Slimme apparaten, zoals lampen, tandenborstels, bewakingscamera’s en thermostaten, zijn bijzonder loslippig. Ze zijn constant in contact met meerdere servers over de hele wereld. Zodra je ze aanzet sturen ze je locatie, gegevens over je identiteit en leefritme naar China, Duitsland, de VS en Singapore.

Stel je voor: je wordt wakker en zet via je app de slimme lampen in je woonkamer aan. In een fractie van een seconde reist het signaal 11.000 kilometer de oceaan over naar een Amerikaanse server. Op dat moment wordt een notitie van je gegevens gemaakt in een databestand. En die notitie is niet alleen of de lamp aan of uit staat. In de database staat nu wie je bent, waar je bent en - in zekere mate - hoe je dag eruit ziet. Informatie die bijzonder nuttig is voor bedrijven, overheidsinstanties en opsporingsdiensten.

Alles kan slim tegenwoordig: je stekkers, verlichting en thermostaat bestuur je met een app op je mobiel. Zelfs je auto krijgt updates. Pratende poppen, knuffels en ander ‘slim’ speelgoed krijgen steeds meer plek in de schappen van speelgoedwinkels. Je slimme koffiezetapparaat zet automatisch koffie voor je. Lange afstandsrelatie? Liefde kun je ook bedrijven met op afstand bediende seksspeeltjes. Maar met wie praten ze en wat bespreken ze allemaal? Wij wilden wel eens weten wat onze slimme apparaten over ons vertellen. We hebben daarom twaalf huishoudelijke apparaten en de bijbehorende apps uitgelezen en kwamen verouderde software, tientallen buitenlandse servers en ontbrekende regelgeving tegen.

Volgens prognose neemt het aantal slimme apparaten toe

In 2018 waren er al zo veel ‘slimme apparaten’ als mensen op aarde.

190502_ChineseDeurbel_Linechart_desktop_desktopBronnen: Gartner, populationpyramid.net 024681012aantal miljardprognoseSlimme apparaten voor consumentenMensen op aarde20162017201820192020
190502_ChineseDeurbel_Linechart_mobielBronnen: Gartner, populationpyramid.net 20162017201820192020Slimme apparaten voor consumentenMensen op aarde024681012prognosemld.

Op een zonnige middag in april zitten we achter een ronde vergadertafel met hardware te knutselen. Onze collega’s worden gestoord door de rare geluiden die een paar wifi camera’s maken als we ze aansluiten op ons test-netwerk. We onderzochten zes wifi-cameras, twee smart ledlampen, een slimme stekker, twee wifi-thermostaten en een smart-TV. Vier apparaten hebben we aangeschaft op AliExpress - de Chinese versie van Amazon. Acht zijn in Nederland aangeschaft, bij Mediamarkt en Bol.com. En één thermostaat werd door de energiemaatschappij zelf geleverd.

Even China bellen

De lampen, camera’s, thermostaten en slimme stekkers uit onze test communiceren vrijwel constant met servers in de VS, China en Europa. Waarom moet een ledlamp verbinding maken met een buitenlandse server? We spraken met Jaap-Henk Hoepman, associate professor aan de Radboud Universiteit in Nijmegen en aan de Faculteit Rechten van Universiteit Groningen. In zijn onderzoek houdt hij zich bezig met privacy by design en het Internet of Things (IoT), oftewel, hoe we privacy kunnen inbouwen in de slimme apparaten waarmee we ons omringen. “Als je een lamp aan wil doen, dan stuur je een commando naar die lamp. Dit gaat niet direct van de app naar de lamp, maar via een centrale server”, legt Hoepman uit. Dit roept wel allemaal privacykwesties op: wat wordt er gestuurd naar deze server? Hoe lang wordt dit bewaard? Met wie wordt het gedeeld? Is de server goed beveiligd?

Meestal kunnen we niet zien wat de apparaten versturen, omdat de communicatie versleuteld is. Maar dat het soms om gedetailleerde informatie gaat, blijkt als het Chinese bedrijf Tuya Smart ons de informatie stuurt die de slimme lamp en stekker hebben verzameld. Hoewel die eigenlijk niet meer informatie zouden moeten uitwisselen dan dat ze aan of uit staan, blijken de apparaten behoorlijk openhartig. Ze sturen ons e-mailadres, (versleutelde) wachtwoord voor de mobiele app, locatie van het KRO-NCRV gebouw waar de lamp wordt getest, het ip-adres, informatie over onze telefoon en zelfs het geslacht (hoewel bij ons niet ingevuld) naar hun server in Frankfurt. Als we het bedrijf benaderen, krijgen we als antwoord: “We nemen privacybescherming zeer serieus. Wees gerust, we beschermen uw informatie

Privacy is lastig

Wie boeit het nou hoe vaak ik mijn lamp aan doe? Volgens Hoepman laat veel onderzoek zien dat zelfs de meest simpele data tot behoorlijk extreme conclusies kunnen leiden: “Wanneer je je lampen aan en uit doet dan kun je daaruit afleiden hoe laat je naar bed gaat, hoe laat je wakker wordt, of je goed slaapt of je slecht slaapt, of je ‘s nachts een paar keer uit bed gaat. Misschien heb je blaasproblemen, of als je om 5 uur ‘s ochtends je lamp aan doet ben je misschien moslim. Dan hebben we het snel over best gevoelige medische en religieuze informatie.”

