Hoe externe bedrijven ongemerkt toegang krijgen tot jouw installatie
Het uitzetten van je eigen zonnepanelen wordt steeds relevanter. Door dynamische energieprijzen en het afbouwen van de salderingsregeling wordt het steeds vaker financieel onaantrekkelijk om stroom terug te leveren aan het net. Bovendien maakt netcongestie het onverantwoord om altijd maar te blijven leveren.
Wat minder bekend is, is dat sommige zonnepanelensystemen op afstand beïnvloedbaar zijn — niet door jou, maar door het bedrijf dat de apparatuur levert. Er is veel te doen over zogenaamde “kill switches”, waarmee leveranciers of zelfs overheden zonnepanelen op afstand zouden kunnen uitschakelen. Dat klonk voor mij altijd wat overdreven, tot ik tijdens mijn eigen project een aantal zorgwekkende zaken tegenkwam. Mijn doel was simpel: mijn zonnepanelen aan- of uit kunnen zetten op basis van netbelasting en stroomprijs. Maar al snel bleek dat de controle over mijn systeem minder vanzelfsprekend was dan ik dacht.
1. Ongevraagde internetverbinding
Bij de installatie kreeg ik een kastje meegeleverd: een DTU (Data Transfer Unit), dat de gegevens van mijn zonnepanelen uitleest. Tot mijn verbazing werd dit apparaat direct op het internet aangesloten — zonder dat mij iets werd gevraagd of uitgelegd. Mijn data werd dus gedeeld met een externe partij, zonder expliciete toestemming of overeenkomst.
De DTU bleek te communiceren met het platform van Hoymiles, een fabrikant waar ik geen directe relatie mee heb. Sterker nog: via hun webinterface kan ik mijn zonnepanelen inzien én aan- of uitzetten. Dat betekent ook dat zij dat kunnen. Als programmeur kan ik niet genoeg benadrukken hoe problematisch dit is. Mijn installatie is dus standaard verbonden met een buitenlandse cloudomgeving, zonder enige vorm van informed consent.
2. Actieve ontmoediging van lokaal beheer
Omdat ik wél controle wil houden over mijn installatie, heb ik geprobeerd om het systeem lokaal te benaderen: het kastje aansluiten op mijn eigen netwerk, zonder toegang tot het internet. Dan kunnen andere apparaten binnen mijn netwerk communiceren met de DTU, maar blijft de rest van de wereld erbuiten.
Technisch werkt dit prima. Maar: na een paar minuten weigert het systeem commando’s te accepteren. De DTU lijkt actief te controleren of er internetverbinding is — en weigert verder te functioneren als die er niet is. Mijn conclusie: lokale controle zonder tussenkomst van Hoymiles wordt ontmoedigd, ondanks dat het technisch mogelijk is.
3. Gebrek aan transparantie en toestemming
Het meest storende vind ik nog wel hoe vanzelfsprekend deze externe toegang wordt geïnstalleerd. Zonder uitleg, zonder opties, zonder antwoorden op vragen. Het Nederlandse installatiebedrijf heeft nooit besproken dat mijn data naar China wordt gestuurd of dat mijn installatie op afstand bedienbaar zou zijn door derden.
Het lijkt alsof er bewust gekozen is voor een architectuur waarin gebruikers afhankelijk blijven van de cloudomgeving van de leverancier — en daarmee dus ook van hun regels, toegang en beperkingen.
Wat kun je zelf doen?
Gelukkig is er hoop. Er bestaan initiatieven zoals OpenDTU, waarmee je zélf een DTU kunt bouwen en de controle over je installatie terug kunt krijgen — volledig lokaal, veilig en transparant.
Ik blijf zoeken naar manieren om mijn systeem onafhankelijker te maken en hoop dat meer mensen zich bewust worden van de impliciete afhankelijkheden die ontstaan bij zogenaamd “slimme” installaties.