Internet of Things

Bespied door je koelkast?

Internet of Things

Bespied door je koelkast?

oewel de term ‘Internet of Things’ waarschijnlijk bij weinig mensen een belletje doet rinkelen, krijgt vrijwel iedereen ermee te maken. Communicatie via het internet is tegenwoordig niet alleen meer voorbehouden aan reallife mensen die gebruik maken van bijvoorbeeld mobiele telefoons; ook ‘dingen’ zijn verbonden met het internet. En deze trend zet zich in een razend tempo voort.

Vaak valt het mensen niet op dat hun waterkoker, televisie of elektriciteitsmeter online is. Men weet doorgaans al helemaal niet dat deze verbonden apparaten persoonlijke informatie kunnen verzamelen en gevoelige data versturen. De huidige techniek maakt dat apparaten in het geheim kunnen bijhouden wat je doet – zelfs vanuit je eigen woonkamer. Hoe volgen deze slimme huishoudelijke apparaten ons in het geheim en: kun je er iets tegen doen? Deze bijdrage bespreekt het Internet of Things vanuit het perspectief van de privacy van het individu, en poogt daarmee een beknopt antwoord op deze vraag te geven.

Internet of Things

Het begrip Internet of Things (IoT) staat kort gezegd voor een toepassing waarbij verschillende sensoren zijn verwerkt in alledaagse apparaten. 1 Steeds meer apparatuur is zó ontworpen dat ze op grote schaal informatie kan opnemen, verwerken, opslaan én signalen doorsturen naar andere apparaten of systemen; ook wel smart objects genoemd. Met name deze laatsgenoemde functie is veel gebruikers onbekend. Een specifieke ontwikkeling binnen het IoT is het verbinden van huishoudelijke apparaten – die één of meerdere sensoren hebben – met het internet. In toenemende mate komen consumentenproducten als koffieapparaten, wasmachines, ovens en tv’s op de markt die verbonden zijn met het internet. Deze ontwikkeling wordt aangeduid met termen als domoticssmart homes en home automation. Economische groei illustreert de ongekende innovatie op IoT-gebied. 2

Een verklaring voor de populariteit van deze trend is niet ver te zoeken: de apparaten zijn praktisch nuttig en zeer gebruiksvriendelijk. Een verwarming kan bijvoorbeeld met een smartphone vanuit de trein of auto worden bediend, waardoor je er onderweg al voor kunt zorgen dat je thuis komt in een warm huis. Hetzelfde geldt voor het op afstand besturen van de elektriciteitsmeter of de wasmachine. Andere mogelijkheden die vroeger wellicht als science fiction bestempeld zouden worden: een wekker gekoppeld aan een smart koffiezetapparaat dat zorgt voor een vers kopje koffie op een door jou gewenst tijdstip of een smart koelkast die de voorraad van bepaalde producten op peil kan houden door het scannen van de inhoud van de koelkast – en vervolgens zelf automatisch nieuwe producten bestelt. 3 Comfort en gemak alom.

Risico’s

Maar smart homes hebben ook een keerzijde; met name beveiligingsrisico’s – in de breedste zin van het woord – liggen op de loer. De innovatieve apparaten kunnen achterhalen en bijhouden wanneer jij wel of niet thuis bent en hoe de meest gebruikte route door het huis loopt. Wanneer je een online thermostaat of elektriciteitsmeter gebruikt, is te achterhalen of en hoe laat je slaapt, wanneer je douchet en indirect dus ook of jij wel of niet thuis bent. Nuttige informatie voor inbrekers. Bovendien is het risico op misbruik nu nog aanzienlijk, omdat beveiliging van dit soort gegevens nog minimaal is.4 Gezien de technische infrastructuur van IoT-apparaten en de manier waarop de verzamelde gegevens verzonden worden, is het mogelijk dat niet alleen de producenten van de apparaten (en de aan hen gelieerde partijen) de data inzien, maar dat ook anderen zichzelf illegaal toegang verschaffen tot de gegevens. De apparaten zijn kwetsbaar voor hackers met kwade intenties; cybercrime kan een serieuze bedreiging vormen. Een – bijna ludiek – voorbeeld hiervan is een moderne koelkast die recent is omgevormd tot spam-netwerk. Via malware in de slecht beveiligde koelkast en andere keukenapparatuur zijn er 750.000 spam e-mails verzonden.5 Met het oog op verdergaande mogelijkheden van IoT wordt adequate beveiliging van deze apparaten steeds belangrijker.

