VR 2020/194
De aansprakelijkheid voor ongevallen met gehackte deelscooters
In grote steden zijn ze inmiddels een bekend verschijnsel: elektrische deelscooters. Onder meer de groene deelscooters van het bedrijf Felyx zijn populair. Voor gebruik van zo’n scooter maak je eerst een account aan in de Felyx-app.1) Je voert daarbij je betaalgegevens in en je (auto- of scooter)rijbewijs wordt gevalideerd.2) Met een goedgekeurd account kun je een scooter reserveren bij jou in de buurt. Daarvoor klik je op een van de scooters die is weergegeven op de kaart in de app. Vervolgens loop je naar de scooter en ontgrendel je deze door in de app op “start” te klikken. Je kunt dan door de stad rijden voor € 0,30 per minuut. Ben je op je bestemming aangekomen, dan parkeer je de scooter en beëindig je de huur met de app.
De elektrische deelscooters bieden voordelen. Ze zijn stil, milieuvriendelijk en kunnen bijdragen aan het autoluw maken van de binnenstad. Maar het concept van Felyx kent een schaduwzijde: niet alleen de scooters, maar ook de geverifieerde accounts worden gedeeld. Die worden gehackt en online doorverkocht, blijkt uit onderzoek van de NOS.3) Hackers verkopen op Telegram – een anonieme chatdienst – inloggegevens van accounts voor een Tikkie van € 10. Kopers kunnen vervolgens kosteloos op een scooter rondrijden op het account van een ander. Het account werkt totdat de officiële accounthouder of Felyx de hack ontdekt en maatregelen neemt. Volgens de hackers zijn kopers vaak minderjarig. Met een gehackt account kunnen zij zonder rijbewijs toch op een scooter rijden. "Ik ga niet vragen: hoe oud ben je? Als je iets wil kopen, dan lever ik. Stel je bent 13 jaar, dan kan je gewoon een scooter pakken," liet een hacker aan de NOS weten.
Voorstelbaar is dat een minderjarige zonder rijbewijs op een gehackte deelscooter een ongeval veroorzaakt. Denkbaar is ook dat een dergelijke joyrider naderhand onvindbaar is of om een andere reden geen verhaal biedt. De vraag rijst dan of het bij het ongeval betrokken slachtoffer een andere partij kan aanspreken voor zijn schade. In het bijzonder valt te denken aan scooteraanbieder Felyx, omdat zijn identiteit eenvoudig is te achterhalen en hij als grote commerciële partij vermoedelijk wel over voldoende financiële middelen beschikt. Hieronder bespreek ik de aansprakelijkheid Felyx.
Aanrijding van een ongemotoriseerde verkeersdeelnemer
Wordt een ongemotoriseerde verkeersdeelnemer aangereden door een gehackte deelscooter, dan kan deze Felyx mogelijk aanspreken op grond van art. 185 lid 2 WVW.4) Volgens deze bepaling is Felyx als eigenaar van de scooter aansprakelijk voor de gedragingen van degene door wie hij de scooter doet of laten rijden.5) De vraag is dus of Felyx de joyrider de scooter heeft doen of laten rijden. Volgens de Hoge Raad is van laten rijden niet alleen sprake indien de eigenaar uitdrukkelijk of stilzwijgend toestemming heeft gegeven, maar ook indien de eigenaar door zorgeloosheid aan een ander de gelegenheid tot rijden heeft verschaft.6) Of daarvan sprake is, hangt af van de omstandigheden van het geval.7) Van belang zijn in het bijzonder de bereikbaarheid van de sleutel voor anderen en de relatie waarin deze anderen tot de eigenaar staan. Van zorgeloosheid kan men bijvoorbeeld spreken als de eigenaar van een auto de sleutel in het contactslot laat zitten, maar ook als hij de sleutel uit de auto haalt, de auto afsluit en de sleutel in zijn jas bewaart, terwijl die jas goed bereikbaar is voor anderen.8)
In het geval van een gehackte deelscooter gaat het niet om de bereikbaarheid van een fysieke sleutel, maar om die van een digitale sleutel: de inloggegevens van een deelscooteraccount. De vraag is hoe gemakkelijk een ander aan die inloggegevens kan komen. Beveiligingsexpert Rickey Gevers stelt in Het Parool dat het hier gaat om “een van de makkelijkste en meest voorkomende manieren van cybercrime”.9) De deelscooteraccounts worden vaak gehackt door middel van credential stuffing. Dit betekent dat een hacker inloggegevens (mailadressen en wachtwoorden) verzamelt die bij eerdere datalekken openbaar zijn geworden. Hij probeert vervolgens met diezelfde inloggegevens op een deelscooteraccount in te loggen. Als dat lukt, kan hij deze doorverkopen. Mensen die dezelfde wachtwoorden gebruiken voor verschillende accounts, zijn vatbaar voor deze vorm van hacken.
