IoT-diensten en de juridische vraagstukken bij het benutten van verzamelde gegevens
In de afgelopen jaren zijn IoT-apparaten, zoals slimme huishoudelijke apparaten, steeds meer in onze huizen geïntroduceerd. Hoewel ze erg handig zijn, brengt hun verbinding met het internet ook het risico van datalekken met zich mee. Bij het starten van een IoT-bedrijf is het niet alleen belangrijk om de veiligheid van huishoudelijke apparaten te waarborgen, maar ook om een netwerkbeveiliging te beheren die bestand is tegen cyberaanvallen.
Als we kijken naar de binnenlandse situatie, zien we dat het probleem van persoonsgegevenslekken al ernstig is. Tokyo Shoko Research heeft gemeld dat in 2021 het aantal incidenten van datalekken en verlies van persoonsgegevens bij beursgenoteerde bedrijven een recordhoogte bereikte van 137 gevallen, wat betrekking heeft op de gegevens van 5,74 miljoen mensen.
In dit artikel zullen we de wettelijke regelgeving bespreken die u moet kennen voor de veilige benutting van gegevens verzameld door IoT-diensten.
Wet- en regelgeving met betrekking tot IoT-business
IoT staat voor ‘Internet of Things’, wat letterlijk vertaald ‘het internet der dingen’ betekent. Het verwijst naar systemen en diensten die ons dagelijks gebruikte objecten met het internet verbinden, waardoor we ze op afstand kunnen bedienen en ze functies voor automatische herkenning en controle krijgen, om ons leven gemakkelijker te maken.
Wat betreft de hardware van huishoudelijke apparaten zijn er strenge regels vanwege de directe impact die ze kunnen hebben op het lichaam van de gebruiker.
Op het gebied van software zijn er wetten zoals de Japanse Radio Law en de Japanse Telecommunications Business Law, die registratie en melding vereisen voor het uitvoeren van bedrijfsactiviteiten.
De wet- en regelgeving met betrekking tot de hardware en software van IoT wordt uitgebreid besproken in dit artikel, dus raadpleeg dit ook.
Gerelateerd artikel: Uitleg over de wet- en regelgeving die van belang zijn voor de hardware en software in de IoT-business[ja]
In de IoT-business worden traditionele apparaten verbonden met het internet en wordt de verzamelde informatie gebruikt. Daarom is het, naast de regelgeving voor de hardware en software, ook een belangrijk vraagstuk hoe de verzamelde informatie verwerkt wordt.
Juridische vraagstukken rondom het gebruik van data verkregen via IoT
IoT-apparaten kunnen onbedoeld persoonlijke levensdata verzamelen en gebruiken, wat risico’s met zich meebrengt.
Zelfs als gebruikers bij het registreren hebben ingestemd met het gebruik van hun persoonlijke informatie, leidt de aard van IoT ertoe dat bij elk gebruik gedragsinformatie wordt verzameld, wat de volgende problemen kan veroorzaken:
- Bescherming van persoonsgegevens
- Privacybescherming
- Omgaan met cyberaanvallen
Hier zullen we de diverse juridische vraagstukken die IoT-apparaten met zich meebrengen bespreken.
IoT en Persoonsgegevens
Niet alle data verzameld door IoT-apparaten worden als persoonsgegevens beschouwd die bescherming behoeven. Wanneer gebruikersregistratie gekoppeld wordt aan levensstijlinformatie en zo een persoon identificeerbaar maakt, valt dit onder de Japanse Wet Bescherming Persoonsgegevens (Personal Information Protection Act).
Daarom dragen aanbieders van smart home services die levensstijldata en gebruikersinformatie koppelen en verstrekken, als bedrijven onder Artikel 2, Lid 5 van de Japanse Wet Bescherming Persoonsgegevens[ja], de volgende verplichtingen:
- Zorg dragen voor de nauwkeurigheid van data en de verplichting tot verwijdering
- Verplichting tot het nemen van veiligheidsmaatregelen
- Toezicht houden op werknemers
- Toezicht houden op uitbestede partijen
- Beperkingen op het delen met derden en de verplichting tot het bijhouden van records
Bij het verwerken van persoonsgegevens moet men het gebruik zoveel mogelijk specificeren en dit doel aan de betrokkene meedelen of openbaar maken. Wanneer het niet langer nodig is om de persoonsgegevens te gebruiken, moeten deze snel verwerkt worden. Daarnaast moet men uiterst zorgvuldig omgaan met informatiebeveiliging en dit ook grondig doorvoeren bij werknemers en uitbestede partijen.
