Een verplichting tot het updaten van software voor producenten van Internet of
Things apparaten
Een onderzoek naar de scope van de beveiligingsverplichting uit de Algemene Verordening Gegevensbescherming en belemmeringen in het voorstel ePrivacy Verordening
Masterscriptie Informatierecht Max Rozendaal |11273852 Begeleider: mr. O. van Daalen Inleverdatum: 21-07-2017
1
Inhoudsopgave
Inhoudsopgave 1
Lijst van afkortingen 3
1. Inleiding 4
1.1. Definitie Internet of Things 4
1.2. IoT-apparaten worden slecht beveiligd 4
1.3. IoT-apparaten kunnen ook autonome sensoren zijn 6
1.4. Producenten moeten worden verplicht software bij te werken 6
1.5. Onderzoeksvraag en deelvragen 8
1.6. Onderzoeksmethode 9
2. Updates zijn noodzakelijk om kwetsbaarheden te verhelpen 10
2.1. Updates kunnen op meerdere manieren worden verspreid 10
2.2. Zonder updates blijven kwetsbaarheden bestaan 10
2.3. Software updaten is in het publiek belang bij een veilige en betrouwbare infrastructuur 11 2.4. (Automatische) updates kunnen negatieve invloed hebben op de gebruikerservaring 12 3. Producent IoT-apparaat heeft in veel gevallen een updateverplichting onder de Algemene
Verordening Gegevensbescherming 15
3.1. Beveiligingsverplichting geldt voor de verwerking van persoonsgegevens door
verwerkingsverantwoordelijken 16
3.2. IoT-apparaten verwerken veelal persoonsgegevens 17
3.3. Producent IoT-apparaat is veelal aan te merken als verwerkingsverantwoordelijke 18 3.4. Beveiligingsverplichting houdt een verplichting tot updaten in 19 4. Een updateverplichting wordt belemmerd door het voorstel ePrivacy Verordening 22 4.1. Software kan enkel worden geüpdatet door het gebruik van verwerkings- en opslagcapaciteit
van een eindapparaat 22
4.2. Gebruik van verwerkings- en opslagcapaciteit van een eindapparaat voor updates is alleen
mogelijk met toestemming van de eindgebruiker 22
4.3. Toestemming voor automatische updates is moeilijk te verkrijgen 25 5. Het eindgebruikersbelang vereist een amendement op het voorstel ePrivacy Verordening om
updates zonder interactie van de eindgebruiker mogelijk te maken 28
5.1. Een uitzondering op grond van een wettelijke verplichting volstaat niet 28 5.2. Een specifieke uitzondering voor securityupdates is nodig, maar alleen voor strikt
noodzakelijke securityupdates 29
5.3. Waarborgen moeten de gebruiker tegen ongewenste gevolgen van updates beschermen 30 5.4. Updates mogen geen wijzigingen in de voorkeuren van gebruikers aanbrengen 31
2 5.5. Het is niet altijd mogelijk om de gebruiker voorafgaand aan een update te informeren 32
5.6. Gebruikers moeten automatische updates kunnen uitschakelen 33
5.7. Authenticiteit van een automatische update moet geverifieerd kunnen worden 33
5.8. Waarborgen in de praktijk 34
5.9. Software updaten is in lijn met de ratio van het voorstel ePrivacy Verordening 34
6. Conclusie 36 7. Verder onderzoek 37 Literatuurlijst 38 Kamerstukken 38 Literatuur 38 Rechtszaken 41 Websites 42 Wetgeving 43
3
Lijst van afkortingen
Art. 29-WG Artikel 29 Werkgroep
AP Autoriteit Persoonsgegevens
AVG Algemene Verordening Gegevensbescherming
CBP College Bescherming Persoonsgegevens
DDoS-aanval Distributed-Denial-of-Service aanval
DRM Digital Rights Management
EDPB European Data Protection Board
EDPS European Data Protection Supervisor
EVRM Europees Verdrag voor de Rechten van de Mens
Gbps Gigabit per seconde
IoT Internet of Things
IP(v6) Internet Protocol (version 6)
LoRaWAN Long Range Low Power Wide Area Network
M2M-communicatie Machine-to-machine communicatie
Voorstel ePrivacy Verordening Voorstel voor een Verordening van het
Europees Parlement en de Raad met betrekking tot de eerbieding van het privéleven en de bescherming van persoonsgegevens in
elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)
4
1. Inleiding
1.1. Definitie Internet of Things
Het Internet of Things (‘IoT’) is bezig met een opmars naar het verbinden van alle mogelijk denkbare apparaten met het internet. Vandaag kan men al koelkasten, wasmachines en zelfs wijnflessen1 kopen die met het internet verbonden zijn. In rap tempo worden steeds meer alledaagse objecten voorzien van netwerktoegang. Door schaalverkleining van chips en steeds snellere standaarden van draadloos
internet wordt het mogelijk om alsmaar kleinere objecten te verbinden met elkaar. Voor een verbinding met het internet is het niet langer noodzakelijk dat gebruikers daadwerkelijk met het apparaat
interacteren, via bijvoorbeeld een touchscreen. Internetverbinding is niet langer voorbehouden aan computers en smartphones.
Deze scriptie zal zich richten op IoT-apparaten die op het moment nog niet veelvoudig in gebruik zijn. Er kan gedacht worden aan een vuilnisbak die een sensor in zich heeft die de hoeveelheid verzamelde afval meet en dit doorgeeft aan een aan andere vuilnisbakken die over eenzelfde soort sensor beschikken, zodat het vuilnis zo efficiënt mogelijk opgehaald kan worden. Met dit soort apparaten wordt al wel volop geëxperimenteerd. KPN biedt ondernemers bijvoorbeeld de mogelijkheid om gebruik te maken van hun LoRaWAN. IoT-apparaten kunnen hiermee kleine hoeveelheden informatie uitwisselen tegen een zeer laag energiegebruik. Volgens KPN moeten IoT-apparaten die via dit netwerk incidenteel informatie communiceren tot 15 jaar lang meegaan op twee AA-batterijen.2
Het is te verwachten dat het aantal IoT-apparaten alleen maar zal toenemen de komende jaren. Dit zal een grote invloed hebben op cybersecurity. Slecht beveiligde apparaten vormen een gevaar voor het individuele privacybelang van gebruikers. Gebruikers hebben ook een belang om zeggenschap over hun eigen apparaat te houden. Door slechte beveiliging kunnen kwaadwillenden de controle over een IoT-apparaat overnemen. Maar slechte beveiliging van IoT-apparaten raakt ook een publiek belang. In de navolgende paragraaf zal worden ingegaan op het fenomeen Distributed Denial of Service (‘DDoS’) aanvallen. Dit soort aanvallen kunnen publieke websites en diensten onbereikbaar maken.
1.2. IoT-apparaten worden slecht beveiligd
Op 22 september 2016 werd de blog van de Amerikaanse beveiligingsonderzoeker Brian Krebs getroffen door een DDoS-aanval.3 De aanval op de website van Krebs bedroeg ongeveer 665 Gigabit per seconde (‘Gbps’).4 De grootste DDoS-aanval tot dan toe bedroeg ‘slechts’ 363 Gbps.5 Dit voorgaande record werd behaald met een klein botnet, een netwerk van geïnfecteerde computers, dat technieken gebruikte om
1 Zie Kuvee.com.
2 Zie ‘LoRa’, Kpn.com/zakelijk.
3 Een computeraanval waarbij vele duizenden computers die door malware zijn geïnfecteerd netwerkverkeer
richting een website sturen. De website kan deze grote hoeveelheid netwerkverkeer niet aan en raakt overbelast. Als gevolg hiervan is de website niet te bereiken voor legitieme bezoekers.
4 Vergelijkbaar met ongeveer de hoeveelheid data op 18 DVD’s per seconde.
5 de hoeveelheid netwerkverkeer te vergroten. Zo kon met een relatief klein aantal geïnfecteerde
computers toch een enorme hoeveelheid netwerkverkeer gegenereerd worden.
De aanval op de website van Krebs, die bijna twee keer zoveel netwerkverkeer als het voorgaande record genereerde, vertoonde echter iets bijzonders. Deze aanval maakte namelijk geen gebruik van technieken waarmee de hoeveelheid netwerkverkeer werd vergroot.6 Dit betekent dat het aantal apparaten dat in het botnet opgenomen werd zeer groot moet zijn geweest. Uit onderzoek is gebleken dat dit botnet grotendeels uit IoT-apparaten zoals beveiligingscamera’s, videorecorders en routers bestond.7
Dat het is gelukt om een groot botnet op te zetten van IoT-apparaten, komt omdat deze vaak ingesteld zijn met een standaard gebruikersnaam en wachtwoord.8 Als dit wachtwoord eenmaal bekend is kan iedereen die verbinding met het IoT-apparaat kan maken de controle over dit apparaat overnemen. Vaak hebben de gebruikers van deze gecompromitteerde IoT-apparaten niet eens door dat hun apparaat wordt gebruikt om anderen aan te vallen.9 Eén enkel gecompromitteerd IoT-apparaat zal op zichzelf niet zo’n grote hoeveelheid aan netwerverkeer genereren dat het netwerk van de eigenaar van het IoT-apparaat er trager van wordt. Eén enkel gecompromitteerd IoT-apparaat kan echter wel het entreepunt zijn van een hacker in een compleet netwerk van IoT-apparaten en gewone systemen.10 Een tweede risicofactor is dat een beveiligingslek ontstaat nadat het IoT-apparaat verkocht is. Software is immers nooit perfect, software die niet te hacken is bestaat niet. Het grote probleem met
IoT-apparaten is dat deze niet of nauwelijks worden bijgewerkt.11 Soms is het niet eens mogelijk om deze apparaten na verkoop bij te werken.12 Daarnaast speelt ook nog dat de gemiddelde consument niet veel verder komt dan het bijwerken van apps op zijn smartphone. De gemiddelde consument weet
bijvoorbeeld hoogstwaarschijnlijk niet dat a) er een update voor bijvoorbeeld zijn router is, omdat hij daarvan niet op de hoogte wordt gesteld en b) zelfs al is hij op de hoogte ontbreekt het hem vaak aan technische kennis om de software zelfstandig te updaten.13
Beveiligingsgebreken kunnen op vele manieren ontstaan. Veelvuldig toepassen van een standaard gebruikersnaam en wachtwoord is al genoemd. Een andere mogelijkheid is dat de broncode van software fouten bevat die het mogelijk maakt voor aanvallers om vergaande rechten te verkrijgen op het getroffen apparaat. Door middel van deze rechten kunnen aanvallers de controle over het apparaat
