IT 2572

Collectieve actie Consumentenbond over de veiligheidsrisico’s van Samsung als gevolg van kwetsbaarheden in Android

Rechtbank Den Haag 30 mei 2018, IT 2572; ECLI:NL:RBDHA:2018:6310 (Consumentenbond tegen Samsung) Collectieve actie van de Consumentenbond tegen Samsung over veiligheidsrisico’s als gevolg van kwetsbaarheden in Android, het besturingssysteem van de smartphones van Samsung. Niet-ontvankelijkverklaring voor vorderingen die zien op toekomstig handelen. Afwijzing van de resterende vorderingen omdat niet kan worden geconcludeerd dat Samsung, door nu niet gedurende de door de Consumentenbond genoemde periode en binnen de door haar genoemde termijn updates en upgrades door te voeren, feitelijk te weinig doet ter bestrijding van de veiligheidsrisico’s van kritieke kwetsbaarheden in Android. Verder oordeelt de rechtbank dat Samsung voldoende duidelijke en toegankelijke informatie geeft over de door haar geboden softwareondersteuning.

4.14.
Niet ter discussie staat dat in dit verband van Samsung kan worden verwacht dat zij voldoende adequaat en doeltreffend optreedt tegen de hiervoor omschreven veiligheidsrisico’s van door Google als critical aangemerkte kwetsbaarheden. Wat voldoende en adequaat en doeltreffend is, wordt mede bepaald door de aard en de ernst van de zich daadwerkelijk/reëel voordoende veiligheidsrisico’s. Voor toewijzing van de vorderingen is alleen plaats als de conclusie luidt dat Samsung feitelijk te weinig doet ter bestrijding van de veiligheidsrisico’s door niet in alle gevallen gedurende de door de Consumentenbond genoemde periode en binnen de door de Consumentenbond genoemde termijn upgrades en updates door te voeren. De rechtbank zal dat nu beoordelen.

4.15.
Vast staat dat Samsung veel verschillende smartphone modellen produceert en dat zij de door Google ontwikkelde Android-kern, met het oog op (toevoeging van) specifieke functionaliteiten, op haar smartphones heeft voorzien van een door haar ontwikkelde ‘softwareschil’. Dat heeft tot gevolg dat de door Google ontwikkelde patches eerst door Samsung moeten worden getest en zo nodig aangepast en/of aangevuld voordat deze als updates of upgrades op haar smartphones kunnen worden geïnstalleerd, teneinde er (zo veel mogelijk) voor te zorgen dat die patches niet tot incompatibiliteit met de softwareschil leiden. Meer in het bijzonder volgt uit de technische verklaringen van [B] en [A], die door de Consumentenbond niet concreet zijn weersproken, dat Samsung voor het ontwikkelen van updates afhankelijk is van Google voor het aanleveren van patches voor de Android-kern. Ook kan Samsung in bepaalde gevallen afhankelijk zijn van leveranciers van chipsets. De door Google aangeleverde patches moeten door Samsung voor ieder uitgebracht model worden aangepast en/of aangevuld en vervolgens worden onderworpen aan tests die Google aan Samsung oplegt, waarna telecomproviders een laatste controle uitvoeren, vóórdat de update daadwerkelijk kan worden uitgerold voor het downloaden en installeren door gebruikers. Voor zover de Consumentenbond een vergelijking heeft willen maken met de door Google en Apple geproduceerde smartphones - in welke gevallen de smartphone en het besturingssysteem van éénzelfde producent afkomstig zijn - gaat deze vergelijking dus mank.

