Software updaten is in lijn met de ratio van het voorstel ePrivacy Verordening

De ePrivacy Verordening is een uitwerking van art. 7 Europees Handvest.111 _{Dit artikel heeft als doel de} bescherming van de privacy en communicatie. Zoals in de overweging al wordt gesteld is de

109 _{Article 29 Working Party 2014, p. 9; van Berkel e.a. 2017, p. 40.} 110 _{Van Berkel e.a. 2017, p. 40.}

35 bescherming van communicatie essentieel voor het uitoefenen van het recht op privacy.

Kwetsbaarheden in software kunnen het grondrecht van art. 7 Europees Handvest op tweeërlei wijze aantasten. Een uitzondering op art. 8 voorstel ePrivacy Verordening om automatische updates onder omstandigheden mogelijk te maken is in lijn met het hoofddoel van de ePrivacy Verordening.

Ten eerste kunnen kwetsbaarheden gebruikt worden door computerhackers om toegang te krijgen tot het apparaat van de gebruiker en zo diens communicatie onderscheppen, maar ook gegevens uitlezen of juist schrijven naar het apparaat. Dit zou uiteraard een grove aantasting van het recht op privacy en het communicatiegeheim zijn.

Ten tweede kunnen kwetsbaarheden gebruikt worden om botnets van apparaten op te richten. Deze apparaten worden met malware geïnfecteerd doordat computerhackers en internetcriminelen

kwetsbaarheden misbruiken. Zo’n botnet kan tegen cruciale infrastructuur en publieke websites worden gericht, maar ook tegen bijvoorbeeld mailservers en servers van applicaties die gebruikt worden voor communicatie. Het recht op privacy en communicatiegeheim wordt uitgehold als het door een DDoS- aanval van een botnet op een communicatiekanaal niet mogelijk is om te communiceren.

Er valt een vergelijking te maken tussen het automatisch installeren van updates om kwetsbaarheden te verhelpen en de discussie omtrent encryptie en backdoors. Encryptiesoftware maakt het mogelijk om bijvoorbeeld communicatie via chatapplicaties te versleutelen zodat enkel de verzender en ontvanger de inhoud van de communicatie kunnen lezen. Bevat deze software echter backdoors dan kan de gebruiker nooit zeker zijn van de vertrouwelijkheid van de communicatie door middel van encryptiesoftware. Zoals na de Snowden-onthullingen en latere WikiLeaks-onthullingen is gebleken, zijn deze backdoors realiteit. Hetzelfde geldt voor hard- en software met kwetsbaarheden. Zolang deze kwetsbaarheden niet zijn verholpen kan de gebruiker niet zeker zijn van de vertrouwelijkheid van zijn communicatie en de gegevens die op het apparaat staan. Dit laatste is eens te meer duidelijk geworden in de nasleep van de WannaCry ransomware-campagne.

Overweging 20 voorstel ePrivacy Verordening spreekt over de ‘private sphere’ van eindgebruikers als het om hun communicatieapparatuur gaat. Deze ‘private sphere’ vereist bescherming vanuit het Europees Handvest en EVRM. Ook wordt in deze overweging gesproken over heimelijk monitoren van gedrag en het gevaar hiervan voor de privacy van de gebruiker. Het exploiteren van kwetsbaarheden is een mogelijkheid om heimelijk het gedrag van gebruikers te monitoren, en daarmee hun privacy aan te tasten. Het verhelpen van kwetsbaarheden gaat dit tegen.

Anderzijds is de integriteit van het apparaat van de gebruiker ook de ratio van de ePrivacy Verordening. Een kwetsbaarheid die het mogelijk maakt toegang te krijgen tot een apparaat is een aantasting van de integriteit van het apparaat van de gebruiker. Een securityupdate die automatisch wordt geïnstalleerd is óók een aantasting van de integriteit van het apparaat van de gebruiker. Het is op voorhand niet te zeggen welke van de twee uitingen van deze ratio voorrang moet krijgen. In de ontworpen

uitzonderingen is hiermee rekening gehouden door middel van de belangenafweging en

proportionaliteitstoets, die in beginsel meer gewicht toekent aan het belang van de gebruiker. Slechts bij ernstige kwetsbaarheden krijgen het individuele en publiek belang bij het oplossen van die

kwetsbaarheid voorrang op de integriteit van het apparaat van de gebruiker. Het automatisch

installeren van updates die kwetsbaarheden verhelpen via de ontworpen uitzondering is dan ook in lijn met de ratio van de ePrivacy Verordening.

