Feedback

Gevonden zoektermen

Zoekresultaat - inzien document

ECLI:NL:RBAMS:2016:1175

Instantie
Rechtbank Amsterdam
Datum uitspraak
08-03-2016
Datum publicatie
14-03-2016
Zaaknummer
C/13/600958 / KG ZA 16-51
Rechtsgebieden
Civiel recht
Bijzondere kenmerken
Eerste aanleg - enkelvoudig
Inhoudsindicatie

De Consumentenbond vordert in kort geding van Samsung dat Samsung adequater optreedt tegen beveiligingslekken in smartphones. De vorderingen worden afgewezen omdat de Consumentenbond het spoedeisend belang onvoldoende heeft aangetoond en omdat de vorderingen zich ook om andere redenen niet lenen voor toewijzing in kort geding.

Vindplaatsen
Rechtspraak.nl
Verrijkte uitspraak

Uitspraak

vonnis

RECHTBANK AMSTERDAM

Afdeling privaatrecht, voorzieningenrechter civiel

zaaknummer / rolnummer: C/13/600958 / KG ZA 16-51 MV/MV

Vonnis in kort geding van 8 maart 2016

in de zaak van

de vereniging met volledige rechtsbevoegdheid

CONSUMENTENBOND,

gevestigd te Den Haag,

eiseres bij dagvaarding 22 januari 2016,

advocaat mr. M.S. Neervoort te Amsterdam,

tegen

1. de besloten vennootschap met beperkte aansprakelijkheid

SAMSUNG ELECTRONICS BENELUX B.V.,

gevestigd te Delft,
2. de vennootschap naar vreemd recht
SAMSUNG ELECTRONICS CO. LTD.,
gevestigd te Suwon City, Kyungki-Do (Zuid-Korea),

gedaagden,

advocaat mr. F.W. Gerritzen te Amsterdam.

Partijen zullen hierna de Consumentenbond en Samsung worden genoemd.

1. De procedure

Ter terechtzitting van 16 februari 2016 heeft de Consumentenbond gesteld en gevorderd overeenkomstig de in fotokopie aan dit vonnis gehechte dagvaarding. Samsung heeft verweer gevoerd met conclusie tot weigering van de gevraagde voorzieningen. Beide partijen hebben producties en een pleitnota in het geding gebracht.

Ter zitting waren - voor zover van belang - aanwezig:

aan de zijde van de Consumentenbond: [naam 1] , [naam 2] en [naam 3] met mr. Neervoort;

aan de zijde van Samsung: [naam 4] , [naam 5] en [naam 6] met mr. Gerritzen en met zijn kantoorgenoten mrs. C.E. Schillemans en Q.J. Tjeenk Willink.
Na verder debat hebben partijen verzocht vonnis te wijzen.

2 De feiten

2.1.

De Consumentenbond komt op voor de belangen van Nederlandse consumenten.

2.2.

Samsung is wereldwijd marktleider op het gebied van smartphones. In Nederland heeft Samsung een marktaandeel van 40,5%. In Nederland verkoopt Samsung haar telefoons via haar Nederlandse website. Ook worden Samsungtelefoons via een aantal andere webshops verkocht (bijvoorbeeld studentmobiel.nl, wehkamp.nl, typhone.nl, GSMwijzer.nl, coolblue.nl en bol.com) en via de (web)winkels van telecomproviders (zoals Vodafone, T-Mobile en KPN). Tot slot worden op de Nederlandse markt tweedehandstelefoons van het merk Samsung verkocht (bijvoorbeeld via marktplaats.nl).

2.3.

Op de smartphones van Samsung is Android geïnstalleerd. Android is een open source besturingssysteem dat wordt beheerd door Google. Samsung biedt haar Android- smartphones aan met een “softwareschil” van Samsung. De koper van een smartphone van Samsung verkrijgt een licentie op het gebruik van Android en de Samsung-softwareschil.

2.4.

Google brengt regelmatig nieuwe Android upgrades en security updates uit. Deze software stelt Google online beschikbaar, zodat een fabrikant als Samsung deze kan implementeren.

2.5.

Op 27 juli 2015 is bekend geworden dat op Android-smartphones (vanaf versie 2.2) de zogenoemde stagefright kwetsbaarheid is aangetroffen. Op 1 oktober 2015 is bekend geworden dat een nieuwe variant hierop is aangetroffen, stagefright 2.0.

