078-2034021 algemeen@3bplus.nl

Dit is een longread over het Internet of Things (IoT) en privacy. De opkomst van IoT-apparaten brengt risico’s met zich mee voor je privacy. In dit artikel vertellen we je hoe deze bedreigingen eruit zien en wat de zwakken punten van IoT-apparaten zijn. Daarbij geven we ook praktijkvoorbeelden van privacyrisico’s, zoals de bekende hacks op IoT-apparaten met ingebouwde camera. Het beschermen van privacy is echt niet alleen belangrijk voor grote bedrijven. Ook jij kunt een aantal concrete stappen nemen! We zetten een aantal aandachtspunten voor bedrijven en consumenten op een rijtje. Ten slotte gaan we in op de stappen die producenten van IoT-apparaten en overheden kunnen nemen. Zij hebben eveneens een verantwoordelijkheid om onze privacy te beschermen.

Wat is privacy?

Privacy is vrijheid van interferentie of indringers, en het recht alleen gelaten te worden. Hiermee wordt erkend dat elk persoon een bestaansomgeving heeft die alleen dat individu toebehoort. Hier is hij of zij vrij van beperking, dwang en ongewenste observatie. Onder deze definitie van privacy vallen volgens de meeste mensen ook persoonlijke meningen, communicatie, informatie en gedrag achter gesloten deuren, mits deze niet leiden tot gevaar voor de gemeenschap. Uit deze definitie volgt ook dat de blootstelling van gevoelige of persoonlijke gegevens aan niet-beoogde ontvangers een gevaar voor je privacy is.

Waarom IoT je privacy bedreigt

Internet of Things-apparaten verzamelen gegevens, waaronder vaak ook gevoelige en persoonlijke gegevens, zoals je voornaam, achternaam, geboortedatum, adres en telefoonnummer. Andere voorbeelden zijn financiële gegevens en informatie over je gezondheid of je locatie. Omdat IoT-apparaten je gegevens opslaan en met andere apparaten communiceren die met het internet verbonden zijn, is je privacy kwetsbaarder dan ooit. Ook worden de gegevens vaak opgeslagen (voor verder gebruik voor commerciële doeleinden). Data is immers het nieuwe goud! En cybercriminelen zijn zich absoluut bewust van deze kwetsbaarheden.

Het feit dat je met alles verbonden bent, betekent dat er meer manieren zijn om toegang te krijgen tot je informatie. Dat kan je een aantrekkelijk doelwit maken voor mensen die willen profiteren van je persoonlijke gegevens. Het kan criminelen zelfs helpen bij het plegen van identiteitsfraude.

Naarmate het aantal dingen en apparaten dat wordt toegevoegd aan het internet der dingen nog dagelijks toeneemt, nemen ook de potentiële beveiligingsrisico’s toe. Het internet der dingen verbindt alles en iedereen met elkaar. Als gevolg hiervan is iedereen kwetsbaar voor privacyrisico’s. Hackers kunnen nu toegang krijgen tot iemands netwerken via een thermostaat, digitale sloten, koelkasten, babyfoons, gloeilampen, slimme meters en nog veel meer. Het beveiligen van het IoT is van fundamenteel belang voor je privacy.

Een volgend privacyprobleem heeft te maken met je smartphone. De meeste IoT-apparaten maken namelijk verbinding met je smartphone. Of je nu de camera’s in je woning wilt controleren, een deur wilt vergrendelen, de temperatuur of verlichting wilt aanpassen, de oven wilt voorverwarmen of een tv wil uitschakelen; je kunt het allemaal op afstand doen met slechts een paar tikken op je smartphone. Maar hoe meer functionaliteiten je toevoegt aan je smartphone, hoe meer informatie je opslaat op het apparaat. Dit kan smartphones en alle apparaten die daarmee verbonden zijn kwetsbaar maken voor een veelheid aan verschillende soorten aanvallen.

