Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Dijkhoff: aansprakelijkheidsregels gelden ook voor softwaremakers

Door , 178 reacties, submitter: BeToBe

Demissionair staatssecretaris Klaas Dijkhoff heeft in een brief gereageerd op vragen over de aansprakelijkheid van softwareontwikkelaars. Hij zegt dat zij op verschillende manieren aansprakelijk zijn voor schade die als gevolg van hun product ontstaat.

Dijkhoff zet zijn zienswijze uiteen in een brief, waar Security.nl over publiceert. Hij reageert daarmee op vragen van PVV-Kamerlid Lilian Helder, die wilde weten of ontwikkelaars aansprakelijk zijn voor schade die ontstaat omdat zij geen update hebben uitgebracht. Daarnaast vroeg zij zich af of het huidige aansprakelijkheidsrecht 'toereikend is voor ict-producten of -diensten'.

Volgens Dijkhoff biedt de Nederlandse wet verschillende mogelijkheden om producenten aansprakelijk te stellen. Dat is ten eerste mogelijk op basis van wanprestatie. Hij schrijft: "Dat is het geval als de software niet voldoet aan de veiligheid die is overeengekomen of die de afnemer redelijkerwijs mocht verwachten." Hij verwijst daarbij naar Europese regelgeving over consumentencontracten die momenteel in de maak is.

Daarin is geregeld dat als een verkoper updates heeft beloofd of als de consument dit redelijkerwijs mocht verwachten, hij deze ook moet leveren. Doet hij dat niet en de consument loopt daardoor schade op, dan kan deze op de verkoper worden verhaald. Ten tweede is aansprakelijkheid mogelijk op basis van productaansprakelijkheid.

Daarover schrijft Dijkhoff: "De producent is kort gezegd aansprakelijk voor een productie-, informatie- of ontwerpgebrek, waardoor de software niet de veiligheid biedt die ervan mag worden verwacht. Hij kan zich wel verweren tegen aansprakelijkheid, bijvoorbeeld door te stellen dat het op grond van de stand van de technische kennis op het tijdstip waarop hij de software leverde, onmogelijk was het bestaan van het veiligheidsgebrek te kennen."

Een derde mogelijkheid is dan altijd nog het principe van onrechtmatige daad, bijvoorbeeld als een update die er wel is, niet wordt uitgevoerd. De uitleg van Dijkhoff komt overeen met wat de Cyber Security Raad in april bekendmaakte. Volgens Lokke Moerel, als hoogleraar ict-recht in Tilburg en advocaat bij Morrison & Foerster verbonden aan de CSR, zijn er geen nieuwe regels nodig om bedrijven aansprakelijk te stellen voor gebrekkige beveiliging. Volgens haar is de wet gemaakt om 'mee te bewegen met nieuwe ontwikkelingen in de maatschappij'. De CSR verwacht dan ook dat bedrijven in de toekomst vaker aansprakelijk gesteld zullen worden.

Sander van Voorst

Nieuwsredacteur

22 juni 2017 17:19

178 reacties

Submitter: BeToBe

Linkedin Google+

Reacties (178)

Wijzig sortering
Komt er op neer dat met deze mentaliteit het ontwikkelen van consumentensoftware een zeer dure aangelegenheid kan worden. Want je moet alles uitgebreid laten testen en controleren op mogelijke beveiligingsproblemen eer je het op de markt kan zetten... En dat is kennis die je niet standaard in huis zult hebben.

[Reactie gewijzigd door maximiliaan_nl op 22 juni 2017 17:24]

Zolang er geen jurisprudentie is van Europees hof zal het allemaal niet zo ernstig zijn. Bovendien is Lillian Helder zelf advocaat.

Ik heb afgelopen 18 jaar actief aangegeven dat product aansprakelijkheid voor software de enige manier is om software veilig te houden.

Met betrekking dat software bedrijven de kennis niet zouden hebben en/of ontwikkeling duurder/langer op zich zouden laten wachten. Dat hoeft niet zo te zijn.

Een auto bestaat voornamelijk uit modulaire componentent die opzichzelf uitvoerig zijn getest en worden (vaak) in meerdere modellen binnen merk, groep en soms andere merken gebruikt.
If you can't take the heat, stay out of the kitchen dan maar he.

Oftewel: als je niet in staat bent om je eigen product onder controle te houden of fatsoenlijk te programmeren, moet je misschien niet gaan programmeren.

Zelfde geldt toch voor auto's? Als je een Landwind gaat bouwen en bij de eerste de beste crashtest vliegen de schroefjes je om de oren, dan deugt simpelweg die auto niet, ook al zou het interieur door Jan des Bouvrie zlf in elkaar genaaid zijn.
Jij hebt duidelijk nog niet vaak voor een klant software ontwikkeld. Ze willen A t/m Z hebben, betalen voor A en heel misschien B en als het even kan had het gisteren al af moeten zijn.
Ik heb genoeg klanten gehad waarbij ik aangaf beveiligings issues te vinden bij hun bestaande software. Negen van de tien keer is de reactie "Oh maar dat werkt al jaren zo en kost nu nog teveel geld om aan te passen"
Uiteraard laat ik die reactie wel zwart op wit zetten zodat ik never aansprakelijk kan worden gesteld. Maar je zal je verbazen over hoe laks de klant zelf is voor wat betreft beveiliging.. en zeker als er geld bij komt kijken.
Ja veel mensen moeten eerst voelen wat er gebeurt als je het niet bij houd. Komen ze allemaal wel achter hoeveel het op de lange termijn kost. Wel goed van je dat je alles zwart op wit laat zetten.

Maar toch snap ik vaak niet dat bedrijven de deuren wel allemaal veilig willen houden maar voor de software is alles eigenlijk al te duur en te onhandig.
Maar je zal je verbazen over hoe laks de klant zelf is voor wat betreft beveiliging.. en zeker als er geld bij komt kijken.
Mij verbaast het niet. Als bij allerhande software om de haverklap gemeld wordt dat jij het onveilig vindt, dan wordt het toch vervelend, dat regelmatige gezeur over wanproducten.
Weer meer geld en volgend jaar weer. Het is mooi en het werkt.
[...]

Mij verbaast het niet. Als bij allerhande software om de haverklap gemeld wordt dat jij het onveilig vindt, dan wordt het toch vervelend, dat regelmatige gezeur over wanproducten.
Weer meer geld en volgend jaar weer. Het is mooi en het werkt.
Daarom zou er wetgeving moeten komen die responsible disclosure van dit soort problemen verplicht stelt. Bij voorkeur via grote media-kanelen zodat je reputatie naar de knoppen gaat als je het als bedrijf te lang op z'n beloop laat.
"Het kan goed, snel en goedkoop. Maar je mag er 2 kiezen".
Natuurlijk willen ze dat. Maar ook dat is feitelijk niet anders dan bij de verkoop van een auto of een fiets. Klanten willen altijd voor een duppie op de eerste rang zitten. We vinden het echter in die sectoren ook volstrekt normaal dat als het ding ergens op de weg in tween breekt, de fabrikant aansprakelijk gesteld kan worden. Het kan wel zijn dat de IT markt nog niet deze instelling heeft, maar dan moet de markt die verwachtingen bijstellen.
En ondertussen krijg je een paar grote monopolisten en is toetreden tot de markt voor consumentensoftware vrijwel onmogelijk. Moeten we dat willen?
En ondertussen krijg je een paar grote monopolisten en is toetreden tot de markt voor consumentensoftware vrijwel onmogelijk. Moeten we dat willen?
Dat is een goed maar lastig punt. Ik zie het nu al met software die ik zakelijk aanschaf. De eisen die we aan de veiligheid stellen zijn zodanig dat alle kleine partijen afhaken. Alleen een paar grote leveranciers blijven over en ervaring uit het verleden leren dat die niet veel beter zijn, maar vooral een grote bek hebben en goede juristen.

Ik geloof overigens wel dat het beter kan. Een deel van het probleem is dat de meeste software voortbouwt op bestaande software, zoals libraries, die zelf niet veilig zijn. Met een onveilige basis krijg je aan de top ook net goed. Ik denk dat we veel moeite moeten gaan steken in een veilig basis. Als we dat weten te bereiken dan wordt het weer makkelijker om er veilig software bovenop de schrijven.
Wat voor software geldt is helaas ook waar voor mensen. Erg veel programmeurs hebben het vak geleerd door boeken en websites te volgen die zijn geschreven door andere amateurs zonder verstand van veiligheid, in het verleden speelde dat ook niet zo'n grote rol.
De meeste IT-opleidingen doen inmiddels wel iets aan veiligheid, maar er komen nog steeds een hoop zij-instromers bij zonder formele IT-opleiding die toch programmeren.

De klant weet ondertussen van niks, die kiest gewoon de goedkoopste aanbieder.
Het bouwen met libraries is denk ik juist de oplossing. Je kunt beter niet elke keer het wiel opnieuw uitvinden, niet alleen om de ontwikkelkosten te drukken maar ook omdat een library beter te beveiligen is. Je hergebruikt het vaker en dus hoef je maar 1 library te onderhouden in plaats van 300 verschillende implementaties. Dit is ook makkelijker bij het patchen. Tot slot denken bij open source libraries meer slimme koppen mee dan alleen die van jezelf.
Voor de duidelijkheid, ik heb niks tegen libraries. Goede libraries kunnen een hoop helpen om deze problemen te verbeteren. Helaas hebben we veel meer slechte libraries dan goede en de meeste programmeurs kijken niet naar veiligheid bij het uitkiezen van een libje.
Volgens meneer Dijkhoff is de ontwikkelaar in dat geval volledig aansprakelijk. Als de library een veiligheidsprobleem heeft welke in de open source community nog niet eens bekend is, en de ontwikkelaar maakt gebruik van deze library in zijn of haar software, dan is de verantwoordelijkheid voor de schade van dit lek volledig toe te rekenen aan de ontwikkelaar.

Om die reden is redelijkheid en billijkheid zo belangrijk. Er is wat voor te zeggen dat software welke gebruik maakt van mainstream libraries minder verantwoordelijkheid oplevert voor de ontwikkelaar. Er kijkt immers een heel team van mensen mee uit de hele wereld. Als niemand daarvan een lek opgemerkt heeft dan kun je aannemelijk maken dat dit jou ook niet bekend was. Als je echter proprietary libraries ontwikkeld, of individuele implementaties, dan is de verantwoordelijkheid 100% bij de ontwikkelaar neer te leggen tenzij blijkt dat het euvel ontstond buiten de macht (en code) van de programmeur. Zoals in een onderliggende programmeertaal, OS of hardware zelfs.
Maar het alternatief is dat bij een fout in die opensourcelibrary de consument met de schade blijft zitten. Dat is toch raar, dat de keuze van de leverancier om iets uit open source te gebruiken betekent dat jij als koper (die niet weet waar een leverancier inkoopt) met de brokken zit?
Maar als je als ontwikkelaar in je AV vermeld dat je mogelijkerwijze gebruik maakt van open source code om de kosten te drukken en in potentie de veiligheid verhoogt, dan behoort de klant (mits de AV ter hand zijn gesteld) deze keuze bewust gemaakt te hebben. Niet?
Bij consumenten niet, dat is al dertig jaar wettelijk zo geregeld. Als jij een auto koopt dan kunnen ze ook niet in de voorwaarden zetten dat de benzinetank een open ontwerp is en dat ontploffingsgevaar jouw risico is toch?

