November 2018
AVG: een noodlottige opgave voor slimme gebouwen?
De Algemene Verordening Gegevensbescherming (AVG), van kracht sinds mei 2018, herbergt grote potentiële risico’s voor de hele keten in en rondom slimme gebouwen, van opdrachtgever tot onderaannemer. Wie moedwillig of door nalatigheid data lekt, kan zelfs boetes tot 20 miljoen euro of 4 procent van de jaaromzet tegemoet zien. Weinig bedrijven in de bouwkolom hebben gegevensbescherming echter op orde. Bewustwording en opleiding zijn hard nodig.
De nieuwe avg is de nationale vertaling van de gDPR (general data protection regulation) die inmiddels in de hele EU van toepassing is. Het maakt geen onderscheid tussen woning- en utiliteitsbouw, noch tussen opdrachtgever en onderaannemer. Op grond van de avg is elk bedrijf in de bouwsector nu verplicht om aan te geven met welk doel en hoe lang gegevens worden opgeslagen (intern). Bovendien moeten persoonsgegevens op een zodanige wijze worden verwerkt dat dit voor de betrokkene ‘rechtmatig, behoorlijk en transparant’ is (extern). Tenslotte hebben burgers het recht om zich aan registratie van persoonsgegevens te onttrekken.
In alle gevallen moet er een wettelijke grondslag tot opslag van persoonsgegevens te zijn, bijvoorbeeld via toestemming, overeenkomst, wettelijke plicht, gerechtvaardigd belang of veiligheid (defensie, Schiphol). Opslag en verwerking van bijzondere persoonsgegevens (ras, religie, seksuele voorkeur of gezondheid) zijn in beginsel verboden.
Die nieuwe richtlijnen lijken voor de hand liggend, maar naarmate er meer sensoren en registratiemomenten in een gebouw komen, wordt het steeds moeilijker voor bouwpartijen, inclusief adviseurs en installateurs, om zich daaraan te houden. Jurisprudentie op dit gebied is er nog niet, maar iedereen kan op zijn vingers natellen dat een (app op een) smartphone een groot risico op schending van de avg met zich meebrengt, bijvoorbeeld wanneer een medewerker via een gPs-tracker op zijn mobiele telefoon wordt gevolgd om te zien of die zijn werk doet (= onrechtmatig gebruik) of een bezoeker koppelt aan een medewerker tijdens een belang belangrijke onderhandeling om zo gevoelige informatie boven tafel te brengen (een geval van bedrijfsspionage).
Grondslag
‘Bij de avg gaat het om gegevens die herleidbaar zijn tot personen. Als installatieadviseur moet je dus al aan het begin van het ontwerp nadenken over met welk doel je ersoonsgegevens verwerkt, welke informatie je nodig hebt en waar dat komt te staan’, zegt Ben Baldwin, werkzaam bij Lauxtermann advocaten en gespecialiseerd in privacywetgeving, bestuurdersaansprakelijkheid en zorgplicht. ‘Dat is geen bijkomend probleem voor de installatieadviseur, maar een kans om zijn meerwaarde aan te tonen. Zo kan een sensor persoonsgegevens tijdelijk opslaan bij het betreden en verlaten van de ruimte en elk etmaal weer wissen. Bouwpartijen zijn zich wel bewust van hun verantwoordelijkheid naar eigen medewerkers, maar vaak niet naar gasten en bezoekers.’
Bij AVG gaat het om data die herleidbaar zijn tot personen.
‘De verwerkingsgrondslag ‘toestemming’, een van de grondslagen genoemd in de avg, is bij een bezoeker van een slim gebouw moeilijk aan te geven’, stelt Carolien Brederije, een van de partners bij Valegis Advocaten. ‘Dat kan bij inschrijving bij binnenkomst, maar dan zou je expliciet moeten maken voor welke verwerkingen er allemaal toestemming wordt gegeven en dat is praktisch ondoenlijk. Hoe lang blijven je persoonsgegevens bewaard en wie heeft er toegang toe? Los daarvan kan die toestemming ook worden ingetrokken. Met een beroep op de grondslag ‘gerechtvaardigd belang’ kom je er waarschijnlijk ook niet en begeef je je op glad ijs.’
