28 januari 2022

Welke rol speelt certificering van IoT-producten bij privacybescherming?

Door Santosh Sharman, IoT security specialist bij Kiwa

We leven in een datagedreven samenleving. Slimme apparaten, mobiele applicaties, zorgportalen, fabrieken, bedenk het maar en hoogstwaarschijnlijk is er sprake van data en digitale technologie. Data is het nieuwe goud, de brandstof waarop onze digitale wereld draait. Maar het opslaan en verwerken van al die data heeft ook gevolgen voor onze privacy. Hoe kunnen we ervoor zorgen dat we onze slimme deurbellen, verlichting en andere gadgets veilig kunnen gebruiken? 

Wat is ‘data’ nou eigenlijk precies? Het Cambridge-woordenboek geeft er volgende definitie aan: ‘Informatie, met name feiten of cijfers, verzameld om te worden onderzocht en overwogen en gebruikt om de besluitvorming te vergemakkelijken, of informatie in elektronische vorm die kan worden opgeslagen en gebruikt door een computer.’

Tweesnijdend zwaard

Data is dus informatie. Dat kan informatie zijn over alles en nog wat: iets, iemand, een groep van personen, industriële processen, het weer, likes op social media, noem maar op. Vast staat dat data altijd informatie bevat over, ook over personen. En dat is een tweesnijdend zwaard, want persoonlijke data kan handig zijn, bijvoorbeeld om je met je DigiD snel en eenvoudig te identificeren bij een zorgverzekeraar of overheidsdienst. Maar intussen weten we allemaal dat het gevaarlijk kan zijn als persoonlijke data in de verkeerde handen vallen.

Privacybescherming

Het is dus belangrijk om de privacy van personen te beschermen. Sterker nog, het staat in de Grondwet dat iedereen recht heeft op privacy. Het beschermen van privacy moet dus serieus genomen worden en dat kan op verschillende manieren. Eén daarvan is het naleven van standaarden en richtlijnen. Bij Kiwa werken we daarvoor onder meer met de volgende standaarden:

  • ISO 27701 Privacy- en Informatiemanagement Richtlijnen;
  • IEC 62443: Cybersecurity voor Industrial Automation and Control Systems;
  • ETSI EN 303 645: Cyberbeveiliging voor IoT consumentenapparatuur.

ISO 27701

De standaard ISO 27701 is een uitbreiding op de bekende normen ISO 27001 en ISO 27002 voor informatiebeveiliging. Organisaties die al werken met deze normen, kunnen specifieke privacy-gerelateerde uitdagingen  managen met de ISO 27701. Deze standaard biedt organisaties een raamwerk om een Privacy Information Management System (PIMS) op te zetten. Ook hier komt de PDCA-cyclus (Plan Do Check Act) uit de ISO 27001 terug. Met de maatregelen uit de ISO 27701-norm kunnen organisaties borgen dat er voldoende aandacht is voor privacy. Zo beschrijft de standaard eisen voor onder meer:

  • Organisaties en stakeholders;
  • Beleid, planning en uitvoering;
  • Evaluatie en verbetering:
  • Personeel, toegangsbeveiliging, communicatiebeveiliging en bedrijfsrelaties.

IEC 62443

De IEC 62443 beschrijft eisen rondom de cybersecurity voor geautomatiseerde systemen in de industrie. De standaard focust zich met name op de beschikbaarheid van systemen en de integriteit van informatie en minder op het beschermen van privacy. Wel zijn er eisen op het gebied van de vertrouwelijkheid van data. Concreet schrijft deze standaard voor dat industriële systemen moeten beschikken over minimale security levels, hetgeen betekent dat ook de databescherming strakker geregeld is. Traditioneel was privacy in industriële omgevingen ook minder aan de orde, omdat data doorgaans in dezelfde omgeving bleef en het ook zelden persoonlijke informatie betrof. Tegenwoordig zijn steeds meer industriële systemen echter direct of indirect verbonden met het web en dus is het van belang dat de databescherming goed op orde is. De IEC 62443-standaard beschrijft databescherming op drie niveaus:

  1. Beleid en organisatorisch: Beleid en procedures voor verschillende soorten stakeholders, zoals asset owners of service providers, met betrekking tot cyberbeveiliging;
  2. Systeem: Hierbij wordt gekeken naar geautomatiseerde industriële systemen als geheel. Hier komen onder meer risico’s naar voren;
  3. Component: Hierbij wordt gekeken naar de veiligheid van industriële componenten.

ETSI EN 303 645

De ETSI EN 303 645 is wél een standaard die concreet ingaat op privacybescherming. Deze standaard kijkt naar de cyberveiligheid van IoT consumentenapparatuur. Bij consumentenelektronica en IoT-apparaten is privacybescherming erg belangrijk aangezien er persoonlijke data wordt verzameld, opgeslagen en wordt bewerkt. Denk bijvoorbeeld aan videobabyfoons of ‘slimme’ deurbellen die beelden vastleggen die erg privacygevoelig zijn. Op het gebied van privacybescherming schrijft de ETSI EN 303 645 onder meer voor:

  • Dat persoonlijke informatie goed beveiligd is. Er worden eisen gesteld aan onder meer correcte cryptografie en transparantie naar de gebruiker over de detectiemogelijkheden van de apparaten. Het moet gebruikers duidelijk zijn welke informatie/data wordt verzameld;
  • Dat dat fabrikanten gebruikers goed informeren over welke data wordt verzameld en verwerkt en voor welke doeleinden die data gebruikt wordt. Ook moeten gebruikers eenvoudig toestemming kunnen verlenen en intrekken voor het verwerken en opslaan van persoonlijke data. Ook worden eisen gesteld aan de manier waarom wordt omgegaan met telemetriedata (bijvoorbeeld hartritme of slaappatronen), met name als het gaat om transparantie over hoe deze informatie wordt gebruikt.

Wettelijk verplicht

Als eindgebruiker kun je nagaan of het transparant is welke data er verzameld wordt en wat er met deze informatie gedaan wordt. Check hiervoor het instructieboekje van het apparaat of de website van de fabrikant. Fabrikanten op hun beurt kunnen hun IoT-producten laten testen volgens de ETSI EN 303 645. Dit zorgt ervoor dat ze de basiscybersecurity van producten goed op orde kunnen krijgen. Volgens nieuwe Europese wetgeving is dit vanaf medio 2024 zelfs verplicht!

Verantwoordelijkheid

Privacy is onlosmakelijk verbonden met vrijheid en moet daarom goed beschermd worden. Verplichte regelgeving zoals de AVG is al een goede, en nodige, stap om privacy te blijven beschermen. Maar er zijn ook standaarden en richtlijnen die voor specifieke situaties aangeven hoe data en daarmee ook privacy beschermd kan worden. Organisaties en bedrijven kunnen vanuit compliancy-gerelateerde acties meer grip krijgen op de cyberveiligheid van hun producten en zo hun verantwoordelijkheid nemen als het gaat om privacybescherming.