Een koffiezetapparaat dat aangaat zodra men ’s ochtends wakker wordt of een koelkast die ontbijtsuggesties geeft met producten die hun houdbaarheidsdatum naderen, met de digitale revolutie die het ‘Internet of Things’ (IoT) teweegbrengt wordt dit mogelijk. Slimme technologie stelt apparaten in staat om voor zichzelf te denken en zich via internet met elkaar te verbinden. Zo kan onze leefomgeving efficiënter en duurzamer worden ingericht. IoT biedt vele mogelijkheden, maar wat zijn de privacyrisico’s die eraan verbonden zijn? En hoe kan de veiligheid van IoT-systemen gegarandeerd worden? IoT-apparaten worden ontwikkeld met het oog op nieuwe functionaliteiten, maar beveiliging en privacy krijgen relatief weinig aandacht. In deze blog besteden wij hier wel aandacht aan.
Wat is het ‘Internet of Things’?
In brede zin gaat het Internet of Things, of ‘IoT’, over het internet dat apparaten verbindt. Deze apparaten kunnen met elkaar communiceren en kunnen zonder menselijke tussenkomst gegevens naar de ‘cloud’ sturen. Het IoT wordt beschouwd als het geheel van op het internet aangesloten (‘slimme’) apparaten. Het Internet of Things bestaat uit een grote groep diverse toepassingen, waarvan slimme woningen en slimme steden de belangrijkste voorbeelden zijn.
Privacy- en veiligheidsrisico’s van IoT-apparaten
IoT-apparaten kunnen meer efficiëntie, duurzaamheid en gebruiksgemak bieden. De voordelen zijn vooral economisch van aard (tijd- en kostenbesparing) of hangen samen met gedragsverbetering (bijvoorbeeld ‘smart watches’ die aanzetten tot een gezondere levensstijl). Maar er zit ook een keerzijde aan dit fenomeen. IoT-systemen kunnen namelijk risico’s voor de privacy met zich meebrengen.
Omdat IoT niet kan bestaan zonder data, is een terugkerend onderwerp dat hiermee samenhangt de privacy van de gebruiker. Privacy is kort gezegd vrijwaring van interferentie, inmenging of ongewenste observatie. Het betreft het recht om met rust gelaten te worden. Volgens deze definitie vormt blootstelling van gevoelige of persoonlijke gegevens aan ‘onbedoelde ontvangers’ een bedreiging voor de privacy.
Internet of Things-apparaten verzamelen gegevens, waaronder vaak ook gevoelige en persoonlijke gegevens, zoals voor- en achternaam, adres en telefoonnummer, en in sommige gevallen zelfs financiële gegevens en informatie over de gezondheid of locatie van de gebruiker. Doordat IoT-apparaten gevoelige informatie opslaan en communiceren met andere op internet aangesloten apparaten, is de privacy van gebruikers kwetsbaarder dan ooit. Naarmate bijvoorbeeld steeds meer apparaten in huis met internet zijn verbonden, kan immers een gedetailleerder beeld van het leven van de gebruiker worden geschetst. Denk bijvoorbeeld aan dagelijkse gewoonten, veranderingen in routine en details over het gezin.
IoT-apparaten vormen niet alleen een risico voor de privacy, ook potentiële beveiligings- of veiligheidsrisico’s nemen toe met het gebruik van IoT-apparaten. De apparaten worden slim gemaakt door computers, bestaande uit hard- en software, en staan in verbinding met het internet. Helaas hebben deze computers vaak beveiligingslekken en kwetsbaarheden die de toegang tot deze apparaten vergemakkelijken. Hackers kunnen zo toegang krijgen tot iemands netwerk via thermostaten, digitale deursloten, koelkasten, babyfoons en slimme horloges. Door in te breken, kunnen hackers niet alleen (gevoelige) gegevens uit apparaten halen, maar in het ergste geval ook de besturing van de apparaten helemaal overnemen. Daarom kan het hacken van een IoT-apparaat een directe bedreiging vormen voor iemands privacy en veiligheid. Via deze link krijg je enkele tips voor het aanschaffen, installeren en (veilig) gebruiken van Internet of Things-apparaten.
Wet- en regelgeving met betrekking tot IoT-apparaten
Momenteel is er vrijwel geen (overheids)toezicht op hoe IoT-apparaten, met het oog op privacy en veiligheid, moeten worden ontworpen of vervaardigd. In plaats daarvan wordt het op dit moment vaak aan bedrijven overgelaten om te bepalen wat ‘verantwoord IoT’ is. Hoewel de verantwoordelijkheid ligt bij de fabrikanten en winkeliers die IoT-apparaten verkopen, zijn er, of wordt gewerkt aan, algemene kaders die (mogelijk) van toepassing zijn op (de verkoop en het gebruik van) IoT-apparaten.
AVG
Via IoT-apparaten worden allerlei persoonsgegevens verzameld van de gebruikers daarvan. Daarom moeten de fabrikanten van deze apparaten voldoen aan de Algemene verordening gegevensbescherming (AVG). De AVG is echter alleen van toepassing binnen de Europese Unie.
