijn van een maand voor het verstrekken van (kritieke) Updates, te rekenen vanaf het moment dat Samsung door Google op de hoogte wordt gesteld van zowel de kwetsbaarheid als de patch, is redelijk. Vanaf dat moment is Samsung immers in staat de Software op haar telefoons te Updaten. Een maand geeft Samsung voldoende tijd de patch door te voeren. Dat deze termijn praktisch uitvoerbaar is voor Samsung, blijkt uit het feit dat zij deze nu al hanteert voor een select aantal toestellen.83 De Consumentenbond vordert dat Samsung dit beleid nu doortrekt naar al haar toestellen, niet alleen de nieuwste modellen. Een termijn van een maand sluit ook aan bij de wijze waarop toezichthouders, zoals ACM, invulling geven aan de zorgplicht. Zij hebben immers aangegeven dat patches direct moeten worden getest en uitgevoerd.
199. Voor het verstrekken van Upgrades is een termijn van drie maanden redelijk. Hierbij is rekening gehouden met het feit dat Upgrades vaak verstrekt worden om nieuwe functionaliteiten te
83 Zoals blijkt uit verklaringen op de website van Samsung, zie xxxx://xxx.xxxxxxx.xxx/xx/xxxxxxx/xxx/xxx/000000.
introduceren, vaak grote wijzigingen met zich meebrengen, en vanuit het oogpunt van veiligheid minder urgent zijn dan Updates.
200. De vordering onder V bevat een informatieverplichting. Zoals hierboven uiteen is gezet , is de huidige informatievoorziening van Samsung onvolledig, abstract en is de informatie bovendien verstopt achter onklikbare links. De vordering strekt ertoe dat Samsung de consument voorafgaand aan de verkoop van een smartphone, de point of sale, op duidelijke en ondubbelzinnige wijze informeert over (i) de versie van Android op de smartphone, (ii) de einddatum van de softwareondersteuning voor de betreffende smartphone en de consequenties hiervan voor de consument, en (iii) het Update- en Upgradebeleid, waaronder begrepen de termijn waarbinnen de consument (kritieke) Updates en/of Upgrades kan verwachten.
201. De informatie over de versie van het besturingssysteem en de periode waarover nog software support wordt geleverd, moet Samsung opnemen bij de belangrijkste productspecificaties van de smartphone (“tech specs”) op de website van Samsung, op dezelfde plek waar momenteel informatie over het display, geheugen en resolutie wordt weergegeven.
202. Verder moet er bij de specificaties een duidelijke verwijzing komen naar het volledige beleid, waar de consument op heldere wijze kan lezen wat hij in termen van Updates en Upgrades kan verwachten.
203. Dezelfde – specifiek voor het model en meer algemene – informatie moet ook worden opgenomen in de (gedrukte) gebruikershandleiding die de consument bij zijn smartphone ontvangt. Op die manier wordt verzekerd dat de informatie de consument ook bereikt als hij zijn smartphone ergens anders aanschaft dan via de website van Samsung, bijvoorbeeld via Xxx.xxx of in de winkel.
204. De gevraagde bevelen zijn zoveel mogelijk gespecificeerd. De Consumentenbond heeft bij de gekozen termijnen rekening gehouden met de praktische uitvoerbaarheid voor Samsung. In het geval de Rechtbank onverhoopt aanleiding zou zien om de gevraagde geboden te beperken en/of de daarin genoemde termijnen te wijzigen, dan verzoekt de Consumentenbond de Rechtbank van haar bevoegdheid gebruik te maken zulks in goede justitie te bepalen.
ONTVANKELIJKHEID
205. De Consumentenbond is een vereniging met volledige rechtsbevoegdheid in de zin van art. 3:305a BW. De Hoge Raad heeft dit bevestigd in zijn arrest van 1994.
[D]e Consumentenbond [is] een rechtspersoon, die zich volgens zijn statuten en ook metterdaad toelegt op de behartiging van consumentenbelangen en naar algemene maatstaven voldoende representatief moet worden geacht om in voorkomende gevallen zo nodig ter bescherming van een collectief consumentenbelang in rechte op te treden.84
206. De Consumentenbond stelt zich tot doel de belangen van consumenten in het algemeen te behartigen, zoals volgt uit artikel 3 van de Statuten (productie 3). Bij het behartigen van de consumentenbelangen streeft de Consumentenbond naar “een volwaardige economische en sociale positie van de consument ten opzichte van het totstandkomen, distribueren en consumeren van particuliere en collectieve goederen en diensten.”