6 NCTV 2017, p. 24.
7 Krebs, ‘KrebsOnSecurity Hit With Record DDoS’, Krebsonsecurity.com 21 september 2016.
8 Edwards EDPL 2/1, p. 37; Krebs, ‘Who Makes the IoT Things Under Attack?’, Krebsonsecurity.com 3 oktober 2016;
van Voorst, ‘Lekken in Foscam-ip-camera's laten aanvaller apparaat overnemen’, Tweakers.net 7 juni 2017.
9 Schneier, ’Testimony at the U.S. House of Representatives Joint Hearing “Understanding the Role of Connected
Devices in Recent Cyber Attacks”’, Schneier.com 16 november 2016.
10 Paez & La Marca 2016, p. 46 & 47. 11 NCTV 2017, p. 23.
12 Schneier, ‘The Internet of Things Is Wildly Insecure — And Often Unpatchable’, Wired.com 1 juni 2014; Poudel
2016, p. 1015.
6 overnemen of kwaadaardige code hierop uitvoeren. Het is ook mogelijk dat de broncode van software fouten bevat die het direct mogelijk maakt om kwaadaardige code uit te voeren op een apparaat. Na de onthullingen van Snowden en lekken van Shadow Brokers is het duidelijk geworden dat
inlichtingendiensten kwetsbaarheden inbouwen in software om deze later te kunnen exploiteren.
1.3. IoT-apparaten kunnen ook autonome sensoren zijn
Hiervoor heb ik aangegeven deze scriptie te richten op autonome sensoren. Dit heb ik bewust gedaan om een groot deel van de IoT-apparaten die we nu al kennen uit te sluiten. De ontwikkeling van deze autonome sensoren brengt naar mijn mening nieuwe vragen met zich mee die anders zijn de vragen die nu al opkomen bij huidige vormen van IoT-apparaten. Huidige apparaten doen veelal toch denken aan de smartphone die door middel van een touchscreen interface bediend kan worden.
Bij autonome IoT-sensoren is dit anders. De gebruiker heeft hier nauwelijks tot geen interactie mee. Dat deze apparaten zonder menselijke tussenkomst autonoom gegevens verzamelen en versturen heeft gevolgen voor het effect van een hack op deze apparaten. Zoals in het voorbeeld van de DDoS-aanval op de website van Krebs al werd aangehaald, hoeft een gebruiker niet te merken dat zijn apparaat
gecompromitteerd is en misbruikt wordt.14 Het apparaat van de gebruiker brengt dan echter wel het publiek belang bij een veilige en bruikbare infrastructuur in gevaar. Door DDoS-aanvallen is het mogelijk dat publieke websites niet meer bereikbaar zijn of dat andere instellingen zoals banken hun taken niet kunnen uitvoeren.
Dit geldt eveneens voor besmetting met malware die persoonlijke gegevens over de gebruiker
verzamelt. Als een slecht beveiligde IoT-sensor overgenomen wordt door een kwaadwillende kan dit een ernstige privacy-inbreuk voor de gebruiker vormen, wanneer deze sensoren informatie over de
gebruiker verzamelen. Door middel van een netwerk van IoT-sensoren kan een zeer accuraat beeld van een gebruiker worden geschetst.
Omdat deze sensoren hun werk autonoom uitvoeren heeft een gebruiker bijna geen interactie met het IoT-apparaat. Als het eenmaal is ingesteld hoeft de gebruiker er niet meer naar om te kijken en
verzamelt en deelt de sensor gegevens. Deze ‘fire-and-forget’ eigenschap van IoT-sensoren zorgt er echter wel voor dat het voor veel gebruikers niet duidelijk zal zijn dat een update beschikbaar is.
1.4. Producenten moeten worden verplicht software bij te werken
Het probleem van het updaten van IoT-apparaten is tweeledig. Ten eerste is het mogelijk dat een producent überhaupt geen updates voor zijn IoT-apparaat uitbrengt. Ten tweede is het mogelijk dat een producent wel een update uitbrengt voor een door hem geproduceerd IoT-apparaat maar dat een gebruiker wegens het autonome karakter van het IoT-apparaat niet van de update op de hoogte is. Eerder haalde ik al het voorbeeld aan van de router die door de meeste consumenten nooit wordt geüpdatet. En dat terwijl een router een onderdeel van ons dagelijks leven is waarmee we onopgemerkt
14 Schneier,’ Testimony at the U.S. House of Representatives Joint Hearing “Understanding the Role of Connected
7 enorme hoeveelheden persoonlijke gegevens versturen en ontvangen. In Duitsland is onlangs
vastgesteld dat routers daadwerkelijk zijn gecompromitteerd.15 Om dit lek in beveiliging te verhelpen, is door de fabrikant van de getroffen routers inmiddels een update uitgebracht.16 Het blijft de vraag welk percentage van de gebruikers van de getroffen routers deze update daadwerkelijk heeft geïnstalleerd. Wellicht hebben producenten een extrinsieke motivatie nodig om hun apparaten na verkoop nog te blijven updaten. Privacywetgeving zou hiervoor een aanknopingspunt kunnen zijn. Onder de Algemene Verordening Gegevensbescherming (‘AVG’) bestaat immers een verplichting tot beveiliging van de verwerking van persoonsgegevens. Wanneer de beveiligingsverplichting van de AVG niet alle vormen van IoT-apparaten dekt, is het ook mogelijk om een verplichting tot het uitbrengen van updates in andere regelgeving te zoeken. Sectorspecifieke regulering van IoT is een mogelijkheid.17 Ook kan in dit verband het aloude debat over aansprakelijkheid voor producenten van software opnieuw aangehaald worden.18 Recentelijk is in de Tweede Kamer met een grote meerderheid een motie aangenomen om de regering te manen tot onderzoek naar de slechte beveiliging van IoT-apparatuur.19 Op het moment lijkt echter de AVG het beste aanknopingspunt te zijn om producenten van IoT-apparaten te verplichten de door hen uitgebrachte apparaten te blijven updaten.
Updates die automatisch geïnstalleerd worden zouden een oplossing kunnen zijn voor het probleem dat gebruikers niet op de hoogte zijn van de beschikbaarheid van een update. Op smartphones is dit nu veelal al een mogelijkheid van de App Stores. Gebruikers moeten hier wel zelf voor kiezen. Updates worden dan naar de telefoon gepusht en de gebruiker heeft zo automatisch de laatste versie van de apps die hij gebruikt zonder dat hij hiernaar hoeft om te kijken.
Uiteraard is de implementatie van een verplichting tot automatisch updaten niet zonder kanttekeningen. Het is de vraag of automatische updates van autonome IoT-apparaten met inachtneming van de normen van het voorstel ePrivacy Verordening20 mogelijk zijn. Met name het verbod op het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur van eindgebruikers kan automatische updates op IoT-apparaten in de weg staan.
Dit conflict is in een breder kader te plaatsen. Het gaat hier om een belangenafweging tussen meerdere zwaarwegende belangen. Enerzijds bestaat het privacybelang van de gebruiker en het publiek belang bij een veilig netwerk en bruikbare infrastructuur. Hiertegenover staat dat de gebruiker ook een individueel belang heeft bij zeggenschap over zijn eigen apparatuur. Het probleem in dit conflict is dat de belangen
15 Van Voorst, ‘Deutsche Telekom: storing 900.000 routers mogelijk gevolg van hack’, Tweakers.net 28 november
2016; ‘Were 900K Deutsche Telekom routers compromised by Mirai?’, Comsecuris.com 29 november 2016.
16 Huijbregts, ‘Netgear brengt definitieve patch uit voor drie kwetsbare routers’, Tweakers.net 18 december 2016. 17 Overweging 12 voorstel ePrivacy Verordening. Anders: Weber & Studer Computer Law & Security Review 32/5,
p. 727.
18 Daley Stanford Technology Law Review 19/3, p. 536–538; Tjong Tjin Tai & Koops NJB 90/16, p. 1068. 19 Kamerstukken II 2016/2017, 26643, 467.
20 Het is de wens van de Europese Commissie om deze verordening tegelijk met de Algemene Verordening
8 niet lijnrecht tegenover elkaar staan, ze zijn juist onderling verbonden. Aan de ene kant is bijvoorbeeld een automatisch geïnstalleerde update een inbreuk op de integriteit van apparatuur van een gebruiker. Anderzijds kan ook gesteld worden dat een automatisch geïnstalleerde update bij kwetsbaarheden juist noodzakelijk is om deze integriteit te waarborgen. Zonder de update is het immers mogelijk dat
kwaadwillende door het gebruik van de kwetsbaarheid toegang krijgen tot het apparaat van de gebruiker en daarmee de integriteit van het apparaat schenden.
