Vergroot contrast

Internet of things

Steeds meer apparaten zijn verbonden met het internet en kunnen onderling communiceren. Bijvoorbeeld smart tv’s, auto’s, wearables (zoals een smartwatch), speelgoed, koelkasten, muzieksystemen, lampen en thermostaten. Samen vormen die het ‘internet of things’, in het Nederlands het ‘internet der dingen’ genoemd.

Toepassing internet of things

Door het internet of things wordt onze leefomgeving ‘slimmer’ en beter meetbaar. Veel apparaten met een internetverbinding worden dan ook ‘smart’ genoemd. Deze apparaten maken ons leven vaak makkelijker. Ook maakt het internet of things nieuwe toepassingen mogelijk.

Niet alleen in het huishouden, maar ook op grotere schaal wordt het internet of things ingezet. Bijvoorbeeld in de gezondheidszorg, het onderwijs en de gemeente (smart cities). Ook hier kan het internet of things zorgen voor meer efficiëntie en gebruiksgemak.

Risico's internet of things

Het internet of things brengt risico’s met zich mee, onder meer voor de privacy. Internet of things-apparaten verzamelen privacygevoelige informatie. Daarom is het belangrijk dat duidelijk is voor mensen wat er precies met hun gegevens gebeurt. En dat de beveiliging in orde is, zodat de gegevens niet in verkeerde handen komen.

Privacy beschermen

Het aantal apparaten met een internetverbinding in Nederlandse huishoudens groeit aanzienlijk. Wilt u ook een internet of things-apparaat gaan gebruiken? Zorg er dan voor dat u uw privacy beschermt. Om u hierbij te helpen, geeft de Autoriteit Persoonsgegevens een aantal tips voor het kopen, installeren en gebruiken van een internet of things apparaat.

Smart cities

Gemeenten zoeken steeds vaker naar datagedreven oplossingen voor mobiliteit, energie, veiligheid en huisvesting. Een voorbeeld hiervan is wifitracking om de drukte te meten.

Zulke oplossingen hebben echter grote invloed op de privacy van bewoners. Het is daarom uiterst belangrijk dat gemeenten de privacy voldoende waarborgen bij de ontwikkeling van smart cities.

Zie ook

Nieuws

Alle nieuwsberichten over het onderwerp 'Internet of things'

Alle antwoorden op mijn vragenVragen over internet of things

  • Waar kan ik op letten als ik een internet of things-apparaat wil kopen?

    Wilt u een internet of things-apparaat kopen? Zoals een smart tv, slimme speakers of een slimme thermostaat? En daarbij uw privacy zo goed mogelijk beschermen? Doe dan eerst onderzoek voordat u iets koopt. Let daarbij op de privacyverklaring, de beveiliging en de aanbieder van het apparaat.

    Lees de privacyverklaring

    Internet of things-apparaten verzamelen gegevens die veel over u en anderen kunnen zeggen. Het is belangrijk dat u van tevoren weet wat er met uw gegevens gebeurt als u een apparaat gaat gebruiken. Zodat u zelf kunt beslissen of u dat wel wilt.

    Kijk op de website van de fabrikant van het apparaat voor de privacyverklaring. Die moet makkelijk te vinden zijn. En makkelijk te lezen en begrijpen. De fabrikant moet u onder meer de volgende informatie geven:

    • hoe u bij vragen contact kunt opnemen met het bedrijf;
    • welke persoonsgegevens het bedrijf van u verwerkt;
    • waarom het bedrijf dat doet (voor welk specifiek doel);
    • of het bedrijf uw gegevens buiten de Europese Unie (EU) verwerkt;
    • of het bedrijf uw gegevens deelt met of doorverkoopt aan andere partijen en zo ja, aan welke.

    Ook moet het bedrijf u wijzen op uw privacyrechten en hoe u die kunt gebruiken. Meer weten? Zie dossier Recht op informatie. 

