Altijd verbonden & kwetsbaar
Een onderzoek naar de verhouding tussen het recht op updates uit het
implementatiewetsvoorstel en de beveiligingsverplichting uit de AVG ten
aanzien van Internet of Things-apparaten
Naam: Laurent van der Bruggen Studentnummer: 11136367
Master: Privaatrechtelijke rechtspraktijk Aantal woorden: 12.664
Eerste lezer: M.I. Peereboom-van Drunick Tweede lezer: M.B.M. Loos
Inhoudsopgave
Lijst met afkortingen ... 1
Abstract ... 2
1 Inleiding ... 3
1.1 Maatschappelijke relevantie en context ... 3
1.2 Onderzoeksvraag & deelvragen ... 5
1.3 Methode en afbakening van het onderzoek ... 7
2 Een recht op updates ... 9
2.1 Aanleiding voor het implementatievoorstel ... 9
2.2 Reikwijdte van het recht op updates ... 10
2.3 Gevolgen voor consumenten ... 13
2.4 Gevolgen voor handelaren en producenten van IoT-apparaten ... 15
3 Beveiligingsverplichting uit de AVG ... 20
3.1 Wie is verantwoordelijke? ... 20
3.2 Verwerking van persoonsgegevens door IoT-apparaten ... 23
3.3 Reikwijdte van de beveiligingsverplichting uit de AVG ... 24
3.4 Handhavingsmiddelen voor de betrokkene onder de AVG ... 26
4 Verhouding tussen het recht op updates en de beveiligingsverplichting uit de AVG ... 29
4.1 Positie van consumenten ... 29
4.2 Positie van handelaren ... 33
4.3 Positie van IoT-producenten ... 36
5 Een toekomstbestendig recht op updates ... 39
5.1 Aanbeveling: herziening en aanpassing richtlijn verkoop goederen ... 39
6 Conclusie ... 43
7 Bronnenlijst ... 46
Artikelen ... 46 Boeken ... 49 Rapporten ... 50 Jurisprudentie ... 50 Wetgeving ... 51 Kamerstukken ... 52 Websites ... 52
Lijst met afkortingen
AP Autoriteit Persoonsgegevens
AVG Algemene Verordening Gegevensbescherming
BW Burgerlijk Wetboek
e.a. en anderen
EDPB European Data Protection Board
EDPS European Data Protection supervisor
ENISA European Union Agency for Cybersecurity
HvJEU Hof van Justitie van de Europese Unie
IoT Internet of Things
jo. Juncto
RFID Radiofrequentie identificatie technologie
Abstract
IoT-apparaten zijn de laatste jaren niet meer weg te denken uit het dagelijks leven. Naast de voordelen die online verbondenheid biedt aan consumenten, kleven er ook nadelen aan deze verbondenheid. Veel IoT-apparaten zijn namelijk onvoldoende beveiligd of maken gebruik van verouderde software, waardoor consumenten beveiligingsrisico’s lopen. Vandaar dat de richtlijn verkoop goederen (en binnenkort Boek 7 BW) een recht op updates bevat. Een wettelijk vastgelegd recht op updates moet ervoor zorgen dat consumenten een hoog niveau van bescherming genieten op de Europese digitale eengemaakte markt.
Dit onderzoek richt zich op de vraag in hoeverre de beveiligingsverplichting uit artikel 32 AVG bij kan dragen aan de effectieve bescherming van de consument die door het recht op updates wordt beoogd wanneer IoT-apparaten persoonsgegevens verwerken. Effectieve bescherming wordt gedefinieerd als een hoog niveau van bescherming, zodat consumenten ongestoord gebruik kunnen maken van IoT-apparaten zonder blootgesteld te worden aan gebrekkige beveiliging met alle nadelige gevolgen van dien. Daaruit vloeit ook de vraag voort op welke wijze het recht op updates dient te worden vormgegeven om aansluiting te vinden bij de AVG. De huidige vormgeving van het recht op updates leidt ertoe dat handelaren jegens consumenten verantwoordelijk zijn voor de levering van updates. IoT-producenten kunnen niet rechtstreeks door de consument aansprakelijk gesteld worden voor het uitblijven van updates of gebrekkige updates, alleen handelaren hebben namelijk een verhaalsrecht jegens de IoT-producent. Onder de AVG ligt deze verhouding anders, omdat de IoT-producent dan als de verantwoordelijke kwalificeert. Hij moet zorgen voor de beveiliging van de persoonsgegevens tijdens de gehele duur van de gegevensverwerking.
Daarenboven heeft de Europese wetgever ervoor gekozen om updates naar een nieuw besturingssysteem niet verplicht te stellen. Consumenten en handelaren kunnen daarover andere afspraken maken. De beveiligingsverplichting uit artikel 32 AVG vereist dat de genomen maatregelen passend zijn, updates naar een nieuw besturingssysteem daarbij inbegrepen. In het geval van herziening van de richtlijn verkoop goederen in 2024 kan er geopteerd worden om de consumenten een verhaalsrecht te geven jegens de IoT-producent alsmede een recht op updates waaronder ook updates naar een nieuwere versie van een besturingssysteem vallen. Tot die tijd kunnen consumenten redelijkerwijs hun toevlucht zoeken tot artikel 32 AVG en de handhavingsmiddelen uit de AVG.
1 Inleiding
1.1 Maatschappelijke relevantie en context
Anno 2020 zijn maar liefst 50 miljard IoT-apparaten met elkaar verbonden.1 Uit een
onderzoek van de Universiteit Twente bleek dat in 2018 al 44.7% van de Nederlanders gebruik maakte van één of meerdere IoT-apparaten.2 Bij IoT-apparaten kan gedacht
worden aan wearables, zoals smartwatches, en zogenoemde smart home toepassingen, bijvoorbeeld slimme thermostaten, televisies en ijskasten. De term IoT werd voor het eerst gebruikt in 1999 door de Brit Keith Ashton.3 De term wordt veelal gedefinieerd als
een netwerk van online verbonden apparaten die diensten leveren aan consumenten en persoonsgegevens verwerken door met elkaar te communiceren.4 De verwachting is dat
het aantal IoT-apparaten de komende jaren alleen maar zal toenemen.5
De infrastructuur voor de online communicatie tussen IoT-apparaten bestaat uit miljarden ingebouwde sensoren. Deze sensoren verwerken gegevens van consumenten ter registratie, opslag, verwerking en/of doorgifte.6 IoT-apparaten maken gebruik van
RFID-technologie. Deze technologie kan door middel van radiogolven nauwkeurig en geautomatiseerd apparaten identificeren, traceren en lokaliseren. Er wordt als het ware een datapunt ‘vastgemaakt’ aan een alledaags voorwerp, zoals een speaker, thermostaat of ijskast. Vervolgens worden gegevens doorgestuurd naar een ander datapunt waar ze worden uitgelezen.7
Uit het onderzoek blijkt voorts dat de online verbondenheid van IoT-apparaten en daarmee samenhangende gebruiksvriendelijkheid voor consumenten redenen zijn om dergelijke apparaten aan te schaffen.8 Veel IoT-apparaten bieden consumenten de
mogelijkheid om verschillende diensten te integreren, zodat aan de ene kant het gebruiksgemak voor consumenten groter wordt en aan de andere kant de hoeveelheid
1 Poudel 2016, p. 997. 2 Van Deursen e.a. 2018, p. 7. 3 Ashton 2009, p. 1.
4 Verbruggen & Wolters 2017, p. 22. 5 Weber & Studer 2016, p. 7
6 Article 29 Working Party 2014, p. 4. 7 Weber & Studer 2016, p. 719. 8 Van Deursen e.a. 2018, p. 15.
beschikbare gegevens voor producenten toeneemt.9 IoT-apparaten hebben deze gegevens
nodig om adequaat te kunnen functioneren. Wanneer een IoT-apparaat persoonsgegevens verwerkt, is de AVG van toepassing en moeten passende technische en organisatorische beveiligingsmaatregelen getroffen worden.10
Er zijn echter veel risico’s waar producenten en consumenten rekening mee moeten houden. Zo werd in 2014 een echtpaar wakker doordat er geschreeuw klonk uit de webcam die bedoeld was om hun slapende baby te monitoren. Het geschreeuw bleek afkomstig te zijn van een hacker die erin was geslaagd zich een weg te banen door de gebrekkige beveiliging van de webcam.11 Hieruit blijkt onder andere dat slecht beveiligde
apparaten risico’s met zich meebrengen voor de privacybelangen van consumenten. Tijdens de ontwerpfase van IoT-apparaten en/of de software bestaat het risico dat een producent kostenbesparende keuzes maakt, die ten koste gaan van de beveiliging. Hierdoor kunnen hackers gemakkelijker toegang verkrijgen tot het apparaat.12 Een ander
gevaar is dat producenten IoT-apparaten van verouderde encryptiesoftware voorzien. Daardoor zijn apparaten gevoeliger voor hacks en kunnen datalekken zich voordoen.13
De online verbondenheid zorgt er echter wel voor dat de sterkte van de beveiliging afhangt van de afzonderlijke beschermingsniveaus van de gebruikte apparaten. Een netwerk is namelijk alleen sterk beveiligd, indien alle apparaten gebruik maken van adequate beveiligingssoftware. Uit onderzoek van TNO blijkt dat software-updates een geschikte oplossing kunnen zijn voor IoT-producenten om zwakke plekken in de beveiliging op te sporen en de gaten te dichten.14 Kortom, de beveiliging van het netwerk
is zo sterk als haar zwakste schakel.
