Feedback

Gevonden zoektermen

Zoekresultaat - inzien document

ECLI:NL:RBDHA:2018:6310

Instantie
Rechtbank Den Haag
Datum uitspraak
30-05-2018
Datum publicatie
30-05-2018
Zaaknummer
C-09-525464-HA ZA 17-85
Rechtsgebieden
Civiel recht
Bijzondere kenmerken
Bodemzaak
Eerste aanleg - meervoudig
Inhoudsindicatie

Collectieve actie van de Consumentenbond tegen Samsung over veiligheidsrisico’s als gevolg van kwetsbaarheden in Android, het besturingssysteem van de smartphones van Samsung. Niet-ontvankelijkverklaring voor vorderingen die zien op toekomstig handelen. Afwijzing van de resterende vorderingen omdat niet kan worden geconcludeerd dat Samsung, door nu niet gedurende de door de Consumentenbond genoemde periode en binnen de door haar genoemde termijn updates en upgrades door te voeren, feitelijk te weinig doet ter bestrijding van de veiligheidsrisico’s van kritieke kwetsbaarheden in Android. Verder oordeelt de rechtbank dat Samsung voldoende duidelijke en toegankelijke informatie geeft over de door haar geboden softwareondersteuning.

Vindplaatsen
Rechtspraak.nl
NJF 2018/352
Verrijkte uitspraak

Uitspraak

vonnis

RECHTBANK DEN HAAG

Team handel

zaaknummer / rolnummer: C/09/525464 / HA ZA 17-85

Vonnis van 30 mei 2018

in de zaak van

de vereniging met volledige rechtsbevoegdheid

CONSUMENTENBOND,

gevestigd te Den Haag,

eiseres,

advocaat: mr. Chr.A. Alberdingk Thijm te Amsterdam,

tegen

1. de besloten vennootschap

SAMSUNG ELECTRONICS BENELUX B.V.,

gevestigd te Delft,

2. de vennootschap naar vreemd recht

SAMSUNG ELECTRONICS CO. LTD,

gevestigd te Suwon City, Kyungki-do (Korea),

gedaagden,

advocaat: mr. F.W. Gerritzen te Amsterdam.

Eiseres zal worden aangeduid als ‘de Consumentenbond’ en gedaagden gezamenlijk (in enkelvoud) als ‘Samsung’.

1 De procedure

1.1.

Het verloop van de procedure blijkt uit:

  • -

    de dagvaarding van 11 november 2016 met producties;

  • -

    de conclusie van antwoord met producties;

  • -

    het tussenvonnis van 10 mei 2017 waarbij een comparitie van partijen is gelast;

  • -

    de akte houdende producties aan de zijde van de Consumentenbond;

  • -

    de akte overlegging producties comparitie van partijen aan de zijde van Samsung;

  • -

    het buiten aanwezigheid van partijen opgemaakte proces-verbaal van comparitie van 26 maart 2018 en de opmerkingen van partijen daarover.

1.2.

Ten slotte is een datum voor het wijzen van vonnis bepaald.

2 De feiten

2.1.

De Consumentenbond is een vereniging met volledige rechtsbevoegdheid die zich ten doel stelt de belangen van de consumenten in het algemeen en van de leden van de bond in het bijzonder te behartigen. In het kader van deze doelstelling informeert de Consumentenbond consumenten over de deugdelijkheid van producten en diensten, onder meer van smartphones.

2.2.

Samsung is wereldwijd marktleider op het gebied van smartphones. In Nederland heeft Samsung een substantieel marktaandeel. In Nederland verkoopt Samsung haar smartphones via haar Nederlandse website. Ook worden Samsung smartphones via andere kanalen verkocht, zoals (web)winkels van Coolblue en Bol.com en die van telecomproviders zoals KPN en Vodafone.

2.3.

Op de smartphones van Samsung is ‘Android’ geïnstalleerd. Android is een open source besturingssysteem dat is ontwikkeld en wordt beheerd door Google. Samsung biedt haar smartphones aan met een eigen ‘softwareschil’. Dat wil zeggen dat Samsung de Android versie op haar smartphones heeft aangepast en daaraan het een en ander heeft toegevoegd, onder meer ten aanzien van prestaties, functionaliteit en interactie met bepaalde hardware.

2.4.

Om een smartphone van Samsung te kunnen (gaan) gebruiken, moet de consument een ‘Licentieovereenkomst eindgebruiker’ met Samsung aangaan voor het gebruik van de software op de smartphone (ook wel ‘End User License Agreement’ genoemd; hierna: EULA). Artikel 4 van de EULA (getiteld “Updates voor software van Samsung”) luidt als volgt:

“Samsung is bevoegd u updates, upgrades, aanvullingen en add-ons (indien van toepassing) voor de Software van Samsung ter beschikking te stellen, waaronder bugfixes, serviceupgrades (geheel of gedeeltelijk) en -updates, verbeteringen en functieverbeteringen of verwijderingen van Software van Samsung (inclusief volledig nieuwe versies) (gezamenlijk aangeduid als de 'Update') na de datum waarop u het oorspronkelijke exemplaar van de Software van Samsung hebt verkregen. Deze Licentieovereenkomst voor eindgebruikers is van toepassing op alle onderdelen van de Update, tenzij de betreffende Update vergezeld gaat van afwijkende voorwaarden. Als u gebruik wilt maken van Software van Samsung die in het kader van een Update is geleverd, moet u eerst een licentie hebben verworven voor de Software van Samsung waarvan Samsung heeft aangegeven dat deze in aanmerking komt voor de Update. Hoewel de Update algemeen beschikbaar wordt gesteld, worden in een aantal beperkte gevallen de updates voor de Software van Samsung alleen aangeboden door uw netwerkprovider; dergelijke updates voor de Software van Samsung vallen onder uw contractuele relatie met uw netwerkprovider.

Als de functie "Updates automatisch downloaden" is ingeschakeld (dit is standaard zo ingesteld in "Info apparaat" in de instellingen), zal uw apparaat bepaalde Updates met enige regelmaat automatisch downloaden via een Wi-Fi verbinding. Indien u ervoor hebt gekozen om de functie "Updates automatisch downloaden" uit te schakelen, kunt u controleren of nieuwe Updates beschikbaar zijn en deze downloaden door in de instellingen op "Updates handmatig downloaden" te klikken. Aangezien het van groot belang is dat u Updates voor beveiligingssoftware op tijd ontvangt zodat het systeem wordt beschermd tegen nieuwe bedreigingen, kunnen beveiligingsupdates zonder uw toestemming automatisch worden gedownload en geïnstalleerd, zelfs als u de functie "Updates automatisch downloaden" hebt uitgeschakeld. Hiermee is uw mobiele apparaat van Samsung beveiligd en daarnaast elk mobiele apparaat van Samsung dat wordt gebruikt via het concept "herd" of "community immunity". Voor optimaal gebruik van uw apparaat raden we u aan regelmatig te controleren op nieuwe Updates.”

2.5.

Google voert controles uit naar kwetsbaarheden (‘vulnerabilities’) in Android. Deze kwetsbaarheden kunnen in sommige gevallen kwaadwillenden toegang verschaffen tot (data op) een smartphone.