    Kijk naar de beveiliging

    Ga op zoek naar de beveiliging van het apparaat. Dit doet u door te zoeken naar:

    • Betrouwbare tests.
    • Eventuele bekende veiligheidsrisico’s.
    • Ervaringen van andere gebruikers.
    • De garanties die de fabrikant geeft voor bijvoorbeeld toekomstige software-updates. Geeft de fabrikant geen duidelijke informatie over de veiligheid van het product? Of kunt u de informatie niet vinden? Vraag er dan naar bij de fabrikant of de (web)winkel.

    Kijk naar de (web)winkel en fabrikant

    Kijk goed naar welk product u bij welke (web)winkel koopt. Let daarbij niet alleen op de prijs. Soms zijn producten van buiten de EU een goedkoop alternatief. U kunt zo’n product makkelijk zelf online kopen bij een (web)winkel buiten de EU of tijdens een vakantie kopen en meenemen naar huis.

    Maar dit kan wel privacyrisico’s met zich meebrengen. Soms is het bijvoorbeeld lastig of onmogelijk uw privacyrechten uit te oefenen bij (web)winkels die buiten de EU zijn gevestigd.

    Koopt u een apparaat zonder EU-goedkeuringen? Dan haalt u een product in huis dat niet gegarandeerd aan de Europese standaarden moet voldoen. Daardoor kunnen de beveiliging en de garantie van het product tekortschieten.

    Ook kunnen apparaten uw gegevens doorsturen naar servers buiten de EU, terwijl dat niet zomaar mag. Dit privacyrisico is nog groter als kwetsbare personen het apparaat gebruiken, zoals kinderen of mensen met een beperking.

    Of als het apparaat gevoelige gegevens van u registreert, zoals gegevens over uw gezondheid of over uw financiën. Daarnaast kan uw apparaat ook gegevens van en over anderen dan uzelf registreren, zoals uw huisgenoten, buurtgenoten, bezoekers of passanten.

    Geeft de fabrikant van het apparaat dat u wilt kopen geen duidelijke informatie? Bijvoorbeeld over de beveiliging (zoals software-updates) of hoe u het apparaat privacyvriendelijk kunt instellen?

    Vraag dit dan na bij de (web)winkel waar u het product wilt gaan kopen. Bent u niet tevreden met het antwoord? Vraag dan welk ander apparaat u kunt kopen dat wél veilig en privacyvriendelijk is.

    Zie ook

  • Hoe installeer ik een internet of things-apparaat privacyvriendelijk?

    Heeft u een internet of things-apparaat gekocht? Zoals een smart tv, slimme speakers of een slimme thermostaat? En wilt u het apparaat privacyvriendelijk installeren? Let dan op uw inloggegevens, de manier waarop u inlogt,  uw accountinstellingen en de afstelling van het apparaat.

    Verander uw wachtwoord en gebruikersnaam

    Het veranderen van uw wachtwoord en, als dat kan, uw gebruikersnaam is een van de belangrijkste stappen in het beveiligen van (nieuwe) apparatuur. Blijf nooit een door de fabrikant ingesteld wachtwoord gebruiken.

    Kies voor een lang wachtwoord dat of een ‘wachtzin’ die verschillende soorten tekens combineert. U kunt ook een wachtwoordmanager gebruiken om uw wachtwoorden te beheren en nieuwe sterke wachtwoorden te genereren.

    Gebruik meerfactorauthenticatie

    Vaak logt u in met een gebruikersnaam en een wachtwoord. Maar biedt het apparaat of platform meerfactorauthenticatie? Dan is het aan te raden dat te gebruiken, zeker als het apparaat gevoelige gegevens registreert. Hierdoor is het apparaat of uw account beter beveiligd tegen ongeautoriseerde toegang.

    Meerfactorauthenticatie houdt in dat u naast uw gebruikersnaam en wachtwoord nog iets anders nodig heeft om toegang te krijgen. Bijvoorbeeld een code die u krijgt per sms of app. Of soms een hardwaresleutel.

    Stel uw (online) account in

    Veel fabrikanten maken gebruik van een (online) account of app waarin u instellingen kunt wijzigen. Neem de tijd om deze instellingen te doorlopen. En de privacygevoelige instellingen goed in te stellen.