Naast beveiligingsrisico’s is er ook kans op prijsdiscriminatie. Een slimme koelkast die de voorraad op peil houdt, weet welke (ongezonde) producten er in een huishouden worden genuttigd. Deze informatie kan bijvoorbeeld worden gebruikt door verzekeraars bij het vaststellen van de hoogte van een premie. Dat verzekeraars geïnteresseerd zijn in data over jouw levenswijze, blijkt uit het feit dat bij een bekende zorgverzekeraar een premiekorting kan worden verkregen in ruil voor het delen van e-health-informatie.6
Onbekend voor het grote publiek is dat er smart tv’s bestaan die zijn verbonden met het internet en daarbij zapgedrag analyseren en huiskamergesprekken kunnen opnemen. Een privacy policy van een smart tv-producent waarschuwt: ‘Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party.’ 7 In combinatie met de genoemde beveiligingsproblemen kan dit betekenen dat woonkamergesprekken op straat komen te liggen.

Frictie met privacy en gegevensbescherming

Een huis met connected devices genereert een aantal specifieke privacyproblemen. Hoe meer apparaten in het huis met elkaar verbonden zijn en via sensoren data verzenden, hoe gedetailleerder het beeld is dat door deze data van jou kan worden gecreëerd. De apparaten staan 24/7 aan en verzamelen stuk voor stuk verschillende data over jouw levenswijze en die van je medebewoners.

Door combinatie van deze gegevens kan het gedrag van de mensen die zich in het huis bevinden nauwkeurig worden bijgehouden, geanalyseerd en zelfs voorspeld. Deze home surveillance perkt het recht op respect voor het privéleven en de huiselijke sfeer in. Het adviesorgaan van Europese privacy toezichthouders heeft ook zijn zorgen geuit over de privacy gevaren van IoT-producten. 8
Er is een gebrek aan controle en transparantie bij slimme huishoudelijke apparaten. Op het web word je vaak geïnformeerd door bijvoorbeeld privacy policies en vragen om toestemming voor het plaatsen van cookiesBij de aanschaf van connected devices ontbreekt dit soort informatie vaak. In de gevallen dat er wél informatie in een privacy policy staat is de tekst in sommige gevallen (en zelfs voor experts) vergelijkbaar met een ondoordringbaar doolhof. De teksten zijn lang en enorm gecompliceerd, waardoor vrijwel niemand deze informatie eruit weet te vissen. 9 Omdat bedrijven daarnaast menen dat informatie niet te herleiden is tot één persoon, wordt de consument niet goed geïnformeerd en expliciete toestemming niet gevraagd. Echter, ongeacht of deze veronderstelling juist is, kan met de gegevens een heel gedetailleerd beeld van jou worden gecreëerd en wanneer je niet weet dat dit gebeurt, kun je er ook geen invloed op uitoefenen. Soms weet iemand niet eens dat een apparaat in zijn of haar huis connected is en continu gegevens verzendt. Bij veel apparaten is deze mogelijkheid bovendien niet uit te schakelen; in tegenstelling tot een laptop of mobiele telefoon hebben veel slimme apparaten geen gebruikersinterface waarmee datastromen en verbinding met het internet uit te schakelen zijn. Daarnaast is de ontwikkeling van slimme apparaten niet gericht op de bescherming van persoonsgegevens, zodat de risico’s op bovengenoemde problemen groot zijn. 10