(Bij zakelijk heb je helemaal gelijk, daar kun je aansprakelijkheid op nul zetten als je wilt. Dell doet dat met z'n laptops -als ik me goed herinner-, de prijs is dan wel laag natuurlijk maar je hebt garantie tot aan de deur, en meer kun je bijkopen.)
Bedankt voor die nuance.
Maar is de ontwikkelaar van de OS bibliotheek wel verantwoordelijk? Als ik het zo bezie is dat alleen zo als de afnemer van de bibliotheek een consument is.

Een ontwikkelaar zal meestal echter een zakelijke partij zijn die zelf software maakt en verkoopt of de software levert op een apparaat dat hij produceert.

Het lijkt mij dat de consument alleen te maken heeft met de partij waarvan hij koopt, eventueel nog de fabrikant bij fabrieks garantie (waar dit weer wel uitgesloten kan worden aangezien dat wat anders is dan conformiteit).

Consument moet 'gewoon' naar de winkel met zijn claim en die winkel heeft een probleem omdat de fabrikanten het allemaal in b2b contracten hebben uitgesloten.

Misschien heeft dit eindelijk tot gevolg dat winkels gewoon stoppen met het verkopen van goedkope shit telefoons waarvan de ondersteuning al is beindigd op de dag dat je hem koopt.
Ja maar het is ook raar als een FOSS ontwikkelaar aansprakelijk wordt gesteld omdat zijn/haar library wordt gebruikt door een ander in een end-user product, toch?

[Reactie gewijzigd door Jeanpaul145 op 25 juni 2017 06:45]

Nee, dat vind ik niet.

Dit gaat weer terug naar de maatstaven van redelijkheid en billijkheid. Als duidelijk is dat de gekozen open source library (met de kennis beschikbaar voor een incident) onveilig was en de ontwikkelaar geen moeite heeft gedaan om deze risico's te vermeiden (andere lib, zelf veiligheid toevoegen aan de open source lib) dan is deze ontwikkelaar gewoon aansprakelijk.

Als er bij een incident gebruik gemaakt is van een volledig onbekende zero day, en de ontwikkelaar heeft wel redelijke veiligheidsmaatregelen getroffen tijdens de ontwikkeling, is het dan ineens wel redelijk om de ontwikkelaar voor schade op te laten draaien? Net als de consument heeft de ontwikkelaar in dat geval ook niets fout gedaan. Het enige verschil is dat een dader de consument als doelwit heeft en niet de ontwikkelaar. Ga de schade lekker op de dader verhalen.

Het is toch ook onredelijk om schade op de fietsenmaker te verhalen als diens fiets met perfect functionerend Axa slot die aan mij verkocht was gestolen word?
Als de library een veiligheidsprobleem heeft welke in de open source community nog niet eens bekend is, en de ontwikkelaar maakt gebruik van deze library in zijn of haar software, dan is de verantwoordelijkheid voor de schade van dit lek volledig toe te rekenen aan de ontwikkelaar.
Als je het zo stelt zul je als ontwikkelaar dus nooit voor een open source lib kiezen. Je kan namelijk niet uitsluiten dat er veiligheidsproblemen in zitten (recentelijke ontdekkingen van diverse gaten die al jarenlang in populaire open source software zaten tonen dit goed aan), en je krijgt wel de verantwoordelijkheid voor je kiezen.
En waarom zou de opensource community wel een product mogen leveren zonder enige verantwoordelijkheid voor eventuele problemen?
In een binaire wereld wel. In de juridische wereld is er nog een derde state naast true of false; redelijkheid en billijkheid. Proprietary code geeft een ontwikkelaar meer verantwoordelijkheid dan open source mijns inziens, mits open source inhoud dat er meer mensen bij betrokken zijn uit het publieke domein. Maar ik ben geen jurist, ik discussier slechts graag mee over de haken, ogen en verborgen gevaren van dit onderwerp.

Zo heb je deze haken;
- wel open source maar zonder bijdragers
- open source maar half verstopt en enkel bijdragers uit het eigen bedrijf
- zonder proprietary code is het lastiger concureren
- is het gebruik van open source in proprietary code wel eigen verantwoordelijkheid
- code uit het buitenland?
- veiligheid onmogelijk door koppeling met derde partij
- veiligheid door klant toedoen in geding
Etc..
Als je het zo stelt zul je als ontwikkelaar dus nooit voor een open source lib kiezen. Je kan namelijk niet uitsluiten dat er veiligheidsproblemen in zitten (recentelijke ontdekkingen van diverse gaten die al jarenlang in populaire open source software zaten tonen dit goed aan), en je krijgt wel de verantwoordelijkheid voor je kiezen.
Voor je eigen code ben je net zo goed verantwoordelijk, die zal je ook op fouten moeten controleren. Als je dan toch moet kiezen is het misschien handiger om een open source product te kiezen, dan is het programmeerwerk al gedaan en hoef je het alleen nog maar te controleren.
Ten aanzien van de eerste alinea,wil ik opmerken: "in principe".
En inderdaad, "de goede trouw" (oud BW), "redelijkheid en billijkheid" (huidige BW), heeft een dempende werking op die aansprakelijkheid.

Voor de rest houdt het antwoord van Dijkgraaf niks anders in, dan het beschrijven van het huidige juridische kader (politiek voor de bhne dus, de vraag, en het antwoord)..
Dat, in alle redelijkheid en billijkheid ;) , zal voldoen.
Veiligheid en gebruiksgemak staan vaak recht tegenover elkaar. De gemiddelde leverancier krijgt veiligheid niet verkocht simpelweg omdat het niet tot de verbeelding spreekt van de klant. Zonder algemene ICT kennis blijft de klant vaak op prijs vergelijken. Als daarbij dezelfde functionaliteit voor een lager bedrag aangeboden wordt dan weet de klant vaak wel waar deze voor kiest.

Ook accepteert de klant vaak niet dat veiligheid voorop stellen kan betekenen dat de software in de toekomst incidenteel extra kosten met zich meebrengt. Updaten is immers veranderen. Niet in elk geval kan worden gepatched zonder dat er meer voor nodig is om dezelfde functionaliteit te blijven geven. Ook abonnementen of licentiegelden om de veiligheid van het product op pijl te houden worden niet erg gewaardeerd.

Ofwel de klant accepteert dat software "leeft", en gn eenmalige uitgave is. Ofwel elke ontwikkelaar wordt gedwongen enkel nog veilige software te leveren waardoor klanten geen keuze hebben. De prijs van software zal in dit laatste geval noodgedwongen stijgen.

We praten echter niet over de productie van een tuinstoel. Software heeft tienduizenden factoren welke meewegen in de veiligheid hiervan. Het is ondenkbaar dat een mens ooit 100% veilig zal kunnen programmeren. Alleen al om het feit dat dit niet altijd in eigen handen is. Met redelijkheid en billijkheid lijkt me het inderdaad beter om leveranciers te verplichten en klanten geen keus te geven. Als ze hier echter te ver in doorslaan dan verwoesten ze een groot deel van de kleine kennisindustrie die we in Nederland nog hebben.

Tevens zul je zien dat klanten over de grenzen gaan kijken voor de aanschaf van maatwerk. De prijs is voor hen vaak het enige dat begrijpbaar is aan software. Ik ben benieuwd hoe de wet "slechte software" uit het buitenland gaat aanpakken.
Dus jij accepteert bijvoorbeeld een levensgevaarlijke cirkelzaag als deze is gemaakt door een startende ondernemer? Waarschijnlijk niet, dus waarom wel als het om softwareproducten gaat? Stel je voor dat zo'n leuke startup software voor in je auto maakt (die tot nu toe door multinationals als Bosch wordt gemaakt) en de boel crasht. Dan is dat OK?
Langs de andere kant:

je gaat op restaurant en betaalt 12 euro voor een dagschotel die eigenlijk helemaal niet lekker was. Accepteer jij dat? Natuurlijk. Je gaat misschien niet meer terug, maar je betaalt wel de 12 euro.

Als jij als bedrijfsleider met je klanten wil gaan lunchen voor 12 euro dan kan dat ook. Als jij in je bedrijf dingen aan elkaar wil tapen met duct tape dan kan dat ook en als jij een applicatie wil laten maken door een student, dan kan dat ook.

Verder wordt er ook verwezen naar consumentencontracten. Dan praten we over iets anders. Ik ken weinig consumenten die software gebruiken van een kleine zelfstandige ontwikkelaar.
Stel je voor dat zo'n leuke startup software voor in je auto maakt (die tot nu toe door multinationals als Bosch wordt gemaakt) en de boel crasht. Dan is dat OK?
Slecht voorbeeld, het maakt geen drol uit voor de consument wie die software gemaakt heeft, de fabrikant van de auto is verantwoordelijk voor het eindproduct.
De verkoper is vziw verantwoordelijk. Niet de fabrikant.
Krijgen? Die grote monopolisten hebben we eigenlijk al. Apple, Google, Microsoft, Valve. Hier in Nederland Ordina bv.

Anyway, we moeten maar dus gewoon accepteren dat mensen hun data kwijtraken, de boel spontaan afbrand, miskopen maar accepteren en weet ik veel wat? Kleine bedrijfjes moeten beschermd worden zodat grote bedrijven het hard kunnen misbruiken en wij consumenten de sjaak zijn? Nee bedankt.
Zoals DigitalExcorcist al aangeeft, als je niet de verantwoording van software ontwikkeling op je wil nemen, enkel de inkomsten, dan moet je maar een andere markt opzoeken om geld te verdienen.

Trek die digitale wereld maar zo snel mogelijk gelijk met de echte wereld. Het zou verdorie eens tijd worden.

Als men die verantwoording niet wilt nemen, breng je het product maar gratis uit, of gewoon niet.

[Reactie gewijzigd door batjes op 22 juni 2017 17:47]

Dan moeten straks producenten van sloten ook klanten actief gaan benaderen als een 'hack' beschikbaar is waardoor sloten minder goed werken. Ik zie het al helemaal voor me.

In zou denken dat men in beginsel zelf verantwoordelijk zou moeten zijn voor het zeker stellen van data. Dat data 'gestolen' wordt is natuurlijk wel deels de verantwoordelijkheid van de softwaremaker, maar dat iets anders dan het verliezen er van.

[Reactie gewijzigd door maximiliaan_nl op 22 juni 2017 17:52]

Dan moeten straks producenten van sloten ook klanten actief gaan benaderen als een 'hack' beschikbaar is waardoor sloten minder goed werken. Ik zie het al helemaal voor me.
En alle elektronisch beveiligde moderne auto's niet te vergeten. Wie klaagt wie aan en in welk land ?
Als jij een auto koopt in Nederland van een fabrikant of dealer dan kun je die in Nederland aanklagen bij een defect. En dan wordt de Nederlandse wet toegepast. Waar die auto geproduceerd is en door wie is niet erg relevant daarvoor.
Dat mag inderdaad best wel afgedwongen worden. Hoeveel 'gehackte' Axa sloten ik op fietsen zie zitten op straat, om te huilen. Blanco sleutel regelen (wat niet eens zo heel moeilijk is) en driekwart van de fietsen op straat, is jou fiets.

Voor alles waarbij veiligheid belangrijk is, of zelfs prioriteit, mogen ze wel zulke wetgeving opzetten. Ik ben het een beetje zat dat bedrijven hun verantwoordelijkheid weigeren te nemen, dan dwingt onze overheid het maar af, als het niet goedschiks wil, dan maar kwaadschiks.
Voor sloten is er dan ook een rating waaraan je een verwachting kan hangen,
Nee, maar we moeten ook niet willen dat een knutselaar die geen updates doet de veiligheid van data in gevaar brengt.