    Stel het apparaat af

    Apparaten kunnen ook gegevens van en over anderen dan uzelf opvangen. Bijvoorbeeld geavanceerde microfoons gekoppeld aan spraakherkenningssystemen. Stel het apparaat zo af dat het de privacy van anderen niet aantast. Houd bij camera’s rekening met de privacyregels voor cameratoezicht.

    Zie ook

  • Hoe bescherm ik mijn privacy als ik een internet of things-apparaat gebruik?

    Heeft u een internet of things-apparaat gekocht en geïnstalleerd? Zoals een smart tv, slimme speakers of een slimme thermostaat? Let dan op de beveiliging van uw router en op updates van software en apps als u het apparaat gebruikt.

    Beveilig uw router

    Uw router is de toegangspoort van uw apparaten naar het internet. De standaardinstellingen van uw router maken u mogelijk kwetsbaar voor digitale indringers of voor het lekken van uw gegevens.

    Zorg daarom voor een sterk wachtwoord. Pas daarnaast de instellingen van uw router aan, zodat die passen bij uw persoonlijke situatie. Bijvoorbeeld: maakt u geen gebruik van de functionaliteit om van buiten uw huis toegang te krijgen tot uw router of netwerk? Schakel die functionaliteit dan uit.

    Blijf software en apps updaten

    De veiligheid van internet of things-apparaten is ook afhankelijk van de software op het apparaat en van de software die het apparaat aanstuurt. Zorg dat u altijd de meest recente software (of app) heeft geïnstalleerd, zodat eventuele bekende kwetsbaarheden gerepareerd worden.

    Zijn er geen automatische updates beschikbaar? Kijk dan op de website van de fabrikant of u de meest recente versie heeft. Controleer na een update de instellingen van het apparaat. Zo bent u er zeker van dat privacyvriendelijke instellingen niet zijn overschreven door de update.

    Is de software sterk verouderd en zijn er geen updates meer? Dan kan het apparaat een beveiligingsrisico gaan vormen. Overweeg om het apparaat te vervangen.

    Vervangt u het apparaat? Of gebruikt u het niet meer? Verwijder dan uw gegevens die op het apparaat staan. Dit doet u door het apparaat te resetten naar de fabrieksinstellingen. Of door handmatig uw gegevens te wissen. Verwijder ook eventueel aanwezige geheugenkaarten of opslagschijven.

    Zie ook

  • Wat kan ik doen als er beveiligingsprobleem is met mijn internet of things-apparaat?

    Internet of things-apparaten worden op grote schaal geproduceerd en verkocht. Dat betekent dat een beveiligingsprobleem bij een veel gekocht apparaat of type apparaat een grote groep mensen kan raken.

    Hoort u in de media dat er een beveiligingsprobleem is dat mogelijk uw apparatuur betreft? Dan kunt u voor meer informatie het beste de website van de fabrikant raadplegen.

    U kunt ook het apparaat tijdelijk uitschakelen tot duidelijk is wat het probleem is en hoe u het apparaat weer veilig kunt gebruiken.

    Zie ook

  • Waar kan ik terecht met een vraag of klacht over een internet of things-apparaat?

    Heeft u een vraag of een klacht over uw privacy bij een internet of things-apparaat? Ga dan in eerste instantie naar de fabrikant van het apparaat of de (web)winkel.

    Heeft u een klacht en komt u er samen met de fabrikant of winkel niet uit? Dan kunt u een privacyklacht indienen bij de Autoriteit Persoonsgegevens.

    Als het apparaat gemaakt is in de EU of u het in de EU gekocht heeft, kan de AP eventueel verdere stappen ondernemen.

Alle antwoorden op mijn vragenVragen over wifitracking en bluetoothtracking

  • Mag ik als bedrijf wifitracking en bluetoothtracking inzetten?