Brederije verduidelijkt die grondslag met een voorbeeld. ‘Eind vorig jaar heeft de Autoriteit Persoonsgegevens uitspraak gedaan in een zaak over de afvalpas die de gemeente Tilburg had ingevoerd. Deze afvalpas is nodig om de afvalcontainer te openen en kan via de postcode naar personen worden herleid. Omdat de gemeente echter verzuimde aan te geven wanneer de diftar, het gedifferentieerd tarief voor afval, zou gelden, ontbrak de grondslag en kreeg het van de Autoriteit een dwangsom bij invoering opgelegd.’ ‘Bedrijven moeten veel moeite en geld uittrekken om vast te stellen waaraan ze verplicht zijn te voldoen’, zegt Jan Kerdèl. Hij heeft bijna zijn hele werkzame leven met gebouwbeheersystemen gewerkt, is voorzitter van die sectie bij tvvl, en is lid van een commissie die het bestuur van UNETO-VNI | Techniek Nederland voorziet van onafhankelijk advies, recent nog met het rapport ‘Connect 2025’. ‘Door de werkdruk en het ontbreken van financiële mogelijkheden heeft het mkb nauwelijks ruimte tot innovatie op gebied van privacy en veiligheid. Installateurs en dito adviseurs hebben grote behoefte aan hulp in de vorm van concepten, maar moeten die instrumenten natuurlijk wel aangereikt krijgen.’
Minimaliseren
Een van de maatregelen om data minder privacygevoelig te maken, is om de te verzamelen persoonsgegevens te minimaliseren (ook wel ‘privacy enhancing protocol’ genoemd). Dat lijkt tegenstrijdig met steeds meer ict in gebouwen, maar hoeft dat volgens juristen en experts niet te zijn.
‘Hoe meer je weet, des te beter je de systemen kan afstemmen’, stelt Baldwin. ‘Op grond van de avg mag dat echter meestal niet. Camera’s zijn bijna altijd verboden omdat software voor gezichtsherkenning steeds beter en goedkoper wordt. Vaak kunnen gebouwbeheerders ook hun doel met warmtecamera’s bereiken. Ook kun je sensoren plaatsen die wel het energiegebruik, de luchtkwaliteit, bezetting en dergelijke meten, maar die gegevens niet koppelen aan personen. Vooral installatieadviseurs moeten over kennis beschikken om technische gegevens van persoonsgegevens te scheiden. Bij het merendeel van de partijen, zelfs bij bedrijven die tot de top tien in de bouwsector opereren, is die kennis nu nog niet aanwezig.’ Kerdèl onderschrijft dit. ‘Dataminimalisatie lukt niet of nauwelijks. Deels is dat een cultuurprobleem – installateurs zijn minder goed in communiceren – deels ook door de manier waarop de bouwkolom in Nederland is gestructureerd. Het is ongebruikelijk dat een systeemintegrator, als onderaannemer, met de eindgebruiker praat terwijl dat, in het belang van veiligheid en privacy, juist sterk valt aan te bevelen.
Het netwerk van een gebouw koppel je bij voorkeur los van het it-netwerk van het bedrijf om toegang tot het bedrijfsnetwerk te voorkomen, anders blijft het altijd mogelijk dat een kwaadwillende toegang tot het netwerk van het gebouw krijg en, bijvoorbeeld, een temperatuurregeling in de war schopt. Door sterk afwijkende temperaturen die daarvan het gevolg zijn, kan dan een serverruimte worden stilgelegd, met alle schade van dien. Goed opdrachtgeverschap vereist daarom ook goede interactie met de ictsysteemontwerper en -uitvoerder.’
Ook volgens Brederije is aandacht voor dataminimalisatie bij opdrachtgever en uitvoerder op dit moment slechts minimaal. De advocaat-partner: ‘Idealiter zou men al in de ontwerpfase, in het bestek of in de algemene voorwaarden de normen moeten stellen waaraan dataminimalisatie van het slimme gebouw moet voldoen. Mocht de uitvoering in strijd zijn met de avg en tot een datalek leiden, dan is volgens de avg de ‘verwerkingsverantwoordelijke’ verplicht om de Autoriteit Persoonsgegevens daarvan binnen 72 uur op de hoogte te stellen. Los van de vraag wie dat precies is – de eigenaar van het gebouw, de gebruiker, de adviseur, de installateur – zou aansprakelijkheid voor de adviseur of installateur aan de orde kunnen zijn als die bij het ontwerp en de installatie onvoldoende rekening heeft gehouden met de wettelijke eisen, inclusief avg. Dat hangt vrijwel altijd van de situatie af. Daarom moeten hierover ook duidelijke afspraken worden gemaakt. Maar voor afspraken is eerst bewustzijn nodig.’