Het gaat om een principe van redelijkheid, overigens. Als je een knutsel applicatie installeert zal je een minder grote verwachting hoeven hebben van updates.

[Reactie gewijzigd door Tijger op 22 juni 2017 17:38]

Als zij hun werk wel serieus nemen moeten we dat willen ja.
Hmm nuances.

Stel ik verkoop jou een web-applicatie gemaakt in ASP.NET.
ASP.NET wordt gemaakt door Microsoft, maar is noodzakelijk om het geleverde product te kunnen gebruiken. Of een SQL server als database.

Hoe kan ik als softwaremaker dan verantwoordelijk gehouden worden als er een lek in SQL of ASP gevonden wordt?

Dat snap je? Wel, in zowat alles wat geprogrammeerd wordt, wordt gebruik gemaakt van andere stukjes code. Hoe kan ik nu verantwoordelijk zijn voor een andere zijn fouten? Als ik zelf een variabele niet afdoende check op verkeerde input dan heb je een punt, maar daar zitten de problemen niet. OpenSSL lek van 2 jaar geleden? Alle servers zo lek als een mandje door dat lek.

BMW kan als autobouwer zijn metalen framework uitbesteden en testen op kwaliteit, maar in Software is dat onmogelijk. Tenzij je voor een simpel softwarepakket 1 miljoen euro vraagt.
Als er zulke lekken zijn mag je toch wel redelijkerwijs een update verwachten in niet al te lange tijd. Fysieke consumenten goederen zijn vaak ook een samenstelling van de producten van vele leveranciers. Als de schroefjes in je iPhone niet duigen ga je toch ook naar Apple en niet accepteren als ze zeggen: wij hebben de schroefjes ook maar ingekocht?
Precies. Maar heel veel programma's (net zoals Tweakers.net) maakt gebruik van vrije stukjes code. Zowat driekwart het van het internet draait op opensource code. Geen enkele webapp maker schrijft zelf de omzetting van nullen en enen naar bytes. Het is zo'n gigantisch kluwen dat je soms niet snapt dat het uberhaupt allemaal werkt.
En dat maakt het allemaal zo veel ingewikkelder dan eventjes een schroefje te moeten testen.
Een iPhone is natuurlijk meer dan wat schroefjes, achter bijna elke chip zit een legio aan bedrijven die hun aandeel hebben geleverd direct of indirect, die allemaal een failure kunnen opleveren. Nou is een failure natuurlijk nooit uit te sluiten, maar daar kan je je prima tegen verzekeren. Verzekeraars gaan dan waarschijnlijk een audit (door gecertificeerd bedrijf) afdwingen in ruil voor lagere premies en dat zou de veiligheid van software zeker ten goede komen.

Ik hoop wel dat dat enkel gaat gelden voor commerciele producten/diensten, een hobbyist moet zijn werk gewoon op het web kunnen zetten en de verantwoordelijkheid voor het gebruik aan de gebruiker overlaten.
Voor externe afhankelijkheden ligt het anders ja. Maar je kiest er zlf voor om wachtwoorden voor je database plaintext naar de backend te sturen (bij wijze van spreken). Je systeembeheerder kan ook gewoon '1234' als wachtwoord voor je financile applicatie instellen. Dat soort zaken kunnen gebeuren, maar wat je zlf kan doen, moet je doen en borgen. Encryptie waar mogelijk, deugdelijke documentatie, goeie foutafhandeling et cetera.
Een van de grootste leveranciers van software dat gebruikt wordt op jouw loonberekening te doen, heeft een applicatie met een fixed admin wachtwoord. En dan nog iets onnozels als in ADMINN01
Je snapt het gewoon niet dat zoiets nog gedaan wordt :X 8)7
Nee inderdaad onbegrijpelijk. Maar goed.. je maakt bij het programmeren natuurlijk gebruik van API's en libraries die door anderen gemaakt zijn en moet er dan van uit gaan dat die goed zijn. En daar mg je best van uit gaan. Mits je je eigen zaakjes maar op orde hebt.

Dus die aansprakelijkheidsregels mogen er bst wel zijn, juist voor de gevallen waar je je *eigen* zaakjes niet op orde had.
If you can't take the heat, stay out of the kitchen dan maar he.
Probleem is dat het resultaat echter is dat zo'n multinational de software evengoed niet laat testen maar eventuele consequenties gewoon "incalculeert" omdat een x-aantal sales + boete op een handige manier vast wel minder is dan daadwerkelijk al die audits uit te voeren en het brave mannetje te zijn, daarmee kunnen ze voor zichzelf een fucking smerige monopoly creren op die gebieden ten opzichte van de "kleine ontwikkelaar" die daar fiscaal niet tegenop kan. Volgens mij is dat gewoon kut. Netto resultaat is dan dus gewoon absoluut geen veiligere software (wat me wel het doel lijkt dat je op voorhand gewoon niet gaat halen) en minder concurrentie == duurdere software.

Vind het allemaal weer veel te kort door de bocht en kut bedacht.Typisch, eigenlijk.

[Reactie gewijzigd door Ton Deuse op 22 juni 2017 18:10]

Probleem is dat het resultaat echter is dat zo'n multinational de software evengoed niet laat testen maar eventuele consequenties gewoon "incalculeert" omdat een x-aantal sales + boete op een handige manier vast wel minder is dan daadwerkelijk al die audits uit te voeren en het brave mannetje te zijn, daarmee kunnen ze voor zichzelf een fucking smerige monopoly creren op die gebieden ten opzichte van de "kleine ontwikkelaar" die daar fiscaal niet tegenop kan.
Daar kun je een soort van three-strikes wetgeving op los laten. Krijg jij een paar keer te maken met kritische beveiligingsproblemen in jouw software die uiteindelijk na post-mortem gewoon niet blijkt te deugen, dan krijg jij een verbod van een aantal jaren opgelegd om binnen de EU te leveren, behoudens updates en onderhoud voor bestaande klanten.

Als je op die manier aan de bottomline van grote bedrijven komt en het hen onmogelijk maakt om mee te bieden op grote meerjaren-projecten komt zullen ze wel in gareel gaan.
Dat klopt natuurlijk niet helemaal. Het ligt er natuurlijk aan hoe ver dit allemaal gaat.
Als jij een programma 20 jaar geleden hebt gemaakt voor een vast bedrag X en daar verder geen support op levert. En het geheel waarschijnlijk nu niet meer veilig is, dan vind ik dat niet jouw verantwoordelijkheid, maar die van de gebruiker.

Je hebt immers ook genoeg bedrijven die geen cent aan support o.i.d. willen uitgeven, dan blijft dat ook hun risico als er op den duur door veroudering een lek / gat ontstaat.
Je analogie is brak, het gaat in dit geval niet over of de software naar behoren werkt maar om de beveiliging tegen hackers. In het geval van een auto zou het meer zo klinken: Als een auto inbreekbaar is mag de auto niet op de markt komen, dus dan zullen er alleen maar auto's bestaan die miljoenen kosten die top of de line security hebben anders voldoet de auto namelijk niet aan de eisen!

Zo werkt de wereld nou eenmaal niet, als je software gebruikt is het simpel weg eigen risico en zo moet het ook gewoon blijven, iedereen die zegt dat dit niet zo moet zijn is onrealistisch en weet geen drol waar die het over heeft. En natuurlijk zullen bedrijven nog steeds zo veel mogelijk doen om security goed te houden en lekken zo snel mogelijk te dichten aangezien ze anders klanten verliezen maar perfect beveiligde software zonder fouten bestaat niet.

[Reactie gewijzigd door bramvanelderen op 23 juni 2017 00:28]

Inbreekbaar heb je alleen jezelf mee. Als je auto gejat wordt en andere mensen mee overreden worden, dat is pas problematisch.

Minste dat je auto moet hebben is een unieke sleutel, zodat de sleutel voor jouw auto niet op alle auto's van hetzelfde merk past. Een gedegen alarmsysteem, chip in de sleutel, versleutelde communicatie, automatisch op slot gaan als je wegloopt bij de auto - dan heb je als fabrikant genoeg gedaan om misbruik te voorkomen. Je kunt redelijkerwijs niet aannemen dat je als autofabrikant verantwoordelijk bent voor de chips in de sleutel - dat is nou eenmaal een 'library' die door derden is gemaakt waar je op zal moeten vertrouwen.
Leuk die nederlandse regels, maar dat betekent dat de markt hier instort.
Een buitenlandse producent gaat gewoon stellen dat het product locaal verkocht is en negeert de NLse wet. Als een klant het in NL wilt gebruiken moet hij dat dan zelf weten.
Hoeveel auto's die 15 jaar oud of ouder zijn krijgen tegenwoordig nog een update omdat de techniek verder is ontwikkeld?

Ga er maar van uit dat software in de toekomst vele malen duurder zal worden om de verliezen door aansprakelijkheid te compenseren.
Je maakt de verkeerde vergelijking. Hoeveel auto's worden jaren na verkoop nog teruggeroepen als er een ontwerp- of productiefout wordt ontdekt die gevaar oplevert?

Antwoord: Gewoon iedere auto waar dit probleem zich voor doet. En de fabrikant draait op voor de kosten.

Om even Android als voorbeeld te nemen: Het gaat er niet om dat de Galaxy S4 Android 7.1 moet krijgen. Het gaat erom dat de fouten in de software waarmee hij is geleverd opgelost worden als ze worden ontdekt. Los je het niet op en veroorzaakt zo'n fout schade, dan ben je als fabrikant verantwoordelijk.
Wat jij zegt klopt op twee punten niet.

Het gaat in dit geval niet alleen over ontwerp en productiefouten. Het gaat ook om aanpassingen door veranderde inzichten. Iets wat 15 jaar geleden veilig was, is nu ineens niet meer veilig. Voor de software zul je dat dus moeten aanpassen, bij auto's zal dat niet meer gebeuren.

Het tweede punt dat niet klopt is dat alle auto's altijd worden terug geroepen als er een probleem is. Er wordt een afweging gemaakt of de kosten van het terug roepen opwegen tegen de schadeclaims die worden ingediend. En op basis daarvan wordt een besluit genomen om wel of niet terug te roepen.
Het gaat om wat je redelijkerwijs mag verwachten als je een product koopt. En van die verwachtingen is dat je software product aan de dan geldende normen voldoet. Na 15 jaar een bufferoverflow repareren is bij software een redelijke verwachting. De software geheel herschrijven omdat hackers nieuwe technieken ontwikkeld hebben na 15 jaar is geen veiligheid die je op datum van aankoop redelijkerwijs mag verwachten.

Wat je redelijkerwijs mag verwachten is dat programmeerfouten worden opgelost en dat gedurende een redelijke periode de software up to date wordt gehouden. Bij Android toestellen is dat bij de duurdere toestellen nu vaak tot twee jaar na de marktintroductie. Dat is m.i. niet redelijk. Temeer aangezien die toestellen vaak twee jaar of langer verkocht worden. Een redelijke termijn waarop je veiligheid mag verwachten zal gelinkt moeten zijn aan het moment waarop je de laatste toestellen hebt geleverd.

