Het Internet der Dingen

Afgelopen maart maakte Wikileaks verschillende documenten openbaar waarin de suggestie werd gewekt dat de CIA via (onder meer) televisies persoonlijke informatie van mensen verzamelt. Het lijkt vergezocht, maar feit is dat een groeiend aantal apparaten zowel een internetconnectie heeft als de software om daarvan gebruik te kunnen maken. Deze apparaten kunnen daarmee data uitwisselen. Het netwerk van zulke apparaten wordt ook wel omschreven als het “Internet der Dingen” (Engels: Internet of Things). In het licht van (toekomstige) Europese en Nederlandse wetgeving op het gebied van databescherming en elektronische communicatie, is het belangrijk dat ondernemingen zich bewust zijn van het veiligheidsniveau van deze “Internet-of-things apparaten” (“IoT-apparaten”).

In dit nieuwsbericht gaan we nader in op bepaalde wetgeving ten aanzien van IoT-apparaten en bespreken we een aantal van de risico’s.

Hackgevoelig

IoT-apparaten zijn kwetsbaar. Dat komt zowel door de manier waarop ze in elkaar zitten, als door de wijze waarop ze worden gebruikt. De meeste IoT-apparaten hebben bijvoorbeeld maar een beperkte batterijduur en weinig verwerkingskracht, waardoor ze vaak niet in staat zijn tot versleuteling van data. Bovendien worden IoT-apparaten weinig gebruikt binnen traditionele IT-structuren, die extra bescherming zouden kunnen bieden. Als gevolg hiervan zijn de meeste IoT-apparaten onvoldoende beschermd tegen hacks. Dit is -vanuit een privacy oogpunt- met name een risico op het moment dat er persoonsgegevens of zelfs bijzondere persoonsgegevens op IoT-apparaten worden opgeslagen.

Het gebruik van IoT-apparaten brengt ook andere veiligheidsrisico’s met zich. Dit bleek onder meer in juli 2015, toen Fiat Chrysler meer dan een miljoen jeeps moest terugroepen. De reden was dat -als gevolg van een bug in het systeem- het besturingssysteem van de auto op afstand kon worden overgenomen. Recent nog, in oktober 2016, werd een groot deel van het Amerikaanse internet platgelegd door malware op meer dan honderdduizend IoT-apparaten, zoals digitale videorecorders en webcams.

Een extra gevaar doet zich voor als een IoT-apparaat op een onbeveiligde internetverbinding draait, zoals op publieke WiFi. Een deel van deze risico’s kan mogelijk worden ondervangen door het opstellen van een goede bewerkersovereenkomst; of handleiding voor veilig gebruik van een IoT-apparaat.

Toepasselijke wetgeving

Voor het gebruik of de productie van IoT-apparaten bestaat op dit moment in Nederland geen specifieke wetgeving. Wel is sommige wetgeving ook van toepassing op IoT-apparaten. Het gaat dan bijvoorbeeld om wetgeving op het gebied van databescherming. We bespreken een aantal belangrijke regelingen.

Algemene Verordening Gegevensbescherming

IoT-apparaten die gegevens kunnen opslaan en verzamelen die als persoonlijk en/of bijzonder kunnen worden gekwalificeerd, moeten gaan voldoen aan de bepalingen van de Algemene Verordening Gegevensbescherming (“AVG”) zodra deze in mei 2018 in heel Europa van kracht wordt. Een IoT-apparaat dat wordt gehackt, kan namelijk resulteren in een datalek. Producenten van IoT-apparaten die onder de AVG als verantwoordelijken worden beschouwd, moeten dan mogelijk maatregelen nemen, zoals het sluiten van (aanvullende) overeenkomsten met gebruikers van IoT-apparaten. Lees meer over de AVG in onze update van 11 december 2016.

