Heeft IoT wet- en regelgeving nodig?

 

Wie met vakgenoten praat over regelgeving rond IoT krijgt snel te horen dat er nog maar weinig is gereguleerd. Wel valt al snel de term GDPR. Dit kan zowel een vloek als zegen zijn. Is er voor het Internet of Things wel specifieke regelgeving nodig en wat is de rol van GDPR daarbij?

 

Het is opvallend hoeveel onderzoek er naar het IoT wordt gedaan. De lijst van publicaties, zowel door wetenschappers als overheden, begint (ook in Nederland) forse proporties aan te nemen. De verklaring hiervoor is eenvoudig. De verwachtingen rondom het IoT zijn hoog gespannen en iedereen heeft in de gaten dat het complexe materie betreft. Talloze IoT-incidenten zijn wereldnieuws geweest, maar toch blijft het aanbod groeien.

Er is dus onderzoek nodig om orde aan te brengen en, waar nodig, regels op te stellen om de veiligheid en privacy te waarborgen. In de onderzoeken valt op dat definities voor IoT goed op elkaar aansluiten, maar voor de scope geldt dat zeker niet. Voor de meesten is IoT iets dat een rol speelt binnen of rondom het huis; smart homes. Gevoed door berichten over slimme koelkasten en verlichting is dat de eerste associatie.

IoT in industrie

Door deze focus op smart homes wordt vaak over het hoofd gezien dat IoT eigenlijk helemaal niet nieuw is. Vooral de maakindustrie gebruikt dit soort toepassingen al jaren om processen te optimaliseren op basis van data van diezelfde processen. Door het gebruik van sensoren en big data hebben fabrikanten als Daimler Benz tientallen procenten minder onderdelen nodig, terwijl de techniek onder de motorkap van auto’s steeds complexer wordt. Dat is het niveau waarop IoT al lang met veel succes wordt ingezet.

In dit voorbeeld is IoT ook goed verankerd. Er zijn vele maatregelen getroffen om processen en producten te controleren en auditten. Het IoT-deel wordt daarin direct meegenomen. Hebben die fabrikanten dan nog behoefte aan nieuwe of aanpaste wetgeving voor IoT in die omgevingen? Gesprekken met betrokkenen leren dat de reactie op die vraag overwegend terughoudend is. In principe is er met bestaande contracten, SLA’s en certificeringen al veel mogelijk. Dit geldt echter alleen voor situaties zoals productieomgevingen waar fabrikanten veel grip op hebben.

‘Regelgeving industriële IoT is goed verankerd’

Het wil niet zeggen dat in de industriële omgevingen geen sprake is van risico’s verbonden aan IoT, sensoren, big data en analytics. Vragen als wie of wat leading is en wie het complete overzicht heeft, zijn hier wel aan de orde. De maakindustrie is van veel toeleveranciers afhankelijk en in de keten lijkt IoT een bijzonder type schakel te zijn. Of hiervoor nieuwe wet- en regelgeving mogelijk, laat staan nodig of wenselijk is, valt echter te betwijfelen. Vanuit de politiek wordt ook duidelijk het signaal afgegeven dat het IoT vooral als een consumentenvraagstuk wordt gezien.

IoT en consumenten

De problematiek rondom het IoT bij consumenten is van een andere orde. Een belangrijk verschil met de zakelijke markt is dat het om standaardproducten gaat die op grote schaal worden geproduceerd. De kopers hebben geen invloed op de productie en kunnen in de regel amper zicht krijgen op de gebruikte techniek en protocollen. Dat is niet uitzonderlijk, er zijn ook maar weinigen die exact weten hoe koffiemachines werken. Wat ze wel weten, is dat bij technische gebreken de leveranciers hen helpen.

Toch gaat de vergelijking tussen een huishoudelijk IoT-device en een defecte koffiemachine niet helemaal op. Bij IoT draait het immers ook en vooral om data. Hoe kunnen burgers zien of wat daar plaatsvindt conform de productspecificaties is. Wanneer zien zij dat daar iets mis gaat? In tegenstelling tot industriële IoT-toepassingen kunnen zij niet op een periodieke audits rekenen of ervan uitgaan dat partners in hun ‘IoTketen’ aan de bel trekken bij problemen of data-lekken. De meeste partijen in die keten hebben geen zicht op de kwaliteit van de IoT-devices of hebben juist baat bij zoveel mogelijk data. Ook als dat niet conform de afspraak is.

De idee dat er specifiek wet- en regelgeving moet komen voor IoT-devices voor eindgebruikers is dan ook logisch. Het probleem daarbij is het bepalen van de eerste stap. Pleidooien uit de politiek voor verplichte keuringen gekoppeld aan een verkoopverbod zijn inhoudsloos. Ze gaan geheel voorbij aan dat er op zo’n grote en diverse wijze wordt gehandeld, dat geen keuringsautoriteit de markt kan controleren. Wellicht is dat ook de reden waarom zo vaak de inmiddels bekende GDPR als instrument wordt aangehaald om de IoT-markt voor consumentenapparatuur te reguleren. Toegegeven, daar zal ook het nodige van uitgaan.

ePrivacy-verordening

Belangrijk is dat de Europese Unie nog meer potjes op het vuur heeft om consumenten voor ongewenste IoT-effecten te beschermen. De belangrijkste voorgenomen maatregel daarvan is de ePrivacy-verordening. De tekst hiervan is eind oktober door het Europees Parlement aangenomen, maar die verordening zal op z’n vroegst in 2018 definitief worden aangenomen door de Europese Raad van Ministers.

‘Regulering IoT gaat gebeuren’

“Het voorstel bevat regelgeving die relevant is voor het IoT”, zegt onderzoeker Frederik Zuiderveen Borgesius van het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam terwijl hij uitlegt waarom deze verordening in de gaten moet worden gehouden. “Bedrijven en andere partijen moeten eindgebruikers om toestemming vragen voordat zij informatie plaatsten op appraten of die uitlezen. Die regel is van toepassing op veel ‘things’ in het IoT. Er zijn uitzonderingen op dit toestemmingsvereiste, onder meer als het plaatsen of uitlezen van informatie strikt noodzakelijk is om de appratuur te laten werken. Ook is er een uitzondering voor security updates. De toestemmingseis is overigens ook van toepassing op tracking cookies en andere tracking-technieken, zoals device fingerprints. Verder verplicht de voorgestelde ePrivacy-verordening bedrijven om signalen van Do Not Track en vergelijkbare systemen te respecteren.”

Het is dus niet de vraag of IoT gereguleerd moet worden. Het gaat gewoon gebeuren. Voor eindgebruikersapparatuur is Europese Unie daarmee ook al een stuk verder dan menigeen zich realiseert.

[Dit artikel is eerder gepubliceerd in het IoT-Dossier 2017]

Lees het artikel hier in PDF