    Met wifitracking en bluetoothtracking verwerkt u persoonsgegevens. Dat betekent dat u aan de Algemene verordening gegevensbescherming (AVG) moet voldoen. Volgens de AVG mag u alleen persoonsgegevens verwerken als u hiervoor een wettelijke grondslag heeft.

    Grondslag voor wifitracking en bluetoothtracking

    In artikel 6 van de AVG staan 6 grondslagen genoemd. Hiervan komen 3 grondslagen mogelijk in aanmerking voor wifitracking en bluetoothtracking door private partijen: toestemming, overeenkomst en gerechtvaardigd belang.

    Of u wifitracking en bluetoothtracking kunt baseren op een van deze grondslagen, hangt van uw specifieke situatie af. Het kan bijvoorbeeld uitmaken of u enkel een commercieel doel heeft of niet.

  • Mag ik als gemeente wifitracking en bluetoothtracking inzetten?

    Andere organisaties dan bedrijven, zoals gemeenten, kunnen via wifitracking en bluetoothtracking persoonsgegevens verwerken als dit noodzakelijk is om hun taak uit te voeren. Bijvoorbeeld het bewaken van de openbare orde of het handhaven van de veiligheid in de stad.

    Voorwaarden wifitracking en bluetoothtracking gemeente

    Als gemeente mag u wifitracking en bluetoothtracking alleen toepassen onder strikte voorwaarden. Zo moet u er een zelfstandige wettelijke grondslag voor hebben.

    Het mag ook alleen in specifieke periodes en in precies omschreven gebieden, waarin het echt nodig is. Op andere momenten en plaatsen zou de meetapparatuur voor de wifitracking uit moeten staan.

    Zie verder: AP wijst winkels en gemeenten op voorwaarden wifitracking.

  • Verwerk ik als organisatie persoonsgegevens met wifitracking en bluetoothtracking?

    Ja. Met wifitracking en bluetoothtracking verzamelt u een combinatie van gegevens waarmee iemand te identificeren is. En dat betekent dat deze gegevens persoonsgegevens zijn.

    Gegevens bij wifitracking en bluetoothtracking

    Bij wifitracking en bluetoothtracking verzamelt u doorgaans iemands MAC-adres (het unieke nummer van een telefoon of ander mobiel apparaat), de signaalsterkte van het geregistreerde wifi- of bluetoothsignaal, het serienummer en/of de locatie van de sensor en het tijdstip van de waarneming.

    Indirect identificeerbare persoonsgegevens

    Van direct identificerende gegevens is in dit geval geen sprake. Het gaat hier niet om gegevens als namen, adressen en telefoonnummers. Een enkel MAC-adres op zichzelf onthult ook niet direct de identiteit van een persoon.

    Toch zijn het persoonsgegevens. We noemen dit indirect identificeerbare persoonsgegevens. Dat komt omdat u de gegevens kunt combineren met elkaar of met andere gegevens. Zo kunt u de gegevens terugbrengen tot een bepaald persoon.

    Aanvullende gegevens waarmee u mensen indirect kunt identificeren zijn bijvoorbeeld camerabeelden, betalingsgegevens in winkels, inloggegevens van openbare wifihotspots of het gebruik van toegangspoortjes met unieke identificatoren, zoals RFID-tags.

  • Ik pas bij wifitracking en bluetoothtracking hashing toe, dan zijn het toch geen persoonsgegevens meer?

    Dat klopt niet. Ook als u hashing toepast op de MAC-adressen die u verzamelt, blijven het persoonsgegevens. Dat komt omdat u met hashing de gegevens meestal niet onomkeerbaar anonimiseert.

    Pseudonimisering

    Alleen het hashen van MAC-adressen, zonder aanvullende maatregelen, leidt er niet toe dat u geen persoonsgegevens meer verwerkt. Er is dan namelijk geen sprake van (onmiddellijke en onomkeerbare) anonimisering, maar van pseudonimisering.

    Bijvoorbeeld omdat u zelf de hashingformule heeft. Dat betekent dat u de originele MAC-adressen opnieuw zou kunnen berekenen. De gegevens zijn dan dus niet anoniem. Het toepassen van een salt doet daar niets aan af.

