Kyana Bozorg Zadeh
IoT: Hoe technologische nachtmerries uit Black Mirror dan toch werkelijkheid kunnen worden
Inleiding
Stel je eens voor: ’s ochtends wanneer je uit bed stapt gaat de koffiemachine meteen aan, de koelkast geeft ontbijtsuggesties met producten die de houdbaarheidsdatum naderen en je auto rijdt zichzelf alvast voor. Je zou denken dat je in een aflevering van de Netflix-serie Black Mirror bent beland. Toch komen zulke “slimme” apparaten en smart homes niet alleen voor in fictieve, futuristische films. Door de opkomst van slimme technologieën, en daarbij zelflerende algoritmes, gaan steeds meer apparaten vanuit zichzelf functioneren en contact met andere apparaten maken. Hierdoor zou onze leefomgeving steeds efficiënter en duurzamer kunnen worden ingericht, maar als prijs hiervoor wordt er steeds meer persoonlijke informatie verzameld.
Verzameling van persoonsgegevens door slimme apparaten
Er worden vele soorten persoonlijke data verzameld door de “slimme” apparaten, waaronder ook zogenoemde metadata. Dit zijn bijvoorbeeld verkeersgegevens van een eindgebruiker (degene van wie de gegevens worden verzameld), zoals de plaats en het tijdstip van verzending van informatie. [1] Dit betekent dat zo’n apparaat dus niet alleen weet wie jij bent, maar ook wat doet, wanneer je het apparaat gebruikt en voor hoelang je bepaalde functionaliteiten gebruikt.
Men kan zich afvragen hoe de privacy wordt gewaarborgd van een eindgebruiker van bijvoorbeeld een “slimme” thermostaat, maar ook of en hoe er uitdrukkelijk toestemming wordt gegeven om dit apparaat alle relevante informatie te laten verzamelen en in te zetten om het apparaat te laten functioneren. Verzamelde gegevens mogen alleen worden gebruikt als er uitdrukkelijk toestemming is gegeven voor een bepaald doeleinde. Dit geldt onder de Algemene Verordening Gegevensbescherming (“AVG”) voor persoonsgegevens verzamelingen in het algemeen, maar er is een nieuwe wet op komst die specifiek ziet op verwerking van persoonsgegevens die worden verzameld door elektronische communicatiediensten. Hierna wordt ingegaan op de verhouding tussen deze wetten en wat dit zou kunnen betekenen voor onze privacy bij het gebruik van zulke apparaten.
Elektronische communicatie en Internet of Things
Apparaten die via het internet met elkaar communiceren zijn een toepassing van het Internet of Things (“IoT”)[2]. Een voorbeeld is de slimme thermostaat die automatisch de temperatuur in je woonkamer meet en op afstand kan worden gereguleerd. Alle data verzameld door dit apparaat worden gedeeld met andere apparaten, bijvoorbeeld met je smartphone. Daar is op zich niks mis mee, maar door de huidige “data-gedreven” maatschappij staat er wel wat tegenover het gemak om dagelijkse toepassingen over te laten nemen door slimme apparaten. Eindgebruikers worden hierdoor namelijk geconfronteerd met verwerkingen van gevoelige, en voor bedrijfsvoering en verdienmodellen relevante verzamelingen van persoonsgegevens. Wordt daarmee de privacy van eindgebruikers wel gewaarborgd binnen de huidige wettelijke kaders? Naast de alom bekende AVG is een nieuwe wet op komst: de E-privacy Verordening (“ePV”).
Alweer een nieuwe privacywet?
De ePV is een Europees wetsvoorstel dat de elektronische communicatie reguleert. Deze wet ziet op de verwerking van persoonsgegevens voor elektronische communicatiediensten. De huidige (nationale) privacywetgeving ziet alleen op “traditionele” telecom aanbieders, terwijl de ePV zich zal uitbreiden naar zogenoemde OTT-diensten: ‘over the top service providers’. Dit zijn bijvoorbeeld diensten als Facebook en WhatsApp. Daarnaast bevat de wet ook een bepaling die ziet op de communicatie tussen apparaten, wat ook wel machine-to-machine communicatie wordt genoemd. In het voorstel wordt expliciet genoemd dat daarmee ook het “recht op vertrouwelijkheid van communicatie” binnen de persoonlijke levenssfeer moet worden gewaarborgd. [3]
Het recht op privéleven is verankerd in het artikel 7 Europees Grondrechten Handvest en in het artikel 8 Europees Verdrag voor de Rechten van de Mens en wordt middels de ePV overeenkomstig van toepassing verklaard. Ook op basis van deze grondrechten moet dus de vertrouwelijkheid van elektronische communicatie worden gewaarborgd bij de verzameling van persoonsgegevens door apparaten. In het kort verwoord heeft de ePV als doel verwerkingen van persoonsgegevens middels elektronische communicatie te beschermen, terwijl de AVG alleen bescherming biedt op de verwerking van persoonsgegevens in algemene zin. De ePV dient dus als aanvulling (lex specialis) op de AVG en zal ook rechtstreeks doorwerken in de Nederlandse rechtsorde. Daar waar de AVG op hetzelfde onderwerp geen regels geeft, zal dus op termijn de ePV gelden.
Nog even wachten…
De ePV zou tegelijkertijd met de AVG in werking treden, maar laat nog op zich wachten omdat er geen overeenstemming is over de wettekst. De verwachting is nu dat de concepttekst medio 2019 klaar is en dat de nieuwe verordening met een overgangsperiode van ongeveer één jaar in 2020 van kracht gaat. Wanneer deze verordening van kracht gaat, is het te verwachten dat de privacy van eindgebruikers middels IoT-toepassingen beter kan worden gewaarborgd. Wie weet zijn we daarmee ook eerder geneigd de Black Mirror “realiteit” onder ogen te zien en de slimme apparaten een grotere invloed te geven in onze persoonlijke leefomgeving. Dit zal hopelijk blijken na 7 juni 2019, wanneer de bespreking van de ePV weer op de Europese agenda staat.
[1] De inhoud van elektronische communicatie kan zeer gevoelige informatie onthullen over de eindgebruikers die betrokken zijn bij de communicatie. Op dezelfde manier kunnen metadata die afkomstig zijn van elektronische communicatie, ook zeer gevoelige en persoonlijke informatie onthullen.
[2] IoT is het geheel van op het internet aangesloten apparaten en richt zich op ‘alledaagse’ apparaten die oorspronkelijk niet tot de categorie computers worden gerekend.
[3] Dit staat in overweging 12 van de considerans in het wetsvoorstel: Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications) COM/2017/010 final - 2017/03 (COD).