Gezien de veiligheidsrisico’s en voortdurend veranderende technologische omgeving van zowel digitale inhoud als digitale diensten hebben consumenten behoefte aan opeenvolgende updates van de software gedurende het gebruik van de apparaten. Vandaar dat een verplichting tot het verschaffen van updates is opgenomen in de nieuwe Richtlijn
9 Wachter 2018, p. 442.
10 Artikel 24 AVG jo. artikel 32 AVG. 11 The Economist 2014.
12 Weber & Studer 2016, p. 721. 13 Ibidem, p. 720.
(EU) 2019/771 (hierna: ‘richtlijn verkoop goederen’).15 In december 2019 heeft de
Nederlandse overheid een implementatievoorstel van deze richtlijn gepubliceerd waarin het recht op updates in artikel 7:18 BW (hierna: ‘implementatiewetsvoorstel’) opgenomen. Inmiddels is de termijn voor internetconsultatie gesloten en buigt de Raad van State zich over het implementatiewetsvoorstel.16
1.2 Onderzoeksvraag & deelvragen
Uit het voorgaande vloeit de volgende onderzoeksvraag voort:
In hoeverre draagt de beveiligingsverplichting uit de AVG bij aan de effectieve bescherming van consumenten die door het recht op updates in het geval wordt beoogd wanneer persoonsgegevens door IoT-apparaten worden verwerkt, gelet op de reikwijdte, wettelijke positie van consumenten, handelaren en producenten van IoT-apparaten? En op welke wijze moet het recht op updates worden vormgegeven om aansluiting te vinden bij artikel 32 AVG?
Het beschrijvende deel van deze hoofdvraag ziet op de bescherming die het recht op updates uit artikel 7:18 implementatiewetsvoorstel en de beveiligingsverplichting uit de AVG bieden aan consumenten. In dit onderzoek wordt de effectieve bescherming van de consument gedefinieerd als de situatie waarin consumenten ongestoord gebruik kunnen maken van IoT-apparaten, die persoonsgegevens verwerken en uitwisselen, zonder dat zij worden blootgesteld aan gebrekkige software die tot beveiligingsrisico’s leidt. Deze risico’s kunnen op hun beurt leiden tot diefstal, opslag of ongeautoriseerde wijziging van persoonsgegevens. Dit betekent ook dat consumenten rechtsmiddelen tot hun beschikking moeten hebben waarmee ze hun rechtspositie kunnen handhaven. Deze definitie sluit aan bij het conformiteitsbegrip uit artikel 7:18(2) implementatiewetsvoorstel. Beveiliging blijkt een van de factoren te zijn aan de hand waarvan geoordeeld kan worden of een zaak (non-)conform is.17
Daarnaast kent de onderzoeksvraag een vergelijkend aspect aangezien de verhouding tussen beide vormen van bescherming, de te beschermen belangen en 15 Overweging 31 & Artikel 7(3) Richtlijn (EU) 2019/771.
16 Zie https://www.internetconsultatie.nl/verkoop_goederen_levering_digitale_inhoud.
handhavingsmogelijkheden worden onderzocht. Het evaluerende deel van de onderzoeksvraag onderzoekt of consumenten, die gebruik maken van IoT-apparaten die persoonsgegevens verwerken, in de praktijk gebaat zijn met een recht op updates zoals dat nu is opgenomen in het implementatiewetsvoorstel. Bij de beantwoording van het evaluerende deel wordt ook gekeken naar mogelijke samenloop met de beveiligingsverplichting uit de AVG en wordt ingegaan op mogelijke herziening en aanpassing van de richtlijn verkoop goederen in 2024.
De hoofdvraag wordt beantwoord aan de hand van de volgende deelvragen:
1) Wat is de reikwijdte van het recht op updates met het oog op IoT-apparaten die persoonsgegevens verwerken en wat zijn de gevolgen voor de positie van consumenten, handelaren en producenten en de geboden handhavingsmiddelen?
2) Wat is de reikwijdte van de beveiligingsverplichting ex artikel 32 AVG en wat zijn de gevolgen voor de positie van consumenten, handelaren en producenten en de geboden handhavingsmiddelen?
3) Hoe verhoudt het recht op updates zich tot de beveiligingsverplichting uit artikel 32 AVG, lettende op de reikwijdte, de positie van consumenten, handelaren en producenten en de geboden handhavingsmiddelen?
4) Op welke wijze dient het recht op updates bij gebruik van IoT-apparaten die persoonsgegevens verwerken, met het oog op de toekomst te worden vormgegeven, zodat effectieve bescherming van de consument wordt gewaarborgd?
De eerste deelvraag beschrijft de aanleiding en de reikwijdte van het recht op updates. De beantwoording van deze deelvraag maakt duidelijk wat er onder het recht op updates verstaan wordt en wat de gevolgen zijn voor consumenten, handelaren en IoT-producenten.
De tweede deelvraag behandelt de beveiligingsverplichting uit artikel 32 AVG. Deze verplichting is van belang, omdat IoT-apparaten persoonsgegevens verwerken. De beantwoording van deze vraag verduidelijkt wanneer IoT-apparaten persoonsgegevens verwerken en op welke partij de verplichting rust om de verplichte
beveiligingsmaatregelen te nemen. Ten slotte behandelt deze vraag ook welke handhavingsmiddelen ter beschikking staan aan de consument.
De derde vraag is een vergelijkende vraag en behandelt de verhouding tussen het recht op updates en de beveiligingsverplichting uit de AVG. Duidelijk wordt of deze verplichtingen in de praktijk samenloop vertonen. Daarnaast worden de handhavingsmiddelen van beide regimes voor consumenten vergeleken en geanalyseerd. De laatste deelvraag behandelt de vraag hoe het recht op updates in artikel 7:18(4) implementatiewetsvoorstel moet worden vormgegeven in het geval van een herziening van de richtlijn verkoop goederen om bij te dragen aan effectieve bescherming van de consument.
1.3 Methode en afbakening van het onderzoek
Het onderzoek bestaat uit het bestuderen van literatuur, documenten, parlementaire stukken en jurisprudentie. Vaktijdschriften en vakliteratuur worden geraadpleegd evenals relevante literatuur over de AVG en opinies van de EDPS en de EDPB (voorheen: ‘WP 29’). Deze bronnen geven een inzicht hoe op Europees niveau naar technologische ontwikkelingen wordt gekeken en op welke wijze in het consumentenrecht en gegevensbeschermingsrecht hiermee wordt omgegaan.
Het recht op updates is breed en beperkt zich in dit onderzoek tot het recht op updates in de context van IoT-apparaten die persoonsgegevens verwerken. Deze gegevensverwerking moet voldoen aan de regels uit de AVG. Er wordt niet onderzocht of handelaren voldoen aan de beginselen uit artikel 5 AVG of de verwerkingsgrondslagen uit artikel 6 AVG. Omwille van de beperkte omvang van dit onderzoek wordt ervan uit gegaan dat er sprake is van een rechtmatige verwerkingsgrondslag voor de verwerking van persoonsgegevens door apparaten. Daarnaast wordt met name gekeken naar IoT-apparaten die autonoom gegevens kunnen verwerken. Deze IoT-apparaten kunnen onafhankelijk van de gebruiker functioneren. Ze verzamelen gebruiksgegevens die zelfstandig worden doorgegeven aan de producent en kunnen door middel van algoritmes autonoom acties uitvoeren. Het onderzoek ziet alleen op software-updates en niet op de
hardware van IoT apparaten. IoT-apparaten die voor industrieel gebruik geschikt zijn, vallen eveneens buiten de reikwijdte van dit onderzoek.