De beslissing om terug te roepen zal bij een gevaar voor de verkeersveiligheid altijd plaaatsvinden. Als het om een foutje gaat waarbij het electrische raam niet meer open gaat is dat inderdaad een kosten baten afweging.
Inderdaad die kennis hebben heel veel partijen die wel vrolijk consumenten software aan het leveren zijn niet in huis deze partijen horen zich dan ook niet op die markt te begeven. Dat maakt het voor de partijen die wat wel goed doen en willen doen mogelijk om een product wel op de markt te brengen en misschien zelfs wel voor een redelijker prijs.

Het slaat natuurlijk nergens op dat er 100'en consumenten applicaties gelanceerd worden door partijen die daar eigenlijk de kennis niet voor hebben maar wel de maatschappij de veiligheids risico's laten betalen.
Een IT-er, is geen jurist.
In zijn/haar enthousiasme zal hij/zij snel iets op de markt "werpen", blij met de vondst,en hopend op verdiensten. Dat er een produkt wordt verkocht, waar eisen aan te stellen zijn,en waar bij gemis consequenties aan vast zitten, is iets wat pas achteraf wordt gerealiseerd. Goedschiks, maar meestal kwaadschiks.
Dan moet je daar maar eerst over nadenken voordat je iets op de markt brengt. Een slager is er ook voor verantwoordelijk dat zijn/haar product voldoet aan de eisen op het gebied van veiligheid.
Ja, dat bedoelde ik ook. Maar k dat in het enthousiasme, en in een stukje juridische onbekendheid, het toch "niet voldoende op juridische consequenties uitgekauwd" op de markt wordt gebracht.
Bugs kan je niet voorkomen, die zullen er altijd inzitten. Waar hier eerder op gedoeld wordt is dat je redelijkerwijs er van uit mag gaan dat je telefoon de komende x tijd van (beveiliging) updates wordt voorzien. Of dat je er vanuit mag gaan dat Windows die updates krijgt, etc.
De strekking is ook dat een product dusdanig betrouwbaar moet zijn als het aan de consument geleverd wordt. Dus updates is nog terzijde.
Komt er op neer dat met deze mentaliteit het ontwikkelen van consumentensoftware een zeer dure aangelegenheid kan worden. Want je moet alles uitgebreid laten testen en controleren op mogelijke beveiligingsproblemen eer je het op de markt kan zetten... En dat is kennis die je niet standaard in huis zult hebben.
Software is ook heel duur, daar verandert niks aan. Het enige dat verandert is dat de kosten dan vooraf duidelijk zijn en door de fabrikant worden betaald. Het alternatief is hoe het nu gaat, de kosten voor rotte software komen pas na verloop van tijd boven tafel en worden dan betaald door de eindgebruikers. Het is goedkoper om de bug vooraf te vinden en op te lossen dan dat ieder gebruiker er zelf tegen aan moet lopen. Het enige verschil is dat de kosten van bugs achteraf oplossen niet zichtbaar zijn in de aanschafprijs.
Volgens mij gaat het er meer om dat in het geval van problemen je kunt aantonen dat je wel je best gedaan hebt om een veilig product te leveren en adequaat bent omgegaan met meldingen van mensen die een probleem ontdekt hebben.

Kop in het zand een doorbuffelen terwijl je wt dat de gegevens van je klanten op straat liggen is dus gewoon iets wat je niet meer kunt doen. Maar als je redelijkerwijs best practices gevolgd hebt, altijd adquaat gereageerd hebt en er vindt tch iemand een lek in je software dan heb je IMHO geen probleem.

Ik bedoel ik kan niet eens anders programmeren dan met een idee van veiligheid in mijn achterhoofd, ik kom wel eens werk tegen van anderen waaruit ik concludeer dat dat niet bij iedereen zo is maar beveiliging is iets wat je automatisch goed probeert te doen of je moet gewoon wegwezen achter dat keyboard.

[Reactie gewijzigd door BikkelZ op 22 juni 2017 18:14]

Das toch niet zo raar? Als je een auto of een koffiezetapparaat op de markt brengt moet die ook deugdelijk zijn.
En daarvoor hebben ze een EULA waarmee je akkoord gaat waarin alles afgedekt wordt. En die EULA wordt altijd blind geaccepteerd want tja het moet toch draaien en werken he.

Kortom ik weet niet wat ze hiermee willen afdwingen, maar als de gebruiker zelf afstand doet van dit soort dingen door de EULA te accepteren valt er weinig te verbeteren.
Die EULA is vaak anders in de rechtzaal niet veel waard. Vooral omdat ze vaak niet rechtsgeldig zijn omdat er allemaal dingen instaan die niet mogen.
Waarom zouden ze niet rechtsgeldig zijn? Er wordt een aanbod met voorwaarden gedaan, jij aanvaard het, dat is de overeenkomst. De checkbox van de EULA is enkel indekking, je kunt de software namelijk niet gebruiken zonder het de accepteren.
Tja misschien gewoon accepteren dat de wet voor verkoopvoorwaarden gaat. Dit noemen ze bescherming van consumenten!!!!
Je mag wel de wettelijke rechten van consumenten verbeteren, bijv een termijn van updaten (die beter is dan redelijk) te noemen, of te beloven dat je 2 jaar de telefoon naar de nieuwste versie van Android update. In de praktijk gebruiken bedrijven de eula om rechten van consumenten te beperken en dat mag nu net niet.
Eula is wel rechtsgeldig versus bedrijven, hierbij gaat de wetgever er vanuit dat bedrijven zichzelf wel kunnen verdedigen. In de praktijk is eenmanszaak VS Apple /Google /microsoft natuurlijk ook niet echt een eerlijke strijd...

Waar dijkhoff het volgens mij over heeft is dat bedrijven een telefoon verkopen en dan de software niet meer updaten, terwijl deze onveilig is en ze dat weten. Dit is bijv ook Samsung, dus de uitspraak is niet alleen om kleine software bedrijfjes te pesten.
Waar dijkhoff het volgens mij over heeft is dat bedrijven een telefoon verkopen en dan de software niet meer updaten, terwijl deze onveilig is en ze dat weten.

Zoiets als DigiD van de overheid?
Ook bedrijven kunnen niet na verkoop nieuwe voorwaarden stellen. Dat komt omdat het hier over basaal contractrecht gaat, en niet over consumenten koop.
Vaak koop je eerst iets en krijg je dan pas een EULA te zien. En extra eisen nadat de koop gesloten is worden al gauw als ongeldig gezien. Er kan ook in staan dat de koper de fabrikant een miljpoen euro schuldig is, veel succes als hij die wil gaan innen.
Je koopt iets, waarna je NA de koop pas extra voorwaarden te zien krijgt. Dan is het niet geldig.
Als je de EULA wel voor de koop kan lezen (en dan niet verstopt in een link in de kleinste typesetting die mogelijk is op de verpakking) vervallen hooguit de stukken die niet rechtsgeldig zijn, zonder het hele ding ongeldig te maken.
Volgens die redenatie zou alle regelgeving m.b.t. consumentenbescherming overbodig zijn. Je koopt als consument vrijwillig een product en accepteert daarmee de risico. Toch zijn er heel veel wetten ingevoerd om consumenten (terecht) te beschermen omdat de wereld wat complexer is dan wat jij schetst.
Het probleem met EULA's is dat ze oorspronkelijk bedoelt waren als onderdeel van een B2B contract waarvan er vanuit gegaan wordt dat partijen gelijkwaardig zijn. Nu worden EULA's ook voor B2C diensten gebruikt terwijl IT-bedrijven beter zouden moeten weten. Dus inderdaad: in de rechtzaal is het zo goed als ongeldig.
Je kunt geen afstand doen van je wettelijke rechten. EULA's betekenen in NL (EU?) echt bar weinig.
EULA's hebben echt wel zin en een betekenis hier. Uiteraard zijn enkel de bepalingen geldig die binnen de wetgeving vallen, maar die bepalingen zijn op dat moment echt wel bindend.
Neen, jij zegt dat ze bar weinig betekenen. Alsof EULAs alleen maar vol zouden staan met dingen die tegen de NL wetgeving ingaan. Wanneer ik evenwel eens een EULA doorlees zijn er maar weinig bepalingen waarvan ik denk: dat haalt een rechtbank zo onderuit.
Het probleem van de EULA's is over het algemeen de presentatie ervan aan de gebruiker. Een grote lap tekst bij installatie in een scrollbox met een 'Akkoord' knop eronder voldoet over het algemeen niet. Ze zijn te zien als AV, en die moeten voor of tijdens de koop van de software worden aangeboden. En dus niet pas bij installatie. Ook moet de AV die langs electronische weg wordt aangeboden makkelijk door de gebruiker kunnen worden opgeslagen. Het selecteren van alle tekst (als dat al mogelijk is) en kopiren naar een documentje valt waarschijnlijk niet onder "makkelijk op te slaan".
In feite staat dat toch ook al in de WKOA
AV moet duidelijk en voor de koop worden aangeboden
EULA is betekenisloos. Het akkoord-vinkje, is te vergelijken met een wapenloop tegen je hoofd, als je niet tekent.
Pas daarna kun je mankementen ervaren, en dus willen aankaarten.
Is vroege amerikaanse jurisprudentie over, dat "akkoordvinkje"op websites e.d. betekenisloos is.
Een EULA staat niet boven de wet. Maar weerhoudt wel veel 'slachtoffers' ervan schade te verhalen.

Degene die aktie ondernemen zullen meestal (in den minne) schikken.
Een software ontwikkelaar heeft er weinig aan als zijn EULA publiekelijk als 'onrechtmatig' wordt bestempeld met als gevolg nog meer schadevergoedingen uitkeren.
En daarvoor hebben ze een EULA waarmee je akkoord gaat waarin alles afgedekt wordt. En die EULA wordt altijd blind geaccepteerd want tja het moet toch draaien en werken he.

Kortom ik weet niet wat ze hiermee willen afdwingen, maar als de gebruiker zelf afstand doet van dit soort dingen door de EULA te accepteren valt er weinig te verbeteren.
Als het wordt vastgelegd in de wet- en regelgeving dan kan er in een EULA vanalles staan, maar wetgeving gaat boven de EULA als deze elkaar tegenspreken.
Nee, hoor, een EULA vrijwaart een fabrikant niet van aansprakelijkheid.
En daarvoor hebben ze een EULA waarmee je akkoord gaat waarin alles afgedekt wordt. En die EULA wordt altijd blind geaccepteerd want tja het moet toch draaien en werken he.
Nee, deze mogelijke nieuwe regeling zou veel van de EULA ongeldig maken. Voor de gebruikers een mixed blessing want de ontwikkelaar zal deze risico's deels moeten dekken. Je zal extra tijd en geld moeten uittrekken voor de ontwikkeling en testen maar ook aansprakelijkheids verzekeringen zullen veel duurder worden. De kosten daarvan komen natuurlijk van de gebruikers want die zijn de enige bron van inkomsten.

Onthou dat je als gebruiker schade moet kunnen aantonen en dat de rechter zal eisen dat je ook zelf wat hebt gedaan. Dus als je met je Android die buiten updates is gevallen porno gaat kijken en daardoor je bankrekening ziet leeglopen is het nog maar zeer de vraag of de fabrikant aansprakelijk is.
Een derde mogelijkheid is dan altijd nog het principe van onrechtmatige daad, bijvoorbeeld als een update, die er wel is, niet wordt uitgevoerd.
Daarmee zou je heel veel fabrikanten van Androidtoestellen kunnen aanklagen..?