2.6.

Op het moment dat een kwetsbaarheid in Android wordt ontdekt, voert Google onderzoek uit naar de aard van de kwetsbaarheid en categoriseert zij deze al naar gelang de ernst van de potentiële gevolgen. De meest ernstige kwetsbaarheden krijgen de kwalificatie ‘critical’. Andere kwalificaties zijn ‘high’, ‘moderate’ en ‘low’. Google repareert kwetsbaarheden in Android met een zogeheten software ‘update’ (ook wel ‘patch’ genoemd).

2.7.

Google brengt maandelijks nieuwe Android updates uit. Deze software stelt Google beschikbaar aan fabrikanten van smartphones als Samsung, zodat deze fabrikanten, zo nodig na overleg met relevante telecomproviders, de updates kunnen aanpassen en vervolgens door gebruikers van de door Samsung aangeboden smartphones kunnen laten downloaden en installeren. In uitzonderlijke gevallen kan Samsung deze updates op afstand zelf installeren.

2.8.

Naast updates brengt Google ook zogeheten ‘upgrades’ uit van Android. Upgrades zijn nieuwe versies van het besturingssysteem en bevatten nieuwe functionaliteiten zoals notificatieschermen, opties, applicaties, prestatieverbeteringen en nieuwe vormgevingselementen. Ook kunnen upgrades beveiligingsupdates en nieuwe beveiligingsinstellingen bevatten. Sinds de eerste introductie van Android in 2008 zijn meerdere versies van het besturingssysteem verschenen. De meest recente versie van Android dateert van 5 december 2017 (Android 8.1) en is bekend onder de naam ‘Oreo’. Ook upgrades worden aan fabrikanten van smartphones ter beschikking gesteld, zodat zij deze op de hiervoor beschreven wijze kunnen aanpassen en (laten) installeren op de door hen aangeboden smartphones.

2.9.

Medio 2015 is bekend geworden dat in Android (vanaf versie 2.2) de zogenoemde ‘Stagefright’ kwetsbaarheid is aangetroffen. In oktober 2015 is bekend geworden dat een nieuwe variant hierop is aangetroffen, ‘Stagefright 2.0’. Google heeft de Stagefright kwetsbaarheid aangemerkt als ‘critical’ en zij heeft hiervoor een update ter beschikking gesteld aan fabrikanten van smartphones. Samsung heeft deze update doorgevoerd op door haar geproduceerde toestellen. Andere in 2014 en 2015 bekend geworden kwetsbaarheden in Android zijn ‘Fake ID’, ‘TowelRoot’, ‘ObjectInputStream deserializable’ en ‘One class to rule them all’.

2.10.

De Consumentenbond is in juli 2015 de campagne “Updaten!” gestart. Met deze

campagne dringt de Consumentenbond er bij fabrikanten op aan smartphones langer te

ondersteunen met updates.

2.11.

Vanaf medio 2015 hebben de Consumentenbond en Samsung met elkaar gecorrespondeerd en overleg gevoerd over (kort gezegd) het updatebeleid van Samsung en de informatievoorziening daarover aan consumenten door Samsung. Op 4 november 2016 heeft opnieuw overleg plaatsgevonden tussen Samsung en de Consumentenbond. In dit overleg zijn onder meer de vorderingen in de onderhavige bodemprocedure besproken.

2.12.

De Nederlandse website van Samsung (http://www.samsung.com/nl/) bevat thans bovenin het beginscherm een ‘banner’ met de tekst: “Samsung geeft ten minste twee jaar softwareondersteuning voor smartphones. Klik hier voor meer informatie.” Deze banner is ook zichtbaar bovenaan andere pagina’s op voornoemde website die betrekking hebben op smartphones. Indien de bezoeker klikt op de link in de banner, verschijnt de volgende tekst in beeld (http://www.samsung.com/nl/software-updates/):

“Op 12 december heeft de Consumentenbond via de media haar zorgen geuit over de periode waarin Samsung haar mobiele telefoons van updates voorziet met betrekking tot de Samsung Galaxy S7, S7edge en J3 (2016). Deze berichtgeving lijkt op een misverstand gebaseerd te zijn en heeft tot veel verwarring bij onze klanten geleid. Wij leggen hieronder graag uit hoe het zit.

Net als de Consumentenbond, vindt Samsung de veiligheid van haar mobiele telefoons heel belangrijk. Wij garanderen consumenten daarom dat wij onze smartphones tenminste twee jaar vanaf de productintroductie in Nederland met software-updates ondersteunen. Wij hebben hier hard aan gewerkt en zijn één van de weinigen in de markt die deze belofte doen. Dit betekent echter niet dat we na die twee jaar stoppen met de ondersteuning van onze toestellen. Wij gaan daar zolang mogelijk mee door. Zo hebben wij in 2017 de Samsung Galaxy S6 uit 2015, S5 uit 2014 en S4 uit 2013 van updates voorzien. Hoelang wij deze ondersteuning kunnen bieden, hangt echter af van verschillende factoren, zoals de specificaties van het toestel en de beschikbare resources. Daarnaast kan het zijn dat leveranciers van bepaalde software- of hardwarecomponenten van jouw toestel niet meer de ondersteuning bieden die nodig is om een update te realiseren.

Om onze smartphones zo goed mogelijk te beveiligen, bieden wij niet alleen updates aan. In alle Samsung smartphones die op dit moment in Nederland te koop zijn, is het mobiele beveiligingsplatform Samsung KNOX in de hardware ingebouwd. Dankzij KNOX kan de gebruiker een Veilige Map (Secure Folder) aanmaken die extra beveiligd is. Ook zijn de gegevens in het persoonlijke Samsung-account en functies zoals S-Health extra beveiligd. Het KNOX platform zorgt ervoor dat de smartphone continu in de gaten houdt of de smartphone veilig is. Zo checkt de smartphone automatisch bij het opstarten of het niet “geroot” is of dat er software is toegevoegd die niet door Samsung is goedgekeurd. Als dat het geval is, sluit de smartphone automatisch de toegang af tot bijvoorbeeld de veilige map en de S-Health data.

Ook bevatten al onze smartphones die we op dit moment in Nederland verkopen standaard een McAfee virusscanner. Bij ingebruikname hoeft de gebruiker deze virusscanner alleen maar te activeren. Hiervoor ga je naar Instellingen > Apparaatonderhoud > Apparaatbeveiliging.

Tot slot houdt het Security Team van Samsung zich dagelijks bezig met het veiliger maken van onze producten. Het Security Team zoekt onder andere naar kwetsbaarheden in Android, definieert deze kwetsbaarheden en rapporteert deze aan Google. Met deze aanpak wil Samsung ervoor zorgen dat niet alleen haar eigen smartphones, maar ook het Android ecosysteem steeds veiliger wordt.

Voor meer informatie over het Samsung softwarebeleid ga je naar de FAQ's.”

2.13.

Op haar Nederlandse website biedt Samsung thans de navolgende smartphone modellen te koop aan (waarvan sommige in verschillende varianten): Galaxy S9, Galaxy Note8, Galaxy S8, Galaxy A8 (2018), Galaxy A5 (2017), Galaxy A3 (2017), Galaxy J7 2017, Galaxy J5 2017, Galaxy J3 2017, Galaxy S7 edge, Galaxy S7, Galaxy Xcover4, Galaxy J3 2016 en Galaxy J3 2016.