Wanneer een gebruiker van een deelscooteraccount kan inloggen door slechts een geldig mailadres en wachtwoord in te vullen en het zo is dat een dergelijk mailadres en wachtwoord vrij eenvoudig online zijn te vinden, dan is verdedigbaar dat de “sleutel” van de deelscooter goed bereikbaar is voor anderen. Dit zou betekenen dat Felyx door zorgeloosheid aan de joyrider de gelegenheid tot rijden heeft verschaft. Felyx zou dan op grond van art. 185 lid 2 WVW aansprakelijk zijn jegens de ongemotoriseerde verkeersdeelnemer voor de gedragingen van die joyrider. Hiertegen kan nog worden ingebracht dat niet Felyx zelf, maar de officiële accounthouder zorgeloos heeft gehandeld, omdat hij kennelijk voor verschillende accounts dezelfde wachtwoorden gebruikt, waardoor zijn deelscooteraccount vatbaar is voor hacken door middel van credential stuffing. Dit tegenargument acht ik toch weinig overtuigend. Felyx is immers de eigenaar van de scooter en hij is daarom primair verantwoordelijk voor de (on)bereikbaarheid van de “sleutel”. Daarbij mag hij er als professionele partij niet zonder meer van uitgaan dat de particuliere accounthouder steeds de vereiste zorgvuldigheid betracht bij het kiezen van zijn (mailadres en) wachtwoord.
Belangrijk is op te merken dat Felyx in een reactie op het NOS-onderzoek laat weten dat hij de accounts extra gaat beveiligen door het invoeren van tweefactor-authenticatie. Dit houdt in dat een gebruiker die wil inloggen, na het invullen van een geldig mailadres en wachtwoord, een zescijferige code moet invoeren die via een sms naar het telefoonnummer van de officiële accounthouder wordt verstuurd. Een hacker die door middel van credential stuffing een geldig mailadres en wachtwoord heeft opgespoord, heeft in geval van tweefactor-authenticatie dus nog geen toegang tot het account. Hij moet daarvoor tevens de zescijferige code achterhalen.
Indien een gebruiker van een deelscooteraccount pas kan inloggen met een geldig mailadres, wachtwoord én zescijferige code (die naar de telefoon van de officiële accounthouder is verstuurd), dan is de “sleutel” van de deelscooter meen ik wel moeilijk bereikbaar voor anderen. Nog steeds is verdedigbaar dat het mailadres en wachtwoord goed bereikbaar zijn voor hackers, maar de cijfercode is voor hen lastig te achterhalen. Daarvoor moeten zij fysiek toegang hebben tot de telefoon van de officiële accounthouder. Dat zal in de regel niet het geval zijn. Hackers sporen immers door middel van datalekken mailadressen en wachtwoorden op van willekeurige (onbekende) accounthouders. De kans is daardoor klein dat zij met een accounthouder in een persoonlijke relatie staan en zich zodoende fysiek nabij een accounthouder en zijn telefoon bevinden. Het is hierdoor onwaarschijnlijk dat een hacker een geldig mailadres, wachtwoord en cijfercode bemachtigt en deze gegevens doorverkoopt aan een minderjarige zonder rijbewijs. Mocht een dergelijke situatie zich toch voordoen, dan kan – gelet op de moeilijke bereikbaarheid van de cijfercode – niet gezegd worden dat Felyx door zorgeloosheid aan die minderjarige de gelegenheid tot rijden heeft verschaft. Felyx zou dan niet aansprakelijk zijn voor de gedragingen van de minderjarige op grond van art. 185 lid 2 WVW.