Daarenboven vallen beveiligingsrisico’s die binnen de risicosfeer vallen van de consument, zoals het gebruik van zwakke wachtwoorden18 en het downloaden van
applicaties uit onbekende bron die leiden tot installatie van malware of ransomware19,
buiten de reikwijdte van dit onderzoek. Malware is software die zonder wetenschap van de gebruiker op het apparaat wordt geïnstalleerd. Ransomware is een specifieke versie van malware waarbij aan de gebruiker de toegang tot het apparaat wordt ontzegd door een of meerdere hackers.20
18 Oostra 2017.
19 Van Staalduinen & Joshi 2019, p. 22. 20 Weber & Studer 2016, p. 717-718.
2 Een recht op updates
Dit hoofdstuk behandelt de aanleiding van het implementatievoorstel. Vervolgens komt de reikwijdte van het recht op updates aan bod, waarna de gevolgen voor consumenten en handelaren en producenten uiteen worden gezet.
2.1 Aanleiding voor het implementatievoorstel
Op 20 mei 2019 zijn zowel de richtlijn verkoop goederen als Richtlijn (EU) 2019/770 (hierna: ‘richtlijn digitale inhoud’) in werking getreden. Deze richtlijnen wijzigen Verordening (EU) 2017/2394 en Richtlijn (EU) 2009/22/EG en trekken de Richtlijn consumentenkoop 1999 in.21 De richtlijn verkoop goederen en richtlijn digitale inhoud
leggen regels vast omtrent conformiteit en de rechtsmiddelen van consumenten.22 Deze
richtlijnen pogen binnen de Europese Unie regels met betrekking tot consumentenbescherming te harmoniseren, zodat op termijn een digitale eengemaakte markt zal ontstaan zonder obstakels die grensoverschrijdende handel belemmeren. Op een dergelijke markt kunnen consumenten hun rechten gemakkelijker uitoefenen jegens buitenlandse handelaren.23
De oude richtlijnen en verordening boden de consument onvoldoende bescherming ten aanzien van technologische veranderingen waaraan de hedendaagse samenleving onderhevig is.24 Het recht op updates moet in deze context geplaatst worden en moet
ervoor zorgen dat apparaten langer conform de overeenkomst blijven presteren.25
Bovendien blijkt uit recent onderzoek van het ministerie van Economische Zaken dat consumenten voornamelijk gebruik maken van software-updates om hun apparaten te beveiligen.26
Op sommige punten mogen de lidstaten afwijkende regels stellen, maar grotendeels zullen de richtlijnen leiden tot verdere harmonisatie van het consumentenrecht. In ieder geval komt er ten aanzien van software-updates binnen de EU een uniform beleid tot
21 Artikel 22 jo. artikel 23 Richtlijn (EU) 2019/771 & artikel 23 Richtlijn (EU) 2019/770. 22 Artikel 1 Richtlijn (EU) 2019/771 & artikel 1 Richtlijn (EU) 2019/770.
23 COM(2017) final 637.
24 Overweging 5 Richtlijn (EU) 2019/771. 25 Overweging 30-31 Richtlijn (EU) 2019/771. 26 Van Thiel e.a. 2019, p. 6.
stand.27 De totstandkoming, geldigheid en nietigheid van overeenkomsten worden echter
niet geregeld door deze richtlijnen en blijven voorbehouden aan de nationale wetgever. Dat betekent dat de rechtsgevolgen van non-conformiteit naar Nederlands recht worden uitgelegd.28
2.2 Reikwijdte van het recht op updates
De richtlijn verkoop goederen stelt regels vast omtrent roerende zaken met digitale elementen. Dit zijn zaken waarin digitale inhoud of digitale diensten zijn verwerkt. Ze zijn op een dusdanige manier met elkaar verbonden dat het ontbreken van digitale inhoud of digitale diensten ertoe leidt dat deze zaken hun functionaliteit verliezen.29 De digitale
inhoud of digitale dienst, bijvoorbeeld de software, kan op het moment van aankoop al aanwezig zijn of op een later moment geïnstalleerd worden.30 Het is voor de kwalificatie
van een zaak als digitale inhoud of een digitale dienst niet doorslaggevend of een handelaar of een derde partij de daarin verwerkte software levert.31 Een voorbeeld van
een zaak met digitale elementen is de smartwatch. Hierbij kwalificeert het horloge als de zaak en de software als het digitale element.32 Vervolgens kan de consument een app
installeren op zijn telefoon, zodat de smartwatch daadwerkelijk ook kan functioneren conform de koopovereenkomst.33
De richtlijn verkoop goederen is van toepassing op zaken met digitale elementen die voor het vervullen van hun functies afhankelijk zijn van meegeleverde digitale inhoud of digitale diensten.34 Volgens Loos is het van belang of de zaak een zelfstandige functie
heeft en dat het de consument niet alleen te doen is om de digitale inhoud of dienst. In dat laatste geval is namelijk de richtlijn digitale inhoud van toepassing.35 Denk hierbij
bijvoorbeeld aan Office 365 of een videogame vastgelegd op een Cd-rom.36 In gevallen
waarin de digitale inhoud of digitale dienst van een zaak met digitale elementen niet meer
27 Kamerstukken II, 2019-2020, 27879, nr. 73, p. 3.
28 Memorie van toelichting implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 3. 29 Art. 2(5) Richtlijn (EU) 2019/771.
30 Overwegingen 14-15 Richtlijn (EU) 2019/771. 31 Schaub 2019, p. 245-246.
32 Artikel 2(5) sub b Richtlijn (EU) 2019/771 & Voorontwerp implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 2.
33 Overweging 15 Richtlijn (EU) 2019/771. 34 Overweging 13 Richtlijn (EU) 2019/771. 35 Loos 2019, p. 107.
functioneert maar het apparaat wel, blijft de richtlijn verkoop goederen leidend.37 Een
voorbeeld hiervan is de smartwatch waarop nog steeds de tijd is af te lezen, zonder dat de consument gebruik kan maken van de daarop draaiende applicaties.38
Uit het voorgaande blijkt dat de uitleg van de overeenkomst van belang is om de toepasselijke regeling vast te kunnen stellen. Dit hoofdstuk onderzoekt alleen het artikel 7:18(4-6) implementatiewetsvoorstel. Dit artikel bevat namelijk het recht op updates voor zaken met digitale elementen, waaronder IoT-apparaten. Voor deze apparaten geldt dat de consument zowel gebruik wil maken van het apparaat als van de daarin vervatte software. De regeling voor digitale inhoud en digitale diensten kent een specifiek recht op updates in artikel 7:50ae(3-4) implementatiewetsvoorstel. Tekstueel gezien verschillen beide regelingen niet van elkaar. Voor IoT-apparaten wordt in deze scriptie artikel 7:18(4-6) implementatiewetsvoorstel als leidend beschouwd.
Artikel 7:18 implementatiewetsvoorstel roept een verplichting in het leven voor de handelaar om software-updates, met inbegrip van beveiligingsupdates, te leveren aan de consument om de conformiteit van de zaak te waarborgen.39 Updates zijn noodzakelijk
om ervoor te zorgen dat de zaak op dezelfde wijze blijft functioneren als op het moment van aflevering.40 De functionaliteit en veiligheid moet gewaarborgd blijven. Het is echter
niet verplicht dat de updates de overgang naar een nieuw besturingssysteem faciliteren. Wel biedt het implementatievoorstel de mogelijkheid voor consumenten om met de handelaar hierover een afwijkende regeling te treffen.41
De termijn gedurende welke handelaren verplicht zijn om updates te verstrekken, hangt af van hetgeen een consument redelijkerwijs mag verwachten op grond van de aard van de zaak met digitale elementen. Ook zijn hiervoor van belang het doel waarvoor deze zaak gebruikt wordt en de relevante omstandigheden van het geval.42 Er is sprake van een
non-conforme zaak wanneer een handelaar nalaat om updates ter beschikking te stellen of in het geval dat de updates gebrekkig blijken te zijn.43
37 Schaub 2019, p. 246.
38 Memorie van toelichting implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 5. 39 Ibidem, p. 8.
40 Overweging 30-31 Richtlijn (EU) 2019/771. 41 Ibidem.
42 Memorie van toelichting implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 8-9. 43 Overweging 30 Richtlijn (EU) 2019/771.
De algemene regels omtrent conformiteit blijven bestaan naast het recht op updates. Zelfs wanneer een zaak met digitale elementen voldoet aan de conformiteitseisen uit artikelen 7:17 en 7:18 implementatiewetsvoorstel, moet de handelaar updates aanbieden om de conformiteit te kunnen waarborgen.44 De implementatiewet verlengt de periode waarin
omkering van de bewijslast plaatsvindt, van de huidige zes maanden naar één jaar. Dit heeft als gevolg dat een product wordt vermoed non-conform te zijn als een gebrek zich binnen een jaar na het moment van aflevering openbaart.45 Aannemelijk is dat in ieder
geval binnen dit eerste jaar updates worden geleverd.