2.14.

De Galaxy S9 is op dit moment de nieuwste smartphone die Samsung op haar website te koop aanbiedt. De desbetreffende webpagina (http://www.samsung.com/nl/smartphones/galaxy-s9/) bevat bovenin een tabblad ‘specificaties’. Indien de bezoeker op dit tabblad klikt en vervolgens naar beneden scrolt, verschijnt (onder meer) de volgende tekst in beeld.

2.15.

De Galaxy J3 2016 is het oudste model smartphone dat Samsung thans op haar website te koop aanbiedt. De desbetreffende webpagina (http://www.samsung.com/nl/smartphones/galaxy-j3-2016-j320fn/SM-J320FZKNPHN/) bevat bovenin een tabblad ‘specificaties’. Indien de bezoeker op dit tabblad klikt en vervolgens naar beneden scrolt, verschijnt (onder meer) de volgende tekst in beeld:

2.16.

Indien bezoekers klikken op de hierboven in 2.14 en 2.15 weergegeven link ‘software en security update’, verschijnt de navolgende tekst in beeld:

Software ondersteuning Samsung

Software- en security-updates

Voor Samsung heeft de bescherming van de privacy en de beveiliging van gegevens van consumenten de hoogste prioriteit. Als wereldwijde marktleider op het gebied van mobiele apparaten streven wij ernaar ook op dit gebied voorop te lopen. Samen met softwareleveranciers, mobiele providers en consumentenverenigingen werken we er continue aan het proces rondom software- en security-updates zo efficiënt mogelijk te laten verlopen.

Als je een (nieuwe) Samsung smartphone hebt, wil je natuurlijk graag weten waar je aan toe bent. Tot wanneer krijgt mijn smartphone software-ondersteuning? En als er een beveiligingskwetsbaarheid wordt ontdekt, hoe weet ik dan of mijn toestel een beveiligingsupdate krijgt?

We leggen hieronder uit wat je van Samsung kan verwachten op het gebied van updates.

Krijgt mijn toestel software-ondersteuning?

Op de productpagina’s op onze website (www.samsung.com) tref je bij elk toestel dat in de afgelopen 2 jaar is geïntroduceerd informatie over de periode waarin we software-ondersteuning voor je toestel bieden, zoals bug- of security-fixes. Als er een bug of beveiligingskwetsbaarheid in Android wordt gevonden, maakt Google daarvoor een patch (herstelsoftware). We gaan die patch zo snel mogelijk testen en aan onze partners (mobiele providers) voorleggen. We willen een patch pas uitrollen nadat we zeker weten dat onze toestellen ook na installatie van die patch aan onze hoge eisen van gebruikerservaring en veiligheid voldoen.

Het kan echter zijn dat bepaalde updates voor jouw toestel niet beschikbaar zullen komen. Dat kan bijvoorbeeld zijn omdat de specificaties van jouw toestel onvoldoende zijn om de software-update te ondersteunen (te weinig RAM- of ROM-geheugen) of omdat de prestaties van je toestel aanzienlijk achteruit zouden gaan door de update (een processor die niet snel genoeg is). Een toestel met betere specificaties heeft dus een grotere kans dat updates kunnen worden toegepast. Daarnaast kan het zijn dat leveranciers van bepaalde software- of hardwarecomponenten van jouw toestel niet meer de ondersteuning bieden die nodig is om een update te realiseren. Wij doen ons best zoveel mogelijk toestellen van updates te voorzien.

We kunnen je niet beloven dat we steeds de nieuwste versie van het Android besturingssysteem op je telefoon zetten. We streven er echter naar gedurende de software-ondersteuningsperiode zoveel mogelijk toestellen te voorzien van de laatste Android-versies.

Als mijn toestel in aanmerking komt voor software-updates, hoe snel kan ik die dan krijgen?

Zodra een software-update beschikbaar komt en onze strenge kwaliteitstesten heeft doorstaan, rollen wij deze zo snel als mogelijk uit. Hoe lang dat precies is, hangt van een aantal factoren af, zoals de urgentie van de update, de complexiteit van de update, de betrokken toestellen en het aantal toestellen dat een update nodig heeft. Daarnaast worden prioriteiten gesteld op basis van marktsegment en het aantal toestellen dat van een bepaald model is verkocht. Zo krijgen de toestellen die door de grootste groep mensen worden gebruikt, eerder een update.

Maandelijks security-updateprogramma

Samsung streeft ernaar haar high end modellen maandelijks van een security update te voorzien. Op dit moment zijn dat:

-van de Galaxy series: S8, S8+, S7, S7 edge, S6, S6 edge en de S6 edge+

-van de Galaxy Note series: Note8 en de Note5

-van de Galaxy A series: A5 (2016), A5 (2017) en de A8 (2018)

Voor overige [https://security.samsungmobile.com/workScope.smsb] toestellen wordt zo’n 4 keer per jaar een security-update uitgevoerd. Raadpleeg deze [https://security.samsungmobile.com/workScope.smsb] website voor meer details.

Kijk hier [http://www.samsung.com/nl/support/mobile-devices/hoe-voer-ik-een-software-update-uit-op-mijn-smartphone-of-tablet/] hoe je de laatste update op je smartphone ontvangt. Of wil je stap voor stap uitleg over hoe je jouw toestel update naar de nieuwste versie? Bekijk dan onze Smart Simulator [https://publish.samsungsimulator.com/simulator/d866940c-5542-4e55-b379-9b1065dc088b/#!topic/software_updaten/update_via_toestel_zelf].

[afbeelding]

Beveilingingskwetsbaarheden

Beveiligingskwetsbaarheden komen helaas in alle apparaten die software bevatten voor en worden af en toe ook in het Android-besturingssysteem of de andere software voor smartphones gevonden. Het beschermen van Samsung-toestellen tegen dergelijke beveiligingskwetsbaarheid heeft onze topprioriteit.

Wat kan ik zelf doen om mijn toestel zo goed mogelijk te beveiligen?

We raden je altijd aan je software en apps up-to-date te houden en voorzichtig te zijn met het klikken op mails of links die je niet vertrouwt. Lees meer over veilig internetten op veiliginternetten.nl.

Bovendien kunnen sommige apps schadelijk zijn voor je telefoon en kwaadaardige software als “spyware” of “malware” bevatten. We raden je daarom aan alleen apps te downloaden uit vertrouwde bronnen, zoals de Google Play Store of via Galaxy Apps. Je kunt het downloaden uit onbekende bronnen blokkeren door te gaan naar: Instellingen -> Schermvergrendeling en beveiliging en daar “Onbekende bronnen” uit te schakelen.

[afbeeldingen]

Ook bevatten al onze smartphones die we op dit moment in Nederland verkopen standaard een McAfee virusscanner. Bij ingebruikname hoeft de gebruiker deze virusscanner alleen maar te activeren. Hiervoor ga je naar Instellingen > Apparaatonderhoud > Apparaatbeveiliging. Vanaf dat moment controleert de virusscanner het toestel op virussen en malware.