1.5. Onderzoeksvraag en deelvragen
IoT is in opkomst en steeds meer apparaten worden met het internet verbonden. In de praktijk blijkt echter dat fabrikanten hun apparaten niet goed beveiligd leveren. Het gebruik van een standaard gebruikersnaam en wachtwoord is hier een voorbeeld van. Ook is het mogelijk dat een beveiligingslek ontstaat nadat het IoT-apparaat is verkocht, want software is immers nooit feilloos. Deze
beveiligingsproblemen worden in een ideale situatie door een producent gepatcht door middel van updates.
Onder de AVG bestaat een verplichting om apparaten die persoonsgegevens verwerken adequaat te beveiligen. Deze verplichting is mogelijk van toepassing op producenten van IoT-apparaten, maar het is nog niet duidelijk of de AVG wel van toepassing is op alle producenten van IoT-apparaten.
Als deze verplichting er wel is, staat daartegenover dat het voorstel ePrivacy Verordening in beginsel het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur van eindgebruikers verbiedt. Het updaten van de software van een IoT-apparaat is een manier om aan de beveiligingsverplichting te voldoen. Een update botst mogelijk echter met het verbod op het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur van eindgebruikers.
De onderzoeksvraag die hieruit voort komt is:
Vallen producenten van IoT-apparaten onder de beveiligingsverplichting van de Algemene Verordening Gegevensbescherming en zijn zij daarom verplicht om de software van door hen geproduceerde apparaten te updaten wanneer deze beveiligingsgebreken bevat, en zo ja, moet een verbod op het verkrijgen van toegang tot het apparaat van de gebruiker worden aangepast zodat producenten van IoT-apparaten aan hun beveiligingsverplichting kunnen voldoen?
Deze onderzoeksvraag zal ik beantwoorden aan de hand van de volgende deelvragen:
1. Is de beveiligingsverplichting van de AVG breed genoeg om producenten van IoT-apparaten onder de verplichting in te sluiten?
2. Staat het verbod op het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur van eindgebruikers uit art. 8 ePrivacy Verordening in de weg aan een beveiligingsverplichting van de producent van een IoT-apparaat?
3. Hoe dient een amendement van art. 8 ePrivacy Verordening te worden vormgegeven om de
beveiligingsverplichting van de AVG te verenigen met het verbod op het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur van eindgebruikers van de ePrivacy Verordening?
9
1.6. Onderzoeksmethode
De geformuleerde onderzoeksvraag is deels beschrijvend en deels ontwerpend. Het eerste gedeelte van de vraag ziet op het juridisch kader van de beveiligingsverplichting zoals dat geldt voor
verwerkingsverantwoordelijken onder de AVG. Het tweede gedeelte van de vraag ziet op het juridisch kader dat geldt voor het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur van
eindgebruikers en de compatibiliteit hiervan met een verplichting tot updaten van software. Uiteindelijk zal binnen dit kader normatief een aanbeveling worden gedaan om art. 8 voorstel ePrivacy Verordening te amenderen.
Het eerste gedeelte van het onderzoek is deels descriptief en deels normatief, hiervoor zal de tekst van de AVG met de bijbehorende overwegingen leidend zijn. Europese vaktijdschriften en vakliteratuur van Europese auteurs zal geraadpleegd worden. Literatuur over de Richtlijn bescherming persoonsgegevens (95/46/EG) en de Wet bescherming persoonsgegevens (‘Wbp’) wordt ook geraadpleegd, voor zover deze nog relevant is voor de AVG. Ook zullen opinies van de Artikel 29 Werkgroep (‘Art. 29-WG’) en de European Data Protection Supervisor (‘EDPS’) gebruikt worden. Hoewel deze teksten van de Art. 29-WG en de EDPS niet juridisch bindend zijn voor de interpretatie van de AVG, geven zij wel aan hoe er binnen de autoriteiten die op de naleving van de AVG zien, wordt gedacht over de interpretatie van de AVG. Het tweede deel van het onderzoek is normatief van aard en heeft als doel een amendement te
ontwerpen op artikel 8 voorstel ePrivacy Verordening om het verbod op het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur van eindgebruikers te verenigen met een verplichting tot het updaten van software. Wanneer normatief geoordeeld wordt dan zal dit gebeuren vanuit het
perspectief van de consument van IoT-apparaten. Dit onderzoek gaat uit van het normatieve standpunt dat het wenselijk is om producenten van IoT-apparaten te verplichten software te updaten wanneer deze beveiligingsgebreken bevat.
In deze masterscriptie beperk ik mij tot een analyse van IoT-apparaten die de volgende kenmerken hebben:
1. De IoT-apparaten worden ingezet als sensor in een object; 2. De IoT-apparaten verzamelen autonoom gegevens;
3. De gebruiker heeft nauwelijks interactie met het IoT-apparaat.
Ook behandel ik enkel situaties waarin een kwetsbaarheid alleen door een update op het IoT-apparaat zelf te verhelpen is. Situaties waarin een kwetsbaarheid opgelost kan worden door een update aan de serverzijde van de producent van het IoT-apparaat laat ik buiten beschouwing. Verder beperk ik mij in deze scriptie enkel tot situaties waarin apparaten door consumenten gebruikt worden. IoT-apparaten in de context van een fabricageproces of bedrijfsmatig gebruik roept andere vragen op, die buiten het bereik van deze scriptie blijven.
10
2. Updates zijn noodzakelijk om kwetsbaarheden te verhelpen
2.1. Updates kunnen op meerdere manieren worden verspreid
Er bestaan meerdere manieren om updates naar gebruikers te verspreiden. Deze methoden verschillen in mate van gebruikersinteractie en vereiste expertise. Ik beperk mij tot recente manieren van het updaten van software en bespreek alleen programma’s die een update functionaliteit hebben ingebouwd. Vóór de opkomst van internet moesten gebruikers zelf bij de fabrikant van de updates verkrijgen, vaak nog via diskettes.
Een van de methodes om updates aan te bieden via een ingebouwde update-functionaliteit is gebruikers zelf te laten controleren op updates. Hierbij heeft de gebruiker de meeste controle over de update. Hij bepaalt immers zelf op welk tijdstip hij controleert op updates. Ook heeft hij de mogelijkheid om te bepalen of de beschikbare updates daadwerkelijk worden gedownload en geïnstalleerd.
Een tweede methode is dat software automatisch controleert of updates beschikbaar zijn, waarbij deze updates in sommige gevallen ook alvast automatisch worde gedownload. De updates worden echter nog niet direct geïnstalleerd; de gebruiker moet zelf aangeven dat hij de update wil installeren. De laatste methode die ik zal bespreken is het pushen van updates. Deze methode laat gebruikers de minste vrijheid bij het beslissen over het installeren van updates. Op gezette tijden controleert de software automatisch of updates beschikbaar zijn, indien beschikbaar worden de updates gedownload en geïnstalleerd. Veelal zonder gebruikersinteractie maakt deze methode het mogelijk om gebruikers te voorzien van de laatste versie van software. Voorbeelden hiervan zijn het automatisch updaten van apps vanuit de Google Play Store of het updaten van Windows 10. Gebruikers moeten wel aangeven dat zij willen dat de apps/software automatisch worden geüpdatet, maar meestal is dit de aangevinkte
voorkeur. Wanneer gebruikers dus snel door installatieschermen klikken zullen zij automatische updates toestaan. Het is de vraag of zo’n voorgeselecteerde keuze als toestemming voor het automatisch
installeren van updates juridisch houdbaar is. In de praktijk zullen updates automatisch worden geïnstalleerd na deze handeling.
2.2. Zonder updates blijven kwetsbaarheden bestaan
In deze scriptie beperk ik mij tot updates die door producenten van IoT-apparaten worden uitgebracht om kwetsbaarheden te verhelpen. Krijgt de gebruiker de mogelijkheid om een securityupdate te weigeren en maakt hij hier gebruik van, dan zal een kwetsbaarheid in het apparaat blijven bestaan. Wanneer gebruikers updates kunnen weigeren is het dus mogelijk dat kwetsbaarheden blijven voortbestaan en dat hiervan misbruik wordt gemaakt.
Een zeer goed voorbeeld van de gevaren van het niet instaleren van updates die kwetsbaarheden verhelpen, is de grootschalige ransomware aanval van 12 mei 2017 met de zogenaamde WannaCry ransomware.21 Hiervan zijn wereldwijd vele computernetwerken het slachtoffer geworden, waaronder een groot aantal ziekenhuizen in Groot Brittannië en infrastructuur in Spanje.22 De
ransomwarecampagne maakte gebruik van de 'EternalBlue'-kwetsbaarheid in oudere versies van
21 ‘Uitbraak WannaCry-ransomware: De feiten op een rij’, Security.nl 15 mei 2017.
22 Hendrikman, ´Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat – update’, Tweakers.net 12 mei
2017; Cimpanu, ‘Telefonica Tells Employees to Shut Down Computers Amid Massive Ransomware Outbreak’, Bleepingcomputer.com 12 mei 2017.