Artikel 7:18(5) implementatiewetsvoorstel schept de facto een verplichting tot installatie van updates voor consumenten. Indien de non-conformiteit van een zaak met digitale elementen uitsluitend het gevolg is van niet-installatie van een update, kan de consument de handelaar niet meer aanspreken. Hierbij geldt wel dat een handelaar de consument voldoende moet informeren over de beschikbaarheid van de updates en de mogelijke schadelijke gevolgen van niet-installatie. Een andere mogelijkheid is dat de consument de update foutief installeert ondanks duidelijke meegeleverde installatie-instructies, waardoor de consument de handelaar niet meer kan aanspreken op grond van non-conformiteit.46 Is het uitblijven van installatie of is het onjuist installeren van de updates
een gevolg van een, door handelaar meegeleverde, gebrekkige gebruiksaanwijzing? Dan kan de consument wel de handelaar aanspreken.47
De verplichting om updates te verstrekken wordt nu bij de bij handelaren neergelegd, maar in de praktijk moeten handelaren met producenten, softwareleveranciers of appontwikkelaars aparte overeenkomsten sluiten met betrekking tot het verstrekken van updates.48 In het geval dat er geen overeenkomst gesloten kan worden met de producent,
softwareleverancier of app-ontwikkelaar, is het denkbaar dat updates niet geleverd kunnen worden. Verder kan de handelaar zijn aansprakelijkheid vanwege het niet verstrekken van updates op grond van het implementatiewetsvoorstel ontlopen door de consument uitdrukkelijk te informeren over het uitblijven van de updates.49 Vervolgens
44 Van Wijk 2019, p. 173.
45 Voorontwerp implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 9. 46 Ibidem, p. 8.
47 Ibidem.
48 Memorie van toelichting voorontwerp implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 8-9. 49 Voorontwerp implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 8.
moet de consument hiermee uitdrukkelijk akkoord gaan, blijkt uit artikel 7:18(6) implementatiewetsvoorstel.50 De volgende paragrafen gaan in op de implicaties van het
recht op updates voor de consumenten, handelaren en IoT-producenten.
2.3 Gevolgen voor consumenten
Onder het huidige recht bestaat er geen wettelijk recht op updates. Volgens Verbruggen & Wolters moet een product beantwoorden aan de eigenschappen die redelijkerwijs op grond van de overeenkomst verwacht mogen worden en kan een consument de handelaar verzoeken om een gebrekkig product te herstellen, maar is dat geen recht op updates volgens de codificering in het huidige Boek 7 BW.51 Een consument mag bij de aankoop
van een telefoon of een smartwatch redelijkerwijs verwachten dat deze gedurende een termijn van twee jaar veilig en goed functioneert in de zin van artikel 7:17(2) BW. Hoewel er een verplichting rust op de handelaar of producent om een conform product af te leveren, bevat dit niet zonder meer een verplichting tot het bijwerken van software door middel van updates.52
Artikel 7:18 implementatiewetsvoorstel brengt met zich mee dat consumenten de handelaar kunnen aanspreken op het uitblijven van updates of op de verstrekking van gebrekkige updates. Op het eerste gezicht lijkt dit een welkome toevoeging aan de bevoegdheden die consumenten jegens handelaren kunnen uitoefenen. Voldoet een handelaar niet aan deze verplichting, dan kan de consument de handelaar aanspreken, indien de consument schade lijdt als gevolg van het uitblijven van updates of de verstrekking van gebrekkige updates. Bovendien is het voor de consument gemakkelijker een handelaar aan te spreken, zodra updates uitblijven, dan dat hij moet uitzoeken welke partij in de productieketen verantwoordelijk is voor de software-updates en waar deze partij gevestigd is.
Hierbij moeten enkele kanttekeningen geplaatst worden. Consumenten zijn immers afhankelijk van de overeenkomst die tussen de handelaar en derde partijen is gesloten om de updates te verstrekken.53 Een handelaar beschikt doorgaans niet over de benodigde
50 Memorie van toelichting voorontwerp implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 9. 51 Verbruggen & Wolters 2016, p. 835.
52 Ibidem, p. 836.
technische kennis om complexe fouten of gaten in de softwarebeveiliging te verhelpen. Bij gebreke van een dergelijke overeenkomst wordt het voor de consument lastig om een recht op updates af te dwingen bij de handelaar. Volgens Loos sorteert een nakomingsvordering in dat geval weinig effect.54 De handelaar kan namelijk de update in
dat geval niet leveren, omdat de producent of softwareontwikkelaar weigert deze te produceren en te leveren. Daarnaast mag een nakomingsvordering geen onevenredige last veroorzaken voor de handelaar.55 In een dergelijke situatie staat alleen de
ontbindingsmogelijkheid nog open voor de consument.56
Blijkens de memorie van toelichting is een handelaar niet wettelijk verplicht om updates te leveren die de overgang naar een nieuw besturingssysteem faciliteren, maar partijen mogen andere afspraken maken. De vraag is of een handelaar een dergelijke regeling zal treffen met de consument. Zeker in gevallen waarin de conformiteit van IoT-apparaten wordt gewaarborgd door ‘eenvoudige’ software-updates. Mogelijk kan dit nadelig zijn voor consumenten, omdat zij in een zwakkere onderhandelingspositie verkeren ten opzichte van de handelaar.
Updates worden vaak gebruikt om nieuwere versies van besturingssystemen te implementeren. De software-updates bij Apple-producten, waarbij wel degelijk het IOS-besturingssysteem wordt bijgewerkt, zijn hier een voorbeeld van.57 Het uitblijven van
updates kan een negatieve impact hebben op de levensduur van zaken met digitale elementen.58 Apparaten en daaraan verbonden applicaties functioneren minder goed
indien er een verouderd besturingssysteem op het apparaat draait. Wanneer deze updates niet langer verstrekt worden, kunnen consumenten minder lang gebruik maken van IoT-apparaten dan dat zij op voorhand zouden mogen verwachten. Zoals in de vorige paragraaf reeds is aangehaald, staat het consumenten en handelaren echter vrij om een afwijkende regeling te treffen.59
54 Loos 2020, p. 5-6. 55 Ibidem.
56 Artikel 7:22 BW.
57 Apple 2020, zie https://support.apple.com/nl-nl/HT210393#1351 58 Loos 2020, p. 5-6.
Eventueel zou in sommige gevallen een beroep op de productaansprakelijkheidsregeling openstaan.60 Via deze route kan de consument direct de producent aanspreken wanneer
de handelaar niet aansprakelijk is voor de geleden schade.61 De schade moet dan bestaan
uit persoonsschade of zaakschade veroorzaakt door een fout in het IoT-apparaat.62 Voor
andere soorten schade staat de route van artikel 6:162 BW open.63 De remedie voor
productaansprakelijkheid bestaat uit het toekennen van een schadevergoeding aan de consument. Derhalve kan de huidige regeling niet gebruikt worden om een nakomingsvordering tot levering van software-updates in te stellen. Omwille van de beperkte omvang van dit onderzoek blijft de productaansprakelijkheid verder buiten beschouwing.
2.4 Gevolgen voor handelaren en producenten van IoT-apparaten
Momenteel moet de handelaar zorgen dat zijn afgeleverde producten voldoen aan de conformiteitstoets uit artikel 7:17 jo. 7:18 BW. Bij de aankoop van een slimme speaker of smartwatch mag een consument verwachten dat de software geen zwakheden in de beveiliging bevat. Het is van belang om op te merken dat software snel kan verouderen, waardoor de reeds geleverde conforme software op een later moment kwetsbaarheden kan vertonen.64
Door software-updates zelf of met medewerking van de producent aan de consument te verstrekken, zorgt de handelaar ervoor dat producten aan de overeenkomst blijven beantwoorden. Van belang zijn de functionaliteit, de wijze waarop apparaten functioneren, en de interoperabiliteit. Laatstgenoemd begrip ziet op de mate waarin apparaten functioneren met andere software of hardware dan die gewoonlijk wordt gebruikt.65 Zodra een object draait op verouderde software waarin zich een
beveiligingslek voordoet, is het gehele netwerk van IoT-apparaten kwetsbaar vanwege de online verbondenheid, met alle gevolgen van dien.66 Indien er geen navolgende update
ter beschikking wordt gesteld die dit lek kan dichten, is het verdedigbaar dat de zaak niet
60 Artikel 6:185 e.v. jo. artikel 7:24(2) BW. 61 Artikel 6:185(1) BW.
62 Artikel 6:190(1) BW. 63 Keirse 2018, p. 150.
64 Verbruggen & Wolters 2016, p. 835. 65 Overweging 27 (EU) Richtlijn 2019/771. 66 Verbruggen & Wolters 2017, p. 23.
meer beantwoordt aan de overeenkomst. Een dergelijk beveiligingslek in de beveiligingssoftware kan het gevolg zijn van een onvolledige of gebrekkige verstrekte update of van het uitblijven van updates en valt dan binnen de risicosfeer van de handelaar. Het komt in dat geval aan op hetgeen de consument en de handelaar overeen zijn gekomen en de redelijke verwachtingen van de consument op grond van deze overeenkomst. Voor de handelaar is het van belang deze risico’s af te zekeren in de overeenkomsten met de producenten dan wel de softwareontwikkelaars.
