Europees Economisch en Sociaal Comité
INT/846
Vertrouwen, privacy en beveiliging/het internet van de dingen
ADVIES
Afdeling Interne Markt Productie en Consumptie
Vertrouwen, privacy en veiligheid van consumenten en bedrijven in het internet van de dingen
(initiatiefadvies)
|
Administrateur
|
Claudia DREWES-WRAN
|
|
Datum document
|
07/09/2018
|
Rapporteur: Carlos TRIAS PINTÓ
Corapporteur: Dimitris DIMITRIADIS
|
Rechtsgrond
|
artikel 29, lid 2, van het reglement van orde
Initiatiefadvies
|
|
|
|
|
Bevoegde afdeling
|
Interne Markt, Productie en Consumptie
|
|
Goedkeuring door de afdeling
|
04/09/2018
|
|
Goedkeuring door de voltallige vergadering
|
DD/MM/YYYY
|
|
Zitting nr.
|
…
|
|
Stemuitslag
(voor/tegen/onthoudingen)
|
…/…/…
|
1.Conclusies en aanbevelingen
1.1Door dingen en mensen met elkaar te verbinden biedt het internet van de dingen (hierna: ivd) enorme mogelijkheden voor burgers en bedrijven, maar voor een goede gang van zaken zijn er wel een aantal garanties en controles nodig.
1.2Aangezien het ivd zich mede kenmerkt door automatische besluiten zonder menselijk ingrijpen, moet ervoor worden gezorgd dat zulke besluiten de rechten van consumenten niet ondermijnen en nooit enig risico van ethische aard met zich meebrengen of strijdig zijn met fundamentele beginselen en mensenrechten.
1.3Het EESC zou graag zien dat de Europese instellingen en de EU-lidstaten:
1.3.1voor de veiligheid en de persoonlijke levenssfeer adequate regelgeving uitwerken die strikte toezicht- en controlemaatregelen omvat;
1.3.2de aansprakelijkheid van alle marktdeelnemers in de toeleveringsketen van de producten en de daarmee verband houdende informatiestromen duidelijk omschrijven, om mazen in de wetgeving te voorkomen in situaties waarin er sprake is van verschillende producenten en distributeurs;
1.3.3zorgen voor adequate hulpbronnen en doeltreffende mechanismen voor de onderlinge afstemming tussen de Europese Commissie en de lidstaten, en aldus voor een consistente en geharmoniseerde tenuitvoerlegging van zowel te evalueren wetgeving als nieuwe regelgeving, en daarbij tegelijkertijd rekening houden met de internationale situatie;
1.3.4de ontwikkeling van opkomende ivd-technologieën volgen om een hoge mate van veiligheid, volledige transparantie en eerlijke toegankelijkheid te waarborgen;
1.3.5Europese en internationale normalisatie-initiatieven bevorderen om de betrouwbaarheid, beschikbaarheid, veerkracht en het onderhoud van de producten te waarborgen;
1.3.6toezicht houden op de markten en zorgen voor een level playing field bij de invoering van het ivd, waarbij zij zouden moeten voorkomen dat de transnationale economische macht vooral in handen komt van de nieuwe technologiebedrijven;
1.3.7bewustmakings- en opleidingsmaatregelen op het gebied van digitale vaardigheden zullen nemen, in combinatie met fundamenteel onderzoek en innovatie op dit gebied.
1.3.8zorgen voor de volledige toepassing en het effectieve gebruik van off-line- en on-line-systemen voor alternatieve geschillenbeslechting (ADR en ODR);
1.3.9zorgen voor de invoering en doeltreffende werking van een Europees systeem van groepsacties dat het mogelijk maakt om inbreuken te doen staken en een vergoeding te verkrijgen wanneer het gebruik van het ivd schade van collectieve aard veroorzaakt; de "New Deal” voor consumenten zou dit moeten regelen.
1.4Het vertrouwen van de consument zal afhangen van de strikte naleving van de toepasselijke wetgeving en van de communicatie over goede zakelijke praktijken op het gebied van privacy en veiligheid, en de instellingen dienen deze zaken op te nemen in strategieën voor maatschappelijk verantwoord ondernemen en investeren.
