Soms vermelden bedrijven niet expliciet dat een update een security patch bevat. Wat zijn de juridische implicaties hiervan?

In dit artikel:

Sommige softwareleveranciers voeren stille updates door: ze plaatsen beveiligingsfixes in algemene release-notes als "nieuwe features en bugfixes" zonder expliciet te zeggen dat het om security-updates gaat. Bedrijven doen dat vaak om geen extra aandacht te vestigen op de kwetsbaarheid, maar dat vergroot het risico dat gebruikers updates overslaan en kwetsbaar blijven.

Op dit moment bestaat er geen algemene wettelijke zorgplicht die leveranciers dwingt securitybugs snel openbaar te maken of direct te patchen, zodat deze werkwijze nog niet automatisch leidt tot aansprakelijkheid. Dat verandert wel zodra de Cyber Resilience Act (CRA) op 11 december 2027 van kracht wordt: producten moeten zo zijn ontworpen dat ze automatische beveiligingsupdates kunnen doorvoeren (met inachtneming van toestemming van de gebruiker), en fabrikanten moeten gebruikers informeren over kwetsbaarheden zodra er een update beschikbaar is. Het heimelijk aanbrengen van securityfixes wordt dan een overtreding waarop toezichthouders boetes kunnen opleggen; of dat bovendien rechtstreeks tot civiele aansprakelijkheid leidt, is nog niet eenduidig.

Antwoord gegeven door ict-jurist Arnoud Engelfriet (ICTRecht), gespecialiseerd in internetrecht en cybercompliance.