Steeds meer apparaten die in Nederlandse huishoudens worden gebruikt, kunnen verbinding maken met het internet. Denk bijvoorbeeld aan smart tv’s en muzieksystemen, maar ook aan lampen, koelkasten, videodeurbellen en thermostaten.
Omdat deze apparaten verbinding met het internet kunnen maken en (vaak) onderling met elkaar kunnen communiceren worden ze ‘smart’ genoemd. Ze zorgen ervoor dat de leefomgeving thuis steeds ‘slimmer’ en meetbaarder wordt. Huishoudens veranderen daarmee in zogenaamde ‘smart homes’.
Deze ‘smart home’ apparaten brengen, naast gemak, ook risico’s met zich mee. Bijvoorbeeld ten aanzien van privacy. Deze apparaten verwerken namelijk (vaak) persoonsgegevens van gebruikers. Het kan daarbij zelfs om zeer gevoelige persoonsgegevens, zoals gezondheidsgegevens, gaan. Wanneer ‘smart home’ apparaten verbonden zijn met het internet worden die persoonsgegevens gedeeld met partijen buiten het huishouden, bijvoorbeeld met de fabrikanten van de apparaten en/of met leveranciers van de software van de apparaten.
Voor deze privacyrisico’s werd door de voormalig Artikel 29-werkgroep (het overleg van Europese privacytoezichthouders) in 2014 al gewaarschuwd (zie: Advies 8/2014 over de recente ontwikkelingen op het gebied van het internet van de dingen).
Fabrikanten
Veel fabrikanten van ‘smart home’ apparaten verwerken gegevens van gebruikers van de apparaten. Dit is bijvoorbeeld het geval wanneer de software van het apparaat op servers van de fabrikant draait dan wel bij een door de fabrikant ingeschakelde derde.
In eerste instantie lijkt het daarbij niet altijd om persoonsgegevens te gaan. Bijvoorbeeld wanneer het gaat om gegevens over de temperatuur in een woning of over de aan- en inschakeling van het apparaat. Afzonderlijk zijn dit misschien geen persoonsgegevens, maar als de fabrikant deze gegevens kan koppelen aan bijvoorbeeld een naam of een adres (afzonderlijk wel persoonsgegevens) dan kwalificeren ze al snel als persoonsgegevens. De gegevens zeggen in dat geval namelijk iets over een natuurlijk persoon (onder de AVG de ‘betrokkene’: degene op wie de persoonsgegevens betrekking hebben).
Wanneer er door de fabrikant inderdaad persoonsgegevens worden verwerkt dient hij zich te houden aan de Algemene verordening gegevensbescherming (AVG) en andere wet- en regelgeving die de privacy van gebruikers beschermt. De fabrikant zal daarbij veelal optreden als verwerkingsverantwoordelijke. Het zal immers vaak de fabrikant zijn die het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt. Het doel kan bijvoorbeeld zijn het leveren van een dienst aan de gebruiker, zoals het opslaan en inzichtelijk maken van gegevens omtrent het gebruik van het apparaat en/of de gebruiker zelf. Daarbij kan er mogelijk sprake zijn van gezamenlijke verwerkingsverantwoordelijkheid tussen de fabrikant en een derde partij, zoals een hostingpartij of een andere fabrikant. Ook is het mogelijk dat de fabrikant als (sub)verwerker optreedt. Het is van groot belang om vast te stellen welke privacyrechtelijke rol de fabrikant inneemt. Die rol bepaalt namelijk welke verplichtingen uit de AVG voor de fabrikant gelden.
Als de fabrikant als verwerkingsverantwoordelijke optreedt, dan rusten op hem onder meer de volgende verplichtingen: het informeren van gebruikers over de verwerking van hun persoonsgegevens, het adequaat reageren op gebruikers die hun rechten als betrokkene uitoefenen (zoals het recht op gegevenswissing) en (in veel gevallen) het bijhouden van een verwerkingsregister. Daarnaast dient de fabrikant te zorgen voor passende organisatorische en technische maatregelen zodat de persoonsgegevens van de gebruiker voldoende worden beschermd. Wanneer er bijzondere categorieën van persoonsgegevens worden verwerkt, zoals gezondheidsgegevens, dan gelden er extra vereisten. Zo dient de fabrikant in dat geval vaak expliciete toestemming van de gebruiker te verkrijgen, hetgeen ingeregeld moet worden (bijvoorbeeld in de app van de fabrikant waarmee de gebruiker het apparaat kan bedienen).
Tot slot is het voor de fabrikant van belang om goede afspraken te maken met betrokken derde partijen. Denk aan de installateurs die ingeschakeld worden, hostingpartijen (waar de software van het apparaat draait) en app ontwikkelaars die hun app verbinding willen laten maken met de’smart home’ apparaten. Daarbij gaat het vaak niet alleen om verwerkersovereenkomsten (in geval van een verwerkingsverantwoordelijke/verwerker-relatie) en onderlinge regelingen (in geval van gezamenlijke verwerkingsverantwoordelijken) die de AVG verplicht stelt, maar bijvoorbeeld ook om afspraken omtrent onderhoud/ondersteuning, geheimhouding en verdere ontwikkeling van de ‘smart home’ apparaten.
Wij denken graag met u mee
Vraagt u zich als fabrikant af of u voldoet aan de verplichtingen uit de AVG? Of heeft u hulp nodig bij het maken van afspraken met betrokken derde partijen? Neem dan gerust contact met ons op.