1.5Het ivd zal in sociaal en economisch opzicht steeds meer effect gaan sorteren naarmate het beter verweven raakt met de ontwikkeling van sociaal-ecologisch beleid in de coöperatieve economie, de circulaire economie en de functionele economie.
2.Achtergrond en context
2.1De afgelopen vijftien jaar heeft internet op alle terreinen veranderingen teweeggebracht, waardoor het dagelijks leven in al zijn facetten is veranderd en consumenten diverse andere gewoontes hebben aangenomen. Naar verwachting zal de revolutie van het internet van de dingen (ivd) de komende tien jaar ook de energie-, de landbouw- en de vervoerssector bereiken, evenals de meer traditionele sectoren van de economie en de samenleving, wat zal moeten leiden tot integraal en intelligent beleid voor deze technologische disruptie.
2.2Het idee van het ivd is ontstaan in het Massachusetts Institute of Technology (MIT) en komt in grote lijnen neer op een wereld van volledig onderling verbonden apparaten, zodat allerlei interoperabele processen tezamen kunnen worden geautomatiseerd. Vanaf de publicatie van de mededeling"i2010 – Een Europese informatiemaatschappij voor groei en werkgelegenheid” tot aan het onlangs verschenen actieplan voor het ivd maakt de Europese Unie zich al op voor de digitale convergentie en de nieuwe uitdagingen die het ivd oplevert; zie het document "Advancing the Internet of Things in Europe", dat in 2016 deel uitmaakte van de mededeling "De digitalisering van het Europese bedrijfsleven – De voordelen van een digitale eengemaakte markt ten volle benutten” .
2.3Het EESC heeft zich al meermaals uitgesproken, en dan met name in het advies van 2017, over de vierde industriële revolutie, die in het teken staat van de convergentie van digitale, fysische en biologische technologieën. Het ivd is het toneel van de meest geavanceerde vormen van KI en een proeftuin voor de door het EESC omschreven beginselen, met name het "human in control"-beginsel
2.4Bij ivd-apparaten schort het vaak aan de authenticatienormen die nodig zijn voor de beveiliging van gebruikersgegevens. Dit kan tot problemen leiden, omdat de apparaten, de gegevens en de schakels van de toeleveringsketen daardoor zijn blootgesteld aan lacunes in de beveiliging.
2.5Opkomende technologieën zoals blockchain zijn een mogelijke oplossing voor beveiligings- en vertrouwensproblemen: blockchain kan worden gebruikt om metingen van gegevens door sensoren te traceren en duplicatie met andere, kwaadaardige gegevens te voorkomen, maar ook om de integriteit en traceerbaarheid van wijzigingen te waarborgen. Een gedeeld grootboek ("distributed ledger") kan een veilige, foutloze identificatie van ivd-apparaten, authenticatie en overdracht van gegevens mogelijk maken. Ivd-sensoren kunnen worden gebruikt om gegevens uit te wisselen via een blockchain in plaats van via een derde partij. Het gebruik van slimme contracten baant de weg voor autonoom functionerende apparaten en voor een individuele identiteit en integriteit van gegevens. De aanmaak- en exploitatiekosten vallen lager uit omdat er geen tussenpersonen zijn. Tot slot verschaffen ivd-apparaten in de blockchain informatie over de geschiedenis van aangesloten apparaten, wat zeer nuttig is voor het oplossen van mogelijke problemen.
2.6Daarnaast worden er gedistribueerde opensourcegrootboektechnologieen ontwikkeld voor de uitwisseling van informatie en waarde tussen apparaten in het ivd. Hierbij is data mining onmogelijk en wordt een op een wiskundig concept – een gerichte acyclische grafiek (DAG) – gebaseerde architectuur gebruikt, waardoor commissies niet langer nodig zijn en het netwerk gemakkelijk zijn capaciteit kan verhogen als het aantal gebruikers toeneemt.
2.7We hebben te maken met een groot en veelbelovend economisch en sociaal potentieel, maar voor consumenten, overheden en burgers gaat een en ander door multidisciplinaire en transversale risico's ook gepaard met grote uitdagingen. Daarom is het zaak om een gemeenschappelijke aanpak te hanteren, zonder evenwel voorbij te gaan aan de specifieke kenmerken van bepaalde gevallen. Volgens de Verenigde Naties zullen er in 2020 zo’n vijftig miljard onderling verbonden apparaten zijn, met toepassingen voor consumenten via televisietoestellen, koelkasten, beveiligingscamera's, voertuigen enzovoort.
