Oude telefoons verkopen, mag dat?

Stel je voor, je bent iemand die weinig van smartphones weet en zich er niet echt mee bezighoudt. Je loopt een telecomwinkel binnen en daar ligt hij: een schitterende LG G3, voor een zacht prijsje. Je komt thuis en je gaat enthousiast aan de slag. En dan blijkt dat je een oude telefoon van drie jaar geleden hebt gekocht, die allang geen updates meer krijgt.

Dit is geen theoretisch geval; wie een telefoonwinkel in loopt, treft daar soms stokoude telefoons aan in de schappen. Hetzelfde gebeurt bij webwinkels, waar we toestellen met Android 4.2 uit 2012 (!) aantroffen bij grote, bekende webwinkels.

Ook de lekken in de software op die telefoons zijn niet denkbeeldig. Veel van die toestellen zijn vatbaar voor het bekende Stagefright-lek uit 2015, maar daarvoor en daarna is informatie naar buiten gekomen over talloze exploits voor Android-toestellen. Google brengt elke maand patches uit voor zijn telefoons en sommige fabrikanten pushen die soms naar toestellen, maar nooit naar oudere modellen.

Kortom, elke dag kopen veel mensen een telefoon die vanaf het moment dat ze hem uit de doos halen, onveilig is en dat altijd zal blijven. Mag dat eigenlijk? Mogen fabrikanten en verkopers onveilige smartphones verkopen? En als het mag, is het iets wat verboden zou moeten worden? Tweakers ging op onderzoek uit.

Een van de lastigste zaken is vaststellen wanneer een telefoon definitief geen updates meer krijgt. Veel fabrikanten zijn er niet bepaald loslippig over, hoewel de geschiedenis van updates een aardige indicatie is. Apple is het netste jongetje van de klas; de iPhone 5 uit 2012 is het oudste model dat draait op iOS 10 en kan nog tot volgend najaar op ondersteuning rekenen. Bij Windows 10 Mobile is het duidelijk; Microsoft blijft de toestellen die nu draaien op dat platform, in de komende tijd ondersteunen. Wel is Microsoft vorig jaar, compleet onverwacht, gestopt met de ondersteuning van toestellen waarvoor het wel een update had beloofd, waaronder de Lumia 920 en 520. Het meest chaotisch is de situatie bij Android. Google zelf hanteert echter een duidelijk beleid; de Nexussen en Pixels krijgen drie jaar lang beveiligingsupdates. De Nexus 5, die sommige webwinkels nog in het assortiment hebben zitten, is dus aan het einde van zijn ondersteuning gekomen. De Pixels krijgen nog minimaal 2,5 jaar updates.

Elke telefoon van 2015 of eerder kun je met een gerust hart in de winkel laten liggen

Voor de rest van de fabrikanten geldt: hoe duurder de telefoon, hoe groter de kans op updates. Vrijwel alle fabrikanten onderhouden hun duurste modellen een jaar of twee met updates. Bij goedkopere telefoons wordt dat al snel minder. Soms komt er wel een update, maar soms ook niet. Samsung vermeldt tegenwoordig op zijn site wanneer een model geen ondersteuning meer zal krijgen. De Galaxy S5 Mini, die ook nog in veel schappen ligt, is bijvoorbeeld die twee jaar al voorbij. Huawei, HTC, LG en Sony zijn daar minder duidelijk over, maar alle fabrikanten kondigen vaak wel aan of ze een nieuwe versie van Android naar een toestel proberen te porten of niet. Vuistregel is: als een telefoon meer dan twee jaar geleden voor het eerst uitkwam, hoef je nergens meer op te rekenen. Dat klopt niet altijd, maar het is een aardige indicatie. Elke telefoon van 2015 of eerder kun je dus met een gerust hart in de winkel laten liggen, als je geeft om beveiliging.