Edit: lol, een -1 maar wel een hele discussie. Typisch.

[Reactie gewijzigd door Menesis op 22 juni 2017 19:28]

Niet noodzakelijk. Er is dan een update aan de basissoftware, maar deze kan je niet zomaar naar je eigen toestellen duwen omdat deze de nodige testen en mogelijks zelfs aanpassingen moet ondergaan voordat deze uit kan komen. Het is dus niet zo dat als Google vandaag een update uitbrengt en jij volgende week last hebt van de bug dat de fabrikant van het toestel dan zomaar aansprakelijk kan gesteld worden.

Een tweede issue is de leeftijd van het apparaat. Google kan patches uitbrengen voor oudere versies van Android, maar als een fabrikant dik twee jaar na introductie van het toestel stopt met het uitbrengen van updates (wat niet onredelijk is in de software en smartphonewereld), kunnen we de fabrikant dan alsnog aansprakelijk stellen?
Onredelijk is de software wereld... Eigenlijk moet het imo twee jaar na stop verkoop model zijn.
Google kan patches uitbrengen voor oudere versies van Android, maar als een fabrikant dik twee jaar na introductie van het toestel stopt met het uitbrengen van updates (wat niet onredelijk is in de software en smartphonewereld), kunnen we de fabrikant dan alsnog aansprakelijk stellen?
Strict genomen is het in Nederland de verkoper die verantwoordelijk is. De winkel moet dan maar met Google en Samsung (of wie dan ook) gaan uitvechten wie er verantwoordelijk is voor die upgrades.
Winkeliers zijn natuurlijk niet meer dan een doorgeefluik, maar ze hebben meer macht dan een particiulier met n enkele telefoon. Winkeliers zullen kiezen voor de fabrikanten die de beste garanties bieden. Dat is een van de redenen waarom er zo weinig goedkope chinaphones in onze winkels liggen. De garantie op de hardware naar Nederlandse verwachting willen die fabrikanten niet bieden.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juni 2017 17:42]

En de gebruikers zelf natuurlijk, als jouw device heeft deelgenomen aan een botnet waar ik last van heb gehad, kan ik je dan ook aanklagen als je niet gezorgd hebt voor de laatste updates?
Dan gaat Samsung gelijk koppie-onder vrees ik.
Samsung heeft zojuist ondersteuningen voor A2.1 laten vallen, dat vind ik onder redelijke verwachtingen vallen.
Nou geen consument verwacht inmiddels nog updates voor een Samsung toestel dus daar komen ze mooi weg :) :) :)
En Apple en Microsoft?
Je bedoelt dat Microsoft die Windows XP gebruikers geen mogelijkheid heeft geboden en biedt om te upgraden naar Windows 7 (en verder) ook als ze daar gewoon een licentie voor kopen, met behoud van genstalleerde software dus zonder een clean install te moeten doen, zonder eerst als tussenstap naar het slechts kort geleefde en weinig geslaagde Vista te upgraden waardoor ze niet van een adequaat beveiligd OS gebruik kunnen maken en wat wel eens een belangrijke reden zou kunnen zijn waarom er nog steeds een behoorlijk aantal systemen op XP draaien?

Zou ik wel mooi vinden als dat er ook toe zou leiden dat Microsoft aansprakelijk zou kunnen worden gesteld voor de negatieve effecten/schade die het blokkeren van dat volstrekt redelijke en logische upgradepad zou kunnen veroorzaken/veroorzaakt heeft. Hoe moeilijk kan het zijn om dat wel aan te bieden? Het lijkt mij dat de gebruikers van XP in alle redelijkheid mochten/mogen verwachten dat een dergelijke 'update', nota bene gewoon met bijbetaling, als onderdeel van dat product XP geleverd zou/zal worden.

Ik heb me er altijd aan gestoord dat Microsoft het niet nodig vond om dat wel aan te bieden. Heel erg laks wat mij betreft.
.Vista was de volgende versie, als je er bewust voor kiest niet te upgraden en later blijkt dat Microsoft het niet kan aanbieden om die stap over te slaan en een one-step upgrade niet mogelijk is: dan moet je daar zelf lekker omheen werken door een backupje te trekken en/of nieuwe images te maken. Waarom zou Microsoft daar verantwoordelijk voor moeten zijn?

Ik vind het eerder laks dat gewoon de aangeboden upgrade routes niet zijn genomen en ook de moeite tot vernieuwing niet wordt genomen, maar verwacht wordt van Microsoft dat ze speciaal voor mensen die het advies niet hebben opgevolgd iets in elkaar gaan zetten. Zie niet zo goed waarom dat opeens Microsoft's verantwoordelijkheid zou zijn.

Ben het met je eens dat Vista een graf OS was hoor, daar niet van. Maar vind dit wel een beetje afschuiven van verantwoordelijkheden - en dat lijkt me precies wat we dus niet moeten hebben willen we de softwaremarkt berhaupt rendabel houden.
Je bent toch ook niet verplicht van W7 eerst naar W8 te upgraden voordat je de upgrade naar W10 kunt doen?

Vista werd vrij snel opgevolgd door W7 nog voordat velen aan een upgrade naar Vista waren toegekomen en Vista was ook niet bepaald onomstreden dus het was zeer begrijpelijk dat velen die stap niet wilden maken. De stap naar W7 zouden velen wl hebben willen maken maar juist die stap heeft Microsoft niet mogelijk gemaakt terwijl dat natuurlijk prima mogelijk moet zijn. Daarmee heeft men die gebruikers een adequaat upgradepad onthouden en daarvoor zouden ze wat mij betreft ook prima verantwoordelijk mogen worden gehouden.

Laat ze die optie alsnog maar maken. Zal helemaal niet zoveel moeite kosten.
De stap naar W7 zouden velen wl hebben willen maken maar juist die stap heeft Microsoft niet mogelijk gemaakt terwijl dat natuurlijk prima mogelijk moet zijn. Daarmee heeft men die gebruikers een adequaat upgradepad onthouden en daarvoor zouden ze wat mij betreft ook prima verantwoordelijk mogen worden gehouden.
Microsoft heeft netjes 15 (!!) jaar lang Windows XP publiekelijk en gratis van updates blijven voorzien en informeert klanten netjes en tijdig over upgrade-opties en over end-of-life datums van hun OSes.

Ook als je er niet voor koos om van XP naar Vista naar 7 te upgraden, heb je al die tijd gewoon support gehad en is al die tijd duidelijk geweest wanneer deze op zou houden. Wat dat betreft ben je nu dus gewoon aan het zeur zeiken.
Laat ze die optie alsnog maar maken. Zal helemaal niet zoveel moeite kosten.
De optie om van Windows XP te upgraden naar Windows 7 heb je al die tijd ook gewoon gehad via een RTM Windows 7 pakket. Backup maken van je documenten; disk formatteren; Windows 7 installeren; alles terugzetten. Het is niet handig, het is niet goedkoop, maar het is er.

One-step upgrades zijn altijd een extra coulance geweest en waren alleen beschikbaar wanneer het onderliggende systeem niet te veel veranderde waardoor alles redelijk goed over te zetten was. Voor andere gevallen bood Microsoft sinds Vista een zgn. Easy transfer wizard tool, waarmee makkelijk een backup getrokken kon worden van gebruikersprofielen en waarmee deze makkelijk in de nieuwe versie van Windows terug geimporteerd konden worden, na automatische conversie. Alleen applicaties en drivers moet je dan nog zelf voor handen nemen.

De one-step upgrade van Windows 7 naar 10 is wat dat betreft vrij uniek. Microsoft is namelijk ver voordat Windows 10 RTM uit kwam al bezig geweest om onderdelen van zowel Windows 7 als Windows 8 onder de kap te vervangen door functionaliteit zeer nauw aansluitend op Windows 10. Een hele slee aan updates bestonden uit "improved compatibility with future versions of Windows" en niet veel meer.

Dat was een eenmalige enorme investering vanuit Microsoft om zoveel mogelijk mensen over te krijgen naar 10, na de blijvend lage adoption rate van 8. Het was voor hen vanuit bedrijfsstrategie gewoon te belangrijk om ook die groep van Windows 7 gebruikers mee te krijgen.

[Reactie gewijzigd door R4gnax op 23 juni 2017 13:14]

[...]
Microsoft heeft netjes 15 (!!) jaar lang Windows XP publiekelijk en gratis van updates blijven voorzien en informeert klanten netjes en tijdig over upgrade-opties en over end-of-life datums van hun OSes.

Ook als je er niet voor koos om van XP naar Vista naar 7 te upgraden, heb je al die tijd gewoon support gehad en is al die tijd duidelijk geweest wanneer deze op zou houden. Wat dat betreft ben je nu dus gewoon aan het zeur zeiken.
Als ik gewoon wil BETALEN voor een nieuwe licentie dan ben ik ZEKER NIET aan her "zeur zeiken" want dan koop ik als klant iets. Matig je taal een beetje wil je? En snap je dat het hier ook in de context van dit artikel is die zegt dat leveranciers van software verantwoordelijkheden hebben om hun klanten van adequate updates te voorzien? Daarin heeft Microsoft dan dus gefaald. Jammer dat zij dat acceptabel vonden. De aansprakelijkheidsregelgeving gaat daar nu dus anders over denken.
De optie om van Windows XP te upgraden naar Windows 7 heb je al die tijd ook gewoon gehad via een RTM Windows 7 pakket. Backup maken van je documenten; disk formatteren; Windows 7 installeren; alles terugzetten. Het is niet handig, het is niet goedkoop, maar het is er.
Ik had het over een upgrade met behoud van al je genstalleerde software en niet alleen maar een paar documentjes. Groot verschil. Dus je reactie gaat niet over wat ik zei en is dus volstrekt inadequaat. Een drogredenering.
Een drogredenering.
Een drogredenering is jouw redenering dat het Microsoft's verantwoordelijkheid is om jou een upgrade van XP naar 7 te geven met vol behoud van al je geinstalleerde applicaties, omdat ze zich anders niet aan hun verantwoordelijkheid ten opzichte van gebruikers zouden houden.

Ze hebben jou op Windows XP maar liefst 15 jaar lang security updates gegeven, en gedurende die periode meermalen gewaarschuwd wanneer deze support op zou houden. Ze hebben deze support zelfs een aantal maal extra verlengd, omdat nog zoveel systemen van consumenten op XP bleken te draaien dat het onverantwoordelijk zou zijn om de stekker er al uit te trekken.

Tijdens deze support-periode hebben ze jou een upgrade-pad naar Vista met behoud van installatie aangeboden. Je hebt er zelf bewust voor gekozen om dat te negeren. Je hebt daarbij gegokt dat MS ook nog wel zou komen met een XP-to-7 upgrade met behoud van je installatie, en dat bleek dus anders uit te pakken. You win some, you lose some.

Dan moet je het op de iets moeilijkere manier doen: een greenfield installatie doen; je applicaties herinstalleren; en je documenten terugzetten. Het is niet alsof dat een onoverkomelijke horde is voor iemand die technologisch voldoende onderlegd is om de rationale keus te maken het geboden upgrade-pad te negeren en op XP te blijven zitten.

Microsoft bood je daarbij een makkelijke Easy transfer tool om de backup van je user profiles in Windows XP te maken en onder Windows 7 terug te zetten en bood je nog steeds een System readiness tool om vooraf vanuit Windows XP te checken of er Windows 7 drivers voor al je hardware waren en of er eventuele software compatibility problemen waren met geinstalleerde applicaties.