2.8In de geglobaliseerde wereld leveren de toepassingen van het ivd reeds economische en sociale voordelen op. Daarbij valt te denken aan meer diensten die gevoelig zijn voor de sociaaleconomische context, kortere terugkoppelingscycli, reparatie op afstand, besluitvormingsondersteuning, betere toewijzing van middelen en dienstverlening op afstand. Een aantal gerelateerde zaken liggen echter uiterst gevoelig, zoals privacy en veiligheid, informatie-asymmetrie en transparantie van transacties, complexe aansprakelijkheidsvraagstukken, product- en systeemblokkades, en ook de toename van hybride producten, die consequenties kan hebben voor eigendomskwesties en ertoe kan leiden dat consumenten met contracten op afstand en daardoor met minder goede garanties te maken krijgen.
2.9De EU en haar lidstaten staan voor enorme juridische uitdagingen omdat veel van de kenmerken van het ivd (hoge mate van complexiteit en grote onderlinge afhankelijkheid, autonomie, genereren en/of verwerken van gegevens, en open karakter) ook eigen zijn aan andere opkomende digitale technologieën zoals blockchain, 3D-printen en cloudcomputing. Het werkdocument van de Europese Commissie over de aansprakelijkheid van opkomende digitale technologieën is wat dit betreft weer een stap in de goede richting.
2.10Om de voordelen van het ivd te maximaliseren en de risico's ervan tot een minimum te beperken dient toegankelijke, duidelijke, beknopte en nauwkeurige informatie te worden verstrekt – waarbij met name moet worden gezorgd voor de inclusie en digitale connectiviteit van de meest kwetsbare consumenten – door middel van volledig traceerbare producten en diensten die voldoen aan geïntegreerde normen voor vertrouwen, privacy en veiligheid.
3.Vertrouwen van consumenten en ondernemers in het ivd
3.1Het ivd is een complex ecosysteem dat de interconnectie van apparaten van verschillende fabrikanten, distributeurs of softwareontwikkelaars mogelijk maakt. De keerzijde is dat het moeilijk kan zijn om vast te stellen wie aansprakelijk is als de regelgeving niet wordt nageleefd of als materiële schade of andere schade voor derden of systemen ontstaat door producten met gebreken of doordat derden producten met uitsluiting van eindgebruikers voor een ander doel gebruiken op internet. Het is zelfs mogelijk dat veel van de actoren in de totale waardeketen van netwerkapparaten te weinig afweten van en onvoldoende ervaring hebben met zaken als beveiliging of gegevensbescherming.
3.2Daarom is een nieuwe benadering van de aansprakelijkheid nodig, zodat zowel consumenten als bedrijven die ivd-toepassingen gebruiken zich beschermd weten in een omgeving waarin goed geconfigureerde producten door incidenten die de digitale beveiliging aantasten gebreken kunnen gaan vertonen, door derden (zoals hackers) misbruikt kunnen worden of onveilig kunnen worden. Zo’n omgeving moet het mogelijk maken om te anticiperen op geautomatiseerde beslissingen die wellicht indruisen tegen universeel erkende ethische grondbeginselen en mensenrechten, deze voor te zijn en zich ertegen te beschermen.
3.3Het EESC is ingenomen met zowel de herziening van de productaansprakelijkheidsrichtlijn van 1985 als de recente oprichting van de multistakeholder deskundigengroep voor aansprakelijkheid en nieuwe technologieën, die als doel hebben om een eerlijk evenwicht tussen de belangen van producenten en consumenten te waarborgen. Een nieuw aansprakelijkheidskader dient de traceerbaarheid van verantwoordelijkheid en veiligheid duidelijk te regelen, zowel in de gehele waardeketen van een product als tijdens de levenscyclus ervan. Daarbij moet ook duurzaamheid als een factor gaan gelden, zodat de betrokken partijen wel gedwongen zijn om aandacht te besteden aan het updaten, het verbeteren, de portabiliteit, het hergebruik, de reparatie of de aanpassing van de producten in kwestie.