We adviseren je daarnaast om “App-Verificatie” in te schakelen. Op die manier worden apps die je installeert, gescand op malware. Ga hiervoor naar: Instellingen > Applicaties > Google > Beveiliging en zet “Apparaat scannen op beveiligingsdreiging” en “Detectie schadelijke apps verbetering” aan.

[afbeeldingen]

Om onze smartphones zo goed mogelijk te beveiligen, bieden wij niet alleen updates aan. In alle Samsung smartphones die op dit moment in Nederland te koop zijn, is het mobiele beveiligingsplatform Samsung KNOX in de hardware ingebouwd. Dankzij KNOX kan de gebruiker een Veilige Map (Secure Folder) aanmaken die extra beveiligd is. Ook zijn de gegevens in het persoonlijke Samsung-account en functies zoals S-Health extra beveiligd. Het KNOX platform zorgt ervoor dat de smartphone continu in de gaten houdt of de smartphone veilig is. Zo checkt de smartphone automatisch bij het opstarten of het niet “geroot” is of dat er software is toegevoegd die niet door Samsung is goedgekeurd. Als dat het geval is, sluit de smartphone automatisch de toegang af tot bijvoorbeeld de veilige map en de S-Health data.

Samsung levert standaard een virusscanner op alle Samsung smartphones en -tablets in het huidige portfolio. Deze virusscanner (powered by McAfee) kan de consument simpel activeren waarna deze continue bescherming tegen malware biedt.

De virusscanner scant automatisch alle applicaties die op de telefoon geïnstalleerd worden, deze worden gescand op eventuele malware die schadelijk kan zijn voor de consument. Mocht er een applicatie gedownload worden die wordt gezien als malware, dan krijgt de consument automatisch een waarschuwing.

Naast de realtime scan (bij het downloaden van applicaties) zal de virusscanner tijdens het opladen elke 24 uur de gehele telefoon scannen op malware.

De virusscanner haalt zijn up-to-date informatie uit de cloud van McAfee.

Tot slot houdt het Security Team van Samsung zich dagelijks bezig met het veiliger maken van onze producten. Het Security Team zoekt onder andere naar kwetsbaarheden in Android, definieert deze kwetsbaarheden en rapporteert deze aan Google. Met deze aanpak wil Samsung ervoor zorgen dat niet alleen haar eigen smartphones, maar ook het Android ecosysteem steeds veiliger wordt.

Waar vind ik de update status van mijn toestel?

(1) Ga naar www.samsung.com.

(2) Tik in het zoekveld de naam (bijvoorbeeld ‘S6 Edge+’) of productcode (bijvoorbeeld: ‘SM-G928F’) van jouw toestel.

(3) Selecteer dan 'S6 Edge+' onder het kopje 'Producten'.

(4) Onderaan de tech specs tref je de huidige Android-versie van je toestel, de periode waarin van je software van je toestel wordt ondersteund en de updatestatus of verwachte updatedatum voor de laatste beveiligingskwetsbaarheid.

Up-to-date met updates

Zodra er een software- of security-update voor jouw toestel beschikbaar is, krijg je een notificatie op je toestel. We raden je aan je software en apps up-to-date te houden, door de software-updates te activeren en je apps bij te werken wanneer dat mogelijk is.

Veiligheid: een vanzelfsprekendheid bij Samsung

We willen je graag blijven informeren over het thema digitale veiligheid, niet alleen omdat het erg relevant is voor jou als smartphone-gebruiker, maar ook om dat je door de opkomst van het Internet of Things waarschijnlijk steeds meer digitale devices in je bezit hebt. Wil je meer lezen over veiligheid en beveiliging van je data, ook als het gaat om andere apparaten dan je smartphone? Volg dan onze blog Discover [http://www.samsung.com/nl/discover/], waar we regelmatig extra aandacht besteden aan het onderwerp veiligheid in de breedste zin van het woord: is er echt een risico dat je TV je afluistert [http://www.samsung.com/nl/discover/home/samsung-smart-tv-luisteren-geen-gesprekken-in-de-woonkamer-af/], en hoe maak je je smartphone onbruikbaar voor dieven? [http://www.samsung.com/nl/discover/travel/zo-maak-je-je-smartphone-onbruikbaar-voor-dieven/]”

3 Het geschil

3.1.

Consumentenbond vordert, zoveel mogelijk uitvoerbaar bij voorraad:

I. te verklaren voor recht dat Samsung in strijd handelt met de zorgvuldigheid die van haar in het maatschappelijk verkeer mag worden verwacht en/of in strijd met de verplichtingen voortvloeiend uit artikel 7:17 Burgerlijk Wetboek (BW) en/of artikel 13 Wet bescherming persoonsgegevens (Wbp) en/of de Radioapparaten Richtlijn en/of artikel 6:193b e.v. BW, een en ander door te handelen als in het lichaam van de dagvaarding omschreven, in het bijzonder door de software op haar smartphones niet gedurende de normale levensduur van de smartphones, althans gedurende een periode van vier jaar te rekenen vanaf het moment van de introductie op de markt, te voorzien van (kritieke) updates en/of upgrades en/of haar smartphones niet tijdig te voorzien van (kritieke) updates, althans niet binnen een maand na bekendwording met de kwetsbaarheid en de patch (update) van Google die de kwetsbaarheid beoogt weg te nemen;

II. te verklaren voor recht dat Samsung in strijd handelt met de zorgvuldigheid die van haar in het maatschappelijk verkeer mag worden verwacht en/of met de verplichtingen voortvloeiend uit artikel 6:193d BW en/of artikel 6:193 BW, door consumenten voordat zij een smartphone aanschaffen niet, althans niet op duidelijke en ondubbelzinnige wijze, te informeren over (i) de versie van het besturingssysteem en/ of de vraag of dit de meest recente versie is en/of (ii) de vraag of en, zo ja, tot welke periode het toestel (kritieke) updates en/of upgrades ontvangt en/of (iii) de gevolgen hiervan voor de consument en/of (iv) de termijn waarbinnen de consument dergelijke (kritieke) updates en/of upgrades kan verwachten;

III. Samsung te bevelen alle smartphones in Nederland gedurende een periode van vier jaar na de introductie op de markt en/of twee jaar na het moment van verkoop door Samsung of via een retailkanaal te voorzien van updates die kwetsbaarheden in de software repareren, althans updates die een door Google als “kritiek” aangemerkt beveiligingslek in het Android besturingssysteem repareren, steeds binnen een maand nadat de update door Google beschikbaar is gesteld, althans een door de rechtbank in goede justitie te bepalen bevel;

IV. Samsung te bevelen alle smartphones in Nederland gedurende een periode van vier jaar na de introductie op de markt en/of twee jaar na het moment van verkoop door Samsung of via een retailkanaal te voorzien van upgrades, binnen een termijn van drie maanden na het uitbrengen door Google van de upgrade; althans een door de rechtbank in goede justitie te bepalen bevel;

V. Samsung te bevelen consumenten voordat zij een smartphone aanschaffen op duidelijke en ondubbelzinnige wijze te informeren over het update- en upgradebeleid, in het bijzonder over (i) de versie van het besturingssysteem op de smartphone en/of de vraag of dit de meest recente versie is en/of (ii) de vraag of en, zo ja, tot welke periode de betreffende smartphone (kritieke) updates en/of upgrades ontvangt en (iii) de gevolgen hiervan voor de consument en/of (iv) de termijn waarbinnen de consument dergelijke (kritieke) updates en/of upgrades kan verwachten, door de informatie onder (i) en (ii) per smartphone op te nemen in het blok met de belangrijkste productspecificaties (“tech specs”) op de website van Samsung en in de (gedrukte) gebruikershandleiding bij de smartphone en door de informatie onder (iii) en (iv) op te nemen in een helder en goed vindbaar beleid op de website van Samsung en in de (gedrukte) gebruikershandleiding bij de smartphone, een en ander in op een aan het gebruikte medium aangepaste wijze, althans een door de rechtbank in goede justitie te bepalen bevel;

VI. Samsung in de kosten van deze procedure te veroordelen.

3.2.