Privacy gaat verder dan beveiliging

In dit artikel richten we ons specifiek op de gevaren voor onze privacy. Sommige mensen stellen privacy gelijk aan gegevensbeveiliging. Alhoewel gegevensbeveiliging een fundamenteel principe is bij het beschermen van de privacy van gebruikers, kan de privacy van een gebruiker worden beïnvloed door vele bedreigingen. Het gaat bij privacygevaren bijvoorbeeld ook om de opslagduur van gegevens. Hoe langer de gegevens bewaard blijven, hoe groter de kans op blootstelling aan aanvallen. Privacy omvat verder ook de controle over welke gegevens kunnen worden verzameld, en wie er precies toegang heeft en tot welke gegevens.

Zwakke punten van IoT-apparaten

Stakeholders

Bedrijven proberen de IoT-markt zo snel mogelijk te betreden. Niemand wil de boot missen! Om IoT-producten snel en goedkoop te ontwikkelen, sluiten producenten echter vaak hun ogen voor de beveiliging. Het inbouwen van sterke beveiliging is duur, vertraagt de ontwikkeling en belemmert de snelheid en de mogelijkheden van apparaten. Ook na de verkoop wordt er weinig service op het gebied van security geboden. Zo is er meestal geen aandacht voor het onderwerp in de handleiding, worden (er na verloop van tijd) geen patches of firmware meer uitgebracht, en worden klanten niet geïnformeerd over eventuele bedreigingen. Dit betekent dat zelfs een apparaat dat ooit als veilig werd beschouwd, onveilig wordt en vatbaar is voor hackers en andere beveiligingsproblemen.

De meeste grote technologiebedrijven hebben toegezegd om gegevens op een verantwoorde manier te gebruiken, hetzij impliciet, hetzij in hun servicevoorwaarden. Het komt echter toch regelmatig voor dat bedrijven jouw gegevens aan een andere bedrijf verkopen of ‘uitlenen’. Een voorbeeld van dit type secundair gebruik van gegevens is voor advertenties. Reclamebureaus kunnen je gegevens gebruiken om inzichten over gebruikers op te doen en hen vervolgens te targeten met gepersonaliseerde marketingcampagnes.

Vaak is de gebruiker de zwakste schakel in IoT-beveiliging. De meeste mensen zijn zich niet of amper bewust van de privacy risico’s van hun IoT-apparaten. Dat komt mede omdat veel van deze apparaten automatisch werken, zonder dat er handmatige tussenkomst van de gebruiker nodig is. Het gevolg is dat mensen niet doorhebben dat hun apparaten zijn gecompromitteerd. Sowieso hebben consumenten weinig oog voor zaken als veiligheid en betrouwbaarheid bij de aanschaf van IoT-producten. Hierdoor worden standaardgebruikersnamen en wachtwoorden bijvoorbeeld nauwelijks veranderd.

En daarmee komen we meteen bij een van de meest voorkomende problemen: het coderen van zwakke gebruikersnamen en wachtwoorden. Dit betekent dat producenten ongelooflijk voorspelbare inloggegevens toewijzen aan hun IoT-apparaten. En omdat consumenten deze gegevens niet kunnen wijzigen, niet weten hoe dit te doen of niet weten dat het belangrijk is, kunnen hackers gemakkelijk de wachtwoorden van hun apparaten raden. Bij Symantec ontdekte men bijvoorbeeld dat meer dan 60 procent van de wachtwoorden van IoT-apparaten vorig jaar “admin” of “12345” waren. Dit probleem komt zo vaak voor dat de Amerikaanse staat Californië standaardwachtwoorden in 2018 heeft verboden.