3.4Voor het ivd moet ook speciale aandacht worden geschonken aan het bepalen van de aansprakelijkheid voor alle verschillende schakels van de toeleveringsketen van producten, om mazen in de wetgeving te voorkomen in situaties waarin er sprake is van verschillende producenten en distributeurs. Het is van essentieel belang dat duidelijk wordt aangegeven welke procedures consumenten in elk van de afzonderlijke gevallen moeten volgen. In dit verband is het EESC een pleitbezorger van mechanismen voor alternatieve geschillenbeslechting (Engelse afkorting: ADR).
3.5Het EESC benadrukt het belang van precontractuele informatie, transparante contractbepalingen en duidelijke gebruiksaanwijzingen voor hulpmiddelen; eventuele daaraan verbonden risico's en waarborgen moeten uitdrukkelijk worden vermeld.
3.6De interoperabiliteit en de compatibiliteit van apparaten en bijbehorende software moeten worden gewaarborgd om problemen te voorkomen en de consument in staat te stellen dienstverleners met elkaar te vergelijken. Dit is ook van cruciaal belang is voor het scheppen van gelijke concurrentievoorwaarden voor grote ondernemingen en kmo's.
3.7Tot slot pleit het EESC ervoor om de netneutraliteit te handhaven en dringt het er bij de Commissie op aan om streng toe te zien op marktgedrag.
4.Privacy van consumenten in het internet van de dingen
4.1Dankzij de nieuwe algemene verordening gegevensbescherming kunnen consumenten nu beter controle uitoefenen over hun persoonsgegevens en privacyvoorkeuren. De gebruiker van een apparaat moet kunnen bepalen hoe de gegevens die dit genereert worden gebruikt en wie er toegang toe kan krijgen. De diversiteit van de gegevens, en het feit dat deze worden samengevoegd met en gekoppeld aan andere gegevens, vormen in het ecosysteem van het ivd namelijk een groot risico voor de privacy.
4.2De veelheid van producten, diensten of entiteiten kan consequenties hebben voor de privacy en voor de bescherming van gegevens wanneer deze door hun interconnectiviteit autonoom worden overgedragen. Zo kan het verwerken of bewerken van informatie op basis van oorspronkelijk onschadelijke gegevens nauwkeurige kennis opleveren over iemands gewoonten, locaties, interesses en voorkeuren, waardoor zijn of haar profiel gemakkelijker toegankelijk en traceerbaar wordt.
4.3Juridische waarborgen moeten ervoor zorgen dat gebruikers hun recht op privacy en bescherming van persoonsgegevens zonder beperkingen kunnen doen gelden, zodat mogelijke schade – zoals discriminerende praktijken, invasieve marketing, verminderde privacy of inbreuken op de beveiliging – wordt voorkomen. Op hun beurt moeten consumenten worden voorgelicht over de economische waarde van hun gegevens en het recht hebben om deze te delen.
4.4Conform de algemene verordening gegevensbescherming moeten bedrijven en regelgevers op gezette tijden de hoeveelheid persoonsgegevens die zij hebben verzameld tegen het licht houden en beoordelen hoe proportioneel en noodzakelijk de verwerkte gegevens voor hun dienstverlening zijn. Gedurende de hele fase waarin een aangesloten product, en het netwerkecosysteem waarvan dat product deel uitmaakt, bedacht, ontworpen en ontwikkeld worden, is het van belang goed te letten op privacykwesties en -effecten (‘privacy by design’). Daarom moeten de beginselen van privacy by design (gegevensbescherming door ontwerp) en privacy by default (gegevensbescherming door standaardinstellingen) consequent worden toegepast in het ivd.
4.5Bovendien moet de configuratie van elk met internet verbonden product standaard de beste bescherming van privacy (by design en by default) waarborgen, zodat het doen en laten van gebruikers niet tegen hun wil kan worden gevolgd.
4.6Consumenten moeten in ieder geval goed weten welke gegevens worden verzameld, wie daar toegang toe heeft en op welke manier men er gebruik van wil maken in de periode dat zij met het product of de dienst te maken hebben, alsook wat het toepasselijke privacybeleid is en of de gehanteerde algoritmen van invloed zijn op de kwaliteit, de prijs of de toegang tot een dienst.
