Met de malware die Lenovo bewust meeleverde op bepaalde laptops en die ssl-verbindingen onderschept om advertenties te tonen, overtreedt het bedrijf mogelijk de cookiewet. Dat zeggen juristen tegen Tweakers. Ook maakt het bedrijf zich wellicht schuldig aan computervredebreuk.
Op het eerste gezicht lijkt het vreemd dat de malware onder de cookiewet valt, maar feitelijk is 'cookiewet' slechts een bijnaam. "Het wetsartikel waar het om gaat is eigenlijk veel breder, zegt advocaat David Korteweg. "Als er automatisch gegevens worden opgeslagen en uitgelezen, moet er om toestemming worden gevraagd", zegt hij. De grote vraag daarbij is of Lenovo toestemming van gebruikers heeft gevraagd. Het bedrijf kan zich daarbij niet verschuilen achter de algemene voorwaarden. Volgens gebruikers heeft het bedrijf geen toestemming gevraagd.
Ict-jurist Arnoud Engelfriet vermoedt eveneens dat de voorgeïnstalleerde malware onder de cookiewet valt. "Daarmee is Lenovo in overtreding van de cookiewet", aldus Engelfriet. De Autoriteit Consument en Markt zou daarom actie kunnen ondernemen tegen Lenovo.
Eerder meldde Tweakers dat Lenovo de zogeheten Superfish-advertentiemalware meelevert met bepaalde laptops. Het gaat om ingrijpende malware: niet alleen toont ze advertenties, ook injecteert de malware een eigen rootcertificaat om dat op https-sites te kunnen doen. Op die manier toont de Lenovo-malware in Internet Explorer en Chrome suggesties voor andere websites waar een product kan worden aangeschaft als een gebruiker over de website van een webwinkel surft. Daarmee toont de software niet alleen advertenties, ook wordt uitgelezen welke sites een gebruiker bezoekt om de relevante advertenties te kunnen tonen.
De Superfish-malware
Ook op andere gronden is Lenovo mogelijk in overtreding. Advocaat Korteweg denkt dat het onderscheppen van communicatie tussen gebruikers en bijvoorbeeld banken al snel te kwalificeren is als computervredebreuk, en mogelijk zelfs als aftappen. Ook ict-jurist Matthijs van Bergen vermoedt dat de malware is aan te merken als computervredebreuk. "Als je zelf een computer levert, betekent dat nog niet dat je er op mag inbreken", zegt hij. Getroffen klanten zouden daarvan aangifte kunnen doen, al is moeilijk te voorspellen of die aangifte wordt opgepakt door de politie. Ict-jurist Engelfriet durft niet te zeggen of de spyware is te kwalificeren als computervredebreuk. "Ik denk van niet", zegt hij.
Gedupeerde klanten kunnen ook zelf een rechtszaak beginnen. "Ze kunnen Lenovo aanklagen wegens het doen van een onrechtmatige daad", aldus jurist Van Bergen. Klanten moeten dan wel kunnen aantonen wat de schade is, en inbreuken op de privacy zijn moeilijk in geld uit te drukken. Daarbij maken klanten vooral kans als hun verbinding is onderschept en ze dat niet merkten doordat de Lenovo-malware gebruikers deed voordoen dat alles in orde is. "Als je kunt aantonen dat je internetverbinding is afgeluisterd en je merkte dat niet met de malware, dan kun je een rechtszaak beginnen", aldus Engelfriet.
Omdat de door Lenovo geïnstalleerde malware een eigen certificaat bevat en dat injecteert op andere websites, ook bijvoorbeeld bij internetbankieren, kunnen gebruikers niet meer controleren of de website wel goed is beveiligd. Er is immers altijd een kloppend certificaat - dat van de malware - aanwezig. Ook zouden de auteurs van de Superfish-malware in theorie gebruikers af kunnen luisteren. Belangrijk daarbij is dat het verwijderen van de malware er niet voor lijkt te zorgen dat het valse certificaat ook verdwijnt, al wordt de verbinding dan in ieder geval niet meer onderschept.
Lenovo gaf eerder al aan dat het voorlopig zou stoppen met het meeleveren van de malware, en dat de malware op reeds geleverde laptops met behulp van een software-update inactief zou worden gemaakt. Een woordvoerder van Lenovo zegt dat het de aantijgingen onderzoekt, maar gaf nu al aan 'dat de software niet kan worden bestempeld als malware'. Niet alle Lenovo-laptops zijn geleverd met de malware, maar onduidelijk is om welke modellen het gaat. Het gaat in ieder geval om de Lenovo Y50, Z40, Z50 en G50, evenals de Yoga 2 Pro, maar mogelijk zijn meer modellen getroffen. Het gaat daarbij enkel om consumentenlaptops.