De IoT-apparaten

Veel IoT-apparaten missen de benodigde opslag- en verwerkingsmogelijkheden die je bijvoorbeeld wel op een traditionele computer kunt vinden. Dit komt vooral omdat er kleine processors gebruikt worden, die weliswaar kosteneffectief en efficiënt zijn, maar niet over de nodige reken- en geheugencapaciteit beschikken. Simpele sensoren die bijvoorbeeld de luchtvochtigheid of temperatuur controleren, zijn niet geschikt voor geavanceerde codering. Het probleem is dat veel IoT-apparaten zoals industriële sensoren en implanteerbare medische apparaten juist zijn ontworpen om licht en klein te zijn. Het is zodoende moeilijk om complexe encryptie- en authenticatie-algoritmen te implementeren. Bovendien moet daarbij ook rekening gehouden worden met een beperkte toegang tot stroom, zoals bij industriële toepassingen. Daarnaast zijn een aantal van deze apparaten (slimme meters, implanteerbare medische apparaten, en industriële, agrarische en militaire sensoren) niet altijd even gemakkelijk te benaderen. In dergelijke gevallen is het soms al lastig om fysiek een externe interface aan te sluiten om de status van deze apparaten te verifiëren. Het is dus moeilijk te detecteren wanneer deze apparaten zijn aangevallen.

Gebreken in de beveiliging maakt het mogelijk om camera’s en microfoons van IoT-apparaten te hacken. Hierdoor kunnen gebeurtenissen en gesprekken waarvan gebruikers denken dat ze privé zijn dat toch opgenomen worden. Een van de grootste zorgen van veel privacy-organisaties is dat apparaten constant naar gebruikers kunnen luisteren. Elk apparaat met een microfoon kan namelijk naar je luisteren, zelfs wanneer je er niet rechtstreeks mee bezig bent. Slimme luidsprekers moeten bijvoorbeeld voortdurend controleren op opdrachten van de gebruiker, hetgeen betekent dat ze je gesprekken kunnen ‘horen’. Stel je voor dat je in je keuken een gesprek voert met een vriend over een gevoelige kwestie. Als je slimme koelkast toevallig meeluistert, kan het die informatie terugsturen aan de fabrikant, die die informatie vervolgens kan gebruiken om specifieke diensten te adverteren.

Er is een grote diversiteit in IoT-apparaten. In deze diversiteit schuilt een probleem, zo is er geen one size fits all-beveiliging mogelijk. Daarbij komt ook nog dat veel van deze apparaten met elkaar en met een netwerk interacteren. Dit netwerk is op zijn beurt ook weer verbonden met andere systemen. Dus als het IoT-apparaat beveiligingsproblemen bevat, kan dit schadelijk zijn voor het netwerk van de consument of voor andere apparaten. Als elk apparaat een privacyprobleem kent, zal de vermenigvuldiging van apparaten het totale risico vergroten. In de nabije toekomst zullen je broodrooster, je tv en je gordijnen allemaal met elkaar kunnen praten en informatie over je gewoonten delen. Al deze informatie-uitwisselingen kunnen je ook kwetsbaarder maken; een kwaadwillende die toegang heeft tot slechts één van je apparaten, kan mogelijk toegang krijgen tot je hele netwerk. Een enkele kwetsbaarheid in de keten kan dus al leiden tot problemen. Het doelapparaat zelf is misschien niet eens gemakkelijk aan te tasten, maar de aanvallers kunnen het gedrag van andere apparaten of de omgeving, die onderling afhankelijk zijn, gemakkelijk veranderen om hun doelen alsnog te bereiken. Omdat mobiele IoT-apparaten sowieso vaker verbinding maken met meer netwerken, kiezen hackers er vaak voor om deze apparaten aan te vallen in de hoop dat hun malware zich sneller verspreid.