De Consumentenbond legt aan haar vorderingen het volgende ten grondslag.

Veel Samsung-toestellen draaien niet op de laatste (of zelfs maar de op één na laatste

versie) van Android. Samsung stelt slechts voor een select aantal toestellen maandelijkse updates beschikbaar. De overige toestellen van Samsung ontvangen met grote vertraging of helemaal geen updates. Er zijn momenteel Samsung toestellen te koop die nog slechts een paar maanden softwaresupport (updates en upgrades) krijgen. Samsung doet consumenten geen enkele concrete toezegging over de vraag of zij updates en upgrades kunnen verwachten en, zo ja, binnen welke termijn.

Door updates en upgrades niet en/of niet tijdig beschikbaar te stellen, althans niet voor de

gehele levensduur van het toestel, stelt Samsung consumenten bloot aan mogelijk misbruik door kwaadwillenden. Die handelwijze van Samsung is strijdig met het leerstuk van non-conformiteit als bedoeld in artikel 7:17 BW, de zorgplicht ten aanzien van beveiliging van persoonsgegevens als bedoeld in artikel 13 Wbp, het verbod op oneerlijke handelspraktijken (artikel 6:193b BW), de Radioapparaten Richtlijn en de zorgvuldigheid die in het maatschappelijk verkeer van haar verwacht mag worden (artikel 6:162 BW).

Naast het tijdig aanbieden van updates en upgrades, moet Samsung de Nederlandse consument ook op duidelijke en ondubbelzinnige wijze informeren over wat hij kan verwachten in termen van upgrades en updates. Door die informatie niet, althans zeer onduidelijk, te verstrekken, maakt Samsung zich (opnieuw) schuldig aan een oneerlijke handelspraktijk, meer specifiek een misleidende omissie, in de zin van artikel 6:193d BW en artikel 7 van richtlijn 2005/29/EG (Richtlijn oneerlijke handelspraktijken).

3.3.

Samsung voert gemotiveerd verweer.

4 De beoordeling

Inleiding

4.1.

De zaak komt in de kern neer op het verwijt van de Consumentenbond (1) dat Samsung in het kader van haar updatebeleid te weinig doet om veiligheidsrisico’s voor gebruikers van Samsung smartphones af te wenden en (2) dat Samsung de Nederlandse consument onvoldoende informeert over haar updatebeleid. De Consumentenbond stelt dat de rechtbank “met deze zaak de gelegenheid heeft zich uit te spreken over de veiligheid en informatieverplichtingen binnen een domein dat in toenemende mate ons dagelijks leven beheerst.” De Consumentenbond heeft de vorderingen ingesteld in een collectieve actie in de zin van artikel 3:305a BW, waarbij zij volgens haar toelichting uitsluitend opkomt voor het gebundeld belang van consumenten die een Samsung smartphone hebben en niet voor een eigen statutair belang.

4.2.

Niet ter discussie staat dat het onderwerp waarvoor de Consumentenbond aandacht vraagt met haar vorderingen tegen Samsung – de algemene veiligheid van de door consumenten gebruikte smartphones in verband met (eventuele) kwetsbaarheden in de software van deze toestellen – van groot maatschappelijk belang is. Vele consumenten kunnen immers worden blootgesteld aan de veiligheidsrisico’s van kwetsbaarheden in de software. Evenmin ter discussie staat dat het in algemene zin van belang is dat consumenten zich van deze risico’s bewust zijn.

4.3.

Dit gewichtige maatschappelijk belang, dat onmiskenbaar wordt gediend met de vorderingen, betekent niet dat de Consumentenbond zonder meer ontvankelijk is in die vorderingen en dat deze moeten worden toegewezen. Evenmin dienen deze vorderingen, waarmee de Consumentenbond volgens Samsung de rechtbank feitelijk vraagt om op de stoel van de wetgever te gaan zitten, reeds niet-ontvankelijk te worden verklaard dan wel te worden afgewezen, omdat het beoordelen daarvan en het daarop beslissen de rechtsvormende taak van de rechter te buiten gaat, zoals Samsung betoogt. Beoordeeld dient te worden of de Consumentenbond voldoende concreet belang heeft bij haar vorderingen. Vervolgens is aan de orde of voldoende grond bestaat voor toewijzing daarvan, waarbij het erop aankomt of Samsung kan worden verweten dat zij onrechtmatig handelt door niet in alle gevallen binnen de door de Consumentenbond genoemde termijn updates en upgrades door te voeren en daarover onvoldoende voorlichting te verstrekken. Het belang bij en de toewijsbaarheid van de vorderingen dient te worden getoetst aan het daarvoor geldende civielrechtelijk kader. Daarbij heeft te gelden dat het op de weg van de Consumentenbond ligt om een en ander voldoende concreet te stellen en te onderbouwen. De rechtbank zal dit nu beoordelen.

Ontvankelijkheid Consumentenbond

4.4.

Van de verste strekking is het verweer van Samsung dat de Consumentenbond in haar vorderingen niet-ontvankelijk is. Samsung voert daartoe aan dat de onder I en II gevorderde verklaringen voor recht zodanig ruim zijn geformuleerd dat in alle daardoor bestreken gevallen onder alle omstandigheden sprake is van onrechtmatigheid. Volgens Samsung kan de beoordeling van de op de toekomst gerichte vorderingen niet worden losgezien van thans nog onbekende specifieke omstandigheden van het geval. In zoverre zijn de vorderingen van de Consumentenbond te onbepaald, aldus Samsung. In de visie van Samsung brengt dit met zich dat de Consumentenbond ten aanzien van de onder I en II gevorderde verklaringen voor recht niet-ontvankelijk moet worden verklaard. Hetzelfde geldt volgens Samsung voor de bevelen die de Consumentenbond onder III, IV en V vordert, omdat die bevelen volledig afhankelijk zijn van (toewijzing van) de verklaringen voor recht. De rechtbank overweegt als volgt.

4.5.