Je kreeg van hen nog steeds alles behalve die vol-automatische overgang.


------------------------------------------------------------

Microsoft heeft waarschijnlijk meer dan elk ander softwarebedrijf aan hun verantwoordelijkheid tot nazorg voldaan, maar jij gaat nu slachtoffer spelen omdat je boos bent dat jouw gok om te wachten op een directe XP-to-7 upgrade zich verkeerd uitgespeeld heeft.


Dus ja; je bent aan het zeur zeiken.
En nee; dat ga ik niet anders formuleren, want het is gewoon zo.

[Reactie gewijzigd door R4gnax op 23 juni 2017 16:11]

Je herhaalt wr en niet adequaat argument dat je je bestandjes kon overzetten naar een clean install. Daar HEB ik het helemaal niet over. Alle software opnieuw installeren en configureren is bij een 'vol' systeem een gigantische klus. Dat jij misschien drie programma's gebruikt wil niet zeggen dat de rest van de wereld dat ook doet. En het maakt geen zier uit hoe lang de software bestaan heeft. Als een klant gewoon wil BETALEN (en dat punt laat je constant erg gemakkelijk weg uit je argumentatie) voor die upgrade dan moet Microsoft niet 'zeur zeiken' en die upgrade netjes aanbieden. Daar worden ze dan voor BETAALD, snap je het nu?
Je herhaalt wr en niet adequaat argument dat je je bestandjes kon overzetten naar een clean install. Daar HEB ik het helemaal niet over. Alle software opnieuw installeren en configureren is bij een 'vol' systeem een gigantische klus. Dat jij misschien drie programma's gebruikt wil niet zeggen dat de rest van de wereld dat ook doet. En het maakt geen zier uit hoe lang de software bestaan heeft. Als een klant gewoon wil BETALEN (en dat punt laat je constant erg gemakkelijk weg uit je argumentatie) voor die upgrade dan moet Microsoft niet 'zeur zeiken' en die upgrade netjes aanbieden. Daar worden ze dan voor BETAALD, snap je het nu?
Dat een klant voor een specifieke service die niet bestaat wil betalen, wil niet zeggen dat de leverancier ineens door haar knieen moet om die droomservice dan ook maar aan te gaan bieden. Zover strekt de verantwoordelijkheid van een leverancier dus niet. Redelijkheid en billijkheid werkt twee kanten op, heh?

Microsoft heeft in jouw geval aan haar verantwoordelijkheid voldaan door destijds voor een geruime periode een upgrade-pad aan te bieden van XP naar Vista. Je hebt zelf gekozen om de boot af te houden. Jouw schuld. Punt.

[Reactie gewijzigd door R4gnax op 24 juni 2017 12:37]

Je bedoeld die 2 bedrijven die hun toestellen jarenlang van updates voorzien? Noem eens een iPhone of Windows telefoon die 3 jaar na release geen beveiligingsupdates meer krijgt ...
Ik bedoeld inderdaad de bedrijven die ik noem. Die soms een jaar weten van een veiligheidsprobleem en daar dan maar steeds geen update voor uitbrengen. In ieder geval denk ik aan wel meer bedrijven dan alleen fabrikanten van Androidtoestellen.
En hoelang was dat toestel toen al op de markt? lijkt me nogal een belangrijke factor.
Ik was wel benieuwd, dus heb het even opgezocht.
Release iPhone 4s: 28 oktober 2011 (met iOS 5)
Laatste versie software iOS 9.3.5.. Uitgebracht in Augustus 2016
Bijna 5 jaar na de release van de iPhone 4s.
Lijkt me niet verkeerd.
Inderdaad behoorlijk goed, ik had er ook al een vreemd gevoel bij. Sowieso niet erg logisch om een 5 jaar oude telefoon als nieuw te kopen en dan hier teleurgesteld over zijn. Zeer netjes deze lange supportduur. Bedankt voor je uitzoekwerk! ;)

[Reactie gewijzigd door marcel87 op 23 juni 2017 02:50]

Kan betekenen dat al die bijzondere 'smaken' van Android langzaam zullen verdwijnen.
Dan krijgen die toestellen na 3 jaar opeens een "update" die alle functionaliteit weghaalt, is dat ook weer afgevangen.
Ja dat is eigenlijk wel mooi. Ik kan me nog goed herinneren met een oude telefoon die opeens geen nieuwe Android meer ondersteunde en toen kreeg ik allemaal virussen omdat de fabrikant weigerde mee te werken aan een beveiligingsupdate. Ik weet niet of dat eronder valt. Mijn huisgenoot heeft toevallig ook een probleem met een videokaart, daar is de software ook niet goed van, maar een update homaar.
Maar als die software niet goed was bij aankoop, dan moet ie hem gewoon terugbrengen. Het probleem met software is vaak dat de ‘environment’ verandert. Stel je update Windows van 8 naar 10 en er ontstaan problemen. Dan hoef je niet redelijkerwijs te verwachten dat de fabrikant dit oplost als deze kaart is verkocht dat het met Windows 8 werkt.

En zo treden er heel vaak problemen in software op, omdat er iets anders wijzigt. In sommige gevallen, mag je wel verwachten dat dit opgelost wordt, in andere gevallen niet. En dat ligt er ook aan hoe het je verkocht is natuurlijk.
Ja dat heb ik ook gezegd haha. Het is inderdaad een moeilijke kwestie soms, lig aan het geval ja.
Je spreekt over een oude telefoon. Bedenk wel dat als een toestel enkele jaren oud is de fabrikant sowieso geen updates meer zal uitbrengen omdat er nog te weinig gebruikers zijn van die toestellen en het dus economisch niet meer te verantwoorden is. Er mag een redelijke termijn verwacht worden waarbinnen beveiligingsupdates beschikbaar gesteld moeten worden, maar die termijn moet redelijk zijn. Als we morgen fabrikanten gaan verplichten om dat soort toestellen 5 of 10 jaar te ondersteunen zal de kost voor nieuwe toestellen aanzienlijk stijgen. En wat ga je dan doen met fabrikanten die failliet gaan of mensen die toestellen van buiten de EU importeren omdat ze goedkoper zijn?
Ja klopt een redelijke termijn is juist. Ik vind 2 jaar echter te kort (samsung)
En een fabrikant zal 5 jaar te lang vinden wanneer de gemiddelde mobiel nog geen 2 jaar meegaat.
Het gaat om de te verwachten leeftijd, niet de leeftijd dat we een toestel werkelijk gebruiken. Van een mobieltje moet je kunnen verwachten dat ie 5 jaar meegaat. Dat wij met z'n allen een toestel van 5 jaar oud te traag vinden of gewoon een nieuwe nemen 'omdat je weer een nieuwe mag' geeft de fabrikant geen vrijbrief om die oudere toestellen niet meer te ondersteunen.

Samsung moet zich echt schamen wat dat betreft, want ze krijgen de updates van het OS gewoon gratis van Google. Het enige wat ze hoeven te doen is even testen of alles nog werkt en uitrollen. O wacht. Zo werkt het niet, Samsung vond een kale Android niet goed genoeg en hebben dus hun eigen bloatware er bij op gezet. En DAN is het opeens wel veel werk om een nieuwe Android versie uit te rollen.

Je ziet dit ook in de tweedehands prijzen. Een nieuw flagship model Samsung Galaxy is ongeveer net zo duur als een instapmodel iPhone. Na 2 jaar is dat Samsung toestel echter geen paar tientjes meer waard, terwijl een iPhone van 2 jaar oud nog voor iets minder dan de helft van de nieuwprijs gaat. Daarom vind ik Apple zo fijn. Je betaalt de hoofdprijs, maar je krijgt er ook wat voor terug. Ik heb hier een iPad2 uit 2011 (!) die het nog prima doet en vorig jaar z'n laatste update heeft gehad. Kijk Samsung, zo hoort dat.
Hoewel zeer eens met je eerste twee alinea's, ga je bij de derde wel wat kort door de bocht. Die Galaxy is na 2 jaar echt wel meer waard dan een paar tientjes, waarschijnlijker is tussen 200-400 euro. Kijk voor de grap eens naar een S6, al vrij snel te koop voor 600 euro of minder na launch. Nu veelal aangeboden voor 250-300 euro.

Daarom vind ik die Apple vergelijkingen altijd wel wat komisch. Je betaald meer in het begin, je krijgt meer terug bij verkoop. Dat is 1:1 hetzelfde wanneer je in het begin minder betaald en krijgt minder bij verkoop. Dat zou dus betekenen als andere bedrijven dezelfde prijzen zouden vragen, dezelfde support kunnen leveren. In theorie. Maar wellicht levert dit toch effectief te weinig op voor fabrikanten dat dit niet gebeurt.

Grootste verschil met Apple, en waarvan ik al langere tijd denk dat een groot deel van het probleem ligt, is de grote diversiteit van productlijnen die andere fabrikanten vaak hebben. Zoveel toestellen, evt. met een schil en andere eigen software, maakt testen en uitrollen tijdrovend en duur. Minder toestellen, minder snel refreshen, iets duurdere toestellen en langer support zou de combi moeten zijn/worden. Er blijft altijd nog genoeg keuze.
Ik overdreef express een beetje met die tweedehands prijzen, maar ik heb toch echt het gevoel dat er iets van waarheid in zit, Apple daalt minder in waarde dan Samsung, LG etc. Maar dat van die verschillende productlijnen dat klopt wel, Apple houdt het relatief simpel terwijl in het Android kamp een wildgroei aan toestellen, resoluties etc bestaat. Dat maakt het ook niet makkelijker voor ontwikkelaars van apps.

Aan de andere kant, daardoor heb je wel voor elk wat wils. Als je 250 euro hebt en je wilt een iPhone, dan zit je aan de tweedehands markt. Als je liever nieuw hebt, dan is een betaalbaar Android model dus een goede optie.

Om even terug te komen op die aansprakelijkheid, zoals ik het artikel begrijp zou het dus mogelijk zijn om een fabrikant aan te klagen die geen updates meer uitbrengt voor jouw toestel (terwijl dat wel te verwachten viel) en jij als gevolg daarvan schade hebt. Ik ben heel benieuwd hoe dat juridisch gaat uitpakken...
Volgens nederland recht op je recht op normale werking inclusief updates om die werking te garanderen gedurende de normale gebruiks duur van een apparaat. Bij een telefoon mag je daarvoor tussen de 3 en 4 jaar uitgaan. Daar zijn ook al uitspraken over dat bijvoorbeeld een beeldscherm niet meer werkte na 3 jaar het gewoon gemaakt moest worden door de verkoper (niet de fabrikant). Zelfs jailbreaken mag wanneer je kunt aantonen dat dat niet tot het probleem heeft gelijdt. Dus in het geval van een telefoon die na 2 jaar geen updates meer krijgt terwijl die wel nodig zijn voor de normale werking, dan mag de verkoper dat oplossen.
En een fabrikant zal 5 jaar te lang vinden wanneer de gemiddelde mobiel nog geen 2 jaar meegaat.
En een smart-tv dan.? Als ik die slechts 5 jaar aan het net hang ben ik in jaar 3, 4 en 5 al een gevaar. Of in gevaar ?
Nou hebben tv's bij Samsung een cyclus van 7 jaar. Maar goed meeste mensen doen wel wat langer met een tv dan 7 jaar maar dat is het vanuit hey bedrijf.
En een smart-tv dan.?
Fabrikanten zullen zich er wel onder uit wurmen door de smart functies te gaan verkopen met vooraf gestelde vervaldatum en deze daarna bot uit te schakelen.

