Deze blog gaat over auto’s. Maakt u zich geen zorgen, u bent niet per ongeluk op de website van Autoweek terecht gekomen. Nee, het gaat hier om de Mijn Volkswagen app. Een applicatie, waarmee je alle details over je auto realtime kunt bekijken. What could possibly go wrong, moeten ze bij Volkswagen gedacht hebben. Nou, dit bijvoorbeeld. Of dit. Of dit.
Korte samenvatting voor wie geen tijd heeft de hiervoor genoemde links te bekijken: auto’s zijn te hacken. Zoals vrijwel iedere machine die gebruik maakt van software. Met de juiste kennis en technologie kun je bij sommige modellen auto’s vrijwel alle systemen overnemen. Voeg daar een extra, van nature kwetsbaar apparaat zoals een smartphone aan toe, dat draadloos verbinding maakt met de auto, en je moet je security wel heel erg op orde hebben, wil je niet een recipe for disaster krijgen.
Dat doet bij mij de vraag rijzen: stel dat een hacker inbreekt op een rijdende auto en vervolgens een ongeluk veroorzaakt, is de autofabrikant daar dan (mede) aansprakelijk voor? Via de route van de productaansprakelijkheid kom je er denk ik niet. Voor productaansprakelijkheid is vereist dat de schade veroorzaakt wordt door een gebrekkig product zelf en dat is in onze fictieve casus niet het geval. De directe aanleiding is immers de hacker die zonder toestemming toegang krijg tot de systemen van de auto.
Uiteindelijk denk ik dat er wel een vorm van aansprakelijkheid moet bestaan, waarschijnlijk via de route van de onrechtmatige daad. Het lijkt me namelijk in ieder geval in strijd met de maatschappelijke zorgvuldigheid om in een auto software te stoppen die fouten bevat. Ik zie hier ook een rol voor de vraag hoe Volkswagen omgaat met responsible disclosures van kwetsbaarheden in software en de mate waarin Volkswagen op de hoogte is van eventuele kwetsbaarheden in de app of de auto’s zelf. In dat kader belooft het niet veel goeds dat Volkswagen een publicatie over een fout in een chip die gebruikt werd in de startonderbreking twee jaar lang heeft proberen tegen te houden.