Aanrijding van een gemotoriseerde verkeersdeelnemer
Wordt een gemotoriseerde verkeersdeelnemer aangereden door een gehackte deelscooter, dan dient deze zijn schadevergoedingsvordering jegens Felyx te baseren op art. 6:162 BW. Bij het beantwoorden van de vraag of Felyx jegens de gemotoriseerde verkeersdeelnemer maatschappelijk onzorgvuldig heeft gehandeld, is het Haringkar-arrest maatgevend.10) Het gaat daarin om X die zijn auto op 12m van een haringkar parkeert om haring te kopen. Hij sluit zijn auto niet af en laat de autosleutel in het contact zitten. Een minderjarige rijdt met de auto weg en veroorzaakt een botsing met automobilist Y. Volgens het hof heeft X jegens Y onrechtmatig gehandeld door de auto niet af te sluiten en de autosleutel niet mee te nemen. Het hof overweegt daartoe dat de mate van waarschijnlijkheid dat het gedrag van X tot gevolg zou hebben dat een tot rijden onbekwaam persoon zich van de auto meester zou maken en daarmee een ongeluk zou veroorzaken groot genoeg is om het gedrag van X onzorgvuldig te achten. De Hoge Raad laat het oordeel van het hof in stand.
De maatstaf die het hof aanlegt voor aansprakelijkheid van de eigenaar jegens de gemotoriseerde verkeersdeelnemer op grond van art. 6:162 BW, is in mijn optiek vergelijkbaar met de maatstaf die geldt voor aansprakelijkheid van de eigenaar jegens de ongemotoriseerde verkeersdeelnemer op grond van art. 185 lid 2 WVW. De mate van waarschijnlijkheid dat een tot rijden onbekwaam persoon zich van het voertuig meester maakt en daarmee een ongeluk veroorzaakt, zal immers eveneens in het bijzonder afhangen van de bereikbaarheid van de sleutel voor anderen en de relatie waarin die anderen tot de eigenaar staan. Aangenomen dat de maatstaf voor aansprakelijkheid op grond van art. 6:162 BW op hetzelfde neerkomt als de maatstaf voor aansprakelijkheid op grond van art. 185 lid 2 WVW, zal Felyx jegens de gemotoriseerde verkeersdeelnemer onder dezelfde omstandigheden aansprakelijk zijn als jegens de ongemotoriseerde verkeersdeelnemer voor de gedragingen van de joyrider.
Mr. C.F. Manders *
* Promovenda aan de Rijksuniversiteit Groningen.
1. https://felyx.com/nl/nl#hoe-werkt-het.
2. Je maakt daarvoor een foto van de voor- en achterkant van je rijbewijs en een selfie.
3. J. Piersma & J. Gortworst, ‘Voor een tientje ook zonder rijbewijs op een deelscooter’, NOS Stories 31 juli 2020. De NOS sprak met tien hackers die dealen in Felyx-accounts. Zij zeggen tientallen gestolen gegevens per maand te verkopen. Zie ook R. Khaddari, ‘Handelen in gestolen accounts deelscooters: ‘Met rijbewijs en betaalgegevens’, Het Parool 6 augustus 2020.
4. Zie over de betekenis van art. 185 lid 1 en lid 2 WVW: C.H. Sieburgh, Mr. C. Assers Handleiding tot de beoefening van het Nederlands Burgerlijk Recht. 6. Verbintenissenrecht. Deel IV. De verbintenis uit de wet, Deventer: Wolters Kluwer 2019/289.
5. Zou er een houder van de scooter zijn, dan rust de aansprakelijkheid niet op Felyx maar op de houder (vgl. art. 185 lid 1 WVW). In dit geval is geen houder aanwijsbaar, omdat er geen persoon is die de scooter uit hoofde van huurkoop, vruchtgebruik of anderszins duurzaam gebruik onder zich heeft (art. 1 lid 1 sub n WVW).
6. HR 31 januari 1992, ECLI:NL:HR:1992:ZC0491, NJ 1992/319, r.o. 3.
7. Het verschaffen aan een ander van de gelegenheid tot rijden zonder rijbewijs komt in wezen neer op het in het leven roepen van een gevaarlijke situatie. De kelderluikcriteria zullen daarom relevant zijn (zie HR 5 november 1965, ECLI:NL:HR:1965:AB7079, NJ 1966/136 (Kelderluik)).
8. HR 31 januari 1992, ECLI:NL:HR:1992:ZC0491, NJ 1992/319, r.o. 3; Zie ook Rb Rotterdam 21 mei 2008, ECLI:NL:RBROT:2008:BD6899; Hof Den Bosch 19 januari 2010, ECLI:NL:GHSHE:2010:BL1530.
9. R. Khaddari, ‘Handelen in gestolen accounts deelscooters: ‘Met rijbewijs en betaalgegevens’’, Het Parool 6 augustus 2020.
10. HR 2 december 1966, ECLI:NL:HR:1966:AB6686, NJ 1967/42 (Haringkar).