In de vorige paragraaf kwam al naar voren dat een ingestelde nakomingsvordering om updates te leveren geen onevenredige last mag veroorzaken voor de handelaar. De richtlijn verkoop goederen biedt handelaren expliciet de mogelijkheid om een dergelijke vordering te weigeren, indien er sprake is van een onevenredige last of indien herstel en vervanging in het specifieke geval onmogelijk zijn.67 Dit is niet direct overgenomen in
het implementatievoorstel.68 Wel kan in uitzonderlijke gevallen herstel of vervanging niet
gevergd worden van de handelaar en resteren alleen vorderingen tot ontbinding van de overeenkomst of prijsvermindering.69
Uit de reactie van belangenvereniging Techniek Nederland op het implementatievoorstel blijkt al dat er zorgen bestaan over deze verplichting. De complexiteit van de software en het ontbreken bij hen van de benodigde kennis leiden ertoe dat handelaren moeilijk kunnen inschatten welke updates er nodig zijn.70 Ook de Italiaanse overheid stelt
vraagtekens bij het verplichten van de handelaar om updates te leveren. Producenten bezitten namelijk de kennis om deze updates te kunnen ontwikkelen.71 Bovendien zijn
het vaak derde partijen die de software leveren en verantwoordelijk zijn voor de updates.72 Vandaar dat de richtlijn verkoop goederen wijst op het belang van
overeenkomsten tussen de handelaar en de producent of softwareontwikkelaar.73
67 Artikel 13(2-3) Richtlijn (EU) 2019/771.
68 Voorontwerp implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 10.
69 Memorie van toelichting voorontwerp implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 32. 70 Reactie Techniek Nederland op internetconsultatie Implementatievoorstel richtlijnen verkoop goederen en levering digitale inhoud, p. 2-3.
71 ST 15346 2018 INIT, p. 5.
72 Reactie Techniek Nederland op internetconsultatie Implementatievoorstel richtlijnen verkoop goederen en levering digitale inhoud, p. 2-3.
In het licht van de reeds besproken afhankelijkheid is het begrijpelijk dat de handelaar de mogelijkheid heeft om met de consument overeen te komen dat updates uitblijven, zie artikel 7:18(6) implementatiewetsvoorstel. Deze dubbele uitdrukkelijkheidstoets kan voor de handelaar uitkomst bieden in gevallen waarin er geen overeenkomst tussen de handelaar en producent tot stand komt. Consumenten dienen hier uitdrukkelijk mee in te stemmen, nadat zij uitdrukkelijk geïnformeerd zijn over het uitblijven van updates en de gevolgen daarvan voor de bruikbaarheid van het product.74 Afwijken van het recht op
updates middels een beding in de algemene voorwaarden is niet toegestaan.75
De termijn waarbinnen de updates verstrekt moeten worden, dient nog ingevuld te worden door de rechtspraak.76 Waar telefoons en wearables gemiddeld twee jaar meegaan
en nieuwe modellen doorgaans vaker worden geüpdatet, worden slimme ijskasten en slimme auto’s langer gebruikt en zijn zij gedurende een langere periode kwetsbaar.77
Hierdoor zullen deze producten ook gedurende een langere periode voorzien moeten worden van updates. Daarenboven kan er ook gekozen worden voor een algemene termijn voor alle apparaten van twee jaar gedurende welke updates verstrekt worden en hiervan niet ten nadele van de consument kan worden afgeweken. In het geval de consument gedurende een langere termijn updates wenst te ontvangen, kan hij een afwijkende regeling treffen met de handelaar. Hierbij is van belang dat bij producten die langer gebruikt worden dan twee jaar, zoals slimme ijskasten en slimme tv’s, de consument goed geïnformeerd dient te worden over de mogelijke risico’s die kleven aan het gebruik van deze producten nadat de tweejarige updatetermijn is verstreken.
Bovendien worden gebrekkige of onvolledige installatie-instructies toegerekend aan de handelaar, terwijl het producent is die deze instructies zal bijvoegen bij het product.78 De
Europese wetgever heeft ervoor gekozen om de handelaar aan te wijzen als de verantwoordelijke partij voor het leveren van updates. Gezien de complexiteit van de IoT-apparaten was het ook verdedigbaar geweest om de producent dan wel softwareontwikkelaar te verplichten de updates te verstrekken. De benodigde kennis
74 Memorie van toelichting voorontwerp implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 30. 75 Rapport Ministerie van Economische Zaken en Milieu en Ministerie van Justitie & Veiligheid 2018, p. 25. 76 Memorie van toelichting voorontwerp implementatiewet richtlijn verkoop goederen en digitale inhoud, p. 8-9. 77 Schneier 2016, zie https://www.schneier.com/essays/archives/2016/11/testimony_at_the_us_.html & Van Staalduinen & Joshi 2019, p. 56.
bevindt zich bij hen, terwijl de handelaar in veel gevallen alleen de laatste schakel in het verkoopproces is.79 De Europese wetgever is handelaren tegemoetgekomen door een
recht op verhaal op te nemen voor de handelaar jegens de producent.80
De huidige tekst van de implementatiewet lijkt voor bedrijven zoals Apple geen probleem te vormen. Apple produceert zelf IoT-apparaten en beschikt over de benodigde knowhow en financiële middelen om software-updates te kunnen ontwikkelen. Vervolgens kan het deze apparaten verkopen in de eigen ‘Apple Stores’. Voor andere handelaren, zoals Mediamarkt, ligt dat anders. De rol van Mediamarkt is beperkt, aangezien Mediamarkt slechts het eindstation in de productieketen is en niet betrokken is bij de productie van de apparaten die zij verkoopt. Mediamarkt is afhankelijk van producenten en achterliggende softwareontwikkelaars.
Zelfs een techgigant als Samsung wees op de afhankelijkheid ten opzichte van Google, omdat laatstgenoemde verantwoordelijk is voor de ontwikkeling van het Androidbesturingssysteem waarop Samsung telefoons draaien.81 Daarmee is Google ook
verantwoordelijk voor het leveren van de benodigde updates en moet Samsung de telefoons compatibel maken voor het Androidbesturingssysteem.82 Hoewel in dit verband
moet worden opgemerkt dat Samsung ook ervoor had kunnen kiezen om een eigen besturingssysteem te ontwikkelen, is dit gezien de marktaandelen van Android en IOS waarschijnlijk niet realistisch. Uit onderzoek van Gartner blijkt dat bijna alle mobiele telefoons op Android dan wel IOS draaien.83 Hoewel de positie van Samsung en
Mediamarkt wezenlijk anders is, de een is betrokken bij de productie en de ander is slechts betrokken bij de verkoop van IoT-apparaten, kan vastgesteld worden dat beide in meer of mindere mate afhankelijk zijn van derde partijen voor het leveren van software-updates. Mediamarkt heeft op grond van de richtlijn verkoop goederen zelfs een verhaalsrecht jegens Google indien de updates van het Androidbesturingssysteem gebrekkig zijn.84
79 Loos 2020, p. 5-6.
80 Overweging 63 jo. artikel 18 Richtlijn (EU) 2019/771.
81 Rb. Den Haag 30 mei 2018, ECLI:NL:RBDHA:2018:3610 (Consumentenbond/Samsung) r.o. 4.15. 82 Ibidem.
83 Gartner 2018, zie
https://www.gartner.com/en/newsroom/press-releases/2018-08-28-gartner-says-huawei-secured-no-2-worldwide-smartphone-vendor-spot-surpassing-apple-in-second-quarter
Uit het voorgaande volgt dat het een verdedigbare optie zou zijn geweest om de producent medeverantwoordelijk te maken voor de verstrekking van software-updates. Door een gedeelde verantwoordelijkheid op te nemen, kan de handelaar als aanspreekpunt fungeren voor de consumenten. Vervolgens zorgt de producent of een derde partij ervoor dat updates bij de consument terechtkomen. Met name voor partijen als Mediamarkt zou dit uitkomst bieden. Voor Samsung geldt, als producent van de telefoons, dat er met Google afspraken gemaakt moeten worden over de te leveren updates. In het geval dat een consument een Samsungtelefoon koopt bij Mediamarkt en vervolgens geen updates ontvangt, beantwoordt de telefoon niet meer aan de overeenkomst.85 In een dergelijke
situatie zou Samsung door Mediamarkt erop gewezen worden dat updates geleverd moeten worden conform de overeenkomst. Samsung moet dan in samenwerking met Google ervoor zorgen dat de consument als eindgebruiker de updates ontvangt.