In het privacybeleid van de verkoper wordt summier verteld over de gevoelige informatie die ze over je verzamelen en hoe zorgvuldig ze daarmee omgaan. Zo laat Tuya Smart weten dat het de informatie die het over je verzamelt met iedereen deelt, als het bedrijf dat als “noodzakelijk of passend” beoordeelt. Bijvoorbeeld als (Chinese) overheidsinstanties erom vragen. TP-Link vertelt in haar privacybeleid dat het informatie over onder meer je locatie, mobiele telefoon en demografische gegevens naar hun kantoor in Amerika stuurt, en dat dus de Amerikaanse wetgeving van toepassing is (waar ze het iets minder nauw nemen met de bescherming van je gegevens). Het bedrijf kan haar beleid overigens op ieder moment eenzijdig aanpassen. “Bent u niet akkoord met de gewijzigde voorwaarden, dan moet u stoppen met het gebruikmaken van de producten of services.”

We kunnen de veiligheid niet garanderen. Elke transmission is op eigen risico.

Privacybeleid van Eminent

Daarnaast wordt je persoonlijke informatie natuurlijk gebruikt voor marketingdoeleinden. Bijvoorbeeld om nieuwe producten te ontwikkelen, schrijft Foscam. “Heel veel van dat soort gegevens kunnen tot zeer interessante persoonlijke informatiepunten leiden”, zegt Hoepman. “De bedrijven realiseren zich dat heel veel informatie die ze binnenkrijgen kunnen vermarkten. Data over je rijgedrag verkopen is tegenwoordig bijvoorbeeld expliciet onderdeel van het business model van autofabrikanten zoals Ford.” Smart TV bedrijf TP Vision is onlangs door de Autoriteit Persoonsgegevens op de vingers getikt omdat ze gebruikersdata verzamelden om reclame te serveren.

Alle fabrikanten houden overigens een slag om de arm als het op het beschermen van die data aankomt. We doen ons best, schrijven ze allemaal, maar informatie versturen via internet is nooit helemaal betrouwbaar. “We kunnen de veiligheid niet garanderen”, bevestigt Eminent in het privacybeleid. “Elke transmission is op eigen risico”, staat er mysterieus in de privacyvoorwaarden geformuleerd.

De Consumentenbond ziet privacy en veiligheid van slimme apparaten daarom als een groot probleem: “Consumenten zijn vaak niet goed op de hoogte van de risico’s”, zegt woordvoerder Gerard Spierenburg. Waar ligt dat aan? Volgens Spierenburg deels aan de fabrikanten, maar deels ook aan consumenten zelf. “We merken dat het bij consumenten maar beperkt leeft. Mensen vinden privacy wel belangrijk, maar ook een lastig onderwerp. En ze hebben vaak ook geen zin om zich erin te verdiepen.”

Je slimme verlichting deelt je leven met de hele wereld

Ondertussen maakt in onze test de Alecto-camera van Hesdo voor de videostream contact met servers in China, Duitsland, Nederland en Singapore. De verbindingen zijn allemaal beveiligd en gecodeerd, laat een woordvoerder weten. Maar de pushberichten, die de camera naar de server stuurt en die vervolgens naar de app op je telefoon gaan als het bijvoorbeeld een indringer spot, zijn dat niet. Daarin staan onder meer welke telefoon je hebt, welke softwareversie die heeft en het unieke nummer van je telefoon, camera en app. “Binnen nu en twee maanden zal ook deze stroom gecodeerd worden, onder meer vanwege de nieuwe beveiligingsregels van Android”, reageert de woordvoerder.

Volgens Hoepman moet er een verandering komen aan het ontwerp van de apparaten zelf: “Waarom zou een camera überhaupt een verbinding moeten maken met de centrale server? Dat is onzin, het is niet nodig. In principe kan je telefoon direct met de camera communiceren. Dat zou het veiliger en privacyvriendelijker maken.”

Gemiddeld communiceren de apparaten met 7 servers

Er worden gegevens verstuurd naar landen als China, VS, Taiwan, Duitsland en Singapore.

190502_ChineseDeurbel_Barchart_mobile02468101214161820Aantal servers waarmee het apparaat is verbondenSlim apparaat door Pointer getesttado°JimiEminentFoscamNestHesdoSdeterTP-linkVintagelllPanasonic TVNeo CoolcamVAILLANT
190502_ChineseDeurbel_Barchart_mobile024681012141618Aantal servers waarmeehet apparaat is verbondenSlim apparaatJimiEminentFoscamNestHesdoSdeterTP-linkVintagelllPanasonic TVNeo CoolcamVAILLANTtado°

Er wordt van alles ontwikkeld, maar er is nog te weinig aandacht voor privacy en veiligheid.