In principe is het delen van verkregen persoonsgegevens met derden beperkt. Echter, voor de verbetering van diensten kan het soms noodzakelijk zijn om gegevens met derden te delen. In dat geval moet men de gegevens zodanig anoniem maken dat de oorspronkelijke persoonsgegevens niet hersteld kunnen worden.
Verder, met de inwerkingtreding van de herziene Japanse Wet Bescherming Persoonsgegevens in april 2022 (Reiwa 4), zijn er nieuwe bepalingen geïntroduceerd voor de bescherming van de rechten van de betrokkene, de verantwoordelijkheid van bedrijven en de verstrekking aan buitenlandse bedrijven.
Deze herziening legt de nadruk op de volgende vijf perspectieven door de Japanse Persoonsgegevensbeschermingscommissie:
- Bescherming van de rechten en belangen van individuen
- Balans tussen bescherming en gebruik
- Harmonisatie met internationale trends
- Reageren op risicoveranderingen door buitenlandse bedrijven
- Aanpassing aan het tijdperk van AI en big data
Referentie: Checkpoints voor naleving van de herziene Japanse Wet Bescherming Persoonsgegevens[ja]
IoT en Privacyrechten
Zelfs als de verzamelde levensgegevens niet als persoonlijke informatie worden beschouwd, moeten gegevens over het dagelijks leven zorgvuldig worden behandeld, omdat ze inzicht kunnen geven in iemands gedrag. Informatie zoals het tijdstip waarop elektriciteit en gas worden gebruikt, kan bijvoorbeeld bij lekken worden misbruikt voor misdrijven zoals inbraken.
Aan de andere kant is het voor het verbeteren van de kwaliteit van smart home-diensten noodzakelijk om het gedrag van de gebruiker te begrijpen en te benutten. Om persoonsgegevens te gebruiken voor de verbetering van de dienstverlening, terwijl tegelijkertijd de privacy wordt beschermd, is het wenselijk om zelfs in gevallen waarin de gegevens niet als persoonlijke informatie worden beschouwd, te handelen in overeenstemming met de Japanse Wet Bescherming Persoonsgegevens.
IoT en Cybersecurity
De IoT-business is gebaseerd op het verzamelen, beheren en gebruiken van informatie die inbreuk kan maken op persoonlijke gegevens en privacyrechten, en het is deze activiteit die de vooruitgang van de sector stimuleert. Omdat informatie via het internet wordt verzameld en beheerd, zijn cybersecuritymaatregelen voor apparaten die verbonden zijn met het netwerk onmisbaar.
Hieronder bespreken we welke cybersecuritymaatregelen u vooraf moet nemen en welke verantwoordelijkheden u draagt in het geval dat u daadwerkelijk het slachtoffer wordt van een cyberaanval.
Verantwoordelijkheid van apparaatfabrikanten: de Wet Productaansprakelijkheid
Wanneer een IoT-apparaat het doelwit is van een cyberaanval, kan de fabrikant van het apparaat geconfronteerd worden met een schadeclaim op grond van de Wet Productaansprakelijkheid.
De criteria voor aansprakelijkheid onder de Wet Productaansprakelijkheid zijn als volgt:
- Er was een defect in het product,
- Dit defect heeft het leven, het lichaam of het eigendom van iemand anders geschaad,
- Er is schade ontstaan.
Met ‘defect’ in punt 1 wordt een staat bedoeld waarin de ‘normale veiligheid die men mag verwachten’ ontbreekt, en dit kan worden onderverdeeld in fabricagefouten, ontwerpfouten en fouten in instructies of waarschuwingen.
Of een fabrikant daadwerkelijk verantwoordelijk is na een cyberaanval hangt af van de volgende omstandigheden:
- Voldeed het product aan de verwachte technische normen op het moment van levering?