2.6.

Bij brief van 2 december 2015 van de raadsvrouw van de Consumentenbond is Samsung onder meer medegedeeld dat als gevolg van stagefright cybercriminelen toegang tot en controle kunnen krijgen over Android-smartphones. Volgens de brief is stagefright ook aangetroffen op verschillende Samsungtelefoons. Samsung zou haar klanten niet juist informeren over of waarschuwen voor stagefright. Daarnaast zou Samsung haar klanten niet of onvoldoende informeren over de vraag of zij bij of na aankoop van een Samsungsmartphone updates ontvangen. Verder is in de brief opgenomen dat meer dan 80% van de Samsungsmartphones niet beschikt over de laatste Androidversie en dat Samsung klanten met een kwetsbare smartphone onmiddellijk had moeten voorzien van een update. Samsung is om deze redenen gesommeerd de consument duidelijk te informeren over stagefright, over toekomstige kritieke beveiligingslekken en over het update en upgradebeleid van Samsung. Ook is Samsung gesommeerd daadwerkelijk stagefright evenals toekomstige kritieke beveiligingslekken te patchen (repareren) door updates en upgrades ter beschikking te stellen, en gedurende twee jaar na aankoop van een telefoon regelmatig updates en upgrades ter beschikking te blijven stellen. Tot slot is Samsung met het oog op artikel 3:305a lid 2 BW uitgenodigd voor een gesprek met de Consumentenbond.

2.7.

Op 17 december 2015 heeft een gesprek tussen partijen plaatsgevonden. Naar aanleiding hiervan heeft Samsung aanpassingen doorgevoerd op haar websites.

3 Het geschil

3.1.

Consumentenbond vordert - kort gezegd - het volgende:
I. Samsung te bevelen om de informatie dat het stagefright lek aanwezig is en wanneer Samsung een security update beschikbaar zal stellen om het stagefright lek te dichten, voor alle modellen van Samsung die het stagefright lek bevatten (modellen die in de periode van twee jaar voorafgaand aan het bekend worden van stagefright aan consumenten in Nederland zijn aangeboden en modellen die direct vanaf de introductie het stagefright lek bevatten) per model op verschillende plaatsen op de website www.samsung.com te plaatsen alsmede in gedrukte informatie van Samsung zoals gebruikershandleidingen en reclamemateriaal;
II. Samsung te bevelen om onmiddellijk nadat een door Google als kritiek aangemerkt beveiligingslek in het Android besturingssysteem publiekelijk bekend is geworden de informatie dat dit lek aanwezig is en wanneer Samsung een security update beschikbaar zal stellen om dit lek te dichten voor alle modellen van Samsung die die dit kritieke beveiligingslek bevatten per model op verschillende plaatsen op de website www.samsung.com te plaatsen alsmede in gedrukte informatie van Samsung zoals gebruikershandleidingen en reclamemateriaal;
III. Samsung te bevelen om voor alle smartphones die de afgelopen twee jaar in Nederland zijn aangeboden alsmede voor nieuwe modellen direct vanaf de introductie in Nederland per model de informatie over de periode dat Samsung security updates en upgrades ter beschikking stelt en de frequentie hiervan op verschillende plaatsen op de website www.samsung.com te plaatsen alsmede in gedrukte informatie van Samsung zoals gebruikershandleidingen en reclamemateriaal;
IV. Samsung te bevelen voor alle smartphones die het stagefright lek bevatten en die in de periode van twee jaar voor het bekend worden van dit lek aan consumenten in Nederland zijn verkocht en voor modellen die nog worden verkocht en het stagefright lek bevatten een security update aan te bieden waardoor stagefright en stagefright 2.0 daadwerkelijk worden gedicht;
V. Samsung te bevelen voor alle smartphones die een door Google als kritiek aangemerkt beveiligingslek in het Android besturingssysteem bevatten en die in de periode van twee jaar voor het bekend worden van dit lek aan consumenten in Nederland zijn verkocht en voor modellen die nog worden verkocht met een door Google als kritiek aangemerkt beveiligingslek een security update aan te bieden waardoor dit kritieke beveiligingslek daadwerkelijk wordt gedicht;
VI. Samsung te bevelen voor alle modellen smartphones die de afgelopen twee jaar aan consumenten in Nederland zijn verkocht en voor alle modellen die in de toekomst zullen worden verkocht gedurende twee jaar na verkoop die upgrades beschikbaar te stellen die nodig zijn voor normaal gebruik van die smartphones;
VII. een en ander op straffe van dwangsommen;
VIII. met veroordeling van Samsung in de buitengerechtelijke kosten; en
IX. met veroordeling van Samsung in de kosten van dit geding, te vermeerderen met de wettelijke rente.

