Demissionair staatssecretaris Klaas Dijkhoff heeft in een brief gereageerd op vragen over de aansprakelijkheid van softwareontwikkelaars. Hij zegt dat zij op verschillende manieren aansprakelijk zijn voor schade die als gevolg van hun product ontstaat.
Dijkhoff zet zijn zienswijze uiteen in een brief, waar Security.nl over publiceert. Hij reageert daarmee op vragen van PVV-Kamerlid Lilian Helder, die wilde weten of ontwikkelaars aansprakelijk zijn voor schade die ontstaat omdat zij geen update hebben uitgebracht. Daarnaast vroeg zij zich af of het huidige aansprakelijkheidsrecht 'toereikend is voor ict-producten of -diensten'.
Volgens Dijkhoff biedt de Nederlandse wet verschillende mogelijkheden om producenten aansprakelijk te stellen. Dat is ten eerste mogelijk op basis van wanprestatie. Hij schrijft: "Dat is het geval als de software niet voldoet aan de veiligheid die is overeengekomen of die de afnemer redelijkerwijs mocht verwachten." Hij verwijst daarbij naar Europese regelgeving over consumentencontracten die momenteel in de maak is.
Daarin is geregeld dat als een verkoper updates heeft beloofd of als de consument dit redelijkerwijs mocht verwachten, hij deze ook moet leveren. Doet hij dat niet en de consument loopt daardoor schade op, dan kan deze op de verkoper worden verhaald. Ten tweede is aansprakelijkheid mogelijk op basis van productaansprakelijkheid.
Daarover schrijft Dijkhoff: "De producent is kort gezegd aansprakelijk voor een productie-, informatie- of ontwerpgebrek, waardoor de software niet de veiligheid biedt die ervan mag worden verwacht. Hij kan zich wel verweren tegen aansprakelijkheid, bijvoorbeeld door te stellen dat het op grond van de stand van de technische kennis op het tijdstip waarop hij de software leverde, onmogelijk was het bestaan van het veiligheidsgebrek te kennen."
Een derde mogelijkheid is dan altijd nog het principe van onrechtmatige daad, bijvoorbeeld als een update die er wel is, niet wordt uitgevoerd. De uitleg van Dijkhoff komt overeen met wat de Cyber Security Raad in april bekendmaakte. Volgens Lokke Moerel, als hoogleraar ict-recht in Tilburg en advocaat bij Morrison & Foerster verbonden aan de CSR, zijn er geen nieuwe regels nodig om bedrijven aansprakelijk te stellen voor gebrekkige beveiliging. Volgens haar is de wet gemaakt om 'mee te bewegen met nieuwe ontwikkelingen in de maatschappij'. De CSR verwacht dan ook dat bedrijven in de toekomst vaker aansprakelijk gesteld zullen worden.