Uiteindelijk zijn de redelijke verwachtingen die een consument mag hebben op grond van de overeenkomst van groot belang. Deze redelijke verwachtingen bepalen immers de reikwijdte van het recht op updates. Een consument mag verwachten dat een nieuwe slimme speaker voorzien wordt van software-updates, maar voor een verouderde slimme speaker ligt dat anders. Het is verdedigbaar dat consumenten na een bepaalde periode geen aanspraak meer kunnen maken op updates. Denk aan het geval wanneer de technische capaciteiten van het IoT-apparaat dusdanig verouderd zijn dat ze een software-update simpelweg niet aankunnen. In dat geval draagt de consument het risico van non-conformiteit zelf.
In het navolgende hoofdstuk wordt ingegaan op een mogelijke updateverplichting onder de beveiligingsverplichting uit artikel 32 AVG. Vervolgens gaat hoofdstuk 4 in op de verhouding tussen het recht op updates uit het implementatiewetsvoorstel en de voornoemde beveiligingsverplichting.
3 Beveiligingsverplichting uit de AVG
Dit hoofdstuk behandelt eerst de positie van de verwerkingsverantwoordelijke (hierna: ‘verantwoordelijke’) en de vraag of de IoT-producent of de handelaar als verantwoordelijke kwalificeert. Vervolgens wordt ingegaan op de verwerking van persoonsgegevens door IoT-apparaten en wordt de reikwijdte van de beveiligingsverplichting uit de AVG onderzocht. De laatste paragraaf gaat in op enkele handhavingsmiddelen van de betrokkenen onder de AVG.
3.1 Wie is verantwoordelijke?
De AVG kent een aantal beginselen waaraan de verwerking van persoonsgegevens dient te voldoen. Deze beginselen zijn vervat in artikel 5(1) AVG. Eén van die beginselen verplicht de verantwoordelijke ertoe om passende technische en organisatorische maatregelen te nemen, zodat een passend beveiligingsniveau bereikt wordt.86 De AVG
definieert een verantwoordelijke als de partij die de essentiële middelen en doeleinden vaststelt omtrent de gegevensverwerking.87 Dat betekent ook dat de verantwoordelijke
adequate beveiligingsmaatregelen moet nemen.88
De verantwoordelijke stelt vast welke gegevens voor welke doeleinden worden verwerkt. In het geval van de slimme speaker van Google bepaalt laatstgenoemde welke persoonsgegevens verzameld moeten worden. De speaker moet namelijk op basis van de stem van de gebruiker bepaalde taken kunnen uitvoeren. Google zal de functionaliteit zo moeten inrichten dat in het geval van een gegeven opdracht ook het daarvoor benodigde protocol wordt gestart. In de relatie producent en consument is het Google die een doorslaggevende rol speelt in de vaststelling van het doel en de middelen voor de verwerking. In dat geval is Google dus de verantwoordelijke. De handelaar die de Google speaker verkoopt, kan in dat geval alleen medeverantwoordelijke zijn indien hij samen met Google de essentiële besluiten neemt omtrent de middelen en het doel van de verwerking.89
86 Artikel 5(1) sub f AVG.
87 Artikel 4 sub 7 AVG & Article 29 Working Party 2010, p. 13. 88 Artikel 32 AVG.
Doorgaans zal de handelaar slechts verantwoordelijke zijn voor de verwerkingen die hij zelfstandig uitvoert, zoals het opnemen van persoonsgegevens van de consument in een klantenbestand. In het geval van een slimme speaker kan een consument weliswaar gegeven opdrachten uit het systeem verwijderen, maar hij kan niet de doeleinden van de verwerking aanpassen of de te verzamelen categorieën persoonsgegevens wijzigen. Wanneer een consument een slimme speaker koopt in de Apple Store, dan is Apple als handelaar ook de verantwoordelijke, omdat Apple ook de doeleinden en middelen van de gegevensverwerking bepaalt.
Het voorgaande geldt niet voor handelaren zoals Mediamarkt, Bol.com en Coolblue. Deze partijen zijn niet betrokken bij het productieproces van de IoT-apparaten die ze verkopen en maken geen keuzes welke persoonsgegevens door IoT-apparaten verwerkt worden. Deze handelaren kwalificeren onder de AVG alleen als verantwoordelijke ten aanzien van verwerkingen die zijzelf verrichten, zoals in het reeds aangehaalde voorbeeld van het opnemen van persoonsgegevens van consumenten in het klantenbestand. Deze verwerkingen staan echter los van de verwerkingen die een IoT-apparaat verricht. Derhalve zijn zij niet verplicht om IoT-apparaten te voorzien van adequate beveiligingsmaatregelen. Weliswaar verzamelt Bol.com persoonsgegevens van consumenten die een bestelling plaatsen, maar die worden gebruikt om bestellingen te kunnen leveren en consumenten van aanbiedingen te voorzien. Deze verwerkingsactiviteiten staan los van de door IoT-apparaten verrichtte verwerkingsactiviteiten en daarmee rust er op grond van artikel 32 AVG geen beveiligingsverplichting op de voorgenoemde handelaren.
Een bijkomende factor die het lastig maakt om de verantwoordelijke aan te wijzen, is de online verbondenheid van IoT-apparaten en servers die onderling persoonsgegevens uitwisselen. Vaak sturen IoT-apparaten zelf of middels een applicatie op een smartphone persoonsgegevens door naar een apart gehost platform in ‘de cloud’.90 Hieruit volgt
logischerwijs dat niet alleen de apparatuur zelf adequaat beveiligd moet worden, maar ook de cloudopslag en de communicatieverbindingen waarvan gebruik wordt gemaakt.91
Bovendien kunnen sommige apparaten logbestanden over het gebruik van het apparaat doorsturen naar de producent of softwareontwikkelaar. In dergelijke gevallen zijn niet 90 Article 29 Working Party 2014, p. 14.
alleen de producenten verantwoordelijk voor de beveiliging, maar ook de cloudbeheerder en de softwareontwikkelaar.92
Daarnaast zijn vaak verschillende partijen betrokken bij het ontwerpen en het produceren van een IoT-apparaat. Volgens Omitola & Wills zijn de verschillende actoren op te delen in partijen die verantwoordelijk zijn voor het ontwerp en de ontwikkeling van het apparaat, de leveranciers van onderdelen, de producenten van onderdelen zoals chips en vervolgens de handelaren.93 Een leverancier van onderdelen is echter geen
verantwoordelijke, omdat leveranciers geen persoonsgegevens verwerken. Voor softwareontwikkelaars geldt in principe hetzelfde. Ook zij verwerken geen persoonsgegevens, maar leveren slechts een onderdeel van het IoT-apparaat, zodat de verantwoordelijke persoonsgegevens kan verwerken. Wellicht zendt de software diagnostische gegevens door naar de softwareontwikkelaar, maar dan is de softwareontwikkelaar verantwoordelijk voor die specifieke gegevensverwerking. Dit zal echter weer afhangen van de omstandigheden van het geval.
Per geval moet beoordeeld worden wie de essentiële middelen en doeleinden vaststelt van de verwerking. In het geval van gegevensverwerking door IoT-apparaten is doorgaans de producent aan te merken als de verantwoordelijke. Handelaren zijn gewoonlijk niet betrokken bij deze verwerkingsactiviteiten, behoudens gevallen waarin een bedrijf zowel producent als handelaar is. Producenten moeten zorgdragen voor een beveiligingsniveau dat voldoet aan de AVG.94 Om hieraan te kunnen voldoen moet de
verantwoordelijke tijdens de productiefase afspraken maken met softwareontwikkelaars en leveranciers over de te leveren updates. Uit het voorgaande vloeit voort dat de IoT-producent beveiligingsmaatregelen moet nemen en hierover verantwoording verschuldigd is aan de toezichthouder dan wel de betrokkene.95
92 Article 29 Working Party 2014, p. 14-15. 93 Omitola & Wills 2018, p. 447.
94 Article 29 Working Party 2014, p. 21. 95 Jansen 2017, p. 213-214 & artikel 5(2) AVG.
3.2 Verwerking van persoonsgegevens door IoT-apparaten
Alle informatie die te herleiden is naar een geïdentificeerde of identificeerbare natuurlijk persoon, kwalificeert als persoonsgegevens.96 Zodra een IoT-apparaat persoonsgegevens
verwerkt en deze gegevens te herleiden zijn naar een consument, is de desbetreffende consument aan te merken als de betrokkene in de zin van de AVG.97
Niet alleen ziet het begrip persoonsgegevens op informatie aan de hand waarvan een persoon direct geïdentificeerd kan worden, maar ook op informatie waarmee iemand indirect geïdentificeerd kan worden.98 De eerste categorie persoonsgegevens betreft
vooral duidelijke indicatoren zoals namen of adresgegevens. De tweede categorie persoonsgegevens zijn gegevens zoals IP-adressen of tracking cookies.99 Zelfs triviale
gegevens kunnen gecombineerd worden, zodat er een gedetailleerd beeld van de betrokkene ontstaat.100
De WP 29 wijst erop dat het voor consumenten maar beperkt mogelijk is om anoniem gebruik te kunnen maken van IoT. Zo kan een verzameling van MAC-adressen101 van
verschillende apparatuur ertoe leiden dat locatiegegevens van consumenten geanalyseerd kunnen worden.102 Daarenboven maken consumenten veelal een profiel aan door middel
van het koppelen van een IoT-apparaat aan hun mobiele telefoons. Bij een smartwatch en smart home apparatuur wordt een verbinding tot stand gebracht tussen het apparaat zelf en de applicatie op de smartphone. Deze koppeling van IoT-apparaten en hun diensten aan een profiel met gepersonaliseerde instellingen leiden ertoe dat consumenten geïdentificeerd kunnen worden.