3.2.

De Consumentenbond stelt hiertoe – samengevat weergegeven – dat in de Android besturingssoftware van diverse modellen smartphones van Samsung, waaronder de Samsung Galaxy S5 mini, de Samsung Galaxy S5 Neo en de Samsung Galaxy A7 het stagefright lek is geconstateerd. Op het moment van het opstellen van de dagvaarding is alleen de Samsung Galaxy A7 gepatcht (gerepareerd). Samsung informeert haar consumenten niet over het stagefright lek, terwijl dit een van de ernstigste softwarebeveiligingsproblemen in de geschiedenis is en consumenten hierdoor aanzienlijke risico’s lopen (denk aan internetbankieren). Informatie over het stagefright lek is weliswaar (na de sommatiebrief van 2 december 2015, zie 2.6) te vinden op de website van Samsung, maar die informatie is zo onopvallend gepresenteerd dat consumenten daardoor feitelijk onvoldoende worden geïnformeerd. Ook geeft Samsung geen of zeer onduidelijke informatie over de vraag of een consument na de aankoop van een smartphone security updates zal ontvangen, en zo ja voor welke periode, en over de vraag binnen welke termijn kritieke beveiligingslekken worden gedicht. De beveiligingsupdates die Samsung wel aanbiedt zijn beperkt tot de duurste en nieuwste modellen en worden niet snel genoeg aangeboden. Na de sommatiebrief van 2 december 2015 (zie 2.6) heeft Samsung het stagefright lek in een aantal van haar modellen gepatcht, maar ten tijde van de zitting in dit kort geding heeft zij nog steeds éénderde van haar toestellen niet gepatcht.
Samsung en de Consumentenbond hebben meerdere besprekingen gevoerd. Naar aanleiding hiervan heeft Samsung enige aanpassingen aangebracht op haar website, maar zij is op vele essentiële punten nog altijd niet aan de sommaties van de Consumentenbond tegemoet gekomen. De Consumentenbond rest dan ook geen andere mogelijkheid dan om dit kort geding te starten.
De vorderingen van de Consumentenbond in dit kort geding zijn gegrond op een oneerlijke (misleidende) handelspraktijk van Samsung. Samsung laat immers na om essentiële informatie te verstrekken die de gemiddelde consument nodig heeft om een goed geïnformeerd aankoopbesluit te kunnen nemen. Informatie over stagefright en over het (blijven) uitvoeren van security updates en upgrades is essentieel. Ook beroept de Consumentenbond zich op artikel 7:17 BW. Op grond van dit artikel moeten de verkochte smartphones die eigenschappen bezitten die de consument op grond van de koopovereenkomst mag verwachten. De bepalingen omtrent conformiteit en nakoming zijn eveneens van toepassing op de licentie op Android. Op deze gronden moet het stagefright lek en toekomstige kritische beveiligingslekken hersteld worden en moeten daadwerkelijk upgrades beschikbaar worden gesteld. Dit is Samsung ook verplicht op grond van haar algemene zorgplicht (artikel 6:162 lid 1 BW). Tot slot is de Consumentenbond van mening dat Samsung haar verplichtingen op grond van de Wet Bescherming Persoonsgegevens (Wbp) overtreedt, met name artikel 13 van die wet. Samsung is verantwoordelijk om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Ook op deze grond dient Samsung alle kritieke beveiligingslekken te dichten.
Verder dient Samsung aan consumenten gedurende twee jaar na aankoop van een smartphone regelmatig updates en upgrades ter beschikking te stellen. Uit onderzoek is gebleken dat consumenten verwachten een smartphone gedurende 2,26 jaar te kunnen gebruiken, dit terwijl uit informatie op de website van Samsung blijkt dat Samsung voor een aantal van haar modellen smartphones die op dit moment nieuw aan consumenten worden verkocht nog maar enkele maanden ondersteuning blijft bieden. Mede om deze reden heeft de Consumentenbond een spoedeisend belang bij toewijzing van haar vorderingen. Daarnaast heeft de Consumentenbond een spoedeisend belang omdat Samsung smartphones blijft verkopen met het kritieke beveiligingslek stagefright en stagefright 2.0 en een aantal van haar modellen smartphones tot op heden niet is beveiligd tegen stagefright. Ook is er sprake van een spoedeisend belang ten aanzien van het daadwerkelijk patchen van toekomstige beveiligingslekken. De Consumentenbond verwijst in dit verband naar een ander lek, genaamd Certifigate. Dit lekt bevindt zich niet in Android, maar in applicaties van derden die met Samsung samenwerken. Ook is op 19 januari 2016 bekend gemaakt dat sprake is van een “Linux-lek”. Linux vormt de kern van Android en volgens onderzoekers die dit lek hebben ontdekt , is het lek aanwezig in 66% van alle Android smartphones.