5.Veiligheid van consumenten en ondernemers in het ivd
5.1De interconnectiviteit van apparaten die zo kenmerkend is voor het ivd-ecosysteem kan illegale of ongewenste technologische praktijken in de hand werken, waardoor er in dit ecosysteem gemakkelijk kwetsbaarheden kunnen ontstaan die zich razendsnel verspreiden. Daarom is in elk van de systeemonderdelen een integrale veiligheidsaanpak geboden.
5.2Cyberbeveiligingsproducten en -updates dienen verantwoord te zijn en niet alleen betrekking te hebben op afzonderlijke apparaten, maar ook bescherming te bieden tegen de veiligheidsrisico's waarmee de interconnectiviteit met andere apparaten in het ivd gepaard gaat. Ongeacht de hoeveelheid van deze apparaten mag de beveiliging hierbij niet aan kwaliteit inboeten.
5.3Het voorstel voor een verordening betreffende het EU-agentschap voor cyberbeveiliging bevat in dit verband een kader voor de certificering van informatie- en communicatietechnologieën dat het mogelijk maakt om vrijwillige certificerings- en etiketteringsregelingen vast te stellen voor de beveiliging van verschillende soorten producten, waaronder ivd-producten. Het EESC juicht deze maatregel weliswaar toe, maar is ook bezorgd omdat hij geen bindend karakter heeft.
5.4Cyberbeveiligingsmaatregelen moeten zich op risico's – met name hacken, ongeoorloofde toegang en misbruik, maar ook problemen rond betaalmethoden en financiële fraude – die ontstaan door welke vorm van kwetsbaarheid dan ook. In dit verband steunt het EESC de bevoegdheden die zijn toegekend aan de multistakeholder deskundigengroep inzake aansprakelijkheid en nieuwe technologieën.
5.5Er moet ook aandacht worden besteed aan de beveiliging van individuele consumenten tegen risico's zoals locatiebepaling, het gebruik van gedeelde frequentiebanden, blootstelling aan elektromagnetische velden of eventuele interferentie met essentiële aangesloten apparatuur. Het EESC pleit voor toezicht en preventieve onttrekking aan de markt als de gezondheid en veiligheid van consumenten gevaar lopen of hun persoonlijke en economische belangen in het gedrang komen.
5.6Bedrijven moeten op goede praktijken gebaseerde normen hanteren, zoals beveiliging door ontwerp en beveiliging door standaardinstellingen, en zich onderwerpen aan onafhankelijke externe evaluaties. Zij dienen beveiligingsincidenten of inbreuken in verband met persoonsgegevens te melden, waarbij zij ook informatie over aansprakelijkheid voor schade en niet-naleving moeten verschaffen.
5.7Zij moeten consumenten eenvoudige en toegankelijke informatie verstrekken, zodat deze de juiste besluiten kunnen nemen en veilige gewoonten kunnen aanleren, en hun gedurende de levenscyclus van een product de nodige beveiligingsupdates aanbieden.
5.8Het gebrek aan coherente regels voor ivd-netwerken moet worden aangepakt. Er moeten geavanceerde breedbandtechnologieën en technologieën van de nieuwe generatie worden ontwikkeld om de bestaande infrastructuur te verbeteren.