De AVG is van toepassing op het verzamelen en opslaan van gegevens. De AVG is ook van toepassing op hetgeen er vervolgens met de gegevens gebeurt. Zo zullen de beginselen van gegevensverwerking van toepassing zijn bij het verwerken van persoonsgegevens door IoT-systemen (artikel 5 AVG) en dient er een rechtmatige grondslag te zijn voor het verwerken van gegevens (artikel 6 AVG). Toestemming is een van de mogelijke grondslagen, maar alleen als die aan strenge criteria voldoet: de toestemming moet geïnformeerd zijn, uit vrije wil worden gegeven, specifiek zijn, en in een bevestigende handeling worden gegeven. Elke entiteit die gegevens wil verwerken, moet informatie verstrekken over bijvoorbeeld de aard van de verwerking en de doeleinden van de verwerking. Toestemming moet een keuze zijn die gebruikers kunnen maken zonder dat zij met een sanctie worden bedreigd. Voor de gebruikers is het derhalve belangrijk dat duidelijk is wat er precies met hun gegevens gebeurt, ook omdat gegevens vaak worden opgeslagen voor verder gebruik (voor commerciële doeleinden). Ten aanzien van toestemming als rechtsgrond voor het verwerken van gegevens door IoT-apparaten bestaan een aantal zorgen.
Toestemming wordt bijvoorbeeld niet altijd geacht vrijelijk gegeven te zijn. In sommige gevallen wordt de gebruiker namelijk ‘’gedwongen’’ om in te stemmen met het delen van privégegevens als hij of zij het apparaat wil gebruiken of de noodzakelijke (beveiligings)updates wil installeren voor de goede werking van het apparaat. Men moet hierover echter op grond van de AVG zelf kunnen beslissen en een weloverwogen keuze kunnen maken, zonder dat toestemming voor gebruik van privé gegevens wordt afgedwongen. Ook is lang niet altijd toestemming gegeven voor het door het gebruik van een verbonden apparaat vastleggen en analyseren van bepaalde persoonlijke informatie. Dit zijn aspecten waar de AVG wel op van toepassing is.
EU Data Act (nog niet in werking getreden)
Op 23 februari 2022 presenteerde de Europese Commissie haar voorstel voor de ‘EU Data Act’. Deze wet volgt op de Data Governance Act. De Data Governance Act creëert processen en structuren om het delen van gegevens te vergemakkelijken. De EU Data Act geeft meer informatie over wie kan profiteren van deze gegevensdeling en onder welke voorwaarden. Het gemeenschappelijke doel is om een interne marktplaats te creëren waarin de vrije stroom van gegevens wordt bevorderd. Het gaat daarbij om data die wordt gegenereerd door slimme producten en diensten, bijvoorbeeld door ‘smart watches’. Bij de aanschaf van zo’n product is het niet altijd duidelijk wie wat met de gegenereerde data mag doen. Daar moet (onder andere) de EU Data Act invulling aan gaan geven. Dit betekent dat de EU Data Act ook betrekking zal hebben op IoT-apparaten.
E-privacyverordening (nog niet in werking getreden)
De voorgestelde E-privacyverordening, een Europese verordening die de privacyrichtlijn (Richtlijn 2002/58/EG) moet vervangen omdat deze beter zou aansluiten bij de nieuwe technologische realiteit, zal ook van toepassing zijn op communicatie tussen Internet of Things-apparaten. Bekijk onze blog voor meer informatie over deze verordening.
Regelgeving vanuit Nederland
De Nederlandse overheid pleit al een tijdje voor meer IoT-regulering in Europa. Onze overheid heeft daartoe samen met het bedrijfsleven in 2018 de Roadmap Digitaal Veilige Hardware en Software ontwikkeld en pleit actief voor strengere richtlijnen in Europa, zoals minimumeisen voor de veiligheid van slimme apparaten. In 2018 nam de Tweede Kamer ook een motie aan om de certificering van apparaten die onderdeel zijn van het Internet of Things verplicht te stellen. Het labelen of certificeren van IoT-apparaten kan een aantal van de problemen waarmee het Internet of Things wordt geconfronteerd, oplossen. Toenmalig Staatssecretaris van Economische Zaken Mona Keijzer heeft destijds aangegeven dat de motie past in de roadmap voor veilige hardware en software.
Conclusie
De meeste mensen zijn zich niet of nauwelijks bewust van de privacyrisico’s van hun IoT-apparaten. Consumenten hebben ook weinig oog voor zaken als veiligheid en betrouwbaarheid bij de aanschaf van IoT-producten. IoT-beveiliging is echter fundamenteel voor privacy. Immers, het hacken van een IoT-apparaat kan een directe bedreiging vormen voor iemands privacy en veiligheid. Hackers kunnen niet alleen (gevoelige) gegevens uit apparaten halen, maar in het ergste geval ook de besturing van de apparaten helemaal overnemen. Om de mogelijkheden van het Internet of Things ten volle te benutten, dient nieuwe wet- en regelgeving te worden ontworpen en voor zover van toepassing dient de bestaande wet-en regelgeving te worden herzien. Een actieve(re) houding van de wetgever, op Europees en nationaal niveau, is daarbij gewenst om te voorkomen dat de ingrijpende gevolgen zich daadwerkelijk verwezenlijken. Het kan daarbij gaan om bredere regelgeving en minimumeisen wat betreft beveiliging van IoT-apparaten en het gebruik van data. De toekomst van IoT hangt af van goede regulering en de mate waarin consumenten en beleidsmakers zich bewust zijn van de risico’s.