Gebrek aan regels en overzicht

Op dit moment is er bijna geen (overheids)toezicht op hoe IoT-apparaten moeten worden ontworpen of vervaardigd. In plaats daarvan laten we het aan bedrijven over om te bepalen wat ‘verantwoordelijke IoT’ is. Hoewel er veel verschillende kaders voor IoT-beveiliging bestaan, is er geen eenduidig ​​overeengekomen framework. Grote bedrijven en brancheorganisaties kunnen hun eigen specifieke normen hebben, terwijl bepaalde marktsegmenten, zoals industriële IoT, hun eigen normen hebben. Sterker nog: deze normen zijn soms zelfs niet eens verenigbaar met elkaar! De verscheidenheid van normen maakt het moeilijk om systemen te beveiligen en om onderlinge interoperabiliteit van apparaten te waarborgen. Een gebrek aan regels en toezicht is een overduidelijke zwakte, zodat we hier later nog uitgebreider op ingaan.

2 concrete voorbeelden privacyschending

 

Een van de meest heftige pivacy-inbreuken heeft te maken met het hacken van IoT-videocamera’s, waarna hackers bij je binnen kunnen kijken. Er zijn verschillende van dit soort hacks bekend, waarbij hackers bijvoorbeeld gebruik maakten van het serienummer van de camera of van adresgegevens. Er zijn zelfs websites die fungeren als een zoekmachine voor IoT-apparaten. De website zoekt het internet af naar apparaten die publiekelijk toegankelijk zijn en indexeert deze. Hackers kunnen op deze en vele andere manieren live meekijken in de huizen van de gebruikers. Het gaat daarbij ook om camera’s in slaapkamers en babyfoons. Het zijn echter niet alleen vreemden die mee kunnen kijken. In situaties van bijvoorbeeld huiselijk geweld kan de pleger ook zijn slachtoffer bespioneren en controleren.

 

Cybercriminelen hebben het tegenwoordig vooral gemunt op gezondheidsdata, zo werd er recentelijk nog data van 1,5 miljoen patiënten in Singapore gestolen. Daaronder ook hun DNA-data. Ook data van slimme meters kan hackers goed van pas komen. Zo kun je uit deze data iemands gedrag aflezen. Wanneer is de bewoner niet thuis? Hoe laat gaat hij of zij naar bed? Als derde voorbeeld noemen we het gebruik van smart wearables binnen bedrijven. Wearables worden namelijk steeds vaker opgenomen in zogenoemde wellnessprogramma’s, soms moeten ze zelfs verplicht gedragen worden. Slimme wearables roepen interessante privacyvragen op: in hoeverre gaat het je werkgever aan of je wel dagelijks naar de sportschool gaat? En mag je ontslagen worden als een werkgever ziet dat je dikker wordt en niet kunt stoppen met roken?

Wordt privacy belangrijk gevonden?

Verschillende onderzoeken komen tot verschillende conclusies wat betreft het belang dat consumenten aan privacy hechten bij de aankoop van IoT-apparaten. Uit sommige onderzoeken blijkt dat de meeste deelnemers bij de aankoop geen rekening hebben gehouden met privacy en veiligheid. Andere onderzoeken stellen juist dat consumenten aangeven dat privacy een van de belangrijkste factoren in de besluitvorming is. En dat sommige consumenten helemaal geen IoT-apparaten kopen vanwege deze zorgen! Wellicht kan het verschil tussen deze onderzoeken verklaard worden door het moment van vraagstelling. Vaak uiten mensen namelijk wel degelijk zorgen ná hun aankoop. Deze zorgen worden veroorzaakt door verhalen van vrienden, mediaberichten of het apparaat zelf dat op een onverwachte manier functioneert. Deze mensen geven aan beveiligings- en privacyoverwegingen in de toekomst wel degelijk te laten meewegen. Sterker nog: veel mensen zijn zelfs bereid meer te betalen voor goede beveiliging en privacy. Ook zijn ze het erover eens dat beleidsmaker moeten zorgen voor IoT-beveiliging en privacynormen, en dat fabrikanten zekerheid moeten bieden. Een andere conclusie is dat zorgen over privacy onder het publiek in ieder geval toenemen. Dat geldt ook voor mensen die reeds IoT-apparaten in huis hebben. Het merendeel gelooft niet (meer) dat verbonden apparaten zorgvuldig met hun data en privacy omgaan.

