De auto van de toekomst; een grote groep automobilisten kan niet wachten tot onze voertuigen zo slim zijn dat zij hun weg van deur-tot-deur volledig zelfstandig afleggen, terwijl anderen huiverig zijn voor deze moderne technieken. Vanuit juridisch oogpunt lijkt er eveneens geen consensus te worden bereikt bij de beantwoording van de vraag of we deze vorm van vervoer moeten toejuichen of juist niet. Hoewel de ‘slimme’ auto de toekomst heeft, lijkt deze stuurloos door diverse juridische moeilijkheden. In dit artikel volgt een beschouwing van de privacyrechtelijke aspecten van de auto van de toekomst, meer specifiek door het eigendom en de verplichting tot beveiliging van de onmisbare (persoons)gegevens te overdenken. Recent is immers in een Tesla-wrak allerlei informatie gevonden, waaronder telefooninformatie.
Verbreden van de horizon
Wat moet men juridisch bezien met de steeds slimmer wordende auto beginnen? Over dit onderwerp heb ik enkele jaren terug mijn gedachten al eens laten gaan. Op dat moment lag de focus echter nog op de mate waarin de aansprakelijkheid al dan niet verschuift van de bestuurder naar het product. Met de toenemende aandacht voor privacy is het echter noodzakelijk om tevens de link te leggen tussen privacy-issues en de techniek behorend bij de auto van de toekomst. Voor dergelijke auto’s is data immers even zo belangrijk als de motor en de wielen zijn. Het verzamelen van al die data heeft grote gevolgen voor de privacy van de mens in de auto.
Hoewel we in Nederland nog niet massaal in een auto rijden voorzien van ‘autopilot’, zijn onze auto’s wel een stuk slimmer dan die van pakweg 10 jaar geleden. Zo zijn er auto’s die zichzelf inparkeren, auto’s die automatisch de hulpdiensten oproepen na een aanrijding en ook iets ogenschijnlijk simpels als een navigatiesysteem is niet meer weg te denken uit de moderne auto. Maar hoe voorkomen we dat al deze gegevens in verkeerde handen vallen? En wie draagt de verantwoordelijkheid voor een voldoende beveiliging?
De huidige privacywetgeving voorziet nauwelijks in dit thema. Inderdaad, op basis van de Algemene verordening gegevensbescherming (AVG) mag men geen persoonsgegevens verwerken tenzij men over een legitiem doel en legitieme grondslag beschikt, maar het zou erg naïef zijn om te denken dat dit iedere onrechtmatige verwerking tegenhoudt. Bovendien zullen niet alle verzamelde gegevens als persoonsgegevens kunnen worden aangemerkt en zullen niet alle gegevens daarmee onder de reikwijdte van de AVG vallen.
Eigenaar auto = eigenaar data?
Om verdergaande wetgeving mogelijk te maken, is het noodzakelijk in te zoomen op de juridische basis. Kernvragen hierbij moeten zijn wie eigenaar is van alle data die door het voertuig worden voortgebracht, wie vervolgens over deze data mag beschikken en wie de zware last van een deugdelijke beveiliging draagt. Simpelweg naar de eigenaar van het voertuig wijzen zal niet direct een oplossing bieden. De doorsnee private autobezitter heeft niet de kennis (en interesse?) om tot een deugdelijke bescherming van zijn gegevens over te gaan.
Uiteraard kan er aansluiting worden gezocht bij het huidige systeem van de verplichte (minimale) WA-verzekering. Iedere autobezitter zou dan verplicht kunnen worden gesteld een gegevensbeschermingspakket inclusief periodieke updates af te nemen, al kan ik mij op dit moment geen goed beeld vormen van waar dit pakket uit zou moeten bestaan en welke organisatie dit zou moeten aanbieden. Als de aanbieder van dit pakket diezelfde (WA-)verzekeraar zal zijn, mogen zij de verwerkte informatie dan ook direct op de afgenomen verzekering toepassen? Er zullen voorstanders zijn van een uitgebreide rijgedragverzekering waarin real-time de verzamelde informatie kan worden verwerkt, maar deze systematiek zal evengoed tegenstanders kennen. Met een rijgedragverzekering kijkt de verzekeraar immers op ieder moment over uw schouder mee en kan daarop de premie aanpassen.
Bovendien, wat nu als de eigenaar van een auto een werkgever is. Is het dan legitiem te achten dat deze werkgever (continu) locatiegegevens kan opvragen, met als doel vast te stellen waar het voertuig zich bevindt? Daarmee zou de werkgever immers ook zijn werknemer onbeperkt kunnen volgen, hetgeen mij als strijdig met de AVG voorkomt. Locatiegegevens zijn immers gevoelige persoonsgegevens. Het is dan ook onwenselijk dat een werkgever (lees ook: leasemaatschappij of autoverhuurbedrijf) hierover zonder goede grondslag kan beschikken.
Regelmatige bestuurder = eigenaar data?
Is het dan wellicht een uitkomst om de regelmatige bestuurder als eigenaar van de data aan te wijzen? Neen, mijns inziens is dit geen optie. Het ideaal is immers dat we in de toekomst op grotere schaal auto’s gaan delen, zoals nu bijvoorbeeld al via Greenwheels of Snappcar gebeurt. Eén regelmatige bestuurder aanwijzen wordt daarmee onmogelijk en zeer onwenselijk. Eerder heb ik nog stemmen op horen gaan om de fabrikanten van voertuigen eigenaar te laten zijn van de data, zodat zij deze direct in kunnen zetten voor productverbetering. Dit kan ik niet goed volgen. De fabrikant heeft immers geen enkele grondslag om te weten op welke locaties het voertuig zich na eigendomsoverdracht heeft bevonden. En wat te doen als deze fabrikant failleert? Wordt dan de auto per direct onbruikbaar?
Concluderend
Kunnen we concluderen dat de auto van de toekomst stuurloos is? Dat denk ik niet, want feitelijk rijden we al in dit type voertuig. Echter, vragen over eigendom, de mogelijkheid tot het beschikken over gegevens en de verplichting tot beveiliging, moeten worden beantwoord om passende wetgeving mogelijk te maken. Wetgeving die mijns inziens hard nodig is, om ieders privacy te borgen.
Dit artikel is onder andere te vinden in de dossiers Informatiebeveiliging en Internet of Things