- Was het in overeenstemming met de gepubliceerde nieuwste richtlijnen of vrijwillige standaarden?
Apparaatfabrikanten kunnen aansprakelijkheid vermijden door te bewijzen dat zij niet op de hoogte konden zijn van het defect. Echter, zij moeten bewijzen dat het defect niet herkend kon worden, zelfs niet met de hoogste technische normen op het moment van levering, wat in de praktijk betekent dat de kans op erkenning laag is.
Verantwoordelijkheden van netwerkbeheerders: Burgerlijk Wetboek
Wanneer een netwerk een cyberaanval ondergaat en er bijvoorbeeld een datalek optreedt, kan er op basis van het Burgerlijk Wetboek, en niet de Wet Productaansprakelijkheid, een schadevergoedingseis tegen de netwerkbeheerder worden ingediend om de volgende redenen:
- Schending van de overeenkomst tussen de netwerkbeheerder en de gebruiker
- Nalatigheid in de beveiligingsmaatregelen van de netwerkbeheerder, resulterend in wanprestatie
- Onrechtmatige daad door nalatigheid van de netwerkbeheerder (Artikel 709 van het Burgerlijk Wetboek)
In elk van deze gevallen is het de vraag of de netwerkbeheerder nalatig is geweest in het nemen van de noodzakelijke beveiligingsmaatregelen.
Daarbij wordt onder ‘noodzakelijke beveiligingsmaatregelen’ niet alleen de maatregelen verstaan die overeengekomen zijn op het moment van de contractsluiting, maar ook de maatregelen die in overeenstemming zijn met richtlijnen die openbaar zijn gemaakt ten tijde van de cyberaanval, zoals blijkt uit rechtspraak (Tokyo District Court, Heisei 26 (2014).1.23).
Daarom moet de netwerkbeheerder voortdurend op de hoogte zijn van belangrijke updates van richtlijnen en indien nodig de software updaten, zelfs na levering.
Huidige richtlijnen voor informatiebeveiliging:
- IoT Security Guidelines ver1.0[ja] | Ministerie van Economie, Handel en Industrie
- Algemeen kader voor de beveiliging van veilige IoT-systemen[ja] | NISC
- Handleiding voor beveiligingsontwerp in IoT-ontwikkeling[ja] | IPA
Gerelateerd artikel: Schade door cyberaanvallen. Wat is de aansprakelijkheid voor schadevergoeding van systeemleveranciers? Uitleg aan de hand van contractvoorbeelden[ja]
Samenvatting: IoT-business vereist gespecialiseerd juridisch begrip
IoT-business kenmerkt zich door het verzamelen en benutten van gebruikersinformatie, waaronder persoonlijke gegevens en privacygevoelige informatie, via het internet.
Daarom moeten ondernemers niet alleen verantwoordelijkheid dragen voor productaansprakelijkheid als het gaat om huishoudelijke apparaten, maar ook aandacht besteden aan het bijhouden van de ‘Japanese Personal Information Protection Act’ en informatiebeveiligingsrichtlijnen.
Bij productincidenten kan er niet alleen fysieke schade voor gebruikers ontstaan, maar ook is er een risico dat door datalekken schade zich verspreidt onder een onbepaald aantal mensen.
Wanneer u een IoT-business start, is het van cruciaal belang om advies in te winnen bij een advocaat met een breed scala aan specialistische kennis, van de ‘Japanese Product Liability Act’ tot de ‘Japanese Personal Information Protection Act’ en de meest recente informatiebeveiligingsrichtlijnen.
Maatregelen van ons kantoor
Monolith Advocatenkantoor is een juridische firma met uitgebreide ervaring in IT, en in het bijzonder op het gebied van internet en recht. In recente jaren heeft de IoT-business veel aandacht gekregen, en de noodzaak voor juridische controle neemt alleen maar toe. Ons kantoor biedt oplossingen voor zaken gerelateerd aan de IoT-business.
Expertisegebieden van Monolith Advocatenkantoor: IT & Corporate Legal Services voor Startups[ja]