De (privacyrechtelijke) uitdagingen van 'Internet of Things'

vrijdag, 23 januari 2015

Met Internet of Things of het ‘internet der dingen’ wordt de ontwikkeling bedoeld waarbij steeds meer apparaten worden verbonden met het internet en met elkaar. Denk aan slimme meters en smart TV’s die je kunt bedienen met je smartphone. Of de koelkast die eten bestelt bij de supermarkt. Deze ‘slimme apparaten’ zullen steeds meer gegevens uitwisselen. Dat leidt tot uitdagingen, zoals de bescherming van de privacy en de veiligheid van de gebruikers. Het is bijvoorbeeld niet de bedoeling dat je zorgverzekeraar de gegevens van je slimme weegschaal ontvangt, dat hackers via slimme apparaten toegang krijgen tot je vertrouwelijke gegevens of via de camera in je smart TV zelfs in je woning kunnen kijken.

De gegevens die de slimme apparaten delen via internet zijn bijna altijd persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (Wbp). Een persoonsgegeven is ieder gegeven dat direct of indirect herleidbaar is tot een persoon. Zo zijn de meetgegevens van een slimme meter gekoppeld aan het adres van de woning waar de meter zich bevindt en degene die de energierekening betaalt. De leveranciers van slimme apparaten zullen zich dus moeten houden aan de eisen van de Wbp, waaronder de informatieplicht en de beveiliging van de persoonsgegevens. Het onafhankelijk adviesorgaan van Europese privacytoezichthouders - de Artikel 29 werkgroep - heeft in een opinie aandacht besteed aan de grootste privacy risico’s die bij de ontwikkeling van Internet of Things spelen. Het grootste risico is het gebrek aan (ingebouwde) beveiliging van de apparaten en dus de beveiliging van persoonsgegevens. Daarnaast wijst de Artikel 29 werkgroep op het gebrek aan controle over de verwerking van persoonsgegevens door slimme apparaten, het gebrek aan goede informatie over de gegevensverwerkingen en het ontbreken van toestemming van de gebruikers.

Het College Bescherming Persoonsgegevens (CBP) heeft voor de slimme meter een privacy checklist samengesteld, waarin vragen zijn opgenomen om te controleren of bij een gekoppelde energiebesparingdienst de leverancier zich aan de relevante privacyregels houdt. In 2013 oordeelde het CBP in een onderzoek naar de Smart TV van TP Vision, dat TP Vision in strijd met de Wbp handelde, omdat het de kijker onvoldoende had geïnformeerd over het via de smart TV verzamelen en opslaan van het kijkgedrag, gebruik van apps en websitebezoeken. Zie ook ons artikel hierover. Het CBP en de andere Europese privacy autoriteiten doen steeds vaker onderzoek naar de beveiliging van persoonsgegevens, ook van slimme apparaten. Als een bedrijf de beveiliging niet op orde heeft of andere vereisten van de privacyregelgeving niet naleeft, riskeert het niet alleen een boete, maar ook negatieve publiciteit, want het CBP publiceert al zijn onderzoeken. 

Bedrijven die zich willen positioneren op de markt van de slimme apparaten zullen daarom beter op een slimme manier de uitdagingen van beveiliging en privacy aangaan. Een goede beveiliging en bescherming van privacy kunnen zelfs een uniek verkoopargument zijn en negatieve publiciteit voorkomen.