Voorop gesteld wordt dat een verklaring voor recht die ziet op handelingen die nog niet hebben plaatsgevonden op zodanige wijze moet zijn geformuleerd dat in alle daardoor bestreken gevallen sprake is van onrechtmatigheid. Indien reeds op voorhand blijkt dat de handelingen waarop de gevorderde verklaring ziet, op zodanige wijze zijn omschreven dat zij niet alle of niet onder alle omstandigheden onrechtmatigheid opleveren en de vraag of zij geen onrechtmatigheid opleveren ook niet aan de hand van de omstandigheden van het geval kan worden onderzocht, is die verklaring onvoldoende concreet omschreven. In dat geval komt zij nimmer voor toewijzing in aanmerking. Dit brengt met zich dat de eisende partij onvoldoende belang heeft bij de daartoe strekkende vordering en derhalve daarin niet-ontvankelijk moet worden verklaard. Voor de toewijzing van een gebod dat betrekking heeft op toekomstige handelingen is bovendien vereist dat er een concreet belang bestaat in die zin dat er een reële dreiging van onrechtmatig handelen van Samsung bestaat dat vergt dat – ter afwending daarvan – de gevorderde geboden worden opgelegd (vgl. HR 21 december 2001, ECLI:NL:HR:2001:ZC3693, NJ 2002, 217).

4.6.

De vorderingen onder I en II hebben blijkens hun formulering mede betrekking op handelingen van Samsung die nog niet hebben plaatsgevonden. Vanwege de voortschrijdende ontwikkelingen in de techniek zullen deze mogelijk toekomstige handelingen betrekking hebben op toekomstige versies van Android en van de door Samsung op de markt gebrachte smartphones en de daarop geïnstalleerde software, en zich in de toekomst voordoende kwetsbaarheden en risico’s. Terecht betoogt Samsung dan ook dat de beoordeling van de onrechtmatigheid van toekomstige handelingen in dit geval niet kan worden losgezien van thans nog onbekende specifieke (technische) omstandigheden van het geval, onder meer ten aanzien van de aard en ernst van concrete kwetsbaarheden in (toekomstige versies van) Android en het type smartphone van Samsung waarover consumenten komen te beschikken en de daarop geïnstalleerde software. De Consumentenbond heeft dit ook niet weersproken. Ten aanzien van deze nog onbekende specifieke (technische) omstandigheden van het geval heeft de Consumentenbond ook niets concreet gesteld – anders dan het niet ter discussie staande gegeven dat software kwetsbaarheden kan bevatten die veiligheidsrisico’s kunnen opleveren voor smartphones, waaronder die van Samsung. Vanwege deze thans nog onbekende specifieke (technische) omstandigheden van het geval, is het niet mogelijk om op voorhand te beoordelen of de in de onder I en II gevorderde verklaringen voor recht omschreven handelingen van Samsung in de toekomst onder alle omstandigheden onrechtmatigheid zullen opleveren. Het enkele feit dat software kwetsbaarheden kan bevatten die veiligheidsrisico’s kunnen opleveren voor smartphones, waaronder die van Samsung, is in dit verband onvoldoende. Daarmee zijn die verklaringen, voor zover zij op de toekomst zien, onvoldoende concreet omschreven. Daardoor kunnen zij niet voor toewijzing in aanmerking komen. Hetzelfde geldt voor de vorderingen onder III tot en met IV voor zover deze betrekking hebben op de toekomst, aangezien, in het verlengde van het voorgaande, niet kan worden vastgesteld dat een reële dreiging van onrechtmatig handelen van Samsung bestaat die vergt dat – ter afwending daarvan – de gevorderde geboden worden opgelegd. Dit brengt met zich dat de Consumentenbond onvoldoende belang heeft bij haar vorderingen I tot en met IV voor zover deze betrekking hebben op toekomstig handelen van Samsung. De Consumentenbond zal daarin niet-ontvankelijk worden verklaard.

4.7.

Voor zover de verklaringen voor recht betrekking hebben op de handelwijze van Samsung in het verleden en heden, heeft de Consumentenbond wel belang bij haar vorderingen. Deze voldoen ook aan de eisen die artikel 3:305a BW stelt voor het instellen van een collectieve actie. Hoewel deze verklaringen betrekking hebben op een grote verscheidenheid van gevallen – vele verschillende smartphones alsmede kwetsbaarheden en veiligheidsrisico’s van verschillende aard en met uiteenlopende mate van ernst – laten de belangen die de vorderingen beogen te dienen zich in voldoende mate veralgemeniseren om te kunnen worden gerekend tot de gelijksoortige belangen waarop artikel 3:305a BW het oog heeft. Voor zover de vorderingen I en II betrekking hebben op het verleden en het heden lenen zij zich daarmee voldoende voor bundeling van belangen in een collectieve actie. Dat geldt ook voor de vorderingen III tot en met V voor zover zij betrekking hebben op het heden. In zoverre kan de Consumentenbond dus in haar vorderingen worden ontvangen.

Updatebeleid Samsung – vorderingen I, III en IV

4.8.

Vordering I betreft een verklaring voor recht dat Samsung, kort gezegd, in strijd handelt met de zorgvuldigheid die in het maatschappelijk verkeer betaamt en met

haar wettelijke verplichtingen, door de smartphones die zij aanbiedt niet gedurende de

normale levensduur van de smartphone en/of niet tijdig van updates en upgrades te

voorzien. Met vorderingen III en IV wil de Consumentenbond bewerkstelligen dat Samsung tijdig updates en upgrades voor de software op haar smartphones verstrekt gedurende de normale levensduur van de smartphone, in ieder geval kritieke updates.

4.9.

Welbeschouwd vereisen alle juridische grondslagen en kwalificaties die de Consumentenbond voor vordering I heeft opgevoerd (i) dat er een reëel veiligheidsrisico voor gebruikers van Samsung smartphones bestaat en (ii) dat Samsung feitelijk te weinig doet ter bestrijding van die risico’s omdat zij niet in alle gevallen gedurende de door de Consumentenbond genoemde periode en binnen de door de Consumentenbond genoemde termijn upgrades en updates doorvoert. Het is aan de Consumentenbond, die zich op het rechtsgevolg beroept, om concreet te stellen en zo nodig te bewijzen dat aan die beide voorwaarden is voldaan.

4.10.

Partijen zijn het op zichzelf erover eens dat kwetsbaarheden (‘vulnerabilities’) inherent zijn aan software en dus ook aan Android. Evenmin is in geschil dat deze kwetsbaarheden in sommige gevallen kwaadwillenden toegang kunnen verschaffen tot (data op) een smartphone. De meest ernstige kwetsbaarheden in Android krijgen van Google de kwalificatie ‘critical’. Andere kwalificaties zijn ‘high’, ‘moderate’ en ‘low’. Ter zitting heeft de Consumentenbond toegelicht dat haar vorderingen uitsluitend betrekking hebben op kwetsbaarheden van het hoogste dreigingsniveau (critical).

4.11.