Daarnaast zijn sommige IoT-apparaten, die uitgerust zijn met sensoren, in staat om gedragingen en bewegingen van de consument (on)bewust vast te leggen en te volgen. Hierdoor kunnen deze apparaten extra persoonsgegevens verwerken waarvoor een
96 Artikel 4 sub 1 AVG. 97 Ibidem.
98 Article 29 Working Party 2007, p. 13.
99 HvJEU 19 oktober 2016, ECLI:EU:C:2016:779 (Breyer), r.o. 43 - 48. 100 Article 29 Working Party 2014, p. 9.
101 Een MAC-adres zorgt ervoor dat apparaten met elkaar kunnen communiceren via het internet. Zie
https://www.vpngids.nl/privacy/anoniem-browsen/wat-is-een-mac-adres/
grondslag in artikel 6 AVG ontbreekt. Zonder een wettelijke verwerkingsgrondslag is een dergelijke verwerking onrechtmatig.
Alle handelingen die worden verricht met persoonsgegevens kwalificeren als verwerkingen in de zin van de AVG.103 Voorbeelden hiervan zijn het opslaan,
verzamelen, wijzigen, doorsturen en verwijderen van persoonsgegevens.104 Een slimme
speaker die moet reageren op opdrachten van de gebruiker, staat constant ‘stand-by’ om adequaat te kunnen reageren op mogelijke opdrachten en heeft daardoor constant toegang tot persoonsgegevens.105 Het risico van ongewild meeluisteren ligt op de loer en is
daardoor reëel.106 Recent bleek dat medewerkers van Amazon meeluisterden met de
slimme speaker Alexa om prestaties van het apparaat te verbeteren. Consumenten werden niet geïnformeerd over het bestaan van deze afluistermogelijkheid.107 Daarenboven dient
te worden opgemerkt dat een dergelijk ‘opening’ in de beveiliging van een IoT-apparaat ook door kwaadwillende derden kan worden aangewend om persoonsgegevens te bemachtigen. Een ander probleem was dat Alexa gesprekken opsloeg en vervolgens doorstuurde naar een willekeurig persoon in de contactenlijst van de gebruiker.108
De hiervoor aangehaalde voorbeelden zijn zowel onrechtmatige verwerkingen als gebrekkige beveiligingsmaatregelen met mogelijk verstrekkende gevolgen voor de consument. In het tweede voorbeeld zorgt een fout in de beveiligingssoftware ervoor dat verkregen persoonsgegevens worden doorgestuurd. Het is duidelijk dat adequate beveiliging van IoT-apparaten noodzakelijk is om risico’s op nadelige gevolgen voor consumenten zoveel mogelijk te beperken. De navolgende paragraaf gaat in op de beveiligingsverplichting in artikel 32 AVG.
3.3 Reikwijdte van de beveiligingsverplichting uit de AVG
De beveiligingsmaatregelen moeten de integriteit en vertrouwelijkheid van de gegevens waarborgen. Hoofdstuk IV van de AVG noemt de verplichtingen waaraan de
103 Artikel 4 sub 2 AVG. 104 Ibidem.
105 Google 2020, zie https://support.google.com/googlenest/answer/7072285?hl= en specifiek het kopje ‘Data collection’.
106 Baert 2019. 107 Ibidem. 108 Sacks 2018.
verantwoordelijke zich dient te houden. Artikel 32 AVG is opgenomen in afdeling twee van hoofdstuk IV en moet gezien de structuur van de AVG dan ook als verplichting van de verantwoordelijke opgevat worden.109 De verantwoordelijke moet onder meer kunnen
aantonen dat deze beveiligingsmaatregelen zijn getroffen en dat gegevensverwerking in overeenstemming met de AVG plaatsvindt.110
Daarnaast moet de verantwoordelijke alle maatregelen treffen, zodat slechts bevoegde personen toegang hebben tot de persoonsgegevens.111 De verantwoordelijke moet
voorafgaand aan de verwerking een risicobeoordeling uitvoeren. Deze risicobeoordeling is essentieel, omdat de AVG de ruimte laat aan verantwoordelijken om zelf passende technische en organisatorische maatregelen in te stellen.112 Op het eerste gezicht is
onduidelijk wat er onder passende technische en organisatorische maatregelen in de zin van artikel 32 AVG verstaan moet worden. De geschiktheid van de genomen maatregelen hangt af van de omstandigheden van het geval.113 De verantwoordelijke dient de
onderstaande factoren in ogenschouw te nemen: • De stand van de techniek;
• De uitvoeringskosten;
• De aard, omvang en context van de verwerking; • De verwerkingsdoeleinden; en
• De risico’s voor de rechten en vrijheden van betrokkenen.114
Van groot belang is dat men de genomen maatregelen periodiek evalueert en waar nodig nieuwe maatregelen treft. Een verantwoordelijke moet “op permanente basis de
vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen kunnen garanderen.”115 Uit dit citaat blijkt dat de
beveiligingsverplichting een voortdurende verplichting is waaraan de verantwoordelijke moet voldoen zolang de gegevensverwerking voortduurt. Updates zijn bij uitstek een middel om gedurende een lange periode de integriteit, beschikbaarheid en veerkracht te 109 Artikel 5(2) AVG.
110 Artikel 24(1) AVG. 111 Artikel 32(4) AVG. 112 Weber 2013, p. 342.
113 Artikel 5(1) sub f AVG jo. artikel 32(1) AVG. 114 Artikel 32(1) sub b AVG.
waarborgen. Uit onderzoek blijkt namelijk dat het verstrekken van updates al een gangbare manier is om apparaten op afstand te beveiligen en dat consumenten hier veelvuldig gebruik van maken om op hun beurt hun apparaten te beveiligen.116 Vaak zijn
dit zogenoemde over-the-air updates. Het voordeel van dit soort updates is dat de beveiliging verbeterd wordt zonder dat de producent fysieke toegang nodig heeft tot het apparaat.117 Volgens Verbruggen & Wolters sluit de plicht om ex post updates te
verstrekken goed aan op de plicht om ex ante te zorgen voor passende beveiliging.118 Dat
zou wellicht betekenen dat onder de AVG een update naar een nieuwere versie van een besturingssysteem als een passende technische en organisatorische maatregel wordt beschouwd. Gezien de tekst van artikel 32(1) sub b AVG lijkt er dan ook genoeg ruimte te zijn voor verantwoordelijken om door middel van periodieke software-updates te voldoen aan de beveiligingsverplichting. Daarentegen is het ook mogelijk dat op grond van de voornoemde risicobeoordeling blijkt dat software-updates niet noodzakelijk zijn voor de beveiliging van persoonsgegevens. Het zal dus afhangen van de omstandigheden van het geval of software-updates verstrekt moeten worden onder artikel 32 AVG.
3.4 Handhavingsmiddelen voor de betrokkene onder de AVG
De AVG stelt de voorwaarden vast waaraan gegevensverwerking moet voldoen en de verplichtingen die rusten op de verantwoordelijke.119 Daarnaast kent de verordening de
betrokkene (lees: de consument) enkele rechten toe, zodra persoonsgegevens verwerkt worden. Zo kan een consument onder andere zijn recht op inzage uitoefenen jegens de verantwoordelijke.120 Het recht op inzage is vooral bedoeld als controlemechanisme. Op
die manier kan de consument inzicht krijgen welke persoonsgegevens voor welke doeleinden verzameld worden en hoe lang deze worden opgeslagen.121 Dit is echter geen
handhavingsmiddel waarmee de consument de verantwoordelijke kan dwingen om passende beveiligingsmaatregelen te nemen of om de beveiliging te verbeteren.
