Det Europæiske Økonomiske og Sociale Udvalgs udtalelse om tillid, privatlivets fred og sikkerhed for forbrugere og virksomheder på tingenes internet

(initiativudtalelse)

(2018/C 440/02)

Ordfører:	Carlos TRIAS PINTÓ
Medordfører:	Dimitris DIMITRIADIS

Plenarforsamlingens beslutning	15.2.2018
Retsgrundlag	Forretningsordenens artikel 29, stk. 2 Initiativudtalelse
Kompetence	Sektionen for Det Indre Marked, Produktion og Forbrug
Vedtaget i sektionen	4.9.2018
Vedtaget på plenarforsamlingen	19.9.2018
Plenarforsamling nr.	537
Resultat af afstemningen (for/imod/hverken for eller imod)	182/3/2

1.   Konklusioner og anbefalinger

1.1.

Tingenes internet (herefter IoT), kan i kraft af sin sammenkobling af personer og objekter tilbyde en bred vifte af muligheder til borgere og virksomheder. Disse muligheder bør ledsages af en række garantier og kontrolforanstaltninger, der skal sikre, at indførelsen af IoT kan foregå uden problemer.

1.2.

Eftersom en af søjlerne i IoT er en automatisk beslutningstagning uden menneskers mellemkomst, skal det sikres, at disse beslutninger ikke undergraver forbrugernes rettigheder, indebærer en risiko for etiske implikationer eller får konsekvenser, som er i strid med grundlæggende principper og menneskerettigheder.

1.3.

EØSU opfordrer EU's institutioner og medlemsstater til at:

1.3.1.

garantere, at sikkerheden og privatlivets fred beskyttes gennem udformning af de nødvendige lovgivningsmæssige rammer, som skal omfatte strenge bestemmelser om overvågning og kontrol;

1.3.2.

fastlægge en klar ansvarsfordeling for alle operatører i forsyningskæden og de tilknyttede informationsstrømme og dermed forebygge de juridiske smuthuller, der kan opstå, når flere producenter og distributører er involveret på samme tid;

1.3.3.

sikre passende ressourcer og opstille effektive mekanismer til koordinering mellem Kommissionen og medlemsstaterne for at sikre, at både den lovgivning, der revideres, og ny lovgivning anvendes sammenhængende og ensartet, uden at det internationale perspektiv tabes af syne;

1.3.4.

overvåge udviklingen af nye teknologier med relation til IoT for at sikre et højt sikkerhedsniveau, fuld gennemsigtighed og fair adgang;

1.3.5.

fremme de europæiske og internationale standardiseringsinitiativer med henblik på at sikre produkternes pålidelighed, tilgængelighed, modstandsdygtighed og videreførelse;

1.3.6.

overvåge markederne og opretholde lige konkurrencevilkår ved gennemførelsen af IoT og dermed undgå en koncentration af transnational økonomisk magt hos de nye teknologiske aktører;

1.3.7.

fremme tiltag til bevidstgørelse og erhvervelse af digitale kompetencer, som afspejler grundforskningen og innovationen på området;

1.3.8.

sikre fuld gennemførelse og effektiv anvendelse af alternative offline og online tvistbilæggelsesordninger (ADR og ODR);

1.3.9.

sikre indførelse, gennemførelse og effektiv funktion af et europæisk system for gruppesøgsmål, som muliggør krav om forbud og skadeserstatning, hvis anvendelsen af tingenes internet forårsager kollektive skader eller tab, hvilket bør indgå i de nye aftalebetingelser for forbrugerne (New Deal for Consumers).

1.4.

Forbrugerne vil få større tillid som følge af en nøje overholdelse af den relevante lovgivning, og i takt med at virksomhederne oplyser om deres gode praksis med hensyn til beskyttelse af privatliv og sikkerhed, og det påhviler institutionerne, at skabe rammerne for god praksis gennem strategier for virksomhedernes sociale ansvar og socialt ansvarlige investeringer.

1.5.

De sociale og økonomiske virkninger af IoT vil øges, i takt med at dette internet knyttes tilstrækkeligt sammen med udviklingen af samfunds- og miljøpolitikker inden for rammerne af deleøkonomi, cirkulær økonomi og den funktionelle økonomi.

2.   Baggrund og sammenhæng

2.1.