207. In het kader van deze doelstelling ontplooit de Consumentenbond onder meer activiteiten in het belang van de bescherming van de privacy en de persoonlijke levenssfeer van consumenten, zoals blijkt uit randnummer 47-48. Om de belangen van consumenten te beschermen, treedt de Consumentenbond regelmatig in rechte op.85
208. De Consumentenbond treedt in onderhavige procedure op voor de belangen van consumenten met een smartphone van Samsung. Deze belangen zijn gelijksoortig en lenen zich voor bundeling omdat hiermee op een efficiënte en effectieve manier rechtsbescherming kan worden verkregen.86 Immers, het onrechtmatig handelen van Samsung geldt jegens alle consumenten met een Samsung smartphone en alle consumenten die overwegen een Samsung smartphone een te schaffen.
84 Dit is tevens bepaald in HR 2 september 1994, NJ 1995/369 (Consumentenbond/Nuts).
85 Zie recent Rb Oost-Brabant, 13 mei 2016, ECLI:NL:RBOBR:2016:2425 (Consumentenbond/Essent);
86 HR 26 februari 2010, LJN BK5756 (Stichting Baas in Eigen Huis/Plazacasa); HR 9 april 2010, LJN BK4549, NJ 2010/388 (Staat en SGP/Xxxxx Xxxxxxxx c.s.).
209. De gevraagde vorderingen lenen zich tevens voor een collectieve actie op grond van art. 3:305a BW.87
BEVOEGDHEID
211. De rechtbank Den Haag is te dezer zake bevoegd op grond van artikel 99 respectievelijk artikel 102 Rv. Samsung Electronics Benelux B.V. is statutair gevestigd in Delft (productie 26). Daar komt bij dat onrechtmatige gedragingen en oneerlijke handelspraktijken (mede) plaatsvinden via het internet: de website (en webshop) van Samsung is immers toegankelijk vanuit heel Nederland, waaronder Den Haag. Gelet op de samenhang tussen de vorderingen jegens de beide gedaagden, is de Rechtbank ook bevoegd ten aanzien van Samsung Electronics Co Ltd. op grond van artikel 107 Rv.
BEWIJSAANBOD
212. Voorzover de bewijslast op grond van art. 150 Rv op de Consumentenbond rust biedt zij hierbij aan haar stellingen te bewijzen met alle middelen rechtens. In het bijzonder biedt zij aan het belang van Updates voor de (informatie)veiligheid en het recht op bescherming van persoonsgegevens voor consumenten te bewijzen, desnoods door middel van
(partij-)deskundigen. De Consumentenbod biedt in het bijzonder bewijs aan van haar stelling
dat het vanuit het oogpunt van informatiebeveiliging van het grootste belang is tijdig Updates en Upgrades te verstrekken. Zij beschikt over de volgende deskundige die daarover nader bewijs kan leveren: prof. dr. X.X.X. (Xxxx) Xxxxxx, hoogleraar Beveiliging en correctheid van programmatuur aan de Radboud Universiteit Nijmegen.
213. De in de dagvaarding genoemde producties zullen op de Roldatum in het geding worden gebracht.
MITSDIEN
Het uw rechtbank behage bij vonnis, zoveel mogelijk uitvoerbaar bij voorraad:
I. Te verklaren voor recht dat Samsung in strijd handelt met de zorgvuldigheid die van haar in het maatschappelijk verkeer mag worden verwacht en/of in strijd met de verplichtingen voortvloeiend uit artikel 7:17 BW en/of artikel 13 Wet bescherming persoonsgegevens en/of de Radioapparaten Richtlijn en/of artikel 6:193b e.v. BW, een en ander door te handelen als in het
