Zoals de naam al doet vermoeden, gaat ‘Internet of Things’ of ‘IoT’ niet over het internet zoals de meeste mensen het kennen; een internet dat mensen verbindt. IoT gaat over een internet dat apparaten verbindt. IoT zorgt ervoor dat fysieke objecten onderdeel worden van de virtuele wereld. Dit kan gaan om alledaagse voorwerpen die ‘slim’ gemaakt zijn of apparaten met een geheel nieuwe toepassing.
In principe kan alles met het internet verbonden worden, zolang er maar sensoren gebruikt worden die data opnemen en dit delen met andere soortgelijke apparaten of mensen die gebruik maken van deze apparaten. IoT biedt vele mogelijkheden, maar hoe kan de veiligheid van dit internet der apparaten gegarandeerd worden?
Op dit moment zijn al 11 miljard apparaten verbonden met het internet. De voorspelling is dat dit in 2025 oploopt tot ongeveer 80 miljard apparaten. IoT-apparaten kunnen zorgen voor meer efficiëntie, duurzaamheid en veiligheid. Er zit echter ook een keerzijde aan het fenomeen. Al die voorwerpen worden slim gemaakt door computers, bestaande uit hard- en software, die in verbinding staan met het internet. Helaas zitten er vaak kwetsbaarheden in deze computers, waardoor het makkelijker is om op deze apparaten in te breken. Deze inbraken kunnen grote gevolgen hebben gezien de gevoeligheid van de data die deze apparaten verzamelen.
Naarmate er meer apparaten in huis met het internet verbonden zijn, kan er een gedetailleerder beeld van je leven geschetst worden. Het hacken van een IoT-apparaat kan daarom een direct gevaar voor iemands veiligheid opleveren. Zo kon men de besturing van een Jeep overnemen door gebruik te maken van een kwetsbaarheid in de firmware. Ook op grotere schaal is misbruik van IoT-apparaten mogelijk. In oktober 2016 werd een groot deel van het internet in het oosten van de Verenigde Staten platgelegd door een gehackt netwerk van IoT-apparaten. Het internet der dingen kan zo dus een gevaar vormen voor het internet der mensen.
Bedrijven zijn optimistisch over de mogelijkheden van IoT, maar vergeten nog wel eens naar de gevolgen van gebrekkige beveiliging te kijken. De groei van het internet der dingen is niet onopgemerkt gebleven bij de wetgever. Er zijn bijvoorbeeld al Kamervragen aan minister Grapperhaus van Justitie en Veiligheid gesteld over de aansprakelijkheid van de fabrikant bij schade door IoT-apparaten. De minister gaf aan dat de regeling van productaansprakelijkheid gebaseerd was op een Europese richtlijn. In Brussel wordt op dit moment gekeken naar de toepassing van deze richtlijn op nieuwe technologieën, zoals IoT.
Tot de uitkomst van deze evaluatie zullen de gewone productaansprakelijkheid en de aansprakelijkheid uit de onrechtmatige daad blijven gelden. Dit betekent dat een fabrikant van een dergelijk slim apparaat aansprakelijk gesteld kan worden voor schade die wordt veroorzaakt door een onveilig apparaat. Daarnaast moet degene die schade lijdt, kunnen aantonen dat er een verband bestaat tussen de onveiligheid en de schade. Een apparaat is onveilig bij bijvoorbeeld ontwikkelfouten of vatbaarheid voor het gebruik in een botnet.
Voor schade uit de onrechtmatige daad moet hierbij ook gekeken worden naar hetgeen van een producent kan worden verwacht en hoe bezwaarlijk het is om voorzorgsmaatregelen te nemen. Het lastige van een dergelijke procedure is dat niet meteen duidelijk is welke schade uit een gebrekkig slim apparaat voortvloeit.
De meeste consumenten zullen echter geen zin hebben om een rechtszaak aan te spannen, zeker niet als het nog maar de vraag is of ze succesvol zullen zijn. Daarnaast kan ook niet van consumenten verwacht worden dat zij op de hoogte zijn van de mogelijke beveiligingsrisico’s van verschillende producten. Er zal dus meer nodig zijn om te voorkomen dat fabrikanten gebrekkige producten op de markt brengen.
De Cyber Security Raad deelt de hiervoor genoemde zorgen en pleit voor een actievere houding van de wetgever, op Europees en nationaal niveau, om te voorkomen dat het internet der dingen ingrijpende gevolgen heeft op de fysieke en digitale wereld. Onderdeel van het advies is ten eerste een label-systeem dat consumenten bewust moet maken van het beveiligingsniveau van verschillende apparaten. Daarnaast moeten er minimumeisen komen wat betreft beveiliging, die gewaarborgd worden door een certificeringssysteem. Ten slotte pleit de Raad ervoor om internetproviders de mogelijkheid te geven om IoT-apparaten die besmet zijn met malware te kunnen aanpakken.
De Tweede Kamer heeft dit advies niet aan zich voorbij laten gaan, en heeft begin maart een motie aangenomen om te pleiten voor de verplichte certificering van apparaten die onderdeel zijn van het internet der dingen. De certificering zou een deel van de problemen waar het internet der dingen mee kampt kunnen oplossen, maar zover is het nog (lang) niet. Op dit moment ligt de verantwoordelijkheid voor een goede beveiliging bij de fabrikanten en winkeliers die IoT-apparaten verkopen.
De Britse privacy toezichthouder ICO is bijvoorbeeld van mening dat winkels geen onveilige IoT-apparaten moeten verkopen. Naast het feit dat het verkopen van gebrekkige apparaten voor imagoschade kan zorgen, zouden winkels een verantwoordelijkheid hebben tegenover hun klanten. Het lijkt erop dat veel winkels hier op dit moment nog niet mee bezig zijn, maar hopelijk verandert dit door een groter bewustzijn over IoT-apparaten en de gevaren die deze apparaten met zich meebrengen.
De toekomst zal leren in hoeverre fabrikanten en winkeliers verantwoordelijk nemen voor de mogelijke gevaren van IoT-apparaten, en of verdere actie vanuit de wetgever plaats zal vinden. Met als uiteindelijk doel: 80 miljard veilige IoT-apparaten in het jaar 2025.
Dit artikel is geschreven door oud-stagiair Cas Mevissen, in samenwerking met Arend Jan Wiersma.
ICTRecht is doorlopend op zoek naar gedreven stagiairs. Wij bieden leerzame stageplaatsen aan in Amsterdam, Groningen of Brussel. Heb jij aantoonbare affiniteit met ICT, privacy en (internet)recht en volg je een studie op WO (master) niveau? Bekijk dan onze stagevacature!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.