3.3.

Samsung heeft verweer gevoerd tegen de vorderingen. Op dit verweer wordt hierna, voor zover van belang, nader ingegaan.

4 De beoordeling

4.1.

Een vordering is in kort geding slechts toewijsbaar indien de eisende partij daarbij een spoedeisend belang heeft. Daarnaast geldt dat een in kort geding ingestelde vordering zich moet lenen voor toewijzing bij wijze van voorlopige voorziening. Als dat niet mogelijk is, bijvoorbeeld omdat eerst nader onderzoek naar de feiten nodig is over de technische aspecten van de zaak of omdat de belangen van partijen niet in voldoende mate kunnen worden afgewogen, is de bodemprocedure de aangewezen weg.

4.2.

Het is aan de Consumentenbond als eisende partij om voldoende aan te tonen dat sprake is van een spoedeisend belang. Volgens de Consumentenbond is het spoedeisend belang gelegen in het feit dat sprake is van concrete beveiligingslekken in het Android besturingssysteem die voor de bezitters van een Samsungsmartphone aanzienlijke risico’s met zich mee kunnen brengen. Naar de voorzieningenrechter (uit de dagvaarding) heeft begrepen, vormden stagefright en stagefright 2.0 de voornaamste aanleiding voor de Consumentenbond om dit kort geding aanhangig te maken. Daarnaast heeft de Consumentenbond ter zitting melding gemaakt van certifigate en van het zogenoemde “Linux-lek” (CVE-2016-9728).

Stagefright en stagefright 2.0

Voorshands is onvoldoende aannemelijk dat van stagefright en stagefright 2.0 een zo acuut beveiligingsrisico uitgaat als de Consumentenbond stelt. Samsung heeft, mede aan de hand van de verklaringen van twee van haar medewerkers, [naam 4] en [naam 5] (producties 2 en 3) verduidelijkt dat het niet om een beveiligingslek in Android gaat, maar om een zwakke plek in het besturingssysteem, en dat het misbruik maken van deze kwetsbaarheid een bijzonder ingewikkeld, duur en tijdrovend proces is. Hiervoor is vereist dat een exploit wordt ontwikkeld. Dit is een computerprogramma om op een kwetsbare plek in het besturingssysteem een lek te maken waarmee toegang tot gevoelige informatie op een smartphone wordt verkregen (hacken). Eén exploit kan bovendien niet voor meerdere modellen smartphones worden gebruikt. De kans op “succesvol” gebruik van een exploit is volgens Samsung uitermate gering. Naar het oordeel van de voorzieningenrechter is dit standpunt van Samsung onvoldoende weerlegd door de Consumentenbond. Integendeel, de Consumentenbond heeft als productie 24 een rapport in het geding gebracht van DPA B-Able waaruit voorshands eveneens kan worden afgeleid dat het gevaar van stagefright thans gering of niet (meer) aanwezig is. In dit rapport, dat dateert van 30 januari 2016, is immers onder meer opgenomen:
There is no evidence that the Stagefright vulnerability can be actively exploited on Samsung devices…

Voorts is van belang dat de Consumentenbond niet aannemelijk heeft gemaakt dat ook maar één smartphone van Samsung buiten een testomgeving (“in the wild”) is gehackt, laat staan dat hierdoor een gebruiker van een Samsungsmartphone is benadeeld.