Waarom privacy ook relevant voor jou is

We geven een aantal voorbeelden van met het IoT samenhangende privacyschendingen, die ook relevant voor jou zijn.

Identificatie duidt de dreiging aan van het associëren van een (persistente) identificator, bijvoorbeeld een naam en adres, met een persoon en gegevens over hem. Er zijn meerdere manieren waarop de identiteit van een persoon zonder zijn medeweten of voorkeur wordt achterhaald door IoT-apparaten. Dat kan bijvoorbeeld door de plaatsing van (bewakings)camera’s. Deze worden steeds meer gebruikt, ook in contexten die niets met veiligheid te maken hebben. Zodoende is automatische identificatie van personen op camerabeelden al een feit. Denk ook aan spraakherkenning. Deze toepassing wordt veel gebruikt in mobiele applicaties. Zodoende worden al enorme databases met spraakmonsters gebouwd. Deze kunnen mogelijk worden gebruikt om individuen te herkennen en te identificeren.

Bij lokalisatie en tracking gaat het om de dreiging van het bepalen en vastleggen van de locatie van een persoon door tijd en ruimte. Tracking vereist enige identificatie om continu lokalisaties aan één persoon te verbinden. De privacyschending omvat hier het geen controle hebben over je eigen locatiegegevens, je niet bewust zijn van de openbaarmaking van deze informatie, of het gebruiken van de informatie in een ongepaste context. Deze dreiging neemt steeds verder toe, aangezien IoT de nauwkeurigheid van tracking doet toenemen en deze diensten tegenwoordig ook binnen gebruikt worden (bijvoorbeeld voor slimme retail). Daarnaast is het een risico dat gegevensverzameling ongemerkt vaker voorkomt, zodat gebruikers zich minder bewust zijn van het feit dat hun locatie bepaald wordt.

Profilering duidt op de dreiging van het samenstellen van informatiedossiers over individuen om conclusies af ​​te kunnen leiden middels correlaties met andere profielen en gegevens. Profilering wordt meestal gebruikt voor personalisatie in e-commerce (bijvoorbeeld in aanbevelingssystemen en advertenties). Voorbeelden waar profilering tot een schending van privacy leidt, zijn prijsdiscriminatie en ongevraagde advertenties. Ook wordt het verzamelen en verkopen van profielen vaak gezien als een privacyschending. De dreiging zit bij profilering echter niet alleen in de verspreiding van data (naar derden), maar ook in het nemen van verkeerde of discriminerende beslissingen.

Er schuilt ook een bedreiging in het koppelen van verschillende (gescheiden) systemen, zodat de combinatie van gegevensbronnen informatie onthult die de gebruiker niet openbaarde aan de losse systemen en, belangrijker nog, ook niet wilde onthullen! Gebruikers vrezen verlies van context wanneer gegevens die zijn verzameld door verschillende partijen worden gecombineerd. Privacyschending kan ook voortvloeien uit het feit dat het risico op ongeautoriseerde toegang en lekken van privé-informatie toeneemt wanneer systemen samenwerken. Een derde voorbeeld is het verhoogde risico op identificatie wanneer meer data gecombineerd wordt.

Checklist: bescherm je privacy

Bezorgdheid over IoT-privacy moet je er natuurlijk niet van weerhouden om die toffe nieuwe gadget te kopen. Het is echter wel belangrijk om je best te doen je privacy te beschermen! Het bewaren van je privacy is volgens ons een gedeeld probleem, waarin iedereen (van fabrikant tot serviceprovider en eindgebruiker) een steentje bij moet dragen. Wij zetten een aantal privacytips voor gebruikers (bedrijven en consumenten) op een rijtje.