I løbet af de sidste 15 år har internettets gennembrud givet anledning til forandringer på alle områder i dagligdagen med følgevirkninger for forbrugernes vaner. Tilsvarende forventes det, at IoT inden for de næste ti år vil revolutionere energisektoren, landbruget og transportsektoren såvel som de mere traditionelle sektorer af økonomien og samfundet, hvilket gør det nødvendigt at udforme integrerede politikker, som på intelligent vis favner denne teknologiske omvæltning.

2.2.

IoT-konceptet opstod på Massachusetts Institute of Technology (MIT). Det bygger på en idé om en verden fuld af enheder, der er fuldstændigt sammenkoblede, således at de automatisk kan fungere sammen i forskellige interoperable processer. På sin side har EU været i gang med at forberede sig på at tage fat på digital konvergens og de nye udfordringer med tingenes internet lige siden lanceringen af planen »i2010 — Et europæisk informationssamfund som middel til vækst og beskæftigelse« (1) og frem til den nyligt udarbejdede handlingsplan for tingenes internet. (Se dokumentet om udviklingen af tingenes internet i Europa, som ledsagede meddelelsenfra 2016 »Digitalisering af EU's industri — Fuldt udbytte af det digitale indre marked«) (2).

2.3.

EØSU har flere gange udtalt sig om den fjerde industrielle revolution, som er kendetegnet ved konvergerende digital, fysisk og biologisk teknologi, bl.a. i en udtalelse (3) om dette emne fra 2017. Tingenes internet er det foretrukne anvendelsesområde for de mest avancerede former for kunstig intelligens, og det område, hvor EØSU's principper, navnlig princippet om menneskelig kontrol (»human in control«), sættes på prøve.

2.4.

IoT-udstyr mangler ofte de autentificeringsstandarder, som er nødvendige for at beskytte brugernes data. Dette giver problemer, eftersom udstyr, data og forsyningskæden er eksponeret for brud på sikkerheden.

2.5.

Fremspirende teknologier som blockchain kan løse problemer vedrørende sikkerhed og tillid: De kan anvendes til at gennemsøge datamålinger fra sensorer og forhindre duplicering af andre skadelige data, samt bevare integriteten og sporbarheden af ændringer. Distribuerede registre muliggør identificering af IoT-enheder, autentifikation samt sikker og fejlfri overførsel af data. IoT-sensorer kan bruges til dataudveksling gennem en kæde af blokke i stedet for gennem en tredjepart. Anvendelsen af intelligente kontrakter tilfører enhederne autonomi og sikrer den individuelle identitet og dataenes integritet. Omkostningerne til oprettelse og drift reduceres, da der ikke er nogen mellemled. Endelig giver IoT-enhederne i blokkæden historikken for de opkoblede enheder, hvilket er meget nyttigt i forbindelse med løsningen af eventuelle problemer (4).

2.6.

I modsætning hertil udvikles open source distributed ledger-teknologi til udveksling af information og værdi mellem IoT-enheder. Den tillader ikke dataudvinding, men anvender en arkitektur, der er inspireret af et matematisk begreb kaldet orienteret acyklisk graf (directed acyclic graph — DAG), hvormed provision undgås, og som bevirker, at nettet får øget kapacitet, i takt med at antallet af brugere stiger.

2.7.

Vi står over for et fænomen med stort økonomisk (5) og socialt potentiale, som indebærer store muligheder, men også alvorlige udfordringer som følge af de indbyggede risici, og som har en multidisciplinær og tværgående karakter med følgevirkninger for såvel virksomheder som forbrugere, forvaltninger og borgere. Derfor bør denne udfordring imødegås gennem en fælles tilgang, som samtidig tager højde for alt, hvad der specifikt kendetegner de forskellige situationer. I den forbindelse skal det bemærkes, at FN skønner, at der i 2020 vil være 50 mia. opkoblede apparater med applikationer til forbrugere via fjernsyn, køleskabe, overvågningskameraer, køretøjer osv.

2.8.