11 Windows, welke zijn geopenbaard in een lek van hacktools van de NSA en CIA.23 Microsoft heeft deze kwetsbaarheid snel na openbaring verholpen.24 Twee maanden na het uitbrengen van deze
securityupdate zijn echter veel systemen nog steeds kwetsbaar gebleken, omdat de bewuste
securityupdate niet was geïnstalleerd.25 Enkel het uitbrengen van een securityupdate is dus niet genoeg. De securityupdate moet daadwerkelijk geïnstalleerd worden om de kwetsbaarheid te verhelpen. Eén enkel besmet apparaat kan ervoor zorgen dat alle bestanden die via het netwerk toegankelijk zijn worden versleuteld door ransomware. Dit betekent dat op ieder individueel apparaat de kwetsbaarheid moet worden opgelost. 26 Gebeurt dat niet dan blijft het gehele netwerk vatbaar voor een ransomware aanval. Een kwaadwillende heeft maar één ingang nodig om schade aan te richten met ransomware. Wanneer een producent van een IoT-apparaat een in het IoT-apparaat ontdekte kwetsbaarheid wil verhelpen, dan zal op elk IoT-apparaat een update geïnstalleerd moeten worden. Een update die
automatisch wordt geïnstalleerd is dan vanuit het oogpunt van het verhelpen van kwetsbaarheden de te verkiezen methode. Wanneer gebruikers de update kunnen weigeren blijft de kwetsbaarheid bestaan. Des te langer een kwetsbaarheid bestaat des te bekender deze kwetsbaarheid zal worden. Een bekende kwetsbaarheid die niet verholpen is, is eenvoudiger te exploiteren door internetcriminelen.27
2.3. Software updaten is in het publiek belang bij een veilige en betrouwbare
infrastructuur
Wanneer kwetsbaarheden in IoT-apparaten blijven bestaan is dit een gevaar voor het publiek belang bij een betrouwbare infrastructuur. De projecties voor aantallen verbonden IoT-apparaten richting 2020 lopen uiteen van 20 tot 30 miljard apparaten.28 Uiteraard zijn dit voorspellingen, maar als wordt uitgegaan van de meest conservatieve schattingen, zijn dit nog steeds bijna onvoorstelbare hoeveelheden apparaten.
Het gevaar van kwetsbare apparaten voor het publiek belang is tweeledig. Als eerste kunnen IoT-apparaten met kwetsbaarheden worden geëxploiteerd door internetcriminelen om DDoS-aanvallen uit te voeren. Wanneer deze aanvallen gericht worden tegen publieke websites en (netwerk)infrastructuur dan heeft dit schadelijke gevolgen voor de gehele samenleving.29 Aanvallen op bijvoorbeeld
energienetwerken of ziekenhuizen zijn in het bijzonder schadelijk voor de samenleving. In beginsel is echter iedere DDoS-aanval onwenselijk.
Anderzijds is het gevaar van kwetsbare IoT-apparaten dat deze binnen publieke infrastructuur of nutsbedrijven worden gebruikt. Worden deze kwetsbare IoT-producten geëxploiteerd dan kan dit tot grote schade in bijvoorbeeld de energiesector of het publieke transport leiden.30 Een voorbeeld hiervan
23 van Voorst, 'Shadowbrokers-dump bevat verschillende Windows-zero-days', Tweakers.net 14 april 2017. 24 ‘Microsoft Security Bulletin MS17-010 – Critical’, Technet.microsoft.com 14 maart 2017; Schievink, ‘Microsoft:
Windows-zero-days in Shadowbrokers-dump zijn al gerepareerd’, Tweakers.net 15 april 2017.
25 van Miltenburg. ´Microsoft: WannaCrypt toont gevaren opsparen kwetsbaarheden door overheden’,
Tweakers.net 15 mei 2017.
26 Weber & Studer Computer Law & Security Review 32/5, p. 720. 27 Wash e.a. 2014, p. 91.
28Nordrum, ‘Popular Internet of Things Forecast of 50 Billion Devices by 2020 Is Outdated’, Spectrum.ieee.org 18
augustus 2016.
29 Klimek Masaryk University Journal of Law and Technology 6/1, p. 88.
30 Segura-Serrano European Journal of Law and Technology 6/3, p. 2; Zetter, ‘Inside the cunning unprecedentend
12 is de Stuxnet malware die Iraanse uraniumverrijkingscentrales als doel had,31 of de Industroyer malware die het Oekraïense stroomnetwerk als doel had.32
Wanneer deze kwetsbaarheden blijven bestaan vanwege het uitblijven van updates van fabrikanten, dan vormt dit een risico voor het publiek belang bij een veilige en betrouwbare infrastructuur.
Kwetsbaarheden in het digitale domein kunnen een zeer grote invloed hebben op publieke veiligheid in het fysieke domein.33
Het gevaar van onveilige IoT-apparatuur schuilt echter niet alleen in DDoS-aanvallen. Een
gecompromitteerde router bijvoorbeeld geeft toegang tot het interne netwerk van gebruikers. Hierdoor is het voor kwaadwillenden zeer eenvoudig om het netwerk van gebruikers binnen te dringen en het recht op privacy, bescherming van persoonsgegeven en zeggenschap over apparaten van gebruikers te schenden. Daarnaast kunnen gecompromitteerde IoT-apparaten gebruikt worden als proxy om hacks te verhullen. Ook is het mogelijk dat door kwetsbaarheden data van IoT-apparaten wordt uitgelezen door onbevoegden, wat weer kan leiden tot bijvoorbeeld identiteitsfraude.
2.4. (Automatische) updates kunnen negatieve invloed hebben op de
gebruikerservaring
Software updates kunnen een negatieve invloed hebben op de gebruikerservaring. Vanuit het oogpunt van het verhelpen van kwetsbaarheden zijn automatische updates te verkiezen methode. Omdat updates echter negatieve invloed kunnen hebben op de gebruikerservaring is het noodzakelijk om aandacht te besteden aan waarborgen die hiertegen beschermen bij het automatisch installeren van updates.
Wanneer een software update de gebruikersinterface verandert, wordt dit door veel mensen als
onprettig ervaren.34 Een van de meer sprekende voorbeelden van een wijziging in de gebruikersinterface die door veel gebruikers als onprettig werd ervaren, was de verandering van het Start Menu in Windows 8(.1) ten opzichte van Windows 7.35 Wordt een update die een wijziging doorvoert in de
gebruikersinterface automatisch geïnstalleerd, dan bestaat de kans dat dit een negatieve invloed heeft op de gebruikerservaring. Om dit tegen te gaan zou onderscheid gemaakt moeten worden tussen securityupdates en featuresupdates.
In theorie zouden securityupdates enkel kwetsbaarheden in de besturingssoftware van een apparaat, of de applicaties die daarop draaien, moeten oplossen en niets anders. Van een securityupdate zou een gebruiker dus niets moeten merken. Zo’n update verhelpt enkel kwetsbaarheden en brengt geen wijziging in de gebruikservaring mee.
31 Paez & La Marca 2016, p. 49. Zie ook de documentaire Zero Days, Zerodaysfilm.com.
32 ‘IT-beveiliger ESET ontdekt Industroyer, de gevaarlijkste malware gericht op industriële systemen sinds Stuxnet’,
Eset.com 12 juni 2017.
33 Weber & Studer Computer Law & Security Review 32/5, p. 720. 34 Vaniea, Rader & Wash 2014, p. 2
13 In de praktijk gebeurt het echter ook wel dat softwareleveranciers securityupdates gebruiken als vehikel om verdergaande wijzigingen door te voeren.36 Digital Rights Management (‘DRM’) is een manier om content tegen ongeoorloofd gebruik te beveiligen. In het hiervoor aangehaalde voorbeeld had HP door middel van een securityupdate DRM in printers geïnstalleerd waardoor deze printers alleen nog maar met originele HP-inktcartridges werkten. In dat geval werd een securityupdate dus gebruikt om wijzigingen die de gebruiker niet verwachtte te introduceren. Dit komt het oplossen van
kwetsbaarheden niet ten goede. Als gebruikers bij elke securityupdate zich moeten afvragen of deze update geen andere ongewenste wijzigingen meebrengt, zullen zij minder snel securityupdates installeren. In hoofdstuk vijf zal ik hier nog op terugkomen.
Een ander nadeel van updates is dat zij in sommige gevallen vereisen dat het apparaat opnieuw opgestart moet worden. Bij sommige updates start het apparaat zelfs automatisch opnieuw op nadat updates automatisch zijn geïnstalleerd.37 Verlies van data kan een gevolg zijn. In een omgeving waar apparaten van elkaar afhankelijk zijn, zoals bij IoT het geval kan zijn, kan het automatisch opnieuw opstarten van apparaten mogelijk zelfs tot storingen leiden in andere apparaten.
Het laatste mogelijke negatieve aspect van updates dat ik wil bespreken, is het verwijderen van features omdat dit noodzakelijk is om een kwetsbaarheid op te lossen. Een voorbeeld hiervan is het verwijderen van smart-tv-features van een bepaalde serie smart-tv’s omdat deze geen SHA-2 certificaten zouden ondersteunen.38 Oudere SHA-1 certificaten zijn inmiddels niet meer veilig.39 Deze certificaten worden dan ook niet meer gebruikt door onder andere Netflix en YouTube. Deze content providers zijn
overgestapt op SHA-2 certificaten, wat de apps op de smart-tv’s niet zouden ondersteunen. Uiteindelijk is het toch gelukt om ondersteuning voor SHA-2 certificaten te implementeren op deze smart-tv’s.40 Als ondersteuning niet mogelijk zou zijn geweest, dan zou een groot deel van de functionaliteit van de smart-tv verloren zijn gegaan. In dit soort gevallen moet ook rekening gehouden worden met de verwachte levensduur van een apparaat.41
Het is goed voorstelbaar dat in de toekomst het vaker noodzakelijk zal zijn bepaalde functionaliteit te verwijderen van apparaten om kwetsbaarheden te dichten. Ook dit raakt aan de gebruikservaring van het apparaat. Een update die functionaliteit uitschakelt om kwetsbaarheden te verhelpen, heeft een grote negatieve invloed op de gebruikservaring. Wordt deze update automatisch geïnstalleerd dan is de negatieve invloed op de gebruikerservaring nog groter omdat de gebruiker dan geen zeggenschap in het installatieproces heeft gehad.
