In dit proefschrift wordt aangetoond dat de Europese Commissie exclusief gebruikmaakt van gegevensbeschermingsrecht in het beleid en reguleren rond verplichte Internet van Dingen-systemen (IvD-systemen), zoals installatie van 'slimme energiemeters'. Het gegevensbeschermingsrecht kent beginselen die uitkomst kunnen bieden bij het vaststellen van waarborgen en beperkingen aan deze systemen. Toetsing aan principes zoals doelbinding en dataminimalisering stellen de EU wetgever in staat te voorkomen dat IvD-systemen worden uitgerust met onnodige surveillancefuncties. Gegevensbeschermingsrecht ziet echter niet op functies die derdepartijen in staat stellen om van een afstand een systeem uit te schakelen, of het aanzetten van een sensor voor een ander doel dan waarvoor deze is geïnstalleerd. Het gegevensbeschermingsrecht ziet typisch op transparante relaties die normaal gesproken vrijwillig worden aangegaan. Daarom is het de vraag hoe geschikt dit recht is om te worden toegepast op ICT-systemen die gedwongen in de privé-omgeving van burgers worden geïnstalleerd.