Kan de wet ons niet beschermen tegen bespiedende koelkasten? De Nederlandse privacywet stelt eisen aan het verwerken van persoonsgegevens, bijvoorbeeld ten aanzien van de beveiliging van de gegevens en transparantie naar degene wiens gegevens worden verwerkt. Zo is het versterken van transparantie een van de doelstellingen van de privacywet.11 Maar deze wet zal niet op alle slimme apparaten van toepassing zijn. Bovendien is het in de praktijk onmogelijk om te controleren of alle apparaten en fabrikanten aan de eisen voldoen – de handhavingsbevoegdheden zijn niet eindeloos. Als mensen niet op de hoogte zijn van het geheime gedrag van de apparaten in hun huis, dan kunnen zij ook niets doen tegen deze (beveiligings)risico’s of zich verzetten tegen smart device-producenten. Empowerment van burgers is daarom essentieel om hen te leren zich te verzetten tegen privacy schendingen.

Minder geheimen, meer privacy

Wij hebben steeds minder geheimen voor bedrijven, waardoor zij een steeds gedetailleerder beeld van ons leven hebben – zelfs in onze huiskamers. Gebruiksvriendelijkheid en comfort winnen het vaak van bezorgdheid over privacy. Maar laten we vooral niet uit het oog verliezen hoe belangrijk het is om een plek te hebben waar we volledig onszelf kunnen zijn, onbespied door anderen. Er zijn nog veel vragen over de opkomst van slimme apparaten en hoe we met deze ontwikkeling om moeten gaan, vooral bezien vanuit het perspectief van de privacy van het individu. Belangrijk is om ons te realiseren dat we door het IoT misschien wel minder geheimen hebben dan we denken. Bewustwording is de eerste stap naar de oplossing.

Noten

1 Perera, C., A. Zaslavsky, P. Christen & D. Georgakopoulos, ‘Context Aware Computing for The Internet of Things: A Survey’, Communications Surveys & Tutorials, IEEE, 16:1, 3 mei 2013, pp. 414-454.

2 van Hoek, C., Vijf vragen over Nest en de overname door Google op NU

3 Steiner, S., Smart Fridge? Idiot fridge, more like, op the Guardian

4 Palmer, D., Internet of Things poses ‘real world’ crime risk, op Computing

5 Fridge sends spam emails as attack hits smart gadgets, op BBC

6 Achmea geeft premiekorting aan klant die data levert op Financieel Dagblad

7 In the matter of Samsung Electronics Co., Ltd., EPIC Complaint, Request for Investigation, Injunction and Other Relief, on EPIC 24 February 2015, par. 24; Samsung Global Privacy Policy

8 Article 29 Data Protection Working Party, Opinion 8/2014 on the Recent Developments on the Internet of Things, WP 223, European Commission, 16 September 2014

9 Zuiderveen Borgesius, F., Consent to Behavioural Targeting in European Law – What are the Policy implications of insights from Behavioural Economics?, Amsterdam School of Law Research Paper No. 2013-43.

10 Weber, R.H., ‘Internet of Things: Privacy Issues Revisited’, Computer Law and Security Review 2015, p. 618–627. Kamerstukken II, 1997/98, 25 892, nr. 3.

11 Kamerstukken II, 1997/98, 25 892, nr. 3.

(Internetpublicaties laatst geraadpleegd op 27 November 2015)

Britt van Breda

 

Britt van Breda is student Information Law aan de Universiteit van Amsterdam en is onderzoeksstagiaire bij het Instituut voor Informatie Recht (IViR). Zij heeft dit artikel geschreven onder leiding van Manon Oostveen, promovenda aan het IViR. Haar onderzoek richt zich op de bescherming van privacy in een Big Data context.

Leave a Reply

Your email address will not be published. Required fields are marked *