87 Vergelijk in dit kader HR 7 november 1997, NJ 1998, 268 (Philips/VEB).
lichaam van de dagvaarding omschreven, in het bijzonder door de Software op haar Smartphones niet gedurende de normale levensduur van de smartphones, althans gedurende een periode van vier jaar te rekenen vanaf het moment van de introductie op de markt, te voorzien van (kritieke) Updates en/of Upgrades en/of haar Smartphones niet tijdig te voorzien van (kritieke) Updates, althans niet binnen een maand na bekendwording met de kwetsbaarheid en de patch (Update) van Google die de kwetsbaarheid beoogt weg te nemen;
II. Te verklaren voor recht dat Samsung in strijd handelt met de zorgvuldigheid die van haar in het maatschappelijk verkeer mag worden verwacht en/of met de verplichtingen voortvloeiend uit artikel 6:193d BW en/of artikel 6:193 BW, door consumenten voordat zij een Smartphone aanschaffen niet, althans niet op duidelijke en ondubbelzinnige wijze, te informeren over (i) de versie van het besturingssysteem en/of de vraag of dit de meest recente versie is en/of (ii) de vraag of en, zo ja, tot welke periode het toestel (kritieke) Updates en/of Upgrades ontvangt en/ of (iii) de gevolgen hiervan voor de consument en/of (iv) de termijn waarbinnen de consument dergelijke (kritieke) Updates en/of Upgrades kan verwachten;
III. Samsung te bevelen alle Smartphones in Nederland gedurende een periode van vier jaar na de introductie op de markt en/of twee jaar na het moment van verkoop door Samsung of via een retailkanaal te voorzien van Updates die kwetsbaarheden in de Software repareren, althans Updates die een door Google als “kritiek” aangemerkt beveiligingslek in het Android besturingssysteem repareren, steeds binnen een maand nadat de Update door Google beschikbaar is gesteld, althans een door uw rechtbank in goede justitie te bepalen bevel;
IV. Samsung te bevelen alle Smartphones in Nederland gedurende een periode van vier jaar na de introductie op de markt en/of twee jaar na het moment van verkoop door Samsung of via een retailkanaal te voorzien van Upgrades, binnen een termijn van drie maanden na het uitbrengen door Google van de Upgrade; althans een door uw rechtbank in goede justitie te bepalen bevel;
V. Samsung te bevelen consumenten voordat zij een smartphone aanschaffen op duidelijke en ondubbelzinnige wijze te informeren over het Update- en Upgradebeleid, in het bijzonder over
(i) de versie van het besturingssysteem op de smartphone en/of de vraag of dit de meest recente versie is en/of (ii) de vraag of en, zo ja, tot welke periode de betreffende smartphone (kritieke) Updates en/of Upgrades ontvangt en (iii) de gevolgen hiervan voor de consument en/of (iv) de termijn waarbinnen de consument dergelijke (kritieke) Updates en/of Upgrades kan verwachten, door de informatie onder (i) en (ii) per smartphone op te nemen in het blok met de belangrijkste productspecificaties (“tech specs”) op de website van Samsung en in de (gedrukte) gebruikershandleiding bij de smartphone en door de informatie onder (iii) en (iv) op te nemen in een helder en goed vindbaar beleid op de website van Samsung en in de (gedrukte) gebruikershandleiding bij de smartphone, een en ander in op een aan het gebruikte medium aangepaste wijze, althans een door uw rechtbank in goede justitie te bepalen bevel;
VI. Samsung te veroordelen tot het betalen van een onmiddellijk opeisbare en niet voor matiging vatbare dwangsom van telkens EUR 50.000,-- ineens voor iedere niet-nakoming van enig
onderdeel van de onder III, IV en V omschreven bevelen, alsmede EUR 50.000,-- voor iedere dag dat deze niet-nakoming voortduurt, zulks met een maximum van EUR 1.000.000,--;
VII. Samsung in de kosten van deze procedure te veroordelen.
De kosten dezes van mij deurwaarder bedragen:
Deurwaarder
Deze zaak wordt behandeld door
Mr. Chr.A. Alberdingk Thijm, Mr. X.X.X. xx Xxxxx en Xx. X.X. Xxx Xxxxx
Xxxxxxxxxx 000 0000 XX Xxxxxxxxx Xxx Xxxxxxxxxxx T: 020 7606 505 / F: 020 7 606 555
xxxx@xxxxxxxxxxxxxx.xxx / xxxxxxxxxxxxxx.xxx