Slimme sloten brengen de privacy van huurders in gevaar en moeten worden gereguleerd. Dat zegt de Amerikaanse privacywaakhond Electronic Frontier Foundation. Het gaat om sloten die met een vingerafdruk of telefoon geopend kunnen worden. Die worden ook in Nederland steeds vaker toegepast.

Volgens de EFF leidt de toenemende inzet van slimme sloten in appartementen, vaak geïnstalleerd zonder toestemming van de huurders, tot een nieuwe stroom van gevoelige locatiegegevens voor wetshandhavers, verhuurders en particuliere bedrijven. Huurders mogen volgens de organisatie niet worden gedwongen zich te onderwerpen aan tracking om hun huis binnen te gaan. Daarom wordt gepleit voor privacywetten die toestemming vereisen om deze gegevens te verzamelen, die gegevensminimalisatie eisen en die ervoor zorgen dat verhuurders en politie niet zomaar zonder toestemming van de bewoners naar binnen kunnen.

Gegevensverzameling
Slimme sloten zijn er in vele vormen. Op het meest basale niveau zijn het fysieke sloten die kunnen worden geopend met een niet-traditionele sleutel zoals een smartphone of vingerafdruk. Het belangrijkste vanuit privacyperspectief is volgens de EFF dat ze het slotenbedrijf (en soms verhuurders) in staat stellen gegevens te verzamelen telkens als de bewoner zijn fysieke deur ontgrendelt. Hiervoor kunnen de sloten zelf verbonden zijn met internet, of ze werken via een app op de telefoon die de gegevens naar de servers van het slotenbedrijf verzendt. Afhankelijk van het model kan het slot ook andere gegevens opnemen, zoals een afbeelding van de persoon die de deur probeert te ontgrendelen.

Groei van slimme apparaten
Slimme sloten zijn de laatste jaren steeds populairder geworden, met name bij verhuurders. In 2019 dwongen huurders in New York City bijvoorbeeld een schikking af nadat een verhuurder probeerde huurders te verplichten slimme sloten te gebruiken. De schikking vereiste een optie voor fysieke sleutels. Het slimme slot waar het in die zaak om ging, is gemaakt door een bedrijf genaamd Latch. Hoewel Latch niet werd genoemd in de rechtszaak, veranderde het bedrijf zijn privacybeleid om de verwijzing naar marketing en het verzamelen van andere locatiegegevens te verwijderen. De software bevindt zich naar verluidt in meer dan 125.000 wooneenheden of commerciële ruimtes. Veel andere bedrijven maken ook slimme sloten. Ze maken deel uit van de groei van slimme apparaten voor thuisgebruik.

Privacyrisico’s van slimme sloten
Ondanks hun gemak voor sommige mensen, kunnen slimme sloten redenen geven tot bezorgdheid over privacy, informatiebeveiliging en bevoegdheden van de overheid. Bedrijven hebben de neiging om dit soort gegevens veel langer op te slaan dan nodig is en het is vaak onduidelijk welke juridische procedure bedrijven precies nodig hebben voordat ze deze gegevens aan wethandhavingsinstanties overhandigen. Dit geeft de politie een hulpmiddel om een bijna perfect logboek te verkrijgen van elke keer dat iemand zijn huis binnenkwam. In het verleden kon de politie deze gegevens in theorie met veel moeite zelf verzamelen door 24 uur per dag een woning te observeren. Maar dat is niet altijd mogelijk of handig. Als de politie dan eenvoudig toegang heeft tot smart lock-gegevens, wordt het nagaan van de gangen van de geobserveerde al veel makkelijker. Bovendien zijn smart lock-gegevens retrospectief, wat betekent dat de politie terug in de tijd kan gaan om gegevens te verkrijgen over perioden voordat een persoon verdacht was.

Huurders buitensluiten
Verhuurders kunnen de gegevens gebruiken om huurders lastig te vallen of te bestraffen. Verhuurders die een door hen ongewenste huurder willen uitzetten, kunnen deze gegevens gebruiken om kleine huurovertredingen op te sporen. Of het slimme slot kan worden gebruikt om snel en zonder kennisgeving een huurder buiten te sluiten. Bovendien zou het dwingen van huurders om hun unit te ontgrendelen met een smartphone, de 15 procent van de bevolking zonder smartphone uitsluiten, wat onevenredig grote gevolgen heeft voor ouderen en mensen met een lager inkomen.

