De wettelijk verplichte toestemming voor het verzamelen, opslaan en gebruiken van persoonsgegevens staat bij het Internet of Things (IoT) nog in de kinderschoenen. Toch is gegevensbescherming niet alleen cruciaal voor het vertrouwen van de gebruiker en de marktpenetratie, het is gewoon de wet.
Hoe verder de digitalisering voortschrijdt, hoe meer persoonsgegevens er worden gecreëerd. Ze worden niet langer alleen gegenereerd door middel van ingevulde formulieren of socialemediaaccounts, zoals in het verleden, maar ook door netwerkapparaten. Hun communicatie met elkaar en met de buitenwereld genereert grote hoeveelheden gegevens, d.w.z. Big Data. Deze netwerkvorming van apparaten vormt de basis voor het “internet van de dingen” (IoT) en voor Industrie 4.0 (IIoT).
Volgens een studie van Eco en ADL is de Duitse smart home-markt de afgelopen jaren snel gegroeid. Volgens de studie zal de marktpenetratie verviervoudigen van twee miljoen tot ongeveer acht miljoen Duitse huishoudens tegen 2022. Marktonderzoekers verwachten zelfs dat er tegen 2030 tot 50 miljard IoT-apparaten in netwerken zullen zijn opgenomen, zowel in huishoudens als in bedrijven en de industrie.
Terwijl consumentgerichte IoT-technologieën zoals wearables, gezondheidsapparaten, intelligente spraakassistenten, slimme huizen, slimme steden of slimme mobiliteit elk nieuwe lifestyle-ervaringen mogelijk maken, omvat het industriële gebruik van IoT (IIoT) buzzwords zoals slimme netwerken, slimme logistiek, slim transport, slimme fabrieken of slimme gezondheid. De grenzen tussen het consumenten- en industriële ivd zijn al lang vervaagd.
De veranderingen die het internet van dingen teweegbrengt, zijn ingrijpend – en brengen tal van uitdagingen met zich mee. Een belangrijke kwestie hier: gegevensbescherming. Om de ontwikkeling van deze technologieën verder te bevorderen en ze ten volle te benutten, moet echter dringend een oplossing worden gevonden voor de bezorgdheid van vele gebruikers over persoonsgegevens.
Door de toenemende netwerkvorming van apparaten en systemen, met name op het gebied van het internet van de consument, komt met name de bescherming van persoonsgegevens op de voorgrond te staan. De meeste slimme apparaten en toepassingen leiden immers onvermijdelijk tot een unieke identificatie door de verwerking van precies deze informatie. Vooral wanneer gebruikers deze apparaten in slimme huizen of als wearables gebruiken, heeft dit grote gevolgen voor hun privacy. De technologieën verwerken namelijk ook gevoelige gegevens zoals slaapgewoonten, slaapkwaliteit, GPS-gegevens, routes en loop- of rijsnelheden.
De verwerking van persoonsgegevens is in het industriële ivd denkbaar zodra de koppeling van de machinaal gegenereerde feitelijke gegevens aan de informatie van een natuurlijke persoon tot diens identificatie leidt.
In 2016 bleek uit een internationale audit van 314 ivd-apparaten door het Beierse staatsbureau voor toezicht op gegevensbescherming (BayLDA) hoe weinig gebruikers weten over de gegevens die slimme apparaten en toepassingen van hen verzamelen.
Ook vandaag de dag houden veel fabrikanten en dienstverleners zich grotendeels niet aan de noodzakelijke richtlijnen voor gegevensbescherming. In plaats daarvan veronachtzamen zij de installatie van gegevensbescherming overeenkomstig artikel 25 DSGVO, zoals “Privacy by Design” en “Privacy by Default”. De reden die zij opgeven is een gebrek aan rekencapaciteit.
De afgelopen jaren hebben wetgevers geprobeerd om regelgeving voor gegevensbescherming in te voeren met betrekking tot ivd-technologieën. Daarbij maken uiteenlopende redenen, zoals verschillende platformexploitanten en fabrikanten van apparaten en sensoren, het moeilijk om tot een uniforme rechtsgrondslag en een DSGVO-conforme uitvoering te komen.
Op dit moment is er regelgeving in zicht in de Wet bescherming persoonsgegevens telecommunicatie (TTDSG), in de Richtlijn Verkoop van Roerende Zaken 2019/771 op nationaal niveau en in de ePrivacyverordening op Europees niveau. Zo zal het volgens punt 25 van de TTDSG in de toekomst voor ivd-technologieën een belangrijke rol spelen dat de toestemming van de gebruikers wordt verkregen. Ook in de e-privacyverordening, waarover momenteel wordt onderhandeld, is voorzien in toestemming – met verwijzing naar het feit dat het gebruik van Machine2Machine en het ivd de afgelopen jaren zeer sterk is gegroeid. Door toestemmingsbeheer in de interfaces van de apparaten of apps in te voeren, zouden fabrikanten aan de vereisten van de GDPR kunnen voldoen. Dit zou kunnen worden geautomatiseerd door de invoering van een platform voor het beheer van toestemming in de ivd-apparaten en -toepassingen. Bovendien zouden de gebruikers hun gegevensstromen kunnen bekijken en controleren.
In de nabije toekomst zal de invloed van het internet van de dingen op het dagelijks leven van mensen sterk toenemen. Dit doet de vraag rijzen: Hoe kunnen particulieren en bedrijven deze technologie voor zichzelf zo goed mogelijk benutten? Wat moeten de fabrikanten en de betrokken actoren in gedachten houden?
Fabrikanten moeten het vertrouwen van gebruikers in de apparaten en toepassingen versterken – en wel door in de toekomst aan de eisen inzake gegevensbescherming te voldoen en deze toe te passen. Als zij in de ontwikkelingsfase aandacht kunnen besteden en rekening kunnen houden met de bezorgdheid van de gebruikers over hun gegevens, zullen de gebruiksmogelijkheden van deze technologieën zich in de toekomst ook sneller verspreiden. Dit komt omdat er talrijke voordelen zijn voor zowel gebruikers als bedrijven: Het gaat onder meer om het verbeteren van processen, het verminderen van wrijving door het automatiseren van taken, het verlagen van kosten of het verhogen van de tevredenheid van werknemers en klanten.
Hoe kunnen de vele verschillende belanghebbenden met elkaar in overeenstemming worden gebracht en kan aan alle behoeften worden voldaan? Wetgevers, rechtspraak, wetenschap, consumentencentra, toezichthoudende autoriteiten, fabrikanten en alle andere betrokken belanghebbenden moeten samen werken aan de totstandbrenging van een rechtsgrondslag voor deze technologieën, rekening houdend met de uitvoering van wettelijke voorschriften zoals de GDPR. Vanuit technisch oogpunt zou een eenvoudige privacy-conforme oplossing toestemmingsbeheer in deze apparaten en toepassingen mogelijk maken, waardoor de gebruikers controle over hun gegevens zouden krijgen.