Internet of Things: wie is waarvoor verantwoordelijk als het misgaat?

‍Er zijn al enkele blogposts geschreven over het IoT. Daaruit bleek al dat er veel gegevens verwerkt worden in het IoT, dat dat vaak persoonsgegevens (kunnen) zijn, en dat er allerhande beveiligingsrisico’s kunnen optreden. Het ligt voor de hand dat deze risico’s zoveel mogelijk beperkt moeten worden. Privacywetgeving vereist immers dat er adequate technische en organisatorische maatregelen worden genomen om gegevens te beveiligen. Een aanpak volgens het principe van Privacy by Design is daarbij erg nuttig en met de Algemene Verordening Gegevensbescherming straks ook verplicht. Een uitdaging ligt daarin echter in het vaststellen wie waarvoor verantwoordelijk is. IoT betekent dat er veel gegevens worden verwerkt en uitgewisseld, ook tussen apparaten en vaak over het internet. En dan is het afbakenen van een stukje niet meer zo eenvoudig.

In een eerdere blogpost werd al aangegeven dat beveiligingsprotocollen niet altijd op elkaar aansluiten. Het risico dat daarmee ontstaat ligt in de verbindingen tussen apparaten. Ieder voor zich kunnen apparaten goed beveiligd zijn, maar als er iets niet aansluit bij het uitwisselen van gegevens gaat het toch mis. De vraag is: wie is dan verantwoordelijk? Want voor beide apparaten was de beveiliging toch op orde? En de internetprovider die wellicht de transmissie van gegevens verzorgde kan toch ook niet opeens verantwoordelijk zijn? Het ontwikkelen en verplichten van standaarden kan helpen dit op te lossen, zodat de risico’s beperkt worden en protocollen voor beveiliging sneller op elkaar aansluiten. Nu zal het vraagstuk van verantwoordelijkheid in dit voorbeeld pas aan de orde komen als er iets is misgegaan en dan is het te laat. Maar dat neemt niet weg dat er al eerder maatregelen getroffen zouden moeten worden.

Omdat het lastig kan zijn om van leveranciers te verwachten dat alles goed beveiligd blijft als gegevens worden uitgewisseld tussen apparaten kun je als consument ook iets doen. Een optie is bijvoorbeeld het opzetten van een eigen gesloten netwerk binnenshuis, zodat niet alle gegevensuitwisselingen over het publieke internet gaan. Een andere optie is om de uitwisseling van gegevens te beperken door instellingen van het apparaat aan te passen. Het nadeel is natuurlijk dat daarmee soms een deel van de juist zo handige functionaliteit verloren kan gaan. En in dit geval komt er een stuk ‘verantwoordelijkheid’ bij de gebruiker te liggen, waar dat qua technische vaardigheden wellicht helemaal niet verwacht kan worden.

Nu ging het nog vooral over informatiebeveiliging en wie daarvoor verantwoordelijk is, meer in de zin van aansprakelijkheid. Vanuit privacyregelgeving kun je je echter ook afvragen wie de ‘verantwoordelijke’ is, dus degene die doel en middelen van de verwerking van persoonsgegevens bepaalt. Hier zijn verschillende kandidaten: de leverancier van een device met een bepaalde functionaliteit, of de leverancier van een dienst die met behulp van één of meer apparaten geleverd kan worden. Vaak zal het de dienstleverancier zijn, omdat deze de gegevens echt verwerkt tot een dienst. Maar dat geldt alleen voor de gegevens die die dienstleverancier vraagt en waar je als gebruiker vaak toestemming voor zal geven. De device leverancier kan dus ook nog zelf gegevens verwerken door ze via het internet te verzamelen. En daarvoor is hij dan verantwoordelijke. Maar bij een IoT waarin meerdere apparaten verbonden zijn met elkaar, gegevens uitwisselen, diensten de gegevens combineren, en wellicht ook nog combinaties plaatsvinden met gegevens van buitenaf die via het internet worden toegevoegd wordt het wel erg complex om onderscheiden te blijven maken.

De kracht van IoT zit in het combineren om apparaten slimmer te maken. Maar daar ligt dus ook het risico voor onduidelijkheid. Ofwel: complexiteit in verantwoordelijkheid. Iets om over na te denken…