Om een beeld te krijgen van hoeveel verouderde telefoons je kunt kopen, hebben we een steekproef gedaan bij het volledige assortiment van twee van de bekendste webwinkels met smartphones. Het ging ons niet om de namen van de winkels, maar om het beeld van de markt. Bovendien is de resulterende informatie niet compleet; sommige telefoons krijgen geen updates meer, maar draaien wel op het vrij recente Android 6.0. Desondanks geeft het een beeld, want van een toestel dat nu nog Android 5.1 of lager draait, hoef je in de komende tijd niets meer te verwachten. Google ondersteunt volgens het 'n-1'-principe; patches komen er nu voor Nougat en Marshmallow. Bovendien hebben we niet alleen gekeken naar de specificaties van de toestellen, maar ook of die wel klopten en of er al een update is uitgekomen. In sommige gevallen meldden webwinkels een oudere Android-versie dan courant is voor een telefoon.

Bij de ene webwinkel draait 36 procent van het totale leverbare aanbod van Android-telefoons op Android 5.1 of lager, bij de andere is dat bijna 30 procent. Voor de goede orde: Android is aangeland bij versie 7.1. Lollipop 5.1 kwam uit in maart 2015. Sommige van de telefoons draaiden nog op Android 4.x, zoals Kitkat 4.4 van eind 2013.

Laten we beginnen bij het begin. Is het verboden om telefoons met verouderde en onveilige software te verkopen? Met die vraag klopten we aan bij de Autoriteit Consument & Markt, de Nederlandse toezichthouder voor onder meer de telecomsector.

Het antwoord is, zo blijkt, genuanceerd. "In zijn algemeenheid kun je zeggen dat het niet verboden is om die toestellen te verkopen", aldus woordvoerder Murco Mijnlieff van de ACM. Daarbij is wel een stevige kanttekening te maken. De verkoper heeft een wettelijke plicht om kopers in te lichten over eventuele beperkingen van het product. "Gebeurt dat niet, dan zou de consument de overeenkomst op grond van een ‘misleidende omissie’ kunnen vernietigen. De consument moet wel aannemelijk maken dat hij - als hij juist was geïnformeerd - de overeenkomst niet gesloten zou hebben." Kortom, als iemand de telefoon niet had gekocht als hij wist dat zijn gloednieuwe smartphone voorzien was van verouderde software, is dat een reden om de koop te ontbinden.

Verkopers moeten duidelijk maken dat het gaat om een telefoon die niet meer wordt ondersteund

Oude telefoons verkopen mag dus wel, maar verkopers moeten dan duidelijk maken dat het gaat om een telefoon die niet meer wordt ondersteund door de fabrikant, zegt de ACM. "Als een fabrikant geen updates meer maakt en daarmee de telefoon minder goed werkt en/of bestookt wordt met virussen, is dat essentiële informatie voor normaal gebruik van de telefoon. De verkoper behoort dat dan te melden." Op dit moment ontbreekt die informatie. Geen enkele webwinkel geeft bij oudere telefoons aan dat het gaat om een toestel dat vatbaar is voor een reeks bekende en misbruikte lekken in het besturingssysteem of iets van die strekking.

Het is een moeilijk vraagstuk, vindt ook ict-jurist Arnoud Engelfriet. "Helaas is deze praktijk zó wijdverbreid dat het haast ondoenlijk is hier een punt van te maken", blogde Engelfriet eind vorig jaar. "Je mag verwachten dat een telefoon veilig is en updates krijgt, zeg je dan. Maar dit is zo'n nieuw onderwerp dat de onderbouwing daarvoor moeilijk te geven is. Ik ben het ermee eens dat dit de verwachting is, alleen verder dan allerlei meningen komen we niet op dit moment."

Het is prima te beargumenteren waarom het verboden zou moeten zijn om oude telefoons te verkopen. Als een telefoon een gebroken glasplaat aan de voorkant heeft, is dat een goede reden om hem niet meer in de schappen te leggen. Waarom is het dan wel acceptabel om een telefoon te verkopen waarvan de beveiliging aan diggelen ligt?