Informatiehandel
Particuliere bedrijven die deze gegevens beheren, kunnen deze verkopen. Deze informatie – en de patronen – kunnen waardevol zijn voor marketeers die uit zijn op informatie over de gezinssamenstelling, werktijden, soort werk en uitgaansgedrag. Sommige slotenleveranciers hebben een privacy-beleid dat dit uitsluit. Maar naarmate bedrijven meer gegevens verzamelen, zullen ze sneller in de verleiding komen om hiervan te profiteren ten koste van hun gebruikers.

Hackers
Zowel het slimme slot zelf als het systeem dat wordt gebruikt om de gegevens op te slaan, kan worden gehackt. Traditionele deursloten kunnen worden opengebroken en ramen van huizen kunnen worden ingeslagen om binnen te komen, maar een inbraak op het netwerk van de slotenleverancier kan veel ergere gevolgen hebben. De daders kunnen overal zonder braakschade inbreken of alle woningen vergrendelen om losgeld af te persen. Daarnaast kunnen persoonsgegevens worden gestolen, zoals gevoelige informatie over gasten, huurders en levenspatronen. De Federal Trade Commission maakt zich sinds 2015 zorgen over de beveiliging van slimme sloten.
Mogelijk kunnen smart lock-gebruikers ook zelf misbruik maken van de technologie. Slimme apparaten voor thuisgebruik kunnen worden gebruikt om gezinsleden te controleren en te onderdrukken. Een slim slot maakt het voor de slachtoffers moeilijker om aan hun onderdrukker te ontkomen.

Privacywet
New York City is een van de weinige jurisdicties die een privacywet heeft aangenomen om specifiek smart lock-gegevens van zowel verhuurders als particuliere bedrijven te reguleren. De wet bevat vereisten over toestemming, de mogelijkheid van een fysieke sleutel als alternatief en minimalisering, veilige opslag, openbaarmaking, gebruik en beveiliging van gegevens. De wet bevat ook een privaatrechtelijk vorderingsrecht als een bedrijf de data verkoopt. Ook andere, meer algemene privacywetten zouden deze gegevens reguleren. Smart lock-gegevens gekoppeld aan een persoon of huis vallen onder de definitie van persoonlijke gegevens in staten met uitgebreide privacywetten, zoals Californië, Colorado, Connecticut, Utah en Virginia. Sommige gegevens kunnen ook worden beheerst door de federale privacywet voor elektronische communicatie, die beperkt hoe bepaalde gegevens mogen worden gedeeld met de overheid en niet-gouvernementele entiteiten.

Wetsonderdelen
Gezien de privacyrisico’s hebben we sterke privacywetten nodig om het gebruik van smart lock-gegevens te reguleren, met de volgende componenten:

1. Optie voor traditioneel slot: Huurders moeten de mogelijkheid krijgen om een traditioneel slot met sleutel te gebruiken dat hun persoonlijke gegevens niet volgt en verzamelt. Dit mag geen consequenties hebben, waardoor huurders alsnog voor een slim slot kiezen.

2. Toestemming voor verwerking: verhuurders en bedrijven moeten worden verboden om de smart lock-gegevens van een persoon te verwerken, behalve als huurders daarvoor vrijwillig toestemming hebben verleend en op de hoogte zijn van mogelijke nadelen.

3. Gegevensminimalisatie: het moet bedrijven en huisbazen worden verboden om de smart lock-gegevens van een persoon te verwerken, behalve als dit strikt noodzakelijk is om het smart lock veilig te laten functioneren. Dit geldt ook voor het verbod op onnodig hergebruik, delen of bewaren van de gegevens. Meer specifiek moet het verhuurders worden verboden de gegevens te gebruiken om huurders lastig te vallen of uit hun woning te zetten.

4. Bevelsvereiste en kennisgeving: Het moet bedrijven en verhuurders worden verboden om smart lock-gegevens bekend te maken aan wetshandhavingsinstanties, behalve met een specifiek bevel op basis van waarschijnlijke oorzaak, en onmiddellijke kennisgeving aan huurders. Bedrijven moeten ook transparantierapporten publiceren over het aantal rechtshandhavingsverzoeken dat ze ontvangen en hoe vaak ze eraan voldoen.

5. Beveiligingseisen: Bedrijven moeten slimme sloten en gegevens van slimme sloten beschermen met sterke informatiebeveiligingsprotocollen en moeten een melding doen als die beveiliging wordt geschonden. Slimme sloten moeten een back-up van een fysieke sleutel hebben in geval van storing of compromis.

6. Privaat vorderingsrecht: Mensen moeten een privaat vorderingsrecht hebben om bedrijven of verhuurders aan te klagen die hun wettelijke privacy-rechten schenden. Rechtsmiddelen moeten bestaan uit een schadevergoeding, gerechtelijk bevel en declaratoire vergoedingen en advocaatkosten.