Tot slot is van belang dat uit de verklaring van Lee (productie 2) alsmede uit de e-mail van G.J. ter Haar (medewerker van Samsung) van 10 februari 2016 (productie 13 van Samsung) voorshands volgt dat alle toestellen van Samsung die na juli 2013 in Nederland zijn geïntroduceerd (inmiddels) tegen stagefright (2.0) zijn beveiligd. Weliswaar zijn er enkele oudere modellen smartphones na juli 2013 verkocht waar nog geen patch voor is uitgebracht, te weten de Ace 2, de S3 en de S3 mini, maar dat het hier om substantiële aantallen smartphones gaat is niet duidelijk geworden.

Al met al is niet duidelijk dat stagefright en stagefright 2.0 een zodanig acuut risico voor gebruikers van Samsung smartphones vormen dat voldoende spoedeisend belang bestaat om daartegen in kort geding op te komen.

Certifigate
In dit kader heeft Samsung een e-mail van Duart van 11 februari 2016 (productie 16) in het geding gebracht. Hieruit volgt dat certifigate geen kwetsbaarheid is in Android, maar “in the software offered by third party application providers and only they can fix it.” Ook volgt uit die mail dat de kwetsbaarheid door de ontwikkelaars van die applicaties reeds is verholpen. De voorzieningenrechter is voorshands van oordeel dat de Consumentenbond tegen deze achtergrond onvoldoende aannemelijk heeft gemaakt dat certifigate thans (nog) een acuut probleem vormt dat door Samsung kan worden verholpen. Weliswaar heeft de Consumentenbond het hiervoor genoemde rapport van DPA B-Able in het geding gebracht en zou uit pagina 47 van dit rapport kunnen worden afgeleid dat certifigate wèl een acuut probleem vormt (hierop is een foto afgedrukt van een beeldscherm met een waarschuwing voor certifigate), maar ook dit is weerlegd door Duart in zijn e-mail van 11 februari 2016. In de e-mail is namelijk onder meer opgenomen dat “the warning does not say anything meaningful about the likelihood of a threat.”

Linux (CVE-2016-9728)
Ook hier geldt dat de Consumentenbond onvoldoende aannemelijk heeft gemaakt dat sprake is van een acuut probleem of van een acute dreiging. De Consumentenbond heeft in dit kader verwezen naar productie 52 (een blogpost van Google), maar dit is weerlegd door Samsung onder verwijzing naar haar productie 19, een verklaring van Collin R. Mulliner, specialist op het gebied van beveiliging van computersystemen. Uit deze laatstgenoemde verklaring volgt onder meer dat het praktisch gezien nagenoeg onmogelijk is van deze kwetsbaarheid gebruik te maken.

4.3.

De conclusie tot zover is dat de Consumentenbond het spoedeisend belang, voor zover dit gelegen zou kunnen zijn in de aanwezigheid van de drie besproken lekken/kwetsbaarheden, gezien het door Samsung hiertegen gevoerde verweer, onvoldoende heeft aangetoond.

4.4.

Daarnaast lenen de vorderingen van de Consumentenbond zich ook om andere redenen niet voor toewijzing bij wijze van een voorlopige voorziening. In dit kader is allereerst van belang dat de Consumentenbond ter zitting heeft aangevoerd dat het in dit kort geding niet zozeer om de Android smartphones van Samsung gaat, maar om iets groters, te weten de veiligheid van met het internet verbonden producten voor consumenten. In dit kader is de Consumentenbond in juni 2015 de campagne “Updaten!” gestart. De Consumentenbond wil een breed voorkomend probleem aan de kaak stellen. Op zich is dit begrijpelijk gezien de algemene doelstellingen van de Consumentenbond. Het lijkt er bovendien op dat de campagne in zekere mate succesvol is geweest. Al dan niet gestimuleerd door de Consumentenbond heeft Samsung immers haar informatievoorziening over updates en upgrades van haar smartphones verbeterd, zoals hierna ook onder 4.6 wordt besproken, en inmiddels updates voor veel modellen smartphones uitgebracht. Dit neemt echter niet weg dat een kort geding niet de geëigende procedure is om een dergelijk breed probleem zonder een spoedeisende, concrete aanleiding te laten beoordelen.