 

Authenticatie en settingen

  • Verander direct de diverse standaard inloggegevens die door de fabrikant zijn ingesteld. Maak in plaats daarvan unieke profielen voor elk IoT-apparaat dat je gebruikt. Gebruik sterke inloggegevens met alfanumerieke en speciale tekens. Accounts met eenvoudige wachtwoorden zijn extreem gemakkelijk te hacken. Maak er ook een gewoonte van om wachtwoorden regelmatig te wijzigen. Bovendien is het ten zeerste aan te raden om meerfactor-authenticatie te gebruiken. Meerfactor-authenticatie houdt in dat je naast je gebruikersnaam en wachtwoord nog een code of sleutel nodig hebt om in te loggen. Deze wordt je bijvoorbeeld per sms of app toegezonden.
  • Zorg ervoor dat je begrijpt welke mogelijkheden je IoT-apparaat heeft. Als je niet wilt dat je smart tv mee kan luisteren, zet deze functie dan uit! Controleer sowieso de beveiligings- en privacy instellingen voordat je het apparaat gaat gebruiken.
  • Zorg voor geregelde updates van de firmware. Dit zorgt voor bescherming tegen bekende kwetsbaarheden. Gebreken die worden ontdekt nadat het product al in de schappen ligt, kunnen snel worden verholpen door updates en patches. Zorg ervoor dat je updates meteen installeert. Schakel het liefst automatische updates in, als dat mogelijk is.
  • Stel firewalls in zodat verkeer van niet-geautoriseerde IP-adressen geblokkeerd wordt. Antivirussoftware is natuurlijk ook voor IoT een must. Gebruik gerenommeerde software, die realtime bescherming biedt tegen malware, waaronder ransomware en virussen. Daarnaast is het verstandig de apparatuur regelmatig te rebooten om malware die in het geheugen is opgeslagen te verwijderen.
  • Plaats IoT-apparaten in beveiligde ruimtes, dus bij voorkeur binnen in plaats van buiten. Als dat niet mogelijk is, kies dan voor een apparaat met een alarmfunctie dat je waarschuwt als er mee geknoeid wordt. Er zijn ook apparaten die zichzelf wissen indien er misbruik wordt gedetecteerd. Dit is vooral belangrijk wanneer apparaten worden gebruikt in omgevingen waar ze niet fysiek gecontroleerd kunnen worden.

Data versturen en bewaren

  • Er kan veel worden gewonnen door het ‘simpelweg’ versleutelen van gegevens. In de praktijk wordt data vaak als gewone tekst/code verstuurd. Hackers kunnen deze data dus gemakkelijk lezen. Het is zodoende zaak dataverkeer te versleutelen. Sterke encryptie is van cruciaal belang voor het beveiligen van de communicatie tussen apparaten, omdat het data onbereikbaar voor hackers maakt met behulp van cryptografische algoritmen.
  • Het ontwerp van je netwerkarchitectuur is een ander aandachtspunt. Zet de IoT-apparaten bijvoorbeeld altijd op een netwerk dat afgescheiden is van het bedrijfsnetwerk. Beperk de inlogmogelijkheden van de apparaten zoveel mogelijk. Gooi bijvoorbeeld netwerkpoorten dicht die niet worden gebruikt. Denk ook na over het plaatsen van een beveiligingsgateway, die als intermediair tussen IoT-apparaten en het netwerk fungeert. Een gateway is een combinatie van hardware en software die twee verschillende netwerken met elkaar verbindt. Beveiligingsgateways hebben meer verwerkingskracht, geheugen en mogelijkheden dan de IoT-apparaten zelf, waardoor ze bijvoorbeeld firewalls kunnen implementeren.
  • Daarnaast is het zaak om inkomend en uitgaand dataverkeer op het IoT-netwerk te controleren. Inventariseer welke IoT-apparaten op het netwerk zijn aangesloten. Vrijwel geen enkele organisatie kent alle printers en camera’s op hun netwerk. En als je niet alle apparaten kunt identificeren, kun je ze natuurlijk ook niet goed isoleren! Voorzie elk apparaat van een unieke identificator. Dat is cruciaal om te begrijpen wat het apparaat is, hoe het zich gedraagt, de andere apparaten waarmee het samenwerkt en wat de juiste beveiligingsmaatregelen zijn.
  • Data moet niet alleen tijdens het versturen beveiligd worden, ook wanneer het opgeslagen is, dient het versleuteld te zijn. Bij het opslaan is het verder zaak zo weinig mogelijk data op te slaan. In ieder geval niet meer dan noodzakelijk.