Een eerste handhavingsmiddel vindt men terug in de mogelijkheid om een doeltreffende voorziening in rechte in te stellen tegen de verantwoordelijke. De consument kan er ook 116 Van Thiel e.a. 2019, p. 6.
117 Enisa 2019, p. 24.
118 Verbruggen & Wolters 2016, p. 834.
119 Zie artikel 5 AVG jo. artikel 24 AVG jo. artikel 28 AVG. 120 Artikel 15 AVG.
voor kiezen om zich te laten vertegenwoordigen door de AP en kan een klacht indienen over het handelen van een verantwoordelijke.122 De consument kan een procedure starten
in de lidstaat waar hij of zij woonachtig is of in het land waar de verantwoordelijke gevestigd is.123 In het geval dat de verantwoordelijke een publieke instantie is, heeft de
consument geen keuze en kan een procedure alleen in de lidstaat van de vestiging van de verantwoordelijke gestart worden.124 Er moet sprake zijn van een schending van de
rechten die aan consumenten onder de AVG worden toegekend, zoals het recht op inzage.125 Volgens Wolters is het onduidelijk of artikel 79(1) AVG ook van toepassing is
op de gevallen waarin verantwoordelijken niet voldoen aan hun verplichtingen onder de AVG. Het is volgens hem echter verdedigbaar dat een consument een procedure kan starten zodra een verantwoordelijke een van zijn verplichtingen – bijvoorbeeld de beveiligingsverplichting – heeft geschonden.126
Een ander handhavingsmiddel is het indienen van een vordering tot schadevergoeding jegens de verantwoordelijke(n) op grond van artikel 82 AVG. In het geval dat een consument zich laat vertegenwoordigen door de AP, kan de AP ook namens hem schadevergoeding vorderen.127 Een verantwoordelijke is aansprakelijk voor de gehele
schade die door de consument is geleden als gevolg van de onrechtmatige verwerking. In het geval dat er meerdere verantwoordelijken betrokken zijn bij de gegevensverwerking, is ieder van hen hoofdelijk aansprakelijk voor het geheel.128 De verantwoordelijke is niet
aansprakelijk, indien hij bewijst dat het schadeveroorzakende feit niet te wijten is aan gedragingen die door hem zijn verricht.129
Uit de bewoordingen van de AVG blijkt dat zowel immateriële als materiële schade vergoed kunnen worden. Het is echter lastig om voor te stellen hoe deze schade zich in de praktijk zal manifesteren. Voorbeelden van schade zijn onder meer identiteitsfraude, financiële schade, reputatieschade en verlies van persoonsgegevens.130 Een directe link
tussen een slechte beveiliging en (im)materiële schade is moeilijk aan te tonen. Zo leidt 122 Artikel 80 AVG.
123 Schermer e.a. 2018, p. 91. 124 Ibidem.
125 Artikel 79(1) AVG.
126 Requejo Isidro 2018, p. 15 en Wolters 2019, p. 18. 127 Wolters 2019, p. 20-21.
128 Artikel 82(4) AVG jo. overweging 146 AVG. 129 Artikel 82(3) AVG.
een beveiligingslek waarbij NAW-gegevens of gepseudonimiseerde persoonsgegevens worden buitgemaakt, doorgaans niet tot (im)materiële schade. Walree wijst op het risico dat deze persoonsgegevens in een later stadium in combinatie met andere persoonsgegevens wel degelijk tot concrete schade kunnen leiden.131 Conform de
jurisprudentie van het HvJEU is pas sprake van vergoedbare schade indien deze “reëel en zeker” is.132 Niet iedere schending van de AVG leidt tot reële en zekere schade waardoor
niet in alle gevallen van schendingen van de AVG een beroep op artikel 82 AVG zal slagen.
Het navolgende hoofdstuk gaat nader in op de verhouding tussen het recht op updates uit artikel 7:18(4) implementatiewetsvoorstel en de in dit hoofdstuk behandelde beveiligingsverplichting uit artikel 32 AVG.
131 Walree 2017, p. 923.
4 Verhouding tussen het recht op updates en de
beveiligingsverplichting uit de AVG
Dit hoofdstuk onderzoekt de verhouding tussen het recht op updates uit het implementatiewetsvoorstel en de beveiligingsverplichting uit de AVG. Allereerst komt de positie van de consumenten aan bod. Vervolgens wordt ingegaan op de positie van handelaren en producenten.
4.1 Positie van consumenten
De ratio achter zowel het recht op updates als de beveiligingsverplichting uit de AVG is het streven de belangen van enerzijds de consument en anderzijds de betrokkene, die vaak samenvallen in één persoon, zo goed mogelijk te beschermen.133 Beiden bevinden zich in
een afhankelijkheidspositie ten opzichte van de handelaar/producent/verantwoordelijke. De regels omtrent non-conformiteit, waar het recht op updates onderdeel van uitmaakt, vormen de grondslag waarop een consument rechten, zoals een vordering tot herstel of vervanging of een vordering tot ontbinding, kan uitoefenen jegens een handelaar.134 De
AVG biedt aan de consument enerzijds mogelijkheden om controle uit te oefenen op de verwerking van zijn of haar persoonsgegevens en anderzijds, afhankelijk van de omstandigheden van het geval, een mogelijkheid tot vordering van schadevergoeding.135
Het recht op updates vloeit voort uit de gedachte dat geleverde producten de eigenschappen moeten bezitten die de consument redelijkerwijs mag verwachten ten tijde van de contractsluiting. Indien de handelaar in gebreke blijft, kan de consument hem aansprakelijk stellen.136 Hierna kan de consument via artikel 7:21 BW herstel dan wel
vervanging vorderen. Het blijft echter de vraag of deze vorderingen effect sorteren in gevallen dat een handelaar geen overeenkomsten heeft gesloten of kan sluiten met IoT-producenten en zelf niet in staat is om updates te leveren, zie hierover paragraaf 4.2. Waar het recht op updates een verplichting neerlegt bij de handelaar, legt artikel 32 AVG de beveiligingsverplichting neer bij de verantwoordelijke, doorgaans de producent. De
133 Gomez 2004, p.193 & Nissenbaum 2009, p. 81-84. 134 Artikel 7:21 en 7:22 BW.
135 Artikel 15 e.v. AVG.
handelaar is namelijk niet in alle gevallen aan te merken als verantwoordelijke. Uit paragraaf 3.1. blijkt dat dit per geval beoordeeld moet worden. Weliswaar kan de consument een klacht indienen bij de AP, maar een nakomingsvordering tot het leveren van updates is niet mogelijk op grond van de AVG. De AVG bevat namelijk geen grondslag voor een vordering tot nakoming van de beveiligingsverplichting. Alleen de toezichthouder kan door handhavend op te treden ervoor zorgen dat een verantwoordelijke in overeenstemming met de beveiligingsverplichting uit AVG zal handelen.137 Terwijl de consument middels een nakomingsvordering of vordering tot
schadevergoeding slechts de handelaar kan aanspreken.
Daarnaast kan de AP een verantwoordelijke op de vingers tikken, zodra laatstgenoemde de genomen maatregelen niet kan verantwoorden en vervolgens hem een boete opleggen. Bij het vaststellen van een administratieve boete moet de toezichthouder onder andere rekening houden met proportionaliteit van de genomen beveiligingsmaatregelen.138 Een
ander voordeel van de AVG is het afschrikwekkende effect van hoge boetes die de AP kan opleggen. Deze kunnen in samenhang met het risico op imagoschade eraan bijdragen dat IoT-producenten hun verantwoordelijkheid daadwerkelijk zullen nemen. Voor de consument kan dat gunstig zijn.
Het valt echter te betwijfelen of de betrokkenheid van de AP daadwerkelijk een verschil zal maken. Nadat de AVG in werking was getreden en de AP ruimere bevoegdheden had verkregen om op te treden, trokken veel ervaren medewerkers weg.139 Juist in deze
periode waarin de AP zich moest voorbereiden op de inwerkingtreding van de AVG, was er te weinig personeel aanwezig om de stortvloed aan klachten te kanaliseren.140
Momenteel blijft de behandeling van een groot aantal klachten achter. Tot op heden slaagt de AP er niet om deze achterstand weg te werken en worden slechts in beperkte gevallen boetes uitgedeeld, mede vanwege het personeelstekort.141 Voor consumenten is dit
nadelig, omdat zij voor de handhaving van de AVG afhankelijk zijn van de AP.
137 Artikel 58 AVG.
138 Artikel 5(2) AVG jo. artikel 83(2) sub d AVG. 139 Heilbron & Koopman 2019/3.
140 Ibidem.