Samsung heeft aan de hand van verklaringen van haar medewerkers [A] (Vice President of Mobile Security Technologies) en [B] (Senior Security Engineer, Mobile Security Technology Group) toegelicht dat als een kwaadwillende van een kwetsbaarheid in Android gebruik wil maken, hij een ‘exploit’ nodig heeft om toegang te krijgen tot de smartphone en vervolgens iets te kunnen doen met de data waartoe hij toegang heeft verkregen. De Consumentenbond heeft deze toelichting niet weersproken. Voorts staat als onweersproken vast dat het ontwikkelen van exploits grote investeringen in tijd, inspanning en knowhow vergt en dat in de regel voor elk type smartphone en voor elke Android-versie een specifieke exploit ontwikkeld moet worden. Samsung heeft in dat verband aangevoerd dat risicovol handelen van gebruikers zelf, te weten openen van (besmette bijlagen bij) phishing-emails en het installeren van met malware geïnfecteerde apps door gebruikers, voor kwaadwillenden veel eenvoudigere en profijtelijkere methoden zijn en verhoudingsgewijs een veel grotere bedreiging vormen dan het gebruik maken van in Android aanwezige kwetsbaarheden door middel van exploits die niet worden getriggerd door handelen van gebruikers. Ter onderbouwing van het door haar bedoelde reële gevaar van kwetsbaarheden in Android heeft de Consumentenbond gewezen op de door Google in 2015 als critical aangemerkte kwetsbaarheden Stagefright en Stagefright 2.0. Samsung bestrijdt niet dat deze kwetsbaarheden gebruikers van haar smartphones hebben blootgesteld aan gevaren, maar zij voert aan dat – hetgeen de Consumentenbond op haar beurt niet heeft weersproken – voor zover bekend nooit enig feitelijk misbruik van Stagefright is gemaakt en dat zij de kwetsbaarheden heeft verholpen. De Consumentenbond heeft in haar dagvaarding verder de kwetsbaarheden ‘Fake ID’, ‘TowelRoot’, ‘ObjectInputStream deserializable’ en ‘One class to rule them all’ kort genoemd, maar zij heeft niet gesteld dat deze kwetsbaarheden destijds als critical zijn geclassificeerd en een reëel veiligheidsrisico voor gebruikers van Samsung smartphones hebben opgeleverd.

4.12.

De rechtbank leidt uit het voorgaande af dat kwetsbaarheden in Android die door Google als critical zijn aangemerkt, in theorie risicovol voor consumenten kunnen zijn. De Consumentenbond heeft naar het oordeel van de rechtbank tegenover de gemotiveerde betwisting van Samsung onvoldoende gesteld om te kunnen concluderen dat elke door Google als critical aangemerkte kwetsbaarheid gebruikers van Samsung smartphones, mede gelet op door Samsung aangebrachte wijzigingen in en toevoegingen aan de betreffende Android-versie, automatisch blootstelt aan reële veiligheidsrisico’s. Daarom kan niet als vaststaand worden aangenomen dat een door Google als critical aangemerkte kwetsbaarheid zonder meer leidt tot een daadwerkelijk gevaar voor deze consumenten.

4.13.

Aan de orde is dan de vraag of Samsung, gelet op de veiligheidsrisico’s die verbonden kunnen zijn aan door Google als critical aangemerkte kwetsbaarheden in Android, feitelijk onvoldoende doet om deze risico’s bij haar smartphones tegen te gaan. De Consumentenbond beantwoordt deze vraag bevestigend en stelt dat veel Samsung-toestellen niet op de laatste versie van Android draaien. Samsung stelt slechts voor een select aantal toestellen maandelijkse updates beschikbaar en haar overige toestellen ontvangen met grote vertraging of helemaal geen updates, aldus de Consumentenbond. Samsung behoort volgens de Consumentenbond binnen één maand nadat Google updates beschikbaar heeft gesteld, deze updates op haar smartphones door te voeren. In de visie van de Consumentenbond is voor het doorvoeren van upgrades van Android een periode van drie maanden redelijk en realistisch. De Consumentenbond baseert haar standpunt op resultaten van eigen onderzoek, een schriftelijke verklaring van prof. dr. [X] (hoogleraar computerbeveiliging aan de Radboud Universiteit), recente ontwikkelingen in binnen- en buitenland op het gebied van cybersecurity en op mediaberichten uit 2017 en 2018. Samsung ziet dit anders en betoogt, onder verwijzing naar de technische beschrijving door [B] en [A] van de achtergronden van kwetsbaarheden en van haar update- en upgradeproces, dat zij een voldoende robuust en evenwichtig systeem heeft om haar smartphones veilig te houden.

4.14.

Niet ter discussie staat dat in dit verband van Samsung kan worden verwacht dat zij voldoende adequaat en doeltreffend optreedt tegen de hiervoor omschreven veiligheidsrisico’s van door Google als critical aangemerkte kwetsbaarheden. Wat voldoende en adequaat en doeltreffend is, wordt mede bepaald door de aard en de ernst van de zich daadwerkelijk/reëel voordoende veiligheidsrisico’s. Voor toewijzing van de vorderingen is alleen plaats als de conclusie luidt dat Samsung feitelijk te weinig doet ter bestrijding van de veiligheidsrisico’s door niet in alle gevallen gedurende de door de Consumentenbond genoemde periode en binnen de door de Consumentenbond genoemde termijn upgrades en updates door te voeren. De rechtbank zal dat nu beoordelen.

4.15.

Vast staat dat Samsung veel verschillende smartphone modellen produceert en dat zij de door Google ontwikkelde Android-kern, met het oog op (toevoeging van) specifieke functionaliteiten, op haar smartphones heeft voorzien van een door haar ontwikkelde ‘softwareschil’. Dat heeft tot gevolg dat de door Google ontwikkelde patches eerst door Samsung moeten worden getest en zo nodig aangepast en/of aangevuld voordat deze als updates of upgrades op haar smartphones kunnen worden geïnstalleerd, teneinde er (zo veel mogelijk) voor te zorgen dat die patches niet tot incompatibiliteit met de softwareschil leiden. Meer in het bijzonder volgt uit de technische verklaringen van [B] en [A], die door de Consumentenbond niet concreet zijn weersproken, dat Samsung voor het ontwikkelen van updates afhankelijk is van Google voor het aanleveren van patches voor de Android-kern. Ook kan Samsung in bepaalde gevallen afhankelijk zijn van leveranciers van chipsets. De door Google aangeleverde patches moeten door Samsung voor ieder uitgebracht model worden aangepast en/of aangevuld en vervolgens worden onderworpen aan tests die Google aan Samsung oplegt, waarna telecomproviders een laatste controle uitvoeren, vóórdat de update daadwerkelijk kan worden uitgerold voor het downloaden en installeren door gebruikers. Voor zover de Consumentenbond een vergelijking heeft willen maken met de door Google en Apple geproduceerde smartphones - in welke gevallen de smartphone en het besturingssysteem van éénzelfde producent afkomstig zijn - gaat deze vergelijking dus mank.

Hieruit volgt dat het update- en upgradeproces een complex proces is waarbij veel partijen betrokken zijn. Het ligt voorts in de rede dat de werkelijke doorlooptijd van een update of upgrade niet steeds gelijk is, maar afhangt van (onder meer) het aantal patches dat hierin moet worden verwerkt, de technische complexiteit van de update/upgrade en de versie van ieder model smartphone. Ook heeft Samsung genoegzaam toegelicht dat zij niet al haar smartphone modellen tegelijkertijd het update- en upgradeproces kan laten doorlopen en dat zij op basis van het concrete dreigingsniveau en technische- en economische afwegingen daarin prioriteiten mag en moet aanbrengen. De Consumentenbond heeft voorts niet bestreden dat een nieuwe versie van Android (een upgrade) niet altijd op oudere smartphones kan worden geïnstalleerd of oudere smartphones trager kan maken, alsmede dat een upgrade niet noodzakelijkerwijs de beveiliging verhoogt. Bij dit alles is van belang, zoals Samsung onweersproken heeft aangevoerd, dat officiële professionele standaarden voor het verstrekken van updates en upgrades ontbreken.