Verantwoordelijkheid
Naarmate een gebouw steeds ‘slimmer’ wordt, zullen er meer en meer systemen aan elkaar worden gekoppeld. De data van elk systeem afzonderlijk hoeft niet tot een persoon zijn te herleiden, zodra ze worden gecombineerd is de kans daarop veel groter. De vraag bij slimme gebouwen is dan ook wie waarvoor nu precies verantwoordelijk is. ‘Er zijn nog maar weinig installateurs en adviseurs die daar nu al aan denken,’ verklaart Baldwin, ‘maar een overeenkomst tussen de opdrachtgever en verwerker wordt steeds noodzakelijker. Wat is er nodig om aan de eisen voor een slim gebouw te voldoen zonder inbreuk op de privacy te plegen? Moet er toch een functionaris gegevensbescherming worden aangesteld? Is de beveiliging wel op orde? En: welke data wordt waar bewaard? Zo’n ‘privacy impact assessment’ is cruciaal om tot een privacyvriendelijk ontwerp te komen, ook wel ‘privacy by design’ genoemd. Dit geldt voor elke betrokkene, ook voor de installatieadviseur. Servers voor eigen informatie kunnen het beste in eigen beheer worden ondergebracht, en niet bij derden omdat dit wellicht geld bespaart. Tenzij het natuurlijk een bewuste keuze is om de privacy te beschermen en de servicepartner hier een aanvullende dienst van maakt.’ ‘Nu kun je wel proberen alles contractueel of via afspraken dicht te timmeren’, werpt Brederije tegen, ‘maar de grootste foutkans ligt nog altijd in het menselijk handelen. Een deur die open staat, een usb-stick die wordt vergeten, een lijst inschrijvingen die zichtbaar bij de receptie ligt en vervolgens maandenlang in het zicht van de volgende gasten wordt bewaard. Aan de andere kant: het recht om vergeten te worden is niet altijd absoluut. Bij discussie zal de rechtbank een afweging maken tussen het individueel en publiek belang. Juridisch gezien is het natuurlijk veel veiliger om gebouwbeheersystemen van persoonsgegevens te scheiden en geen persoonsgegevens op te slaan.’
Naarmate een gebouw steeds ‘slimmer’ wordt, zullen er meer en meer systemen aan elkaar gekoppeld worden.
Volgens Kerdèl is een slim gebouw niet het eind, maar juist het begin van een proces, ook qua veiligheid en privacy. ‘iot, wordt door de meeste opdrachtgevers geaccepteerd, ook voor de installaties’, zegt hij. ‘Volgens het ncsc, het nationaal cyber security center, is dat juist de hoofdbron voor de meeste it-inbraken. Gebrekkige wachtwoorden – bijvoorbeeld ‘admin’ of ‘0123’ – zorgen ervoor dat kwaadwillenden
of hackers ook betrekkelijk gemakkelijk een slim gebouw kunnen binnendringen.’
Nog erger is,’ zo vervolgt hij, ‘de onveiligheid door ‘schaduw-ict’. Dit zijn systemen of randapparatuur die worden gebruikt zonder dat de ict-afdeling van het bedrijf ervan weet. Denk aan afdelingen die experimenten doen en privacy onder druk zetten door, bijvoorbeeld, via een omweg meer klanten binnen te halen. Het ncsc stelt dat privacyschendingen en cybercriminaliteit tegenwoordig in toenemende mate van binnenuit komen.’
Jaarlijks toetsen
Wordt de avg een noodlottige opgave voor slimme gebouwen? Dat hangt er maar net vanaf. Kennis en bewaking van privacy kan op peil worden gehouden wanneer de installatiebranche zich bewust is van de risico’s. De risico’s zijn uiteraard van geval tot geval verschillend, maar het Ponemon Institute – dat wereldwijd de standaarden voor cybersecurity neerzet – heeft op basis van recent onderzoek onder 477 bedrijven in ruim 19 landen vastgesteld dat bij privacyschending de kosten, afhankelijk van de sector, tussen de 75 en 408 dollar per persoon bedragen. Omgerekend naar tienduizenden gegevens lopen de kosten dan al snel tot honderdduizenden euro’s op, nog afgezien van reputatieschade en eventuele boete.
‘De uitdaging voor de komende jaren is nu om geen juridische last te creëren’, zegt Baldwin, ‘maar van tevoren vast te stellen wie waarvoor verantwoordelijk is, alternatieven te ontwikkelen en het slimme gebouw jaarlijks op privacybescherming te toetsen. Ook het onderhoud – bijvoorbeeld door de beveiliging van de servers aan de nieuwste standaarden aan te passen – moet daarin worden meegenomen. Het is veel werk dat jaren gaat duren.’ Kerdèl maakt die visie ook concreet. ‘tvvl heeft samen met de fhi, de federatie van technologiebranches waarin sinds 2012 ook gebouwautomatisering is ondergebracht, een post-hbo-opleiding tot systeemarchitect opgezet.
Tijdens die 15 dagen, verspreid over 30 weken, worden de deelnemers ook op de hoogte gebracht van alle facetten die met privacy en veiligheid van een slim gebouw te maken hebben. Ict-veiligheid en privacy zijn twee zijden van dezelfde medaille en worden steeds belangrijker naarmate er meer meet- en regelsystemen en sensoren in een gebouw komen te zitten. Zonder bewustwording en opleiding vrees ik dat het mkb, van adviseur tot installateur, volstrekt onvoldoende op de avg is voorbereid.’
Tekst: Tseard Zoethout, freelance journalist
Fotografie: Industrie