Aandacht voor bewustwording

  • Omdat veel bedreigingen bij IoT nieuw en niet zo algemeen bekend zijn, nemen sommige mensen en bedrijven de risico’s niet zo serieus. Dat geldt zeker voor consumenten die moeilijk de risico’s kunnen inschatten, zo weten veel mensen niet welke data verzameld wordt. IoT-beveiliging is echter als het kopen van een verzekering. Je hoopt het nooit nodig te hebben, maar de kans dat je het nodig hebt, is zeker aanwezig. Het is zaak het bewustzijn over de ernst van de risico’s te vergroten.
  • Het is belangrijk om de beveiliging van elk apparaat te beoordelen voordat je deze koopt. Overweeg ook om apparaten te kopen die alleen worden aangeboden door gerenommeerde leveranciers. Let daarbij ook op de belofte van blijvende ondersteuning met updates. Het is van belang om op de hoogte te zijn van het beleid op het gebied van data en privacy.
  • Bereid je voor op problemen, net zoals dat je je voorbereidt op brand of een andere ramp: maak een plan, voer regelmatig oefeningen uit en houd het plan bijgewerkt. Het is van cruciaal belang om (IT-)personeel op de hoogte te houden van nieuwe systemen, architecturen en programmeertalen, en hen klaar te stomen voor nieuwe uitdagingen.

Wat fabrikanten en overheden (kunnen) doen

Hierboven beschreven we al wat gebruikers (consumenten en bedrijven) zelf kunnen doen om hun privacy te beschermen. Er is echter natuurlijk ook een rol weggelegd voor fabrikanten. Als zij niet in staat zijn om de privacykwesties op te lossen, kan dit leiden tot stagnatie in de industrie. Het is zaak gebruikers te laten zien dat je apparaten veilig zijn! Veilige apparaten worden namelijk meer verkocht. Daarnaast zien wij ook een rol voor overheden, die kunnen werken aan kaders, normering en wetgeving.

Ontwikkelingen

Onderzoekers bij Google hebben het nieuwe Android Things-besturingssysteem gemaakt dat automatische beveiligingsupdates bevat. MIT-medewerkers hebben een chip gemaakt waarmee data van IoT-apparaten gemakkelijk kan worden gecodeerd. Als derde voorbeeld noemen we een nationaal onderzoeksproject met ruim 45 partijen, waaronder universiteiten, bedrijven, maatschappelijke organisaties en de overheid, dat de komende jaren onderzoek doet naar een veilig IoT. Het onderzoek moet de eerste aanzet geven tot regels voor het ontwerp, beveiliging en beheer van IoT-systemen. Doordat er zoveel verschillende organisaties bij elkaar komen, wordt het probleem technisch, juridisch en criminologisch benaderd. Ook gaat het om IoT in verschillende toepassingen, zoals gezondheidszorg, energie, mobiliteit en smart cities.

De meeste fabrikanten beweren dat hun producten veilig zijn, maar dat is moeilijk te bewijzen. Er is een groeiende behoefte aan een soort certificatie, waarmee de beveiliging van een apparaat te verifiëren is. Denk aan een label of etiket, waarop je onder meer kan zien hoe en waarom gegevens worden verzameld. Dit gebeurde eerder bijvoorbeeld bij webshops. Klanten vroegen om bewijs dat ze veilig konden betalen. Zo’n zelfde bewijs kan nu nodig zijn voor het IoT.

