Aansprakelijkheid voor malvertenties

Veel online dienstverleners zijn geheel of gedeeltelijk afhankelijk van inkomsten uit advertenties. Soms wordt vergeten dat deze advertenties ook een beveiligingsrisico vormen. Zo haalde muziekdienst Spotify het nieuws, omdat verschillende advertenties in de desktopsoftware met malware besmet bleken te zijn. Het is niet voor het eerst dat malvertenties de kop opsteken. Daarmee rijst de vraag: wie is aansprakelijk als de advertenties schade veroorzaken?

Gronden voor aansprakelijkheid

De Nederlandse wet voorziet in verschillende aansprakelijkheidsgronden. Allereerst kan aansprakelijkheid voortvloeien uit een tekortkoming in de nakoming van een overeenkomst (ook wel: wanprestatie). Daarnaast ben je aansprakelijk voor een jou toe te rekenen onrechtmatige daad. De wet maakt daarbij onderscheid tussen drie vormen van onrechtmatigheid:

  1. Inbreuk op een recht: het verspreiden van malware kan een inbreuk zijn op het eigendomsrecht van de gebruiker ten aanzien van het besmette apparaat. De malware kan ook inbreuk maken op het recht op privacy van de gebruiker, bijvoorbeeld als de malware informatie van de gebruiker verzamelt en doorstuurt.
  2. Gedraging in strijd met de wet: het ter beschikking stellen of verspreiden van schadelijke malware levert een strafbaar feit op, maar alleen indien er opzet in het spel is.
  3. Gedraging in strijd met de maatschappelijke zorgvuldigheid: hiervan kan bijvoorbeeld sprake zijn als er onvoldoende beveiligingsmaatregelen genomen zijn om de malvertentie tegen te houden.

Er zijn dus verschillende omstandigheden waaruit de onrechtmatigheid van malverteren kan voortvloeien. Een partij kan echter slechts aansprakelijk worden gesteld, indien de onrechtmatige daad aan hem kan worden toegerekend.

Toerekening aan de dienstverlener

Meestal zal de malware niet bewust door de dienstverlener worden verspreid. De dienstverlener heeft vaak beperkte controle over de weergegeven advertenties, omdat de invulling van advertentieruimte wordt uitbesteed aan advertentienetwerken. In de meeste gevallen zal de besmetting plaatsvinden bij het advertentienetwerk, maar wordt de malware vervolgens verspreid via de daarop aangesloten websites.

De dienstverlener kan zich echter niet verschuilen achter het advertentienetwerk. Ook als hij zich niet bewust is van de besmette advertentie, kan de onrechtmatige daad vaak aan hem worden toegerekend. Dat is in ieder geval mogelijk als de dienstverlener een verwijt kan worden gemaakt ten aanzien van het verspreiden van de malware. Bijvoorbeeld omdat hij zijn dienst onvoldoende heeft beveiligd, of omdat hij niet adequaat heeft gereageerd op meldingen van gebruikers.

Omvang van de schade

Bij een onrechtmatige daad hoeft alleen de schade te worden vergoed die daarvan het gevolg is. Sommige soorten malware (zoals adware) zijn relatief onschuldig, waardoor de veroorzaakte schade ook beperkt zal zijn. In dat geval zal het voor de gebruiker meestal niet de moeite zijn om de dienstverlener voor de besmetting aansprakelijk te stellen.

Er zijn echter ook vormen van malware die grote schade kunnen aanrichten. Een goed voorbeeld hiervan is de aan populariteit winnende ransomware, waarmee alle bestanden op het apparaat van de gebruiker gegijzeld kunnen worden. Dat kan resulteren in een behoorlijke schadepost, met name bij een infectie in een bedrijfsnetwerk. Er zijn verschillende voorbeelden waarin een bedrijf een exorbitant bedrag betaalde om weer toegang te krijgen tot zijn bestanden.

Eigen verantwoordelijkheid

De gebruiker kan zelf ook maatregelen nemen om malware buiten de deur te houden, bijvoorbeeld door het installeren van updates en het gebruik van antivirussoftware. Als de gebruiker dit nalaat, is hij mogelijk medeschuldig aan de schade die is ontstaan. De gebruiker heeft dan slechts recht op een gedeeltelijke schadevergoeding.

Maatregelen

Voorkomen is natuurlijk beter dan genezen. Het is daarom voor de dienstverlener van belang om alleen zaken te doen met betrouwbare advertentienetwerken. Daarnaast is het belangrijk dat gebruikers met de dienstverlener in contact kunnen komen, want besmettingen komen vaak pas aan het licht nadat de eerste slachtoffers zich melden. De ruimte voor juridische maatregelen is beperkt: omdat veel dienstverleners zich richten tot consumenten, is het meestal niet mogelijk om aansprakelijkheid echt uit te sluiten.

Terug naar overzicht