De ratio achter zowel het recht op updates als de beveiligingsverplichting uit de AVG is het streven de belangen van enerzijds de consument en anderzijds de betrokkene, die vaak samenvallen in één persoon, zo goed mogelijk te beschermen.133 Beiden bevinden zich in
een afhankelijkheidspositie ten opzichte van de handelaar/producent/verantwoordelijke. De regels omtrent non-conformiteit, waar het recht op updates onderdeel van uitmaakt, vormen de grondslag waarop een consument rechten, zoals een vordering tot herstel of vervanging of een vordering tot ontbinding, kan uitoefenen jegens een handelaar.134 De
AVG biedt aan de consument enerzijds mogelijkheden om controle uit te oefenen op de verwerking van zijn of haar persoonsgegevens en anderzijds, afhankelijk van de omstandigheden van het geval, een mogelijkheid tot vordering van schadevergoeding.135
Het recht op updates vloeit voort uit de gedachte dat geleverde producten de eigenschappen moeten bezitten die de consument redelijkerwijs mag verwachten ten tijde van de contractsluiting. Indien de handelaar in gebreke blijft, kan de consument hem aansprakelijk stellen.136 Hierna kan de consument via artikel 7:21 BW herstel dan wel
vervanging vorderen. Het blijft echter de vraag of deze vorderingen effect sorteren in gevallen dat een handelaar geen overeenkomsten heeft gesloten of kan sluiten met IoT- producenten en zelf niet in staat is om updates te leveren, zie hierover paragraaf 4.2. Waar het recht op updates een verplichting neerlegt bij de handelaar, legt artikel 32 AVG de beveiligingsverplichting neer bij de verantwoordelijke, doorgaans de producent. De
133 Gomez 2004, p.193 & Nissenbaum 2009, p. 81-84. 134 Artikel 7:21 en 7:22 BW.
135 Artikel 15 e.v. AVG.
handelaar is namelijk niet in alle gevallen aan te merken als verantwoordelijke. Uit paragraaf 3.1. blijkt dat dit per geval beoordeeld moet worden. Weliswaar kan de consument een klacht indienen bij de AP, maar een nakomingsvordering tot het leveren van updates is niet mogelijk op grond van de AVG. De AVG bevat namelijk geen grondslag voor een vordering tot nakoming van de beveiligingsverplichting. Alleen de toezichthouder kan door handhavend op te treden ervoor zorgen dat een verantwoordelijke in overeenstemming met de beveiligingsverplichting uit AVG zal handelen.137 Terwijl de consument middels een nakomingsvordering of vordering tot
schadevergoeding slechts de handelaar kan aanspreken.
Daarnaast kan de AP een verantwoordelijke op de vingers tikken, zodra laatstgenoemde de genomen maatregelen niet kan verantwoorden en vervolgens hem een boete opleggen. Bij het vaststellen van een administratieve boete moet de toezichthouder onder andere rekening houden met proportionaliteit van de genomen beveiligingsmaatregelen.138 Een
ander voordeel van de AVG is het afschrikwekkende effect van hoge boetes die de AP kan opleggen. Deze kunnen in samenhang met het risico op imagoschade eraan bijdragen dat IoT-producenten hun verantwoordelijkheid daadwerkelijk zullen nemen. Voor de consument kan dat gunstig zijn.
Het valt echter te betwijfelen of de betrokkenheid van de AP daadwerkelijk een verschil zal maken. Nadat de AVG in werking was getreden en de AP ruimere bevoegdheden had verkregen om op te treden, trokken veel ervaren medewerkers weg.139 Juist in deze
periode waarin de AP zich moest voorbereiden op de inwerkingtreding van de AVG, was er te weinig personeel aanwezig om de stortvloed aan klachten te kanaliseren.140
Momenteel blijft de behandeling van een groot aantal klachten achter. Tot op heden slaagt de AP er niet om deze achterstand weg te werken en worden slechts in beperkte gevallen boetes uitgedeeld, mede vanwege het personeelstekort.141 Voor consumenten is dit
nadelig, omdat zij voor de handhaving van de AVG afhankelijk zijn van de AP.