Dat een doorlooptijd van maximaal één maand voor updates en maximaal drie maanden voor upgrades redelijk en realistisch is, is door de Consumentenbond in het licht van het voorgaande onvoldoende (concreet) uitgelegd en onderbouwd. Dat Samsung te traag is met het doorvoeren van updates en upgrades of deze ten onrechte achterwege laat, zoals de Consumentenbond Samsung in de kern verwijt, is daarmee niet komen vast te staan. De door de Consumentenbond overgelegde stukken zijn weinig specifiek en bieden, gegeven de technische toelichting door Samsung, geen van alle concrete en overtuigende aanknopingspunten voor een andersluidend oordeel.

4.16.

Bij deze stand van zaken kan dus niet worden gezegd dat Samsung feitelijk te weinig doet om de veiligheidsrisico’s van door Google als critical aangemerkte kwetsbaarheden in Android te bestrijden door niet in alle gevallen gedurende de door de Consumentenbond genoemde periode en binnen de door de Consumentenbond genoemde termijn upgrades en updates door te voeren. Ook is niet komen vast te staan dat Samsung consumenten blootstelt aan een reëel risico van mogelijk misbruik door kwaadwillenden. Daarmee kan onbesproken blijven of die handelwijze van Samsung strijdig is met het leerstuk van non-conformiteit als bedoeld in artikel 7:17 BW, de zorgplicht ten aanzien van beveiliging van persoonsgegevens als bedoeld in artikel 13 Wbp, het verbod op oneerlijke handelspraktijken (artikel 6:193b BW), de Radioapparaten Richtlijn en de zorgvuldigheid die in het maatschappelijk verkeer van haar verwacht mag worden (artikel 6:162 BW).

4.17.

Het voorgaande leidt tot afwijzing van de vorderingen I, III en IV.

Informatievoorziening Samsung – vorderingen II en V

4.18.

De Consumentenbond verwijt Samsung voorts dat zij consumenten (naar de rechtbank begrijpt: op de Nederlandse website van Samsung) op geen enkele wijze, althans zeer minimaal, informeert over de gevaren van onveilige smartphones. Daar komt bij, aldus de Consumentenbond, dat de gebruiker consument is, waardoor niet of nauwelijks oplettendheid van hem mag en kan worden verwacht. In de visie van de Consumentenbond maakt Samsung zich daarmee schuldig aan een oneerlijke handelspraktijk, meer specifiek een misleidende omissie, in de zin van artikel 6:193d BW en artikel 7 van de Richtlijn oneerlijke handelspraktijken.

4.19.

In de periode tussen het uitbrengen van de dagvaarding en het wijzen van dit vonnis is de website van Samsung gewijzigd. De rechtbank beoordeelt de vorderingen naar de stand van zaken tijdens de zitting, aan de hand van de tijdens de zitting tezamen met partijen bekeken website van Samsung, waarvan de relevante passages hiervoor onder de vaststaande feiten zijn geciteerd.

4.20.

Deze beoordeling leidt tot de conclusie dat de Consumentenbond ook niet kan worden gevolgd in dit verwijt. Daargelaten of informatie over updates en upgrades kan worden aangemerkt als ‘essentiële informatie’ in de zin van artikel 6:193d BW - hetgeen Samsung gemotiveerd betwist en de rechtbank hier onbesproken laat - geeft Samsung naar het oordeel van de rechtbank met de in 2.12 tot en met 2.16 bedoelde pagina’s op haar website op een voor een gemiddelde consument toegankelijke wijze toereikende informatie over veiligheidsrisico’s en het belang van het installeren van updates en upgrades. Ook heeft Samsung op de ‘dedicated product pages’ per smartphone voor de gemiddelde consument voldoende toegankelijk en inzichtelijk gemaakt wat hij kan verwachten ten aanzien van de periode van ondersteuning met updates en upgrades. De rechtbank deelt ook niet de opvatting van de Consumentenbond dat de consument – samengevat – te veel moeite moet doen om deze informatie te achterhalen, omdat daartoe teveel moet worden ‘doorgeklikt’ en ‘doorgescrold’. De rechtbank neemt daarbij mede in aanmerking dat de “maatman-consument” waarop de onder meer door de Consumentenbond ingeroepen artikel 6:193a e.v. BW zien, een gemiddeld geïnformeerde, omzichtige en oplettende consument is, van wie verwacht mag worden dat hij bereid is zich in de aangeboden informatie te verdiepen, waarbij denkbaar is dat informatie langs verschillende wegen wordt aangeboden. De gemiddelde consument wordt in beginsel geacht in staat te zijn om verstrekte informatie op waarde te schatten, om zo nodig nadere informatie te zoeken en om vervolgens informatie uit verschillende bronnen met elkaar in verband te brengen; enige onderzoeksplicht is inherent aan de maatstaf van de gemiddelde consument. In dit verband is van belang dat Samsung met de banner op het beginscherm nadrukkelijk de aandacht vestigt op de (periode van de) door haar geboden softwareondersteuning. Daarmee is voor een ieder duidelijk hoe lang Samsung deze ondersteuning biedt. De gemiddelde consument die meer informatie daarover wenst, kan deze informatie op eenvoudige wijze verkrijgen door via de in de website aangebrachte links door te klikken naar de relevante informatie en de productspecificaties en deze informatie vervolgens te lezen. Het onderzoek dat hij daartoe moet doen – door door te klikken en de op de website aangeboden informatie te lezen – valt binnen de marges van wat in redelijkheid van de gemiddelde consument kan worden verwacht.

4.21.

Het desbetreffende verwijt van de Consumentenbond treft dus geen doel. Dat betekent dat de vorderingen II en V zullen worden afgewezen.

Slotsom

4.22.

Het voorgaande leidt tot niet-ontvankelijkheid van de Consumentenbond voor zover haar vorderingen betrekking hebben op toekomstige handelingen en tot afwijzing van de vorderingen voor het overige met veroordeling van de Consumentenbond in de proceskosten van Samsung. Die proceskosten worden tot aan deze uitspraak begroot op € 1.704,- (€ 618,- aan griffierecht en € 1.086,- aan kosten voor de advocaat (2 punten volgens tarief II).

5 De beslissing

De rechtbank:

5.1.

verklaart de Consumentenbond niet-ontvankelijk voor zover de vorderingen betrekking hebben op toekomstige handelingen van Samsung;

5.2.

wijst de vorderingen voor het overige af;

5.3.

veroordeelt de Consumentenbond in de proceskosten van Samsung, die tot aan deze uitspraak worden begroot op € 1.704,-.

Dit vonnis is gewezen door mr. L. Alwin, mr. M.L. Harmsen en mr. T.J. de Graaf en in het openbaar uitgesproken op 30 mei 2018.1

1 type: 1324