    Zie ook: Hoe werkt hashing met salt?

    Voorwaarden anonimiseren

    Volgens de Algemene verordening gegevensbescherming (AVG) is er pas sprake van anonieme gegevens als persoonsgegevens zodanig anoniem zijn gemaakt dat de betrokkene niet (meer) direct of indirect identificeerbaar is.

    Het loskoppelen van (in)direct identificerende persoonsgegevens en de overige gegevens moet onomkeerbaar zijn. U mag deze gegevens ook in een later stadium niet alsnog aan elkaar kunnen koppelen. Bijvoorbeeld door andere (bijkomende of nieuwe) gegevens of technieken te gebruiken, waardoor u personen toch nog zou kunnen identificeren.

    AVG wel of niet toepassing

    Zijn de persoonsgegevens daadwerkelijk geanonimiseerd? Dan is de AVG niet (meer) van toepassing op die gegevens.

    Meer informatie over anonimiseren vindt u in de Opinie 'anonimiseringstechnieken' van de Europese privacytoezichthouders.

  • Kan ik als bedrijf wifitracking en bluetoothtracking baseren op toestemming?

    Het is niet uitgesloten dat u toestemming vraagt aan betrokkenen om hen te volgen met wifitracking en bluetoothtracking. Alleen is dat praktisch en technisch gezien lastig uitvoerbaar door de voorwaarden waaraan toestemming moet voldoen.

    Voorwaarden toestemming

    U mag persoonsgegevens verwerken als de betrokkenen (de mensen om wie het gaat) hiervoor toestemming hebben gegeven (artikel 6, eerste lid, onder a, van de Algemene verordening gegevensbescherming).

    Toestemming is echter alleen geldig als deze aan een aantal eisen voldoet.

  • Kan ik als bedrijf wifitracking en bluetoothtracking baseren op een overeenkomst?

    Is het noodzakelijk om een betrokkene te volgen met wifitracking en bluetoothtracking om een overeenkomst met hem of haar uit te voeren? Dan kunt u deze verwerking van persoonsgegevens mogelijk baseren op de grondslag ‘overeenkomst’ (artikel 6, eerste lid, onder b, van de Algemene verordening gegevensbescherming).

    Noodzakelijk

    Een betrokkene en u zijn in principe vrij om overeen te komen wat u wilt (contractsvrijheid), mits u aan het Burgerlijk Wetboek voldoet (niet in strijd met goede zeden, etc.). U kunt zich echter niet automatisch beroepen op de grondslag ‘overeenkomst’ als u een overeenkomst sluit met een betrokkene.

    Bij de weging of de gegevensverwerking noodzakelijk is voor de te leveren prestatie, moet u vaststellen wat de exacte beweegredenen zijn voor het contract. Dat wil zeggen: de inhoud en het fundamentele doel ervan en of de gegevensverwerking daadwerkelijk noodzakelijk is voor die prestatie.

    Let op: enkel het feit dat u wifitracking en bluetoothtracking opneemt in de overeenkomst, wil niet zeggen dat u voldoet aan de eis dat deze verwerking noodzakelijk is om de overeenkomst uit te voeren.

    Soms toestemming vereist

    Krijgt u bij wifitracking en bluetoothtracking toegang tot informatie in de randapparatuur van een gebruiker door de manier waarop de wifi- of bluetoothsensoren gegevens uitlezen van randapparatuur? Zoals identifiers en locatiegegevens? Dan mag dit op grond van artikel 11.7a van de Telecommunicatiewet alleen als de gebruiker hiervoor toestemming heeft gegeven.

    Is deze verwerking van informatie uit de randapparatuur van de gebruiker niet noodzakelijk om de overeenkomst uit te voeren? Dan geldt de toestemming alleen als de betrokkene afzonderlijk toestemming kan geven voor deze verwerking. En als u de overeenkomst ook uitvoert als de betrokkene géén toestemming geeft.

  • Kan ik als bedrijf wifitracking en bluetoothtracking baseren op gerechtvaardigd belang?