Gerard Spierenburg, De Consumentenbond

Uit recente nieuwsberichten blijkt dat ook bekende multinationals het niet zo nauw nemen met privacy. In het slimme bewakingssysteem van Nest (een tak van Google) werd bijvoorbeeld een verborgen microfoon ontdekt, die nergens in de productspecificatie vermeld stond. Volgens Google kan de microfoon worden gebruikt om de Google Assistent toe te voegen aan het alarmsysteem, maar waren kopers simpelweg nog niet op de hoogte gesteld van de functionaliteit. Nieuwsorganisatie Bloomberg onthulde onlangs dat Amazon meeluistert naar alle opdrachten die gebruikers aan de Echo (de slimme speaker van Amazon) geven. Duizenden Amazon-medewerkers over de hele wereld luisteren naar de opnames die worden gemaakt in woon- en slaapkamers, om te bepalen of het apparaat de opdrachten goed begrijpt. Alles in het teken van gebruiksgemak.

“Er wordt van alles ontwikkeld, maar er is nog te weinig aandacht voor privacy en veiligheid. Het is zaak om tijdig maatregelen te treffen om grote missers te voorkomen”, meent Spierenburg.

Slecht beveiligd

Regelgeving op het gebied van deze slimme apparaten loopt achter. Californië heeft vorig jaar als eerste ter wereld een Internet of Things cybersecuritywet aangenomen, maar deze blijft nogal vaag. De apparaten moeten “redelijk” en “passend” beveiligd zijn, wat dat dan ook betekent. De Nederlandse Cyber Security Raad heeft begin 2018 een advies uitgebracht om slimme apparaten onder anderen te voorzien van certificering en labels met basale informatie over de veiligheid van het product. Op dit moment hoeven de verkopers namelijk de consument nog niet te informeren over de veiligheid van het apparaat.

Ook het ministerie van Economische Zaken en Klimaat erkent de risico’s van slimme apparaten. Ze zijn over het algemeen slecht beveiligd, schrijft het ministerie in een rapport. Met als gevolg dat ze meerdere malen zijn misbruikt om gebruikers af te luisteren en zijn ingezet als middel voor het uitvoeren van digitale aanvallen.

Slimme apparaten zijn aantrekkelijk voor cybercriminelen, weet staatssecretaris Mona Keijzer. “Ik vind het belangrijk dat IoT-apparaten digitaal veilig zijn: iedereen moet ze veilig en vertrouwd kunnen gebruiken”, reageert ze. Op grond van privacywetgeving mogen de apparaten alleen “noodzakelijke gegevens naar servers sturen”. Nieuwe wetgeving moet er volgens haar voor gaan zorgen dat fabrikanten verplicht veiligheidsupdates aanbieden zolang dat redelijkerwijs van ze kan worden verwacht. Maar wat “noodzakelijk” en “redelijk” is, vult de wet niet in.

Ook op de vraag wie verantwoordelijk is voor de beveiliging van het apparaat - of de fabrikant in China, de verkoper in Nederland of de Amerikaanse softwareontwikkelaar - is geen duidelijk antwoord te vinden. “Alle spelers in de markt hebben een verantwoordelijkheid en moeten voldoen aan nationale en internationale wet- en regelgeving”, meent de staatssecretaris.

In EU-verband wordt nu onderzocht of minimale veiligheidseisen aan de slimme camera’s, tandenborstels, thermostaten en lampen kunnen worden gesteld. Voldoen ze niet aan die eisen, dan kunnen ze op termijn van de markt worden gehaald, laat de bewindsvrouw weten.

Veel fabrikanten zijn kleinere bedrijven die niet per se willen investeren in de beveiliging van hun producten.

Laurens van Oijen, UL

Terwijl de overheden worstelen met nieuwe wetgeving, komt het bedrijfsleven met een eigen oplossing. “Veel fabrikanten van IoT-apparaten voor consumenten zijn kleinere bedrijven die zich richten op de budgetmarkt. Ze willen niet per se investeren in het verbeteren van de beveiliging van hun producten”, legt Laurens van Oijen uit, manager van consumer security bij het certificeringsbedrijf UL. Het bedrijf kwam deze week met labels om de veiligheid van slimme apparaten aan te geven. Dit zou leveranciers stimuleren om de veiligheid van hun producten te verbeteren. Van Oijen verwacht dat deze labels in de loop van dit jaar op allerlei slimme apparaten te vinden zijn.

Nieuwe wetgeving, een nieuw label systeem. Het zijn allemaal goede voornemens die zich nog in de praktijk moeten bewijzen. Voorlopig blijft het in elk geval opletten als je een slim apparaat in huis neemt.

Consumentenbond-woordvoerder Spierenburg vergelijkt de situatie met slimme apparaten met het begin van het autotijdperk: “Toen waren er nog geen autogordels, airbags en kreukelzones. Die kwamen er pas nadat we met zijn allen door schade en schande wijs zijn geworden. Datzelfde zie je nu ook op het gebied van IoT”.

knd-app

Makers

Datajournalist
Dataprogrammeur