Dat is nu al het geval, eigenlijk. Alleen niet met een vooraf gestelde datum.

[Reactie gewijzigd door R4gnax op 23 juni 2017 16:45]

Fabrikanten zullen zich er wel onder uit wurmen door de smart functies te gaan verkopen met vooraf gestelde vervaldatum en deze daarna bot uit te schakelen.
Aan de andere kant, ze kosten weinig, smart biedt weinig. Koop zo'n ding, gebruik smart niet en je hebt de hele levensduur tv. We kunnen ook te moeilijk doen ;)
[...]

Aan de andere kant, ze kosten weinig, smart biedt weinig. Koop zo'n ding, gebruik smart niet en je hebt de hele levensduur tv. We kunnen ook te moeilijk doen ;)
Het probleem is dat bij bijv. Android TV een aantal toch wel essentile onderdelen zoals de EPG verweven zijn met het 'smart' stuk.
EPG, Ja dat zou een puntje kunnen zijn, als je er gebruik van maakt voor automatisering en programmering. Maar ik heb gewoon een papieren gids en internet.

http://www.nu.nl/tvgids
Het overgrote deel veranderde gewoon elke 2 jaar van toestel met het abonnement. Weet niet hoe het met de nieuwe regels gaat maar toch.
Als je voor 1000 euro een telefoon koopt, mag je volgens de Nederlandse wet ook een garantie periode verwachten die langer als de gebruikelijke 2 jaar is. In tegenstelling tot een toestel van 30 euro.

Als ze dit op een soortgelijke manier in de wet plaatsen, komen we al een heel eind. Hoe duurder een product, helemaal als deze ver boven de gemiddelde markt waarde gaat, hoe meer veiligheid je dus mag verwachten.
Ik betwijfel dat je allemaal virussen kreeg.
Ok; ik ben een 'configurator'. Ik zet pakketjes bij elkaar om er een leuke werkwijze van te maken.

Denk:
- Laptop kopen
- Windows erop
- mail inrichten
- lightroom aanschaffen, Photoshop integreren
- Office

Mensen kopen dat 'pakket' bij mij.

Wat zet ik in mijn voorwaarden zodat het juridisch dekkend is dat ik hier NOOIT gemekker over kan krijgen? Serieuze vraag.
Wetten zijn er om na te leven, niet om met n zinnetje in een verkoopovereenkomst te omzeilen.
Nee. Ik ga de risico's dragen van Adobe, Microsoft en AL die aanbieders van tooltjes en scriptjes die ik lever. Ik geloof best dat het niet geldt voor wederverkopers. maar ik wil het ook echt kunnen uitsluiten.

En ook scriptjes (batchfiles, vbs) die ik schrijf en gebruik maken van allerlei (bestaande)DLL's... ook daarvoor.
Je kunt het wel willen, maar zoals WhiteDog al zei: dat kan simpelweg niet. Dergelijke voorwaarden staan op de zwarte lijst van voorwaarden, en zijn bij voorbaat nietig. Je klant kan ze niet eens accepteren, die voorwaarden worden juridich compleet genegeerd.
Nee. Je mening is veel te kort door de bocht.

Je vindt dat een softwarereseller de gevolgen draagt van pakketten van MS, Dropbox, Adobe, Google en de open Source community die zij installeert? Dat kan wel de wens van de geest van de wet zijn, maar dat kan nooit in realiteit gebeuren (een reseller kan immers niet de software op een dusdanige manier controleren, bewerken of aanpassen) dus is er een uitzonderingspositie onder voorwaarden.

Ik wil die voorwaarden weten.
Tja, jij veronderstelt dat er een uitzondering is. Als je voor de rechter staat moet jij bewijzen dat die uitzondering bestaat. De klager zal simpelweg de regel aanvoeren dat jij als leverancier aansprakelijk bent, en als jij die stelling niet weerlegt zal de rechter de klager gelijk geven. Daar heeft de rechter geen keuze in.

't Is dus geen mening van mij, het is hoe rechtzaken in Nederland werken. Jij bent degene die hier een mening inbrengt, namelijk dat er een wettelijke uitzondering zou moeten zijn.
Wederom: nee. Het kan niet zo zijn dat bijv een spelletjes verkoper (de 'Hema') de gevolgen draagt van het spel wat zij (door)verkopen; de fabrikant is dat. Dus is daar een regel voor.
Mocht dit niet waar zijn dan zal het snel afgelopen zijn met software doorverkoopzaken. Want een Hema of 2ehands-gameshop kan deze ondersteuning helemaal nooit geven.

Dan is de workaround voor alle doorverkopers: u koopt zelf de software bij desbetreffende inkoper en wij configureren.
Ook de Hema is aansprakelijk voor de producten die zij verkopen. Ik ga er van uit dat zij contractueel met hun leveranciers een afspraak hebben over de verhaalbaarheid van aansprakelijkheidsstellingen, of anders een verzekering.

Het Burgerlijk wetboetk, boek 7 maakt simpelweg geen uitzonderingen voor software en dergelijke. En dat is precies wat Dijkhoff concludeerde.

Het idee van dienstverlening is inderdaad relevant, want als de eindklant direct de software bij de producent inkoopt dan is er een directe contractuele relatie tussen de eindklant en de producent.
Vrijwel alle software-bedrijven weigeren alle aansprakelijkheid voor dit soort problemen via hun algemene voorwaarden. De laatste keren dat ik betrokken was bij de aanschaf van software konden we geen leverancier vinden zonder dergelijke voorwaarden. Als we daar om vroegen werden we nog net niet uitgelachen.

Ik wordt een beetje cynisch van de vraag wat je redelijkerwijs mag verwachten van de IT-sector. Mijn verwachtingen zijn dat het droevig gesteld is met de veiligheid en dat er niet meer aan gedaan wordt dan de verantwoordelijkheid op papier afdekken. Dat is natuurlijk niet wat ze er mee bedoelen, maar op dit moment veel meer verwachten is gewoon naef.

Nu hoop ik dat er binnenkort een paar grote leveranciers voor de bijl gaan om een duidelijk voorbeeld te stellen. Vervolgens verwacht ik dat de hele software-markt een paar jaar op z'n gat gaat. Ik denk dat er veel bedrijven zijn die echt niet in staat zijn om veilige software te leveren zonder het grootste deel van hun personeel bij te scholen. Ik denk dat het voor een aantal bedrijven een te groot risico wordt om hun software nog te verkopen als ze er aansprakelijk voor zijn. Bedrijven die dat wel kunnen zullen hun tarieven flink moeten verhogen om het ook daadwerkelijk te doen en om de risico's af te dekken die altijd zullen blijven bestaan.

Dat betekent overigens niet dat ik het geen goed idee vindt. Zoals het nu gaat werken we ons steeds verder in de nesten. Op enige moment moet er een lijn worden getrokken. We zullen iets moeten doen en iemand zal daar voor moeten betalen. Nu worden die kosten te vaak onder de mat geveegd; het kan immers nog jaren duren voor de gebruiker de problemen ontdekt, die weet immers ook niet beter.
Algemene voorwaarden zijn niet veel waard in de rechtbank zodra deze in strijd zijn met dwingende wetgeving.
Opzich vind ik het wel een goed idee om wat vaker de rechter in te schakelen bij onzin zoals planned obsolescence of het aanbieden van bijvoorbeeld besmette ads via een website (want ook daar neemt niemand tegenwoordig zijn verantwoordelijkheid).

Neemt overigens niet weg dat ook de consument een onderzoeksplicht heeft op het moment dat hij producten aanschaft waar potentiele risico's aan kleven, maar dan moeten die risico's wel van te voren helder worden gemaakt door de leverancier.

[Reactie gewijzigd door blouweKip op 22 juni 2017 19:01]

Ik meende dat een fabrikant niet alle aansprakelijkheid mag uitsluiten in de algemene voorwaarden. Iets met een zwarte lijst ofzo. Geen jurist hier hoor maar toch.
Nu worden die kosten te vaak onder de mat geveegd; het kan immers nog jaren duren voor de gebruiker de problemen ontdekt, die weet immers ook niet beter.
De gebruiker weet misschien niet beter, maar als die gebruiker een grote multinational is wordt het echt vervelend. Of een energiebedrijf, Schiphol of een bank.
Ik denk dat veel ontwikkelaars (mezelf incluis) de algemene voorwaarden van een softwareproduct niet kennen. Ik ben zelf softwareontwikkelaar van een enterprise product, maar ik vermoed dat in veel gevallen per klant afspraken gemaakt worden. Of dat toevoegingen zijn aan de algemene voorwaarden, of deze zelfs (deels) vervangen, ik zou het niet weten.

Waar ik wel tegen aanloop is de spagaat compatibiliteit v.s. veiligheid. Aangezien veiligheid veel te maken heeft met voortschrijdend inzicht, dan kan wat vandaag veilig geacht wordt, morgen als onveilig bestempeld worden. Op die manier worden soms oude (onveilige) spullen verwijderd. Maar dat levert incompatibiliteit op. Na diverse discussies is gezegd dat veiligheid voorrang heeft boven compatibiliteit, maar het is wachten tot een klant die daar niet mee eens is. Daar spelen ook praktische argumenten. De klant heeft een integratie met bijv. een bank (niet direct het toonbeeld van adoptie van de meest moderne en veilige standaarden) en die bank loopt hopeloos achter. Die klant wil wel de bankintegratie werkend houden, maar die is onveilig. En dan? Dit voorbeeld is uit te breiden met andere voorbeelden, vaak op het vlak van integraties/web-services.

Als softwareleverancier kun je, wil je, of ga je niet het gevecht aan met de achterlopende bank. Maar met een wet die een softwareleverancier (meer?) aansprakelijk stelt, dan kun je wellicht makkelijker een keuze maken. Het benadrukt wellicht meer de inspanningsverplichting, maar het wordt nooit een resultaatverplichting (dan zou je ook 100% bug-vrije code als eis kunnen stellen).

Overigens lijkt me de bewijslijst (heb je als softwarebedrijf voldoende je best gedaan) erg lastig. En andersom, laksheid van een klant icm met veiligheidsissues is ook lastig aan te tonen. De rechter mag dan een knoop doorhakken? Ik zie vooruitzichten met vuistdikke dossiers, grinnikende juristen (die lopen binnen) en een uitspraak die voor beide partijen handen vol geld kost.
Software schrijven is totaal anders dan 1x een product maken en deze op de lopende band repliceren.

Zelfs de allergrootste bedrijven met de best geschoolde specialisten zoals Facebook, Google en Tesla (met de zelfrijdende auto's) maken fouten. Dit gebeurt nou eenmaal in code.

De enige manier om dit te voorkomen is nog uitvoeriger testen dan nu al wordt gedaan en dat is onbetaalbaar voor elk bedrijf, zelfs de giganten. 1 simpele applicatie zal 100x zo duur worden omdat elke kleine mogelijkheid waar ook maar een foutje in kan zitten op duizenden verschillende manieren getest moet gaan worden, en dat na elke minimale wijziging!


En zelfs als dit gebeurt zullen er met verloop van tijd weer nieuwe manieren gevonden worden om software te kraken en wordt je dus verplicht deze weer te updaten? En dan weer, en dan weer, en dan weer? Ondoenbaar wanneer het niet betaald wordt!