Anvendelsen af det IoT-opkoblede udstyr resulterer allerede i økonomiske og sociale fordele i en globaliseret verden i form af tjenester, som er mere lydhøre over for den samfundsøkonomiske kontekst, hurtigere feedbackcyklus, fjernreparation, støtte til beslutningstagning, bedre ressourcefordeling og fjernstyring af tjenester. Der rejser sig imidlertid nogle meget følsomme spørgsmål såsom beskyttelse af privatlivets fred og sikkerheden, informationsasymmetri, gennemsigtigheden af transaktioner, komplekse ansvarsforhold, blokering af produkter og systemer samt et stigende antal hybridprodukter, hvilket kan få konsekvenser for ejerskabsforholdene og udsætte forbrugerne for anvendelsen af fjernkontrakter med deraf følgende svagere garantier.

2.9.

De enorme juridiske udfordringer, som EU og medlemsstaterne står over for, kommer af, at mange af de specifikke karakteristika ved IoT (stor kompleksitet og indbyrdes afhængighed, autonomi, komponenter, der genererer og/eller behandler data, samt den åbne dimension) også præger andre nye digitale teknologier såsom blockchain, 3D-printning og cloudcomputing. Efter EØSU's mening er Kommissionens arbejdsdokument (6) om ansvaret i forbindelse med de nye digitale teknologier et yderligere skridt i den rigtige retning.

2.10.

Kort sagt bør man for at maksimere fordelene og minimere risiciene ved IoT give tilgængelig, klar, kortfattet og korrekt information, især ved at fremme digital inklusion og opkobling for de mest sårbare forbrugere, ved hjælp af et produkt- og tjenestedesign, der gør produkterne og tjenesterne fuldt ud sporbare og forlener dem med integrerede standarder for tillid, privatlivets fred og sikkerhed.

3.   Forbrugernes og virksomhedernes tillid til tingenes internet

3.1.

IoT er et komplekst økosystem, der gør det muligt at forbinde udstyr fra forskellige producenter, distributører eller softwareudviklere, Dette kan skabe vanskeligheder i situationer, hvor det skal afklares, hvem der har ansvaret i tilfælde af manglende overholdelse af bestemmelser, materielle skader eller andre skader på tredjeparter eller systemer forårsaget af defekte produkter eller produkter, som tredjeparter, slutbrugere undtaget, misbruger via nettet. Desuden er det muligt, at mange af de operatører, der deltager i produkternes samlede værdikæde, ikke har tilstrækkelig viden om og erfaring med spørgsmål vedrørende sikkerhed og databeskyttelse for netopkoblet udstyr.

3.2.

Derfor er der brug for en ny tilgang til ansvarsproblematikken for at sikre, at såvel forbrugere som virksomheder, der anvender IoT-applikationer, er beskyttede i et miljø, hvor produkter med en korrekt konfiguration kan blive defekte, misbrugt af tredjeparter og usikre som følge af digitale sikkerhedshændelser eller uautoriseret brug (f.eks. ved hackere). Dette miljø bør gøre det muligt at foregribe, forebygge og beskytte sig mod automatiserede beslutninger, som vil kunne krænke grundlæggende etiske principper og universelt anerkendte menneskerettigheder.

3.3.

EØSU glæder sig over, at anvendelsen af direktivet fra 1985 om produktansvar (7) tages op til revision, og at der for nylig er blevet nedsat en multistakeholder-ekspertgruppe om ansvarsforhold og nye teknologier for at sikre en rimelig balance mellem producenternes og forbrugernes interesser. En ny ansvarsramme bør fastlægge klare regler, der gør det muligt at spore ansvars- og sikkerhedsforhold langs produktets værdikæde og i dets livscyklus. I den forbindelse bør bæredygtighed medtages som en ny faktor, der gør det obligatorisk at sikre mulighederne for opdatering, forbedring, overførbarhed, kompatibilitet, genanvendelse, reparation eller justering i tilknytning til produktet.

3.4.

I forbindelse med IoT må det også overvejes, hvordan erstatningsansvaret placeres hos de forskellige erhvervsdrivende i produktets forsyningskæde, så man undgå smuthuller i lovgivningen, når flere producenter og distributører er involverede. EØSU anser det for meget vigtigt, at de procedurer, som forbrugerne skal følge i hvert enkelt tilfælde, klart specificeres, og at alternative tvistbilæggelsesmekanismer fremmes.

3.5.

EØSU fremhæver betydningen af oplysningskrav forud for indgåelsen af en aftale, gennemsigtige kontraktbestemmelser og klare brugsanvisninger for apparaterne. Eventuelle risici og garantier bør eksplicit fremhæves.