6.Voorstellen voor overheidsmaatregelen
6.1Om voor een evenwicht tussen de verschillende belanghebbenden te zorgen dienen de verschillende overheden, bij de uitoefening van hun bevoegdheden in de verschillende regio's van de Europese Unie, actief te worden betrokken bij het uitwerken van ivd-beleidsmaatregelen en -actieplannen waarmee wordt geanticipeerd op eventuele problemen en mogelijke averechtse effecten op verstandige wijze worden verzacht. Het EESC stelt voor om:
6.1.1testomgevingen (sand boxes) te creëren, dus fysieke ruimten, clusters en dergelijke, voor proefprojecten en conceptvalideringen. Hiermee moeten niet alleen technologieën, maar ook regelgevingsmodellen worden getest;
6.1.2technologische infrastructuur voor de ontwikkeling van innovatieve ivd-projecten te financieren in het kader van het nieuwe programma "Horizon Europa";
6.1.3onafhankelijke instituten en agentschappen aan te wijzen als facilitators en toezichthouders van ivd-projecten. Het EESC is ingenomen met de maatregelen die in dit verband in de cyberbeveiligingsverordening van 2017 zijn opgenomen en verzoekt de Commissie om de normalisatieprocessen in de digitale industrie effectief te bevorderen met behulp van passende begrotingsmiddelen;
6.1.4publiek-private partnerschappen en samenwerkingsplatforms te promoten waarbij de wetenschappelijke gemeenschap, de industrie en de consumenten worden betrokken;
6.1.5investeringen te stimuleren in de ontwikkeling van lokale bedrijfsmodellen die de voordelen van het ivd benutten en die het gemakkelijker maken gecompliceerde kwesties zoals gegevensbescherming en gegevenseigendom te regelen;
6.1.6op medeverantwoordelijkheid gerichte maatregelen te nemen ten behoeve van de capaciteitsopbouw in het bedrijfsleven. Wat ict-producten en -diensten betreft, moet er gezorgd worden voor veiligheid en privacy door ontwerp en door standaardinstellingen, overeenkomstig de zogenaamde zorgplicht die in de nieuwe cyberbeveiligingsverordening is vastgelegd. In dit verband is het EESC ingenomen met het plan om ter aanvulling van de regelgeving gedragscodes op te stellen;
6.1.7een impuls te geven aan Europese en internationale standaardiseringsinitiatieven om ervoor te zorgen dat ivd-systemen de essentiële kenmerken betrouwbaarheid, veiligheid, beschikbaarheid, robuustheid, onderhoudbaarheid en bruikbaarheid bezitten. Standaardisering is met name essentieel voor een snelle invoering van sterk gedigitaliseerde industriële productiemethoden;
6.1.8ervoor te zorgen dat gebruikers van het ivd, met name de meest kwetsbare of in dunbevolkte gebieden wonende gebruikers, betaalbare toegang van hoge kwaliteit hebben;
6.1.9een impuls te geven aan bewustmakingscampagnes en onderwijsprogramma's om ervoor te zorgen dat bedrijven en consumenten gemakkelijker vertrouwd raken met het ivd, en hen met het oog daarop in staat te stellen de nodige vaardigheden en competenties te verwerven, waarbij kwetsbare groepen en diversiteit de nodige aandacht behoeven;
6.1.10met onderwijsinitiatieven te zorgen voor adequate preventie, aangezien kinderen al vanaf jonge leeftijd in een digitale omgeving verkeren;
6.1.11diagnostische analyses en studies te maken van het effect van het ivd op onder meer nieuwe manieren van duurzame productie en consumptie.
6.1.12zorgen voor de volledige toepassing en het effectieve gebruik van off-line- en on-line-systemen voor alternatieve geschillenbeslechting (ADR en ODR);
6.1.13zorgen voor de invoering en doeltreffende werking van een Europees systeem van groepsacties dat het mogelijk maakt om inbreuken te doen staken en een vergoeding te verkrijgen wanneer het gebruik van het ivd schade van collectieve aard veroorzaakt; de "New Deal” voor consumenten zou dit moeten regelen.
6.2Het EESC verzoekt de Commissie ook om de regels die direct of indirect verband houden met het ivd te evalueren en waar nodig de bestaande wetgeving te verbeteren. In dit verband moet de "New Deal” voor consumenten zich ook richten op onderling gekoppelde apparaten, netwerken en de veiligheid daarvan, en op de gegevens die daarmee verband houden.
6.3Ten slotte dienen er tussen de lidstaten samenwerkings- en coördinatiemechanismen te worden opgezet voor een efficiënte en uniforme toepassing van de beoogde verordeningen en voor de overeenkomsten die de Europese Unie buiten haar grondgebied moet sluiten omdat de hoofdkantoren van bedrijven en leveranciers daar gevestigd zijn, met bijzondere nadruk op de uitwisseling van beste praktijken. Het internationale beleid inzake grensoverschrijdende gegevensstromen moet worden gecoördineerd, zodat de betrokken landen in hun nationale wetgeving elk even strenge beschermingsnormen van zowel materiële als procedurele aard kunnen opnemen.
Brussel, 4 september 2018
Ariane RODERT
Voorzitter van de afdeling Interne Markt, Productie en Consumptie
_____________