Privacy by Design

Privacy by Design (PbD) wordt gedefinieerd als een populaire benadering waarmee privacy kan worden ‘ingebouwd’ in het ontwerp van de systemen, zodat privacy wordt overwogen vóór en tijdens de ontwikkeling en implementatie. Er zijn verschillende basisprincipes van Privacy by Design. Wij zetten er een aantal op een rijtje.

Anticipeer op en elimineer kansen voor misbruik. Gebruikers zouden niet meer hoeven te kiezen tussen privacy en volledige functionaliteit. In plaats daarvan moet de gebruikerservaring gemaximaliseerd worden, terwijl de hun belangen worden beschermd. Complexiteit vermindert de bruikbaarheid. Angst, onzekerheid en twijfel bij gebruikers kunnen worden overwonnen door klanten kennis te laten maken met de geïmplementeerde maatregelen. Behandel gebruikers als stakeholders, wiens primaire behoeften privacy en veiligheid zijn.

Richtlijnen en wetgeving

Privacywetgeving is complex en verschilt per rechtsgebied. In Europa is op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) ingevoerd. De AVG is een nieuwe verordening, waarmee de persoonsgegevens van EU-burgers beschermd moeten worden. De AVG vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp). Dankzij de AVG zijn organisaties nu verplicht om expliciete toestemming te krijgen voordat persoonsgegevens verwerkt mogen worden. Ook moeten personen binnen 72 uur geïnformeerd worden over datalekken. Dankzij de AVG kunnen mensen verder gemakkelijker hun data laten verwijderen, ook mag verzamelde data altijd ingezien worden. Daarnaast moeten bedrijven de verwerking van data bijhouden en moet data na gebruik vernietigd worden. Bij niet-naleving kunnen boetes oplopen tot vier procent van de wereldwijde omzet of 20 miljoen euro. De AVG is van toepassing op elk bedrijf, ongeacht hun geografische locatie, die goederen en diensten aanbiedt aan Europese burgers en hun gegevens verwerkt, inclusief door het IoT ecosysteem gegenereerde gegevens.

Conclusie

Te veel IoT-apparaten kennen op dit moment nog privacyproblemen. Door het ontbreken van regelgeving en afstemming tussen leveranciers, en gemakzucht van gebruikers en bedrijven, is het op zijn minst erg onduidelijk of alle data uit IoT-apparaten wel authentiek, compleet is en gebruikt wordt voor het aangegeven doel. Daarnaast wordt het door het combineren van data uit IoT-apparaten gemakkelijker om profielen van gebruikers op te stellen, waar eveneens misbruik van gemaakt kan worden. En dan zijn er ook nog niet goed beveiligde IoT-apparaten, waardoor hackers toegang kunnen krijgen tot netwerken, met alle gevolgen van dien. Ten slotte noemen we nog niet goed opgeslagen data, of te lang bewaarde data, hetgeen ook een potentiële bron voor hackers is om allerlei informatie op te vissen. Het advies is dan ook zo spoedig mogelijk regelgeving in te voeren, IoT-apparaten van een keurmerk of certificering te voorzien en bredere regelgeving over data-opslag en het combineren van data van privé personen en bedrijven in te voeren.

Meer lezen over het Internet of Things?

Misschien vind je deze artikelen ook interessant:

Wat is IoT (Internet of Things): een introductie
Hoe werkt IoT – het Internet of Things uitgelegd
De voordelen van IoT (Internet of Things)
De toekomst van IoT (Internet of Things)
De keten van slimme oplossingen: sensoren, IoT, Big Data en AI
Voorbeelden: Sensoren, IoT, Big Data en AI in slimme oplossingen
Slimme oplossingen, slimme apparaten en slimme steden

Bronnenlijst

Share This