Er zijn redenen om die oude telefoons wel te verkopen. Vaak gaat het om voorraden van telefoons die ooit nieuw waren. Verkoop verhindert vernietiging en dus het weggooien van een hoop materiaal. Recycling blijkt veelal te duur. Daar komt bij dat er naast smartphones veel meer apparaten zijn die met mogelijk onveilige software in de schappen liggen. Denk aan internet-of-thingsapparatuur of televisies die na korte tijd geen updates meer krijgen voor hun smart-tv-platform. Zouden die ook uit de schappen moeten?

Vodafone zegt dat het geen oude toestellen in de schappen heeft liggen. "Ons huidige assortiment heeft Android 6 of hoger", claimt woordvoerder Alexis van Liebergen. "Misschien dat nog enkele oude toestellen een eerdere versie van Android bevatten, deze zijn echter vrijwel altijd te upgraden naar Android 6. Mocht er een toestel zijn dat niet upgradable blijkt, dan plaatsen we daarbij een waarschuwing in onze kanalen."

Coolblue claimt dat het blijft kijken naar de NPS-metingen hoeveel klanten een toestel adviseren en hoeveel er retour komen. "Zolang we merken dat er vanuit onze klanten vraag naar is en we merken dat het toestel volledig voldoet aan de verwachting, blijven we dit assortiment voeren", aldus woordvoerster Tamara Vlootman. "Verder zien we het als onze rol om onze klanten zo goed mogelijk te informeren, zodat ze de keuze maken voor het product dat het best bij hen past. Als er een groot risico ontstaat door een verouderd besturingssysteem, dan zien we dat als een minpunt van dat product en zullen we dat waar nodig vermelden in onze shops."

"Veel consumenten zullen de S6 niet direct herkennen als een oud toestel"

De Consumentenbond vindt dat de ACM en de retailers niet ver genoeg gaan. "Ook voor nog niet verouderde toestellen moet deze verplichting gelden. Dus er is altijd een informatieverplichting over het beleid van software-updates." De bond noemt als voorbeeld een 'toestel van de maand' bij Telfort. Deze maand was dat de Galaxy S6, die volgens Samsung ondersteuning krijgt tot maart van dit jaar. "Consumenten die ingaan op het aanbod van Telfort, lopen straks bijna twee jaar lang rond met een onveilig toestel, waarvoor geen veiligheidsupdates meer uitkomen. Veel consumenten zullen de S6 niet direct herkennen als een oud toestel en bij gebrek aan informatie over updates mogelijk tot koop overgaan."

De bond heeft momenteel een rechtszaak lopen tegen Samsung. De eis is dat consumenten na aankoop in elk geval twee jaar updates krijgen. "Als de rechter die eis toewijst, zouden retailers en mobiele aanbieders alleen toestellen mogen verkopen die nog twee jaar updates krijgen vanaf het moment van verkoop."

Het probleem van oude telefoons die nog altijd in de schappen liggen, is complex en hardnekkig. Ten eerste heb je te maken met oude voorraden van telefoons. Onveilige telefoons verkopen is misschien onwenselijk, maar grote voorraden smartphones vernietigen omdat de fabrikant de ondersteuning stopt, is dat ook. Het is kiezen tussen twee kwaden.

Daar komt bij dat het onduidelijk is wanneer de laatste update is geweest. Fabrikanten kondigen de release van een mobieltje meestal groots aan, maar als diezelfde telefoon end-of-life is, huren ze heus geen abri's af om dat aan iedereen te laten weten.

De definitie van wat wel en niet acceptabel is, is eveneens lastig. Is een telefoon met Android 6.0 begin 2017 nog te verkopen of niet? Wie bepaalt dat en op grond waarvan?

Er zitten dus behoorlijk wat haken en ogen aan, maar gelukkig heeft de ACM nu een duidelijke uitspraak gedaan. Het mag wel, maar als de software aantoonbaar lekken bevat, moet een verkoper de klant daarvan op de hoogte stellen. Het enige dat we dan nog moeten doen, is stemmen met de voeten en die telefoons niet meer aanschaffen. En stiekem blijven we erop hopen dat smartphones, net als pc's, platforms worden waarvoor fabrikanten jaren tijdig beveiligingsupdates pushen.