Belachelijk om dit te eisen en zal de software markt in Nederland niet alleen totaal kapot maken maat zelfs in zijn geheel doen verdwijnen.

[Reactie gewijzigd door Jaatoo op 22 juni 2017 20:59]

Software schrijven is totaal anders dan 1x een product maken en deze op de lopende band repliceren.
Dat klopt, het is ook anders, maar het wordt wel zo verkocht.
Voor een deel van de software is een ander model een oplossing, zoals een licenseringsmodel, supportcontract of abonnement waarbij je doorlopend betaalt. Veel websoftware werkt nu al zo.

Voor andere software werkt dat niet. Daar zul je de onderhoudskosten in de aanschafprijs moeten verrekenen en regelmatig updates uitbrengen. Of zorgen dat je minder fouten maakt. Ik hoop op dat laatste. Ik weet dat het nooit foutloos wordt, maar het kan veel beter dan dat het nu gaat. Momenteel gaat er nog te veel nodeloos mis omdat er slecht wordt geprogrammeerd en er is weinig drive om het te verbeteren. Ik laat maar even in het midden hoe dat komt, maar met een klein beetje meer kennis, kunde en inzet zou er al een hoop te winnen zijn
De autoindustrie roept met regelmatig miljoenen auto's terug om een probleem op te lossen. Daardoor doen ze daar enorm hun best om veilige auto's te maken. Software is gelukkig een stuk eenvoudiger te repareren. Het zal wel een dure les worden maar ik denk dat we er uiteindelijk allemaal beter van worden.
Ik ben het ermee eens dat er veel fout gaat. In mijn ogen komt dit met name doordat bedrijven de goedkoopste aanbieder zoeken, en daarbij dus ook degene die security, tests e.d. nalaat. De schuld ligt dus niet zozeer alleen bij development maar ook bij de klant zelf daar deze de waarde van goed geschreven software niet inziet.

Verder geef je in je reactie ook al aan dat software nooit foutloos kan zijn, en dat is exact het probleem van deze regelgeving. Wanneer een software bedrijf al die extra tests moet uitvoeren (laat staan automatiseren), want we hebben het nu niet meer over standaard tests, maar zeer specifieke tests om elk gaatje in de code af te vangen. Nou huur maar een pentester die je software van top tot teen gaat controleren op elke mogelijkheid van zwakte. Ik denk dat hij wel een maand fulltime bezig is, wie gaat dat betalen?

Op deze manier wordt voor bedrijven de ROI van het laten bouwen van een applicatie te klein, waardoor ze uit gaan wijken naar het buitenland, waar het veel goedkoper is.
Ik ben het ermee eens dat er veel fout gaat. In mijn ogen komt dit met name doordat bedrijven de goedkoopste aanbieder zoeken, en daarbij dus ook degene die security, tests e.d. nalaat. De schuld ligt dus niet zozeer alleen bij development maar ook bij de klant zelf daar deze de waarde van goed geschreven software niet inziet.
Deel van het probleem is ook dat de klant het verschil niet kan zien. De klant ziet of de website blauw of groen is, niet of het ook veilig is. De kwaliteit van de onderliggende code is haast niet te controleren. Hooguit doordat je na verloop van tijd steeds meer bugs tegen komt, maar dan is het al te laat.
Gespecialiseerd werk kan alleen worden gecontroleerd door een andere specialist. In andere vakgebieden is dat niet zo heel anders. Probeer zelf maar eens te beoordelen of een chirurg goed werk heeft gedaan.
Verder geef je in je reactie ook al aan dat software nooit foutloos kan zijn, en dat is exact het probleem van deze regelgeving.
100% foutloos is niet nodig, zo werkt het in andere sectoren ook niet. Bij auto's lukt het ons wel om onderscheid te maken tussen kleine foutjes (verkleurde vloerbedekking), normale slijtage (lekke band, kapot licht) en structurele problemen (airbag werkt niet).
Foutjes oplossen met een patch is ook goed, bij dit soort regels is het altijd zo dat de leverancier een kans krijgt om het probleem achteraf op te lossen.
Wanneer een software bedrijf al die extra tests moet uitvoeren (laat staan automatiseren), want we hebben het nu niet meer over standaard tests, maar zeer specifieke tests om elk gaatje in de code af te vangen. Nou huur maar een pentester die je software van top tot teen gaat controleren op elke mogelijkheid van zwakte. Ik denk dat hij wel een maand fulltime bezig is, wie gaat dat betalen?
Dezelfde persoon die betaalt als Honda twee miljoen auto's terugroept om de airbag te vervangen, dezelfde persoon die betaalt voor het statiegeld bij de supermarkt, dezelfde persoon die betaalt voor het brandwerende materiaal in het dak van mijn huis. De klant. Die betaalt altijd, het enige verschil is aan wie die betaalt, wanneer en hoeveel. Aan de oorspronkelijke leverancier, of aan een specialist die later de problemen moet komen oplossen (en de boetes betalen).

Als ik op mijn werk software inkoop dan eis ik een security audit van een gerenommeerd IT bedrijf. De betere leveranciers kunnen zo een rapport op tafel leggen. Anderen kunnen dat niet, die krijgen de keuze om het zelf te doen of het door ons te laten doen, maar dan gaan de kosten wel af van de aanschafprijs.
Ik denk dat hij wel een maand fulltime bezig is
Dat ligt er aan hoe je het aanpakt. Als ik een audit doe dan ben ik meestal na 30 minuten klaar. Niet omdat ik dan alle fouten heb gevonden, maar omdat ik genoeg fouten heb gevonden om aan te tonen dat de algehele kwaliteit te laag is en er niet over veiligheid is nagedacht. Dan kan het terug naar de ontwikkelaar met de boodschap dat het structureel anders moet.

Soms werkt het de andere kant op, dan zie ik snel dat de programmeur in kwestie gebruik heeft gemaakt van een betrouwbaar framework dat de meest voorkomende beveiligingsproblemen voorkomt. Dan hoef ik alleen maar te controleren of dat framework overal netjes wordt gebruikt of niet.
In slimme ontwikkelaar investeert in dat soort tools die er voor zorgen dat er veilige en goede code wordt geschreven. Als je dat goed doet dan betaalt dat zichzelf terug wanneer het tijd is om de software te auditten. Het is goed mogelijk dat ook de ontwikkeling zelf sneller en goedkoper wordt. Programmeurs zijn immers het grootste deel van hun tijd bezig met debuggen en fouten verhelpen. Als je kan zorgen dat ze minder fouten maken dan zal dat veel tijd en dus geld schelen.

Een audit moet overigens alleen ter controle zijn. Verwacht niet dat je eerst een stuk software kan bouwen en pas achteraf beveiliging toevoegt aan de hand van een rapportje Dat werkt niet, de programmeurs moeten er vanaf het begin rekening mee houden.
Op deze manier wordt voor bedrijven de ROI van het laten bouwen van een applicatie te klein, waardoor ze uit gaan wijken naar het buitenland, waar het veel goedkoper is.
Dan nemen ze zelf de aansprakelijkheid voor die software op zich.
Kan ik nou van Sony eisen dat ze Android gear 2.0 leveren voor mijn smartwatch 3?
Daarover schrijft Dijkhoff: "De producent is kort gezegd aansprakelijk voor een productie-, informatie- of ontwerpgebrek, waardoor de software niet de veiligheid biedt die ervan mag worden verwacht. Hij kan zich wel verweren tegen aansprakelijkheid, bijvoorbeeld door te stellen dat het op grond aan de stand van de technische kennis op het tijdstip waarop hij de software leverde, onmogelijk was het bestaan van het veiligheidsgebrek te kennen."
Dit is praktisch altijd het geval. Het is niet alsof mensen graag onveilige code uitgeven, maar ze weten gewoon niet van de problemen.
Welke gevolgen heeft dit voor open source software, zoals bijvoorbeeld de MIT licentie stelt.
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND,
EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES
OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND
NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT
HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY,
WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING
FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR
OTHER DEALINGS IN THE SOFTWARE.
Waarbij de licentie stelt dat de auteurs gevrijwaard zijn voor enig gevolg van het gebruik van zijn software. Betekent dit dat deze licenties niet meer geldig zijn?

En gcc stelt:
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
Welk gevolg heeft dit voor programmatuur die met gcc is gecompileerd, die mogelijkerwijs door een bug in gcc niet correct functioneert?
Zonder een koopovereenkomst wordt het in Nederland erg lastig om een tegenpartij aansprakelijk te stellen. Het kan wel, in het geval van opzet, maar daar hebben we't hier niet over. "Geen security updates" zou nalatigheid kunnen betekenen, als er om 1 of andere reden een verplichting zou zijn om die updates te leveren. Maar die verplichting moet dan wel een juridische bron hebben.
Dus als ik een software op maat maak zonder onderhoudscontract is het wel gewoon af is af.
Ik had toch geneeskunde moeten gaan studeren. Eenmaal alles leren en dat is het dan wel.

Bij ICT moet je eindeloos bij blijven leren en het wordt totaal steeds meer en meer. En dan kunnen ze je daarna nog aanklagen. :)

edit: @badsemtex : Ja, dat weet ik ook wel. Maar af en toe een nieuw artikel over een nieuwe oplossing of nieuw instrument lezen/leren zal niet zoveel werk zijn als het bijblijven in de ICT. De evolutie in de ICT gaat toch iets harder dan die van het menselijk lichaam.
@Blokker_1999: Toch denk ik dat het daar per saldo minder is, de ratio 'bij moeten leren' en 'echt werken'. Maar laat ik anders een totaal andere vergelijking maken, met een totaal ander beroep: Liedjesmaker oftewel producer. Je maakt een liedje, en dan is het klaar. Je hebt er geen onderhoud meer voor nodig, en het is helemaal klaar. Je hoeft er niet meer voor bij te scholen. Misschien voor je volgende liedje, want er is dan misschien weer een nieuwe versie van zeg Fruity Loops. Maar dat is het dan wel, dat merk je eigenlijk niet eens als je er dagelijks mee bezig bent. Totaal anders dus dan softwaremakers. Eerder het tegenovergestelde, want in plaats van dat je softwarepakket of website onderhoud nodig heeft en dus tijd en geld kost, blijft je liedje af en veilig en kan het met de tijd juist alleen maar geld opleveren door verkopen/royalties.

[Reactie gewijzigd door Slingeraap2 op 22 juni 2017 19:02]

Als dokter kunnen ze je ook aanklagen hoor als je patint de gevolgen draagt door jouw nalatigheid. En als je je als dokter niet bijschoolt en niet op de hoogte bent van de nieuwste ontwikkelingen ben je ook geen goede dokter.
Ook geneeskunde staat niet stel. Of je nu een specialist bent of een verpleegster, ook voor hen evolueerd de wereld waar zij inzitten en moeten ze regelmatig bijscholen. We doen nog altijd ontdekkingen over het menselijk lichaam en blijven onderzoek doen naar nieuwe behandelingen en remedies.

Dat gaat trouwens zeker niet altijd om zo maar even een artikeltje lezen. Daar kunnen ook pittige opleidingen tussen zitten. Al was het maar omdat bijv. het ziekenhuis waar in je werkt besloten heeft nieuwe apparatuur aan te kopen.
Geneeskunde is wel het slechte voorbeeld dat je kunt geven. Je moet blijven doorleren voor nieuwe soorten medicatie, technieken, noem maar op.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*