    Dat hangt ervan af in welke omgeving u mensen wilt volgen met wifitracking en bluetoothtracking. Het maakt verschil of u dit in de openbare ruimte (zoals winkelstraten) wilt doen of in semiopenbare ruimte die privaat bezit is. Ook speelt mee wat het doel is van de wifitracking en bluetoothtracking.

    Gezag in de openbare ruimte

    De verwerking van persoonsgegevens in de openbare ruimte valt primair onder de verantwoordelijkheid van, of moet mogelijk zijn gemaakt door, de (wetgevende) overheid. Een private partij zoals een bedrijf heeft daar doorgaans geen gezag. Daarom kan een private partij niet zonder meer een beroep doen op gerechtvaardigd belang. 

    Het is niet uitgesloten dat u als bedrijf een beroep op deze grondslag kunt doen. Bijvoorbeeld als wifitracking en bluetoothtracking onvermijdelijk is om het private eigendom te beschermen in de openbare ruimte. Of als u een beroep kunt doen op de journalistieke exceptie.

    Semiopenbare ruimte die privaat bezit is

    Wilt u als bedrijf met wifitracking en bluetoothtracking mensen volgen in de semiopenbare ruimte die privaat bezit is? En heeft u geen commercieel doel, maar is uw doel om de veiligheid van passanten te waarborgen? Dan kan een beroep op gerechtvaardigd belang onder strikte voorwaarden mogelijk zijn.

    De bescherming van de fysieke veiligheid van betrokkenen betreft een gerechtvaardigd belang. Om dit belang - een grondrecht - te beschermen, kan het noodzakelijk zijn om (ook) persoonsgegevens te verwerken. Bijvoorbeeld om gevaarlijke drukte op bepaalde punten te voorkomen (crowd control).

    U voldoet daarmee aan de eerste eis om een beroep te kunnen doen op de grondslag van gerechtvaardigd belang. U moet dan nog wel voldoen aan de andere voorwaarden van artikel 6, eerste lid, onder f van de Algemene verordening gegevensbescherming. Ten eerste moet uw verwerking voldoen aan de vereisten van proportionaliteit en subsidiariteit. Ten tweede moet u uw belangen en die van de betrokkenen tegen elkaar afwegen.

    Proportionaliteit en subsidiariteit

    Het vereiste van proportionaliteit houdt in dat de inbreuk op de privacy van de betrokkenen in verhouding moet staan tot het doel van de wifitracking of bluetoothtracking.

    Het vereiste van subsidiariteit houdt in dat er niet een minder zwaar middel mogelijk mag zijn dan wifitracking of bluetoothtracking, dat minder inbreuk maakt op de privacy.

    Zo moet u toelichten waarom u dat gerechtvaardigde belang niet op een andere manier en zonder de verwerking van persoonsgegevens even effectief kan beschermen.

    Belangenafweging

    Bij de belangenafweging speelt mee of u extra waarborgen treft om de ongewenste gevolgen voor betrokkenen te voorkomen of beperken. Bijvoorbeeld door de volgende 3 maatregelen te nemen:

    • de trackinggegevens onmiddellijk, op de sensor, te anonimiseren;
    • per meetlocatie de gegevens telkens op een andere manier te hashen, zodanig dat er geen technische mogelijkheid is om betrokkenen door de tijd heen over meerdere locaties te volgen;
    • nadere waarborgen te treffen, zoals het beperken van de metingen in ruimte en tijd tot specifieke tijden en locaties (in plaats van 24 uur per dag en 7 dagen per week meten).

    Een andere mogelijke waarborg is om betrokkenen de mogelijkheid te bieden zich af te melden voor wifitracking en bluetoothtracking (opt-out). Hierdoor kunnen zij zich onttrekken aan metingen in hun (privé-)omgeving. Het is hierbij belangrijk dat u de opt-outmogelijkheid duidelijk kenbaar maakt aan betrokkenen.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Hulpmiddelen voor professionals

Hulpmiddelen voor de burger