3.6.

Interoperabiliteten og kompatibiliteten af apparaterne og det tilhørende software skal sikres for at undgå problemer og gøre det muligt for forbrugerne at sammenligne leverandører. EØSU understreger, at denne faktor også er afgørende for etableringen af lige konkurrencevilkår mellem store virksomheder og SMV'er.

3.7.

Endelig slår EØSU til lyd for, at netneutraliteten respekteres, og opfordrer indtrængende Kommissionen til at foretage en nøje overvågning af markedsadfærd.

4.   Beskyttelse af forbrugernes privatliv på tingenes internet

4.1.

Forbrugernes mulighed for at kontrollere deres personlige data og præferencer til beskyttelse af disse er blevet forbedret med den nye generelle forordning om databeskyttelse (8). Brugeren af udstyr bør have kontrol over, hvordan de data, det pågældende udstyr genererer, bliver brugt, og hvem der har adgang til dem, idet mangfoldigheden af data og sammenlægningen og samkøringen med andre data udgør en alvorlig risiko for krænkelse af privatlivets fred i IoT's økosystem.

4.2.

Det er vigtigt at huske på den indvirkning, som det store antal produkter, tjenester og enheder kan have på beskyttelsen af privatlivets fred og databeskyttelsen, når dataene overføres autonomt via sammenkobling. På samme måde vil man gennem behandling og bearbejdning af oprindeligt uskadelige data kunne opnå et godt kendskab til enkeltpersoners vaner, opholdssteder, interesser og præferencer, hvilket gør det lettere at få adgang til og spore brugerprofilen.

4.3.

Retlige garantier skal sikre, at brugerne fuldt ud er i stand til at udøve deres ret til privatliv og beskyttelse af persondata uden nogen begrænsninger. Dette vil forhindre potentielle skadevirkninger såsom diskrimination, invasiv markedsføring, tab af persondata eller sikkerhedskrænkelser. På den anden side skal forbrugerne informeres om den økonomiske værdi af deres data og forbeholde sig retten til at dele dem.

4.4.

Som fastlagt i den generelle forordning om databeskyttelse skal virksomheder og reguleringsorganer regelmæssigt revidere omfanget af indsamlingen af personlige data og evaluere, hvorvidt omfanget af behandlede data står i et rimeligt forhold til og er nødvendige for leveringen af tjenesten. De forskellige aspekter af og indvirkningen på retten til privatlivets fred bør vurderes under hele idéudviklingen, designfasen og udviklingen af et forbundet produkt og det økosystem på nettet, som produktet indgår i (indbygget privatlivsbeskyttelse). Derfor bør principperne om indbygget privatlivsbeskyttelse og privatlivsbeskyttelse som standard konsekvent håndhæves på tingenes internet.

4.5.

Ligeledes bør konfigurationen for alle forbundne produkter fra starten være indstillet på højeste niveau for beskyttelse af privatlivet (design og standardindstilling), således at uønsket overvågning af brugernes adfærd og aktiviteter undgås.

4.6.

Under alle omstændigheder skal forbrugerne have pålidelig information om de data, der indsamles, hvem der har adgang til dem, og den nytte, de pågældende data er tiltænkt at gøre, så længe produktet eller tjenesten holdes aktiv, samt hvilken privatlivspolitik der finder anvendelse, og hvorvidt de anvendte algoritmer påvirker kvaliteten, prisen eller adgangen til en tjeneste.

5.   Forbrugernes og virksomhedernes sikkerhed på tingenes internet

5.1.

Den sammenkobling mellem enhederne, som kendetegner IoT-økosystemet, kan fremme udviklingen af ulovlige eller uønskede teknologiske metoder, hvorved systemet kan blive et rum for sårbarhed og viral udbredelse heraf. Derfor bør sikkerheden indbygges i alle systemets komponenter.

5.2.

Udbuddet af produkter og opdateringer knyttet til IT-sikkerheden bør være velbegrundet og yde dækning ikke alene til individuelle apparater, men også omfatte de sikkerhedsrisici, som sammenkoblingen med andre IoT-enheder medfører. Kvalitetsstandarderne for sikkerhed må ikke sænkes trods mængden af enheder.