36 Harmonn, ‘Don't Hide DRM in a Security Update’, EFF.org 28 september 2016.
37 Hollister, ‘Microsoft won't fix the most frustrating thing about Windows’, Cnet.com 7 maart 2017.
38 Hendrikman, ‘Eerste smart-tv's van Philips uit 2009 verliezen smart-functionaliteit’, Tweakers.net 23 november
2016.
39 Goodin, ‘At death’s door for years, widely used SHA1 function is now dead’, Arstechnica.com 23 februari 2017. 40 Hendrikman, ‘Philips weet NetTV-functies toch werkend te houden op eerste smart-tv's’, Tweakers.net 17
januari 2017.
14 Deze nadelen zijn ook op updates van IoT-apparaten van toepassing. Stel dat een bepaald
communicatieprotocol dat gebruikt wordt voor communicatie tussen IoT-apparaten kwetsbaarheden bevat, en deze kwetsbaarheden blijken op een specifiek IoT-apparaat niet te verhelpen. In dat geval is de enige optie om misbruik hiervan uit te sluiten het verwijderen of uitschakelen van het kwetsbare communicatieprotocol. Dit heeft dan echter ook tot gevolg dat het apparaat niet meer met andere IoT-apparaten kan communiceren via dit communicatieprotocol. Een groot deel van de functionaliteit van het IoT-apparaat gaat daarbij verloren.
Met deze mogelijke nadelige gevolgen voor de gebruikservaring moet dan ook rekening gehouden worden wanneer over de wenselijkheid van automatisch updaten, en de mogelijke verplichting daartoe, wordt gedacht. Door het automatische karakter van de updates worden mogelijke negatieve gevolgen van updates extra uitvergroot. In hoofdstuk vijf zal ik hier nog op terugkomen.
15
3. Producent IoT-apparaat heeft in veel gevallen een updateverplichting
onder de Algemene Verordening Gegevensbescherming
In het voorgaande hoofdstuk is het belang van updates besproken. Een manier om producenten van IoT-apparaten te verplichten updates uit te brengen is een wettelijke verplichting tot het updaten van software. Zo’n verplichting gekoppeld aan toezicht door een onafhankelijke toezichthouder is een goede optie om producenten van IoT-apparaten te verplichten deze apparaten te updaten. Deze wettelijke verplichting moet de juiste normadressaat hebben om producenten van IoT-apparaten daadwerkelijk een updateverplichting op te leggen.
Artikel 5 lid 1 sub f AVG bevat een principe voor de verwerking van persoonsgegevens door
verwerkingsverantwoordelijken op het gebied van beveiliging. De verwerkingsverantwoordelijke dient technische en organisatorische maatregelen te treffen zodat persoonsgegevens gewaarborgd zijn tegen ‘ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of
beschadiging’.42 In artikel 5 lid 2 AVG wordt de verantwoordelijkheid voor de naleving van dit principe bij de verwerkingsverantwoordelijke neergelegd. Deze dient tevens ook te kunnen aantonen dat hij
persoonsgegevens in overeenstemming met dit principe verwerkt.
In artikel 32 AVG wordt het voorgaande principe nader uitgewerkt in een beveiligingsverplichting voor de verwerkingsverantwoordelijke en verwerker. Passende technische en organisatorische maatregelen dienen genomen te worden door de verwerkingsverantwoordelijke. Hierbij moet rekening worden gehouden met een reeks aan omstandigheden:
• de stand van de techniek; • de uitvoeringskosten;
• de aard, omvang en context van de verwerking; • de verwerkingsdoeleinden, en
• de waarschijnlijkheid en ernst van de risico’s voor de rechten en vrijheden van personen. Aan de hand van deze criteria zal de verwerkingsverantwoordelijke een beveiligingsniveau moeten vaststellen dat tegen het risico waarborgen biedt. De verplichting van artikel 32 AVG geldt ook voor de verwerker, anders dan de verplichting van art. 5 lid 1 sub f jo. art. 5 lid 2 AVG. Het is nog niet duidelijk hoe de onderlinge verantwoordelijkheid voor de naleving van deze beveiligingsverplichting zich zal uitkristalliseren.
De beveiligingsverplichting van artikel 32 AVG bevat een open norm. Veel (onvoorspelbare)
omstandigheden worden in aanmerking genomen bij het bepalen van een passend beveiligingsniveau. Veel handvatten biedt de AVG zelf niet op het punt van de beveiligingsverplichting voor het
bedrijfsleven. Per casus zal een bedrijf moeten beoordelen tegen welke risico’s passende technische en organisatorische maatregelen genomen moeten worden.43 De European Data Protection Board (EDPB), de opvolger van de Art. 29-WG en de EDPS, kan sturing hierin geven door middel van opinies en richtlijnen.
42 Art. 5 lid 1 sub f AVG
16 De beveiligingsverplichting van artikel 32 AVG vervangt artikel 17 Richtlijn bescherming
persoonsgegevens en artikel 13 Wbp. Literatuur en jurisprudentie over die bepalingen blijven relevant. Onder de Richtlijn bescherming persoonsgegevens en de Wbp heeft het CBP (thans AP) richtsnoeren over de beveiliging van persoonsgegevens uitgevaardigd.44
3.1. Beveiligingsverplichting geldt voor de verwerking van persoonsgegevens door
verwerkingsverantwoordelijken
Een normadressaat voor een wettelijke verplichting tot updaten is niet gemakkelijk te formuleren gezien de grote hoeveelheid partijen die betrokken zijn bij het ontwikkelen van IoT-producten. Art. 32 AVG bevat wel duidelijke normadressaten. Dit zijn de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’. De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.45 De verwerker is degene die ten behoeve van de
verwerkingsverantwoordelijke persoonsgegevens verwerkt.46
Rond het uitbrengen van updates speelt het probleem van de normadressaat een grote rol. Hoewel de producent van het IoT-apparaat degene is die het apparaat uiteindelijk aan de consument of het bedrijfsleven verkoopt, is de producent bij lange na niet de enige partij die betrokken is bij de
ontwikkeling van het apparaat.47 Zowel op hardware- als of op softwaregebied zijn producenten van IoT-apparatuur afhankelijk van leveranciers.48 In een IoT-apparaat kunnen chips en sensoren verwerkt zijn die van verschillende leveranciers afkomstig zijn. Deze hebben vaak hun eigen drivers nodig om te kunnen functioneren. Al deze verschillende componenten kunnen kwetsbaarheden bevatten. Voor het uitbrengen van een update is de producent die het IoT-apparaat verkoopt daarom vaak afhankelijk van medewerking van zijn leveranciers. In het ontwerpstadium moet met deze problematiek al rekening worden gehouden.49
Dit probleem is binnen de computerindustrie niet nieuw. Nissenbaum had het in 1996 al over het probleem van de vele handen wanneer over verantwoordelijkheid en aansprakelijkheid wordt gedacht binnen de computerindustrie.50 Twintig jaar later speelt dit probleem nog steeds. Door steeds
verdergaande globalisering en goedkope productie in Azië is dit probleem alleen nog maar groter geworden. Een norm die een verplichting tot updaten oplegt, moet zo geformuleerd zijn dat duidelijk een partij de eindverantwoordelijkheid krijgt opgelegd voor het product dat op de markt wordt gebracht. De beveiligingsverplichting van de AVG biedt een goed aanknopingspunt voor een updateverplichting. Ook via het principe artikel 5 lid 1 sub f jo. artikel 5 lid 2 AVG wordt de
verwerkingsverantwoordelijke verplicht de beveiligingsverplichting na te leven. De producent van een IoT-apparaat die als verwerkingsverantwoordelijke aan te merken is, zal in het ontwerpstadium van het IoT-apparaat al moeten bewerkstelligen dat naleving van de beveiligingsverplichting mogelijk is. Dit
44 CBP 2013. 45 Art. 4(7) AVG. 46 Art. 4(8) AVG.
47 Article 29 Working Party 2014, p. 18–19.
48 Diega & Walden European Journal of Law and Technology 7/2, p. 4–6.
49 Europese Commissie 2009, p. 8; Wiese Schartum International Journal of Law and Information Technology 24/2,
p. 154–157.
50 Nissenbaum Science and Engineering Ethics 2/1, p. 29 & 30. Zie ook: van de Poel e.a. Science and Engineering
17 betekent dat nagedacht moet worden over de mogelijkheid om leveranciers te verplichten mee te werken aan de naleving van de beveiligingsverplichting.
3.2. IoT-apparaten verwerken veelal persoonsgegevens
Het begrip persoonsgegeven is een brede term. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.51 De IoT-apparaten waar ik me in deze scriptie tot heb beperkt zullen veelal dit soort informatie verwerken. Hoewel de IoT-apparaten die in deze scriptie worden behandeld op zichzelf triviale informatie verzamelen, kan toch een zeer compleet beeld van een gebruiker worden verkregen wanneer triviale informatie van meerdere IoT-apparaten wordt gecombineerd.