Daarbij komt dat de belangen van de leden van de Consumentenbond moeten worden afgewogen tegen die van Samsung. Uit de verklaringen van Lee en Duart (producties 2 en 3 van Samsung) volgt dat toewijzing van de vorderingen aanmerkelijke (technische) implicaties voor Samsung kunnen hebben waarvan de gevolgen bijzonder groot kunnen zijn. Zo volgt uit de verklaring van Lee dat het proces van het updaten van smartphones allerminst eenvoudig is en dat Samsung daarbij afhankelijk is van Google. Bovendien heeft Samsung te maken met tal van versies en modellen en moet zij bij het updaten zelf prioriteiten kunnen stellen. Ook zou toewijzing van de vorderingen voor Samsung mogelijk tot enorme kosten kunnen leiden, die binnen de beperkte reikwijdte van dit kort geding niet voldoende zijn te overzien. Voor dit standpunt van Samsung wordt verwezen naar de punten 3.16 tot en met 3.22 van de pleitnota van haar raadslieden.

4.5.

Ook vorderingen die “in de toekomst kijken” en/of die te onbepaald zijn lenen zich niet voor toewijzing in een kort geding. Hierop stuit toewijzing van de vorderingen II en V af. Die vorderingen zien immers op het informatie geven over, dan wel het dichten van “een door Google als ‘kritiek’ aangemerkt beveiligingslek in het Android besturingssysteem” dat (mogelijk in de toekomst) bekend zal worden. Afgezien van het feit dat partijen het niet eens zijn over de betekenis van het woord ‘kritiek’ in dit verband, kan op dit moment niet worden beoordeeld welke mogelijke lekken/kwetsbaarheden de Samsunggebruiker nog te wachten staan en op welke wijze (en door wie) hier tegenop moet worden getreden.

4.6.

Met betrekking tot de (overige) vorderingen die zien op het verschaffen van informatie geldt dat Samsung, waarschijnlijk mede naar aanleiding van de sommatie van de Consumentenbond van 2 december 2015, al extra informatie heeft geplaatst op de website www.samsung.com. Samsung verwijst hiervoor naar haar productie 6, waaruit blijkt dat zij op 24 december 2015 de tekst op haar website heeft aangepast. Dit is ook erkend door de Consumentenbond, waarbij is aangetekend dat die informatie niet voldoende zou zijn. Ook hier geldt dat de vraag of dit voldoende is (afgezien van de vraag welke juridische informatieverplichtingen op Samsung rusten), in hoge mate technisch bepaald is, en hiervoor een nader onderzoek naar de feiten nodig zou zijn. Voorshands kan dan ook niet worden uitgegaan van de juistheid van het standpunt van de Consumentenbond dat Samsung haar informatieverplichting zou schenden.

4.7.

Reeds op grond van hetgeen hiervoor is overwogen komt de voorzieningenrechter tot het oordeel dat de vorderingen van de Consumentenbond niet kunnen worden toegewezen. Bij deze stand van zaken komt de voorzieningenrechter niet toe aan de bespreking van de verschillende juridische grondslagen van de vorderingen en het hiertegen door Samsung gevoerde verweer.

4.8.

De Consumentenbond zal als de in het ongelijk gestelde partij in de proceskosten worden veroordeeld. De kosten aan de zijde van Samsung worden begroot op:

- griffierecht € 619,00

- salaris advocaat € 816,00

Totaal € 1.435,00

5. De beslissing

De voorzieningenrechter

5.1.

weigert de gevraagde voorzieningen,

5.2.

veroordeelt Consumentenbond in de proceskosten, aan de zijde van Samsung tot op heden begroot op € 1.435,00,

5.3.

verklaart dit vonnis wat betreft de kostenveroordeling uitvoerbaar bij voorraad.

Dit vonnis is gewezen door mr. M.W. van der Veen, voorzieningenrechter, bijgestaan door mr. M. Veraart, griffier, en in het openbaar uitgesproken op 8 maart 2016.1

1 type: MVcoll: JvS