5.3.

I den henseende indeholder forslaget til forordning om EU-agenturet for cybersikkerhed (9) en certificeringsramme for informations- og kommunikationsteknologierne, som vil muliggøre en sikkerhedscertificering og mærkning af forskellige typer produkter, herunder IoT-apparater, på frivillig basis. Selv om EØSU bifalder denne foranstaltning, er det bekymrende, at der ikke er tale om et krav.

5.4.

IT-sikkerhedsforanstaltningerne bør omfatte risici, der er knyttet til enhver form for sårbarhed, navnlig hacking, ulovlig adgang og brug med onde hensigter samt i forbindelse med betalingsmetoder og økonomisk svindel. I den henseende bakker EØSU op om de beføjelser, der er tildelt multistakeholder-ekspertgruppen om ansvar og nye teknologier.

5.5.

Ligeledes må man være opmærksom på forbrugernes personlige sikkerhed, når det gælder risici i forbindelse med brugen af nærhedsfølere, bånd med delt båndbredde, eksponering for elektromagnetiske felter og mulig interferens med opkoblet medicinsk udstyr af vital betydning. EØSU går ind for overvågning og forebyggende tilbagetrækning fra markedet i tilfælde af risici for forbrugernes sundhed og sikkerhed eller deres personlige og økonomiske interesser.

5.6.

Virksomhederne bør indføre standarder for god praksis som f.eks. indbygget sikkerhed og sikkerhed som standardindstilling, og de bør acceptere uafhængige eksterne kontroller. I tilfælde af sikkerhedshændelser eller brud på datasikkerheden bør virksomhederne forpligtes til at anmelde disse hændelser, herunder oplyse om erstatningsansvar og manglende overholdelse af normerne.

5.7.

Virksomhederne bør give forbrugerne enkel og tilgængelig information, som giver dem mulighed for at træffe hensigtsmæssige beslutninger og indarbejde en sikker praksis, og tilbyde de nødvendige sikkerhedsopdateringer igennem hele produktets levetid.

5.8.

Der bør gøres noget ved manglen på ensartede regler i forbindelse med IoT-netværk. Det er nødvendigt at udvikle avancerede og nye bredbåndsteknologier for at forbedre den aktuelle infrastruktur.

6.   Forslag til foranstaltninger i de offentlige politikker (10)

6.1.

De offentlige myndigheder bør som led i udøvelsen af deres beføjelser på de forskellige territorier i Den Europæiske Union aktivt udarbejde politikker og handlingsplaner for IoT med det formål at skabe en balance mellem de enkelte interessenters interesser, foregribe eventuelle problemer og afbøde mulige skadelige virkninger. EØSU foreslår, at man gør følgende:

6.1.1.

skaber testmiljøer (sandkasser), dvs. fysiske rum, klynger osv. for pilotprojekter og konceptprøvning. Disse bør have til formål at teste ikke alene teknologier, men også reguleringsmodeller (11);

6.1.2.

finansierer teknologisk infrastruktur, der giver mulighed for udvikling af innovative IoT-projekter inden for rammerne af det nye program »Horisont Europa«;

6.1.3.

udvælger uafhængige institutter og agenturer som konsulenter og tilsynsførende for IoT-projekter. EØSU bifalder tiltagene i forordningen fra 2017 om IT-sikkerhed og opfordrer Kommissionen til på effektiv vis at fremme standardiseringsprocesser i den digitale industri ved at stille midler til rådighed (12);

6.1.4.

fremmer offentlig-private partnerskaber og samarbejdsplatforme med inddragelse af forskerverdenen, erhvervslivet og forbrugerne;

6.1.5.

tilskynder til investeringer i udvikling af lokale forretningsmodeller, som udnytter fordelene ved IoT og gør det nemmere at tage fat på så komplicerede aspekter som databeskyttelse og dataejerskab;

6.1.6.

gennemfører tiltag til kapacitetsopbygning i erhvervslivet med fokus på medansvar. Der bør være garanti for, at sikkerhed og persondatabeskyttelse gennem design og som standardindstilling integreres i IKT-produkter og -tjenester i overensstemmelse med den såkaldte »omsorgspligt«, der er fastlagt i den nye forordning om cybersikkerhed. I den forbindelse bifalder EØSU planerne om at udarbejde adfærdskodekser, der skal supplere lovgivningen;