In veel voorkomende gevallen zullen autonome IoT-sensoren hun informatie delen met cloud-platforms. Met name in smarthome applicaties zullen IoT-sensoren informatie delen om zo de gebruiker een completer beeld van de aangesloten IoT-apparaten in zijn huis te geven. Hiervoor zal het wel
noodzakelijk zijn om deze apparaten te registreren. Hierbij worden de IoT-apparaten gekoppeld aan een account. Daarmee is de informatie die door de IoT-apparaten met het platform wordt gedeeld een persoonsgegeven betreffende een geïdentificeerde natuurlijke persoon.
Het is ook goed denkbaar dat in combinatie met informatie van een andere partij de informatie van een IoT-apparaat tot de identiteit van een natuurlijke persoon leidt. De informatie is dan een
persoonsgegeven betreffende een identificeerbare natuurlijke persoon. Met de ondergrens van de Breyer-zaak in gedachte zal veelal sprake zijn van persoonsgegevens.52 Die ondergrens werd in Breyer bepaald op een “gelet op de vereiste tijd, kosten en mankracht – (…) excessieve inspanning (…) zodat het gevaar voor identificatie in werkelijkheid onbeduidend lijkt.”53 Veel van de informatie die door autonome sensoren wordt verzameld is triviaal en duidt enkel de status van een object. Het is echter goed mogelijk dat zonder excessieve inspanning door middel van combinatie met gegevens van een derde partij, deze objectstatus te herleiden is tot een natuurlijke persoon.54
De Breyer-zaak betrof de vraag of een dynamisch IP-adres een persoonsgegeven kan zijn voor een websitehoster wanneer door middel van additionele (log)gegevens van een aanbieder van
internettoegang de afnemer van de internetverbinding, en dus het IP-adres, achterhaald kan worden. Omdat het verkrijgen van deze additionele gegevens voor identificatie geen excessieve inspanning vormde, werd een dynamisch IP-adres een persoonsgegevens geacht door het Hof. Ditzelfde kan gelden voor IoT-apparaten. Het is te verwachten dat in de toekomst IoT-apparaten een eigen uniek IP-adres krijgen door de uitrol van IPv6-adressen. De kans is groot dat aanbieders van internettoegang de gebruikers van IoT-apparaten aan de hand van unieke IPv6-adressen kunnen identificeren.
De beveiligingsverplichting van art. 32 AVG geldt alleen voor de verwerking van persoonsgegevens. Verwerkt een IoT-apparaat geen persoonsgegevens, dan is de producent vanuit de bestaande privacy normen niet verplicht om dit apparaat te beveiligen. Het is echter te verwachten dat veel IoT-apparaten persoonsgegevens zullen verwerken en daarmee binnen het bereik van de AVG vallen. Ook is het te
51 Art. 4(1) AVG.
52 HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779 (Breyer). 53 HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779 (Breyer), par. 46.
54 HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779 (Breyer), par. 47 & 48; Oostveen International Data Privacy Law
18 verwachten dat de nationale toezichthouders en de EDPB veel gegevens die door IoT-apparaten worden verzameld zullen kwalificeren als persoonsgegevens.55
3.3. Producent IoT-apparaat is veelal aan te merken als verwerkingsverantwoordelijke
Verkoopt een producent van IoT-apparaten een IoT-apparaat aan een consument, dan is de producent vaak aan te merken als verwerkingsverantwoordelijke. Dit zal met name zo zijn bij smarthome
apparatuur. Hierbij zal namelijk de producent van het IoT-apparaat bepalen welke gegevens worden verzameld door het IoT-apparaat en met welk doel dit gebeurt. Autonome IoT-sensoren maken vaak gebruik van een cloud-platform om de verzamelde gegevens te delen en betekenisvol te maken. In de relatie tussen de producent van het IoT-apparaat en de consument is het de producent die feitelijk de positie heeft om het doel en de middelen van de verwerking van persoonsgegevens te bepalen.56 In het ontwerpstadium van het IoT-apparaat wordt door de producent bepaald welke gegevens worden verwerkt door het IoT-apparaat. Zoals in de voorgaande paragraaf besproken is, zullen deze gegevens in veel gevallen een persoonsgegeven zijn. De gebruiker kan na aanschaf hoogstens aangeven dat het zijn voorkeur is dat bepaalde gegevens niet door het IoT-apparaat worden verzameld. De gebruiker zal echter niet zelf additionele soorten gegevens kunnen toevoegen die het IoT-apparaat moet verzamelen. Het doel van de verwerking wordt door de producent van het IoT-apparaat bepaald. De producent bepaalt immers tijdens het ontwerpen waarom specifieke gegevens worden verzameld. Een slimme thermostaat is hier een voorbeeld van. Slimme thermostaten zijn verbonden met het internet en kunnen hierdoor ook buitenshuis ingesteld worden. Tevens hebben slimme thermostaten vaak bewegingssensoren om te detecteren of er personen aanwezig zijn in een kamer, en die kamer
verwarmd moet worden. De slimme thermostaat zal voor bediening op afstand vaak gekoppeld zijn aan een gebruikersaccount. De verzamelde gegevens zijn nodig voor de slimme functionaliteit van de thermostaat, het herkennen van aanwezigheid van personen en het op afstand bedienen. Met het ontwerpen van deze functies heeft de producent dus bepaald voor welke doeleinden gegevens worden verwerkt door het IoT-apparaat.
Daarnaast bepaalt de producent van het IoT-apparaat ook grotendeels welke middelen worden gebruikt voor de verwerking door het apparaat. Ten eerste wordt tijdens de ontwerpfase van het
IoT-apparaat door de producent bepaald welke sensoren in het IoT-IoT-apparaat worden verwerkt. Daarmee bepaalt de producent al grotendeels de middelen voor de verwerking. Ten tweede ontwerpt en beheert de producent van het IoT-apparaat ook vaak het cloud-platform waarmee het IoT-apparaat verbonden is. De exacte technische inrichting van dit platform kan in eigen beheer zijn of uitbesteed worden.57 Van belang is wie bepaalt bijvoorbeeld hoe lang de gegevens in het cloud-platform worden opgeslagen of welk personeel toegang heeft.58
In het voorbeeld van de slimme thermostaat bepaalt de producent dat bewegingssensoren worden gebruikt om gegevens te verzamelen. Ook heeft de producent zeggenschap over het achterliggende platform van de slimme thermostaat dat wordt gebruikt voor de registratie van gebruikers. Van belang hierbij is dat de producent van de slimme thermostaat op organisatorisch en technisch niveau kan
55 Article 29 Working Party 2014, p. 10–11.
56 Article 29 Working Party 2010, p. 11-12; Autoriteit Persoonsgegevens 2017, p. 105. 57 Article 29 Working Party 2010, p. 13-14.
19 bepalen welke middelen worden ingezet. Dat meer diepgaande organisatorische en technische
beslissingen, zoals de exacte servers van het cloud-platform of type microcontrollers voor het IoT-apparaat, mogelijk worden uitbesteed doet niet af aan de kwalificatie van de producent als verwerkingsverantwoordelijke.59
Daar komt ook nog eens bij dat de producent van het IoT-apparaat een eigen belang kan hebben bij het verzamelen van gegevens door IoT-apparaten. Producenten van IoT-apparaten kunnen de verzamelde gegevens gebruiken om hun producten en diensten te analyseren en te bepalen welke toekomstige producten en diensten zij zullen gaan aanbieden.60 Daarnaast kunnen de verzamelde gegevens worden gebruikt door de producent om zijn huidige IoT-apparaten en diensten te verbeteren. Dit brengt mee dat de producent van IoT-apparaten ook op deze grond als verwerkingsverantwoordelijke aangemerkt moet worden.61
3.4. Beveiligingsverplichting houdt een verplichting tot updaten in
De AVG is een uitwerking van art. 8 Europees Handvest, het recht op bescherming van
persoonsgegevens. De ePrivacy Verordening is een uitwerking van art. 7 Europees Handvest, het recht op privacy en communicatiegeheim. In een keten van waarden is goede cybersecurity een voorwaarde voor de bescherming van persoonsgegevens, privacy en het communicatiegeheim.62
In de AVG wordt gesproken over vertrouwelijkheid, integriteit en beschikbaarheid als de eisen waaraan systemen moeten voldoen om veilig geacht te worden.63 Wanneer een van deze vereisten niet kan worden gegarandeerd, dan is de bescherming van persoonsgegevens in gevaar. Ontbreekt de
vertrouwelijkheid, integriteit en beschikbaarheid van een systeem dan is echter ook het recht op privacy en het communicatiegeheim niet gegarandeerd. De vertrouwelijkheid, integriteit en beschikbaarheid van systemen zou dus als voorwaarde voor de bescherming van deze waarden gezien kunnen worden. Het is daarom goed te zien dat de beveiligingsverplichting van art. 32 AVG vertrouwelijkheid, integriteit en beschikbaarheid als factoren in de risicobeoordeling worden meegewogen. Uit de bewoording “op permanente basis (…) te garanderen”64 lijkt een vergaande inspanningsverplichting te volgen. Ten opzichte van de beveiligingsverplichting van art. 17 Richtlijn bescherming persoonsgegevens is art. 32 AVG gedetailleerder. De huidige beveiligingsverplichting onder de Richtlijn bescherming
persoonsgegevens en de Wbp is door het CBP (thans AP) als inspanningsverplichting uitgelegd.65 Door de rechter is de beveiligingsverplichting uit de ePrivacy Richtlijn en Telecommunicatiewet, lex specialis ten opzichte van de Richtlijn bescherming persoonsgegevens en de Wbp, ook als (vergaande)
inspanningsverplichting uitgelegd.66
59 Article 29 Working Party 2010, p. 13-14. 60 Autoriteit Persoonsgegevens 2017, p. 107. 61 Article 29 Working Party 2010, p. 17.