Hieruit volgt dat het update- en upgradeproces een complex proces is waarbij veel partijen betrokken zijn. Het ligt voorts in de rede dat de werkelijke doorlooptijd van een update of upgrade niet steeds gelijk is, maar afhangt van (onder meer) het aantal patches dat hierin moet worden verwerkt, de technische complexiteit van de update/upgrade en de versie van ieder model smartphone. Ook heeft Samsung genoegzaam toegelicht dat zij niet al haar smartphone modellen tegelijkertijd het update- en upgradeproces kan laten doorlopen en dat zij op basis van het concrete dreigingsniveau en technische- en economische afwegingen daarin prioriteiten mag en moet aanbrengen. De Consumentenbond heeft voorts niet bestreden dat een nieuwe versie van Android (een upgrade) niet altijd op oudere smartphones kan worden geïnstalleerd of oudere smartphones trager kan maken, alsmede dat een upgrade niet noodzakelijkerwijs de beveiliging verhoogt. Bij dit alles is van belang, zoals Samsung onweersproken heeft aangevoerd, dat officiële professionele standaarden voor het verstrekken van updates en upgrades ontbreken.

Dat een doorlooptijd van maximaal één maand voor updates en maximaal drie maanden voor upgrades redelijk en realistisch is, is door de Consumentenbond in het licht van het voorgaande onvoldoende (concreet) uitgelegd en onderbouwd. Dat Samsung te traag is met het doorvoeren van updates en upgrades of deze ten onrechte achterwege laat, zoals de Consumentenbond Samsung in de kern verwijt, is daarmee niet komen vast te staan. De door de Consumentenbond overgelegde stukken zijn weinig specifiek en bieden, gegeven de technische toelichting door Samsung, geen van alle concrete en overtuigende aanknopingspunten voor een andersluidend oordeel.

4.20.
Deze beoordeling leidt tot de conclusie dat de Consumentenbond ook niet kan worden gevolgd in dit verwijt. Daargelaten of informatie over updates en upgrades kan worden aangemerkt als ‘essentiële informatie’ in de zin van artikel 6:193d BW - hetgeen Samsung gemotiveerd betwist en de rechtbank hier onbesproken laat - geeft Samsung naar het oordeel van de rechtbank met de in 2.12 tot en met 2.16 bedoelde pagina’s op haar website op een voor een gemiddelde consument toegankelijke wijze toereikende informatie over veiligheidsrisico’s en het belang van het installeren van updates en upgrades. Ook heeft Samsung op de ‘dedicated product pages’ per smartphone voor de gemiddelde consument voldoende toegankelijk en inzichtelijk gemaakt wat hij kan verwachten ten aanzien van de periode van ondersteuning met updates en upgrades. De rechtbank deelt ook niet de opvatting van de Consumentenbond dat de consument – samengevat – te veel moeite moet doen om deze informatie te achterhalen, omdat daartoe teveel moet worden ‘doorgeklikt’ en ‘doorgescrold’. De rechtbank neemt daarbij mede in aanmerking dat de “maatman-consument” waarop de onder meer door de Consumentenbond ingeroepen artikel 6:193a e.v. BW zien, een gemiddeld geïnformeerde, omzichtige en oplettende consument is, van wie verwacht mag worden dat hij bereid is zich in de aangeboden informatie te verdiepen, waarbij denkbaar is dat informatie langs verschillende wegen wordt aangeboden. De gemiddelde consument wordt in beginsel geacht in staat te zijn om verstrekte informatie op waarde te schatten, om zo nodig nadere informatie te zoeken en om vervolgens informatie uit verschillende bronnen met elkaar in verband te brengen; enige onderzoeksplicht is inherent aan de maatstaf van de gemiddelde consument. In dit verband is van belang dat Samsung met de banner op het beginscherm nadrukkelijk de aandacht vestigt op de (periode van de) door haar geboden softwareondersteuning. Daarmee is voor een ieder duidelijk hoe lang Samsung deze ondersteuning biedt. De gemiddelde consument die meer informatie daarover wenst, kan deze informatie op eenvoudige wijze verkrijgen door via de in de website aangebrachte links door te klikken naar de relevante informatie en de productspecificaties en deze informatie vervolgens te lezen. Het onderzoek dat hij daartoe moet doen – door door te klikken en de op de website aangeboden informatie te lezen – valt binnen de marges van wat in redelijkheid van de gemiddelde consument kan worden verwacht.