36

6. Conclusie

In hoofdstuk twee is besproken hoe updates worden verspreid en waarom het automatisch installeren van updates die kwetsbaarheden verhelpen noodzakelijk is om deze kwetsbaarheden daadwerkelijk te verhelpen.

In het derde hoofdstuk is betoogd dat onder de AVG een beveiligingsverplichting bestaat, die een updateverplichting inhoudt. Deze beveiligingsverplichting rust op producenten van IoT-apparatuur in sommige gevallen. Echter is ook duidelijk geworden dat in veel gevallen de producent van een IoT- apparaat niet de normadressaat van de beveiligingsverplichting is.

In hoofdstuk vier is de rol van de aankomende ePrivacy Verordening in het updateproces besproken. Betoogd is dat producenten van IoT-apparaten niet aan een op hen rustende beveiligingsverplichting kunnen voldoen, voor zover die bestaat, vanwege artikel 8 voorstel ePrivacy Verordening. Dit artikel verbiedt in beginsel toegang tot eindapparaten van eindgebruikers met enkele uitzonderingen. Geen van de uitzonderingen volstaat voor het automatisch installeren van updates die kwetsbaarheden verhelpen.

In het vijfde hoofdstuk is een nieuwe uitzondering op artikel 8 voorstel ePrivacy Verordening

geformuleerd als amendement op het voorstel. Tevens zijn een aantal waarborgen geformuleerd die moeten voorkomen dat de privacy en autonomie van gebruikers zouden worden aangetast door automatische updates. Artikel 8 lid 1 ePrivacy Verordening zou er als volgt uit moeten zien:

Artikel 8

Bescherming van gegevens die opgeslagen zijn en verband houden met eindapparatuur van eindgebruikers

1. Het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur en het verzamelen van

gegevens uit eindapparatuur van eindgebruikers, onder meer over de software en de hardware, anders dan door de betrokken eindgebruiker, is verboden uitgezonderd om de volgende redenen:

(a) het is noodzakelijk met als uitsluitend doel de overdracht van elektronische communicatie over een elektronisch-communicatienetwerk te verrichten; of

(b) de eindgebruiker heeft zijn toestemming gegeven; of

(c) het is noodzakelijk voor het aanbieden van een door de eindgebruiker aangevraagde dienst van de informatiemaatschappij; of

(d) het is noodzakelijk om de omvang van het publiek van een website te meten, mits deze meting door de aanbieder van de door de eindgebruiker aangevraagde dienst van de informatiemaatschappij wordt verricht; of

(e) het is strikt noodzakelijk om zonder tussenkomst van de eindgebruiker van het eindapparaat, updates te installeren door de producent van het eindapparaat die kwetsbaarheden, welke kwetsbaarheden de vertrouwelijkheid, integriteit en beschikbaarheid van het eindapparaat in gevaar brengen, dichten of voorkomen, mits deze update geen wijziging in de eigenschappen en mogelijkheden van het

eindapparaat of de voorkeuren en andere gegevens van eindgebruikers veroorzaakt. Eindgebruikers moeten te allen tijde de mogelijkheid hebben om deze updates uit te schakelen. Alvorens een update

37 zonder tussenkomst van de eindgebruiker van het eindapparaat geïnstalleerd wordt, moet de

authenticiteit en integriteit van de update geverifieerd kunnen worden.

In een bijgaande overweging moeten de volgende punten (nogmaals) benadrukt worden: 1. Definitie van kwetsbaarheden, met referentie naar het beginsel van vertrouwelijkheid,

integriteit en beschikbaarheid in art. 32 lid 1 sub AVG;

2. Ratio van strikte noodzakelijkheid en de proportionaliteitstoets waarbij de integriteit van het eindapparaat van de eindgebruiker in beginsel zwaarder weegt;

3. De update mag geen veranderingen in de functionaliteit van hard- of software teweegbrengen; 4. De update mag geen wijzigingen in de voorkeuren van de gebruiker teweegbrengen;

5. De installatie van een update mag de gebruiker niet in zijn werkzaamheden hinderen, met name het automatisch herstarten van hard- of software mag niet;

6. De gebruiker moet de mogelijkheid krijgen om automatische updates uit te schakelen;

7. De update moet indien mogelijk via een versleutelde verbinding worden geleverd, indien dit niet mogelijk is moet de authenticiteit van een update gecontroleerd kunnen worden.