62 EDPS 2015, p. 12; Gellert EDPL 2/4, p. 488. Zie ook: Van Hoboken & Zuiderveen Borgesius 2015, p. 207–209. 63 Overweging 49 en art. 32 lid 1 sub b AVG. Zie over deze begrippen ook: art. 2(22) Proposed Directive establishing
the European Electronic Communications Code; Arnbak 2016, p. 305; CBP 2013, p. 13; Weber & Studer Computer Law & Security Review 32/5, p. 717.
64 Art. 32 lid 1 sub b AVG. 65 CPB 2013, p. 10.
20 Updates worden niet met zoveel woorden genoemd in art. 32 AVG. Toch valt, mijns inziens, de
verplichting om updates uit te brengen te lezen in art. 32 lid 1 sub b AVG. “[H]et vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid (…) te garanderen”67 impliceert het verhelpen van kwetsbaarheden. Wanneer een kwetsbaarheid wordt ontdekt in een systeem dat persoonsgegevens verwerkt, betekent dit dat de vertrouwelijkheid, integriteit en beschikbaarheid niet langer te garanderen zijn.68 Deze kwetsbaarheid kan immers misbruikt worden door een kwaadwillende. Zonder een update die deze kwetsbaarheid verhelpt, is de vertrouwelijkheid, integriteit,
beschikbaarheid niet te garanderen.
De beveiligingsverplichting in de AVG gaat verder dan enkel het uitbrengen van updates. De
beveiligingsverplichting houdt ook een verplichting tot het installeren van deze updates in. Op grond van de risicoanalyse van art. 32 AVG en de vergaande inspanningsverplichting om de vertrouwelijkheid, integriteit en beschikbaarheid van systemen te garanderen is de verwerkingsverantwoordelijke hiertoe verplicht. Zonder het daadwerkelijk installeren van de updates blijven kwetsbaarheden immers bestaan, en is de vertrouwelijkheid, integriteit en beschikbaarheid van systemen niet te garanderen. In deze risicoanalyse moet worden meegewogen dat door middel van IoT-apparaten een zeer indringend beeld van de gebruiker kan worden gevormd, met name wanneer het om smarthome apparatuur gaat. Ditzelfde geldt voor medische IoT-apparatuur, waarbij ook nog eens een aanvullend risico voor de gezondheid van de gebruiker bestaat bij kwetsbaarheden.69 Zoals in hoofdstuk twee al is betoogd vormen kwetsbare IoT-apparaten daarnaast ook nog eens een gevaar voor het publiek belang bij een veilige en betrouwbare netwerkinfrastructuur, en beschikbare publieke diensten. Al met al is het risico voor de rechten en vrijheden van personen dat gepaard gaat met de verwerking van persoonsgegevens door IoT-apparaten groot.70 Daartegenover staat dat de stand van de techniek het mogelijk maakt om updates te installeren op apparaten die zich in de persoonlijke sfeer van de gebruiker bevinden, via over-the-air updates.71 De stand van de techniek en de kosten die met installeren van updates gepaard gaan afgewogen tegen het hiervoor besproken risico, zorgen ervoor dat de risicoanalyse zich vertaalt in een verplichting voor producenten van IoT-apparaten om updates te installeren.
De beveiligingsverplichting toegepast op de situatie van IoT-apparaten waarin een kwetsbaarheid wordt ontdekt, brengt mee dat een update op het IoT-apparaat geïnstalleerd moet worden om de
vertrouwelijkheid, integriteit en beschikbaarheid te garanderen. Wat in deze situatie een complicatie is, is dat het IoT-apparaat zich in de persoonlijke sfeer van de gebruiker bevindt terwijl de producent nog de verwerkingsverantwoordelijke is. Het installeren van een update op systemen die in eigen beheer zijn bij een verwerkingsverantwoordelijke zal qua uitvoerbaarheid niet veel voeten in de aarde hebben. Dit is anders wanneer de kwetsbare apparaten zich in de persoonlijke sfeer van gebruikers vinden. Anders dan in de situatie waarin kwetsbare systemen in eigen beheer zijn, kan in deze situatie de update niet zonder meer geïnstalleerd worden. De gebruiker van het IoT-apparaat heeft namelijk zeggenschap over het apparaat en hieruit vloeien rechten voort. Wil de verwerkingsverantwoordelijke in dit geval aan zijn
67 Art. 32 lid 1 sub b AVG. 68 CPB 2014, p. 10.
69 Newman, ‘Medical Devices Are the Next Security Nightmare’ Wired.com 3 februari 2017. 70 Overweging 75 AVG.
21 beveiligingsverplichting voldoen, dan zal de update op ieder kwetsbaar IoT-apparaat in de persoonlijke sfeer van de gebruiker moeten worden geïnstalleerd.
Het automatisch installeren van updates op IoT-apparaten is voor de producent van het IoT-apparaat de meeste zekere manier om aan zijn beveiligingsverplichting te voldoen. De producent kan er zo zeker van zijn dat kwetsbaarheden die de vertrouwelijkheid, integriteit en beschikbaarheid van het IoT-apparaat compromitteren worden opgelost. Daarnaast is de producent van IoT-apparaten door middel van het automatisch installeren van updates niet langer van de gebruiker afhankelijk om aan zijn
beveiligingsverplichting te kunnen voldoen. De risicoanalyse van art. 32 AVG is mijns inziens een grond om de verplichting tot updaten uit te leggen als een verplichting tot het automatisch installeren van updates op IoT-apparaten van gebruikers. Zoals hiervoor uiteengezet is het risico voor de rechten en vrijheden van personen bij misbruik van kwetsbaarheden in IoT-apparaten groot. Een passende technische maatregel om een op dit risico afgestemd beveiligingsniveau te waarborgen is het automatisch installeren van updates. Gelet op de bewoording “op permanente basis de
vertrouwelijkheid, integriteit, beschikbaarheid (…) garanderen”72 is een verplichting om updates automatisch te installeren te verdedigen. Zonder automatische updates is het niet mogelijk om op permanente basis kwetsbaarheden op te lossen.
Voor producenten van IoT-apparaten kan het problematisch zijn om updates daadwerkelijk uit te brengen en (automatisch) te installeren op het apparaat van de gebruiker. Het is mogelijk dat een kwetsbaarheid zich bijvoorbeeld bevindt in een chip in het IoT-apparaat die afkomstig is van een leverancier. De producent van het IoT-apparaat zal niet altijd de mogelijkheid hebben om
kwetsbaarheden in door leveranciers geleverde chips op te lossen.73 Het kan bijvoorbeeld zo zijn dat de leverancier de broncode niet beschikbaar heeft gemaakt aan de IoT-producent, en zelf de
kwetsbaarheid niet oplost. De beveiligingsverplichting rust echter alleen op de
verwerkingsverantwoordelijke en de verwerker. De leverancier van onderdelen voor een IoT-apparaat is niet aan te merken als verwerker. Het leveren van onderdelen is geen verwerking van
persoonsgegevens. De leverancier heeft dan ook geen beveiligingsverplichting op grond van art. 32 AVG. Mijns inziens kan worden betoogd dat de producent van IoT-apparaten op grond van de
beveiligingsverplichting, de algemene verantwoordelijkheid van de verwerkingsverantwoordelijke voor de gegevensverwerking,74 privacy-by-design75 en het integriteit- en vertrouwelijkheidsprincipe76 een verplichting heeft om zo te contracteren met zijn leveranciers dat hij aan de beveiligingsverplichting kan voldoen. Dit zou moeten betekenen dat een IoT-producent zijn leveranciers contractueel moet
verplichten om mee te werken aan het uitbrengen van updates.
Zoals hierboven beschreven bestaat er een conflict tussen de beveiligingsverplichting van de producent van IoT-apparaten die zich uit een verplichting tot het automatisch installeren van updates en de autonomie van de gebruiker van het IoT-apparaat. In het navolgende hoofdstuk wordt dieper ingegaan op één aspect van de autonomie van de gebruiker; zeggenschap over zijn eigen IoT-apparaten.
72 Art. 32 lid 1 sub b AVG. 73 Zie ook: EDPS 2017, p. 33–35. 74 Art. 24 AVG.
75 Art. 25 AVG.
22
4. Een updateverplichting wordt belemmerd door het voorstel ePrivacy
Verordening
Art. 8 voorstel ePrivacy Verordening verbiedt het een ander dan de eindgebruiker om gebruik te maken van verwerkings- en opslagcapaciteit van eindapparatuur van een eindgebruiker. Wanneer een
producent van een IoT-apparaat een update automatisch laat uitvoeren op het IoT-apparaat van een eindgebruiker, valt dat onder het gebruik maken van verwerkings- en opslagcapaciteit van
eindapparatuur eindgebruikers. Op dit verbod zijn vier uitzonderingen. Deze vier uitzonderingen zijn kort samengevat:
1. Noodzakelijkheid voor de overdracht van elektronische communicatie; 2. Verkregen toestemming van de eindgebruiker;
3. Noodzakelijkheid voor het aanbieden van een gevraagde dienst van de informatiemaatschappij; 4. Noodzakelijkheid voor analytics.