6.1.7.

fremmer europæiske og internationale standardiseringsinitiativer, der skal sikre, at IoT-systemerne har de grundlæggende egenskaber, dvs. pålidelighed, sikkerhed, tilgængelighed, modstandsdygtighed, vedligeholdelsesevne og brugbarhed. Standardiseringen er navnlig vigtig for, at stærkt digitaliserede industrielle produktionsprocesser hurtigt kan iværksættes;

6.1.8.

sikrer at IoT-brugerne, især de mest sårbare befolkningsgrupper eller borgere, der bor i tyndt befolkede områder, har en prismæssigt overkommelig og kvalitetsbetonet adgang til tingenes internet;

6.1.9.

fremmer oplysningskampagner og uddannelsesprogrammer med det mål at gøre virksomheder og forbrugere fortrolige med IoT og sætte dem i stand til at erhverve de nødvendige færdigheder og kompetencer (13). Der bør i den henseende være et særligt fokus på sårbare grupper og diversitet;

6.1.10.

lancerer uddannelsesinitiativer med henblik på en passende forebyggelse, i betragtning af at børn tidligt får adgang til digitale miljøer;

6.1.11.

iværksætter diagnostiske analyser og undersøgelser af indvirkningen af tingenes internet på områder såsom nye modeller for bæredygtig produktion og bæredygtigt forbrug;

6.1.12.

sikrer fuld gennemførelse og effektiv anvendelse af alternative offline og online tvistbilæggelsesordninger (ADR og ODR);

6.1.13.

sikrer indførelse, gennemførelse og effektiv funktion af et europæisk system for gruppesøgsmål, som muliggør krav om forbud og skadeserstatning, hvis anvendelsen af tingenes internet forårsager kollektive skader eller tab, hvilket bør indgå i de nye aftalebetingelser for forbrugerne (New Deal for Consumers).

6.2.

EØSU opfordrer også Kommissionen til at evaluere de regler, som på direkte eller indirekte vis relaterer sig til tingenes internet, og om nødvendigt forbedre den eksisterende lovgivning. I den forbindelse bør Nye aftalebetingelser for forbrugerne også fokusere på forbundne enheder, net og disses sikkerhed samt data forbundet med et sådant udstyr.

6.3.

Endelig fremhæver EØSU vigtigheden af at etablere mekanismer for samarbejde og koordinering mellem medlemsstaterne vedrørende effektiv og ensartet anvendelse af bestemmelserne og vedrørende de aftaler, som EU bør indgå uden for sit territorium, afhængigt af hvor de pågældende virksomheder og leverandører har sæde, med særlig vægt på udveksling af bedste praksis. Den internationale politik for datastrømme, der krydser grænserne, bør koordineres, for at de involverede lande kan fastsætte lige høje beskyttelsesstandarder i deres nationale lovgivning i form af såvel materielle som processuelle bestemmelser.

---

(1)  COM(2005) 229 final.

(2)  COM(2016) 180 final.

(3)  Kunstig intelligens — følgevirkningerne af kunstig intelligens for det (digitale) indre marked, produktionen, forbruget, beskæftigelsen og samfundet (EUT C 288 af 31.8.2017, s. 1).

(4)  Se Khwaja Shaik, »Why blockchain and IoT are best friends«, https://www.ibm.com/us-en/?lnk=m. Innovationer i den europæiske finansielle sektor behandles i EUT C 246 af 28.7.2017, s. 8.

(5)  Digital McKinsey skønner, at IoT i 2025 vil have et økonomisk potentiale på mellem 3,9 og 11,1 mia. USD per år.

(6)  SWD(2018) 137.

(7)  COM(2018) 246 final.

(8)  Der trådte i kraft den 25. maj 2018.

(9)  Se COM(2017) 477 final.

(10)  Se Verdensbankgruppen: Internet of things: The New Government-to-Business Platform (den nye platform for forbindelser mellem myndigheder og virksomheder).

(11)  Se https://ec.europa.eu/digital-single-market/en/news/eu-and-eea-member-states-sign-cross-border-experiments-cooperative-connected-and-automated.

(12)  EUT C 197 af 8.6.2018, s. 17.

(13)  EUT C 434 af 15.12.2017, s. 36.