De Artikel 29 Werkgroep (bestaande uit vertegenwoordigers van alle nationale autoriteiten persoonsgegevens) (“WP29”) bracht al in 2014 een opinie uit over de IoT-apparaten met enkele aanbevelingen:

  • Informeer gebruikers over het soort data dat op het apparaat wordt bewaard;
  • Maak het eenvoudig voor de gebruiker om toegang tot zijn data te krijgen;
  • Ga uit van een security-by-design proces, wat inhoudt dat de standaardinstellingen de meest veilige instellingen zijn;
  • Maak het mogelijk om te differentiëren tussen verschillende personen die gebruikmaken van hetzelfde apparaat, zodat ze niet met elkaars data in aanraking komen;
  • Beperk de data die het apparaat verlaat door ruwe data direct om te zetten in gecomprimeerde data (aggregated data);
  • Beperk de data die wordt verzameld op het apparaat tot alleen die data die absoluut noodzakelijk is om de taken uit te voeren.

Hoewel de betreffende aanbevelingen al een paar jaar oud zijn, vormen ze een mooi beginpunt voor een inventarisatie van de IoT-apparaten die door of namens een onderneming worden gebruikt of aangeboden.

E-privacy Verordening

In december 2016 publiceerde de Europese Commissie een concepttekst voor de E-privacy Verordening, die tot doel heeft om de privacy en vertrouwelijkheid van elektronische communicatie verder te waarborgen. Een deel van de E-privacy Verordening ziet op de vertrouwelijkheid van (onder meer) computers, smartphones en tablets. Om de persoonlijke informatie die op deze apparaten wordt opgeslagen te kunnen inzien of gebruiken, is de toestemming van de gebruiker vereist. Afhankelijk van het gebruik of de werkwijze van een IoT-apparaat, zal dit een punt van aandacht zijn. Lees meer over de E-privacy Verordening in onze update van 24 januari jl.

NIS Richtlijn

In augustus 2016 werd de ‘NIS-richtlijn‘ van kracht, die ziet op de veiligheid van netwerk- en informatiesystemen. Lidstaten moeten deze nu implementeren in hun nationale wetgeving. De NIS-richtlijn heeft tot doel om een hoog veiligheidsniveau ten aanzien van netwerk- en informatiesystemen te bewerkstelligen binnen de EU. In het bijzonder legt de NIS-richtlijn aanvullende verplichtingen op aan organisaties die verantwoordelijk zijn voor essentiële infrastructuur (zoals ziekenhuizen) en digitale dienstverleners. Deze verplichtingen betreffen onder meer een meldplicht in geval van serieuze incidenten. Afhankelijk van de sector waarbinnen een IoT-apparaat wordt gebruikt, is de NIS-richtlijn dus mogelijk van belang.

Ten slotte vestigen we nog kort de aandacht op het wetsvoorstel voor een Wet gegevensbescherming en meldplicht cybersecurity, dat momenteel in behandeling is bij de Eerste Kamer. Het wetsvoorstel beoogt een meldplicht op te leggen aan organisaties die actief zijn in ‘vitale sectoren’, op grond waarvan zij veiligheidslekken en inbreuken op elektronische informatiesystemen zullen moeten gaan melden. Het wetsvoorstel overlapt daarmee op sommige punten met de NIS-richtlijn en zal daarop ook moeten worden aangepast. Voor welke aanbieders, producten en diensten de meldplicht zal gelden, zal worden vastgelegd bij Algemene Maatregel van Bestuur. De consultatieperiode voor de concepttekst daarvan is recent afgerond.

Wat betekent dit voor IoT-producenten en ontwikkelaars?

Ontwikkelaars en producenten van IoT-apparaten zullen voornoemde (toekomstige) wetgeving in het achterhoofd moeten houden wanneer hun apparaten binnen de EU worden gebruikt. Bij Ovidius denken we graag met u mee.

 

Al ons legal nieuws >

Instagram

Volg ons team en het laatste nieuws

LinkedIn

Bekijk onze bedrijfspagina >

Twitter

Volg onze tweets >

Ovidius Law B.V. logo Advocatenkantoor law firm

Algemene voorwaarden
Privacybeleid
Disclaimer
Kantoorklachtenregeling

Arbeidsrecht
Contractenrecht
Ondernemingsrecht
Mediation

Sarphatistraat 370
1018 GW Amsterdam
hello@ovidius.law
+31 20 520 6931

© Ovidius Law B.V. 2024

Linkedin Envelope Instagram