Hierna zal ik aantonen dat art. 8 voorstel ePrivacy Verordening producenten van IoT-apparatuur in de weg staat om aan hun updateverplichting te voldoen. In het navolgende hoofdstuk zal ik een voorstel voor een amendement doen om producenten van IoT-apparaten de ruimte te geven om te kunnen voldoen aan de op hen rustende updateverplichting.
4.1. Software kan enkel worden geüpdatet door het gebruik van verwerkings- en
opslagcapaciteit van een eindapparaat
In hoofdstuk twee zijn enkele methodes van updaten uitgelicht. Ook is gesteld dat updates in het huidige tijdperk voornamelijk via het internet gedistribueerd worden naar apparaten van gebruikers. Welke methode voor het installeren van updates een bedrijf ook kiest, een update zal altijd gebruik maken van de verwerkings- of opslagcapaciteit van het apparaat van de gebruiker.
Allereerst moet de update naar het apparaat gedistribueerd worden. De update moet daarvoor worden opgeslagen op het apparaat van de gebruiker. Voor de distributie van updates wordt dus de
opslagcapaciteit van een apparaat van een eindgebruiker gebruikt.
Het daadwerkelijke installeren van de update is het uitvoeren van code op het apparaat die wijzigingen aanbrengt in de op het apparaat geïnstalleerde software. Voor het uitvoeren van deze code wordt de verwerkingscapaciteit van het apparaat van de gebruiker gebruikt. In beginsel is het gebruik van verwerkings- en opslagcapaciteit van een eindapparaat van een eindgebruiker verboden. Op de uitzonderingen op dit verbod zal ik in de volgende paragraaf ingaan.
4.2. Gebruik van verwerkings- en opslagcapaciteit van een eindapparaat voor updates
is alleen mogelijk met toestemming van de eindgebruiker
In de huidige versie van het voorstel ePrivacy Verordening bestaan vier uitzonderingen op het verbod op het gebruik van verwerkings- en opslagcapaciteit van een eindapparaat van een eindgebruiker. Van deze vier uitzonderingen is er slechts één die producenten van IoT-apparaten de mogelijkheid geeft om een update uit te voeren.
De uitzonderingsgrond van art. 8 lid 1 sub a voorstel ePrivacy Verordening is onder andere bedoeld voor toegang tot een IP-adres zodat internetverkeer naar het juiste apparaat geleid kan worden. Een update zal deels gebruikmaken van deze uitzondering. Dit geldt alleen voor het gedeelte van het transport van
23 de update naar het apparaat van de gebruiker. Hiervoor moet toegang verkregen worden tot het IP-adres van het apparaat, omdat de update anders niet via het internet naar het apparaat verzonden kan worden. Daar houdt de mogelijkheid om van deze uitzondering gebruik te maken op. Het opslaan en installeren van de update zelf valt niet onder deze uitzondering te brengen.
De tweede uitzonderingsgrond is de toestemming van gebruiker. Toestemming van de eindgebruiker van het apparaat in art. 8 lid 1 sub b voorstel ePrivacy Verordening heeft dezelfde betekenis als bedoeld in art. 4 sub 11 AVG. Dit betekent dat de toestemming een ‘vrije, specifieke, geïnformeerde en
ondubbelzinnige wilsuiting’77 moet zijn. In de hiernavolgende paragraaf zal ik beargumenteren waarom deze uitzondering niet voldoende ruimte biedt voor producenten van IoT-apparatuur om automatisch updates te installeren. Daarnaast is het voor producenten van IoT-apparaten ook niet wenselijk om afhankelijk te zijn van de toestemming van de gebruiker.
De derde uitzonderingsgrond voor het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur van eindgebruikers is noodzakelijkheid voor het aanbieden van een gevraagde dienst van de
informatiemaatschappij. Bij deze uitzonderingsgrond bestaat de meeste onduidelijkheid of het automatisch installeren van updates op een IoT-apparaat van een eindgebruiker onder deze
uitzonderingsgrond kan vallen. Onder dienst van de informatiemaatschappij wordt verstaan een dienst die normaal, tegen vergoeding, op afstand via elektronische apparatuur voor de verwerking en de opslag van gegevens, op individueel verzoek van de afnemer van diensten wordt verricht.78
Om onder deze uitzondering te vallen zou een update deel uit moeten maken van een dienst van de informatiemaatschappij. Wanneer een producent van IoT-apparaat enkel IoT-apparaten aan
consumenten en andere afnemers verkoopt levert het geen dienst van de informatiemaatschappij. Een product op zichzelf is immers geen dienst. De IoT-apparaten die in deze scriptie besproken worden bevatten echter vaak ook diensten zoals cloud-platforms waarmee de verzamelde gegevens inzichtelijk gemaakt worden.
Het uitbrengen en automatisch installeren van een update zou ook niet gezien moeten worden als dienst van de informatiemaatschappij. Weliswaar kan het uitbrengen en automatisch installeren van een update als dienst op individueel verzoek gezien worden. Deze update zal ook via elektronische apparatuur plaatsvinden. Bij de bewoording gewoonlijk tegen vergoeding zijn echter vraagtekens te plaatsen. Het uitbrengen en installeren van updates die kwetsbaarheden verhelpen in IoT-apparatuur zou mijns inziens niet tegen vergoeding mogen gebeuren, tenminste niet wanneer het consumenten betreft. Dit zou het doel van het uitbrengen van securityupdates tegengaan. Wanneer securityupdates alleen tegen betaling zijn te installeren, dan bestaat een grote kans dat een deel van de gebruikers de securityupdate niet zal aanschaffen en blijven kwetsbaarheden bestaan. Een gratis dienst kan echter nog steeds als dienst van de informatiemaatschappij worden gekwalificeerd.79 Dit zal met name zo zijn als de gratis dienst gebruikt wordt om reclame te maken voor andere diensten of goederen van de
77 Art. 4 sub 11 AVG.
78 Overweging 7 Richtlijn inzake elektronische handel; art. 1 lid 1 sub b Richtlijn 2015/1535.
79 HvJ EU 11 september 2014, ECLI:EU:C:2014:2209 (Papasavvas), par. 28-30; HvJ EU 15 september 2016,
24 aanbieder.80 In de literatuur is gesteld dat elk economisch gewin door middel van de activiteit als het aanbieden van een dienst van de informatiemaatschappij gezien moet worden.81
Maar wordt een securityupdate op zichzelf wel gewoonlijk tegen vergoeding beschikbaar gesteld?82 Tegenwoordig zijn updates, zelfs updates die extra functionaliteiten toevoegen, gratis in de twee grootste betaalde besturingssystemen. Zowel Windows 10 als macOS zijn verschoven naar een Software-as-a-Service model waarbij gebruikers doorlopend gratis updates krijgen nadat zij éénmalig voor het besturingssysteem hebben betaald. Ook de besturingssystemen van Android-telefoons en iPhones worden zolang deze ondersteund worden, gratis voorzien van updates. Het is de vraag of de securityupdate losstaand als dienst van de informatiemaatschappij gekwalificeerd kan worden, ik meen van niet.
In sommige businessmodellen van IoT-apparaten is wel te argumenteren dat het automatisch installeren van updates onder de uitzondering van art. 8 lid 1 sub c voorstel ePrivacy Verordening valt. Bij
bijvoorbeeld een IoT-dienst waarbij de IoT-apparaten onderdeel uitmaken van een cloud-dienst zou dit het geval kunnen zijn. Geargumenteerd kan worden dat de IoT-apparaten en het cloud-platform zo integraal met elkaar zijn verweven dat het gebruik van de IoT-apparaten in dit geval ook onderdeel is van de dienst van de informatiemaatschappij. In dat geval kan worden geargumenteerd dat het installeren van updates die kwetsbaarheden verhelpen noodzakelijk is voor het aanbieden van een gevraagde dienst van de informatiemaatschappij. Er moet dan wel een verband tussen strikte
noodzakelijkheid van de update en de aangevraagde dienst bestaan.83 Deze strikte noodzakelijkheid kan zeker aanwezig zijn als de update van het IoT-apparaat nodig is om de vertrouwelijkheid, integriteit en beschikbaarheid van het cloud-platform te garanderen.
De uitzondering van art. 8 lid 1 sub c voorstel ePrivacy Verordening biedt dus niet genoeg duidelijkheid om te kunnen concluderen dat alle producenten van IoT-apparaten automatisch updates te laten installeren op IoT-apparaten die zij hebben geproduceerd.84
Een laatste uitzondering voor het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur van eindgebruikers bestaat voor analytische doeleinden. In het voorstel wordt expliciet gesproken van web audience measurement maar vanuit meerdere hoeken is hier kritiek op en wordt de suggestie gedaan deze uitzondering meer technologie-neutraal te bewoorden.85
Zelfs met een meer technologie-neutrale bewoording van de analytics-uitzondering, biedt deze uitzondering IoT-producenten niet de mogelijkheid met automatische updates kwetsbaarheden te verhelpen. Het installeren van zo’n update gaat immers verder dan het meten van het aantal bezoekers naar een website of het bepalen of een apparaat de technische mogelijkheid heeft om bepaalde content te ontvangen.86
80 HvJ EU 15 september 2016, ECLI:EU:C:2016:689 (McFadden), par. 42. 81 Angelopoulos 2017, p. 10.
82 DLA Piper 2009, p. 12-13.
83 Article 29 Working Party 2012, p. 3.
84 Article 29 Working Party 2017, p. 20; Zuiderveen Borgesius e.a. 2017, p. 80.
85 Article 29 Working Party 2017, p. 18; EDPS 2017, p. 28; Zuiderveen Borgesius e.a. 2017, p. 79. 86 Overweging 21 voorstel ePrivacy Verordening.