137 Artikel 58 AVG.
138 Artikel 5(2) AVG jo. artikel 83(2) sub d AVG. 139 Heilbron & Koopman 2019/3.
140 Ibidem.
Een andere beperking is dat de consument uitdrukkelijk afstand kan doen van zijn recht op updates. Zolang hij welbewust afstand doet van zijn recht op updates en zich kan realiseren welke gevolgen dit voor hem zou kunnen hebben, is deze beperking begrijpelijk vanuit het oogpunt van de partijautonomie en de contractsvrijheid. Dat wordt anders zodra het afstand doen van het recht op updates terloops geschiedt of zonder adequate informatievoorziening. Opname van een beding daarover in de algemene voorwaarden is niet toegestaan, maar onduidelijk is wat er onder het begrip uitdrukkelijk verstaan wordt.142
In ogenschouw moet worden genomen dat consumenten als zwakkere partij in de rechtsverhouding tot de handelaar behoefte hebben aan adequate informatievoorziening zodat er sprake is van een gelijkwaardigere positie. Aansluiting kan worden gezocht bij de jurisprudentie van het HvJEU ten aanzien van de richtlijn 93/13/EEG. Op grond van deze richtlijn moeten bedingen duidelijk, begrijpelijk en transparant worden geformuleerd om te kunnen waarborgen dat de consument als zwakkere partij adequaat beschermd wordt.143
Verder is het vooralsnog voor alle betrokken partijen onduidelijk gedurende welke termijn updates aangeboden moeten worden.144 De duur van deze termijn kan namelijk
niet voor alle apparaten gelijkgetrokken worden, omdat een slimme ijskast nou eenmaal langer meegaat dan een smartphone of smartwatch. In paragraaf 2.4. werd al kort beschreven hoe deze termijn ingevuld kan worden. Waarschijnlijk zal deze termijn gebaseerd worden op hetgeen de consument met de handelaar daaromtrent heeft afgesproken en redelijkerwijs mag verwachten op grond van de koopovereenkomst. Van belang is om op te merken dat een consument zich in een afhankelijkheidspositie bevindt ten opzichte van de handelaar. Het is de vraag in hoeverre een consument in staat zal zijn om een langere termijn overeen te komen, omdat dit niet gunstig is voor de handelaar. Mogelijk kan er een onderscheid gemaakt worden tussen verschillende IoT-apparaten en hun te verwachten levensduur. Deze levensduur kan vervolgens verwerkt worden in
142 Roadmap Digitaal Veilige Hard- en Software, p. 25.
143 HvJEU 9 juli 2020, ECLI:EU:C:2020:536, r.o. 44; HvJEU 30 mei 2013, ECLI:EU:C:2013:341, (Asbeek/Brusse).
overeenkomsten tussen consumenten, handelaren en producenten. Hiermee kan een middenweg gevonden worden tussen enerzijds de belangen van consumenten die niet geconfronteerd worden met producten die na korte tijd niet meer functioneren, anderzijds zullen niet alle software-updates meer compatibel zijn met oudere apparaten. Het HvJEU zal zich hierover uit moeten laten.145 Het laatste woord over de duur van het recht op
updates is dus nog niet gezegd.
Uit artikel 32 AVG blijkt niet dat een gedraging in de risicosfeer van de betrokkene leidt tot een beperking van artikel 32 AVG. Verkeerd installeren van updates lijkt daar niet te leiden tot opheffing van de beveiligingsverplichting. Een beperking op het recht op schadevergoeding, in de zin van artikel 82 AVG, is echter mogelijk. De verantwoordelijke kan immers aantonen dat de schade is veroorzaakt door gedragingen die in de risicosfeer van de consument liggen, waardoor laatstgenoemde de schade zelf moet dragen.146 De toezichthouder kan vervolgens deze omstandigheid meenemen in het
kader van het vaststellen van de administratieve boete.147
Vanuit het oogpunt van de consument is het gunstig dat de beveiligingsverplichting voor de gehele periode geldt waarin verwerkingsactiviteiten plaatsvinden.148 Met als gevolg
dat zolang een IoT-apparaat persoonsgegevens verwerkt, de verantwoordelijke gehouden is om updates te verstrekken om een passend niveau van bescherming te waarborgen. Daardoor zouden updates mogelijk langer onder de AVG verstrekt moeten worden dan onder het implementatiewetsvoorstel.
Hoewel het voorgaande als muziek in de oren klinkt voor de consument, betekent het niet dat onder de AVG er een onbeperkt aantal updates verstrekt moet worden. Hierbij dient in acht te worden genomen dat nieuwe software-updates mogelijk niet compatibel zijn met verouderde apparaten. Dat betekent dat op een gegeven moment updates simpelweg niet meer verstrekt kunnen worden, omdat de verouderde IoT-apparaten niet kunnen draaien op de nieuwste software-updates. In dergelijke gevallen moeten IoT-producenten toch ervoor zorgen dat verouderde apparatuur nog wel kan functioneren op een veilige
145 Ibidem.
146 Artikel 82(3) AVG. 147 Artikel 58 AVG.
manier of dat de verzamelde persoonsgegevens op een apart platform voorzien zijn van
state-of-the-art beveiligingsmaatregelen. Het is echter ook goed mogelijk dat na het
uitvoeren van de risicobeoordeling blijkt dat updates niet noodzakelijk zijn om persoonsgegevens passend te kunnen beveiligen. In die situatie zouden er geen software- updates geleverd hoeven te worden aan de consument. Daarentegen is in paragraaf 3.3 reeds aangehaald dat over-the-air software-updates in de praktijk een gemakkelijke en gangbare manier van beveiligen blijken te zijn.149
De huidige vormgeving van het recht op updates heeft aan de handelaar als contractspartij van de consument de plicht tot het verstrekken van updates opgelegd. Aan de ene kant is dit voordelig voor de consument, omdat een handelaar gemakkelijk aan te spreken is. De daadwerkelijke effectieve bescherming – het ongestoord gebruik maken IoT-apparaten zonder dat consumenten worden blootgesteld aan beveiligingsrisico’s – is afhankelijk van hetgeen consumenten en handelaren zijn overeengekomen. Updates van besturingssystemen zijn namelijk van groot belang voor bevordering van de veiligheid. Artikel 32 AVG legt de verplichting tot levering van updates neer bij de producent die de benodigde technische kennis bezit. Deze verplichting geldt gedurende de gehele periode van gegevensverwerking. Daarenboven kan de producent ook gevestigd zijn buiten de EU, hetgeen voor consumenten op taalkundig vlak complicaties kan opleveren, terwijl mogelijk de consument met vreemd recht wordt geconfronteerd.