Met een themareeks over de splinternieuwe vaste Kamercommissie voor Digitale Zaken diept Data&Privacyweb de terreinen waar de Kamercommissie op actief is, de komende maanden verder uit. Verschillende experts delen hun visie over kwesties op het gebied van digitalisering. Het eerste thema waar de commissie zich op zal concentreren is ‘Opkomende en toekomstige digitale technologieën’ die van invloed zijn op onze samenleving. In dit artikel laten wij Issam Moustaïne aan het woord over een van die nieuwe technologieën en de bijkomende privacyrisico’s.
Het zal u vast niet ontgaan zijn. Tegenwoordig is alles steeds meer met elkaar verbonden. Smartphones verbinden ons als nooit tevoren met de rest van de wereld. Onze deurbellen, tv’s en zelfs waterkokers zijn ‘slim’ en kunnen verbinding maken met het internet. Onze spraakassistenten doen het licht aan en geven ons elke ochtend het laatste nieuws én zetten alvast de koffie klaar. Het zal dan ook niet als een grote verrassing komen dat ook onze auto’s ‘slim(mer)’ worden. Auto’s raken steeds meer verbonden. We noemen deze voertuigen ook wel “connected cars”. Hoewel u misschien heeft gehoord over verbonden voertuigen, kan het een uitdaging zijn om de wereld van verbonden auto’s te begrijpen en om te achterhalen of uw eigen auto “online” is.
Ja, ook een auto kan verbinding maken met het internet. Sterker nog, grote kans dat u er al in eentje rijdt. Een connected car is uitgerust met telematica. Dit is een technologie die het mogelijk maakt om verbinding te maken met het internet. Net als een smartphone is er in een verbonden voertuig een 3G-, 4G- of 5G-mobiel modem ingebouwd. Zo worden de voertuigen vanuit de fabriek geleverd. Om er gebruik van te maken, moet de gebruiker de optie eerst activeren door zich aan te melden voor de mobiele app van de autofabrikant.
Voertuigen maken verbinding met het internet zodat uw telefoon en andere apps en diensten er gemakkelijk mee kunnen communiceren. Elke autofabrikant biedt een mobiele app aan waarmee autogebruikers de locaties van hun auto kunnen controleren, vergrendelen en ontgrendelen, de auto voorverwarmen en een melding krijgen wanneer de auto bijna leeg is; allemaal rechtstreeks vanaf de telefoon. Daarnaast kunnen auto-ontwikkelaars en autogebruikers profiteren van vergelijkbare functies terwijl ze andere apps en services gebruiken, zoals een app voor het delen van auto’s, een app voor het opladen van elektrische auto’s of een app voor autoverzekeringen.
Een connected car is leergierig. Het verzamelt grote aantallen data. U kunt denken aan technische prestatiesgegevens, locatiegegevens, bestuurdersgegevens en meer. Bij technische prestatiegegevens gaat het om gegevens die direct verband houden met het voertuig. Deze gegevens worden verzameld via de monitoringsbronnen in het voertuig die waardevolle informatie verstrekken over brandstofverbruik, kilometerstand, oliepeil, motortempratuur, emissie en tractie. Deze categorie gegevens dienen om de werking van de auto te optimaliseren. Het gaat hier niet om persoonsgegevens.
Dit is anders als het gaat om bestuurdersgegevens waarvoor de connected car wél persoonsgegevens verzameld. Het gaat hier om het rijgedrag van de bestuurder. Een connected car is veelal uitgerust met interieurcamera’s. Deze camera’s houden in de gaten of de bestuurder vermoeid raakt en wekken de bestuurder met een waarschuwingssignaal. Het gaat om sensoren die het rijgedrag meten voor veiligheidsdoeleinden, de persoonlijke infotainmentinstellingen van de bestuurder, spraak gestuurde functies of actieve meldingen om het rijgedrag van de bestuurder te verbeteren. Denk bijvoorbeeld aan meldingen die de bestuurder wijzen op wegblokkades, ongelukken of flitsers. De connected car houdt ook goed bij waar u bent geweest. Zo is de auto bekend met het woonadres, werkadres, schooladres, vakantieadres: oftewel de auto is bekend met uw locatiegegevens en kent dus de real-time of opgeslagen informatie over bestemmingen. De connected car genereert via sensoren en camera’s ook haar omgeving en verzamelt informatie over het wegdek, hellingen, verkeersborden en snelheden en afstanden van andere auto’s.
Zoals gezegd, veel data dus. De complexiteit en dimensies van het verzamelen van deze categorie gegevens maken duidelijk dat het voor autogebruikers steeds moeilijker wordt om te begrijpen hoe bedrijven hun persoonlijke informatie gebruiken. Als gegevens in verkeerde handen vallen, kan dit een verontrustende impact hebben op iemands privacy.
Dealers informeren klanten nog onvoldoende over data die hun auto deelt met de fabrikant, zo blijkt uit onderzoek van het Financieel Dagblad. (1) Gebruikers van auto’s weten dan ook veelal niet dat de fabrikant hun bewegingen registreert. In de praktijk is dit vaak wel terug te vinden in de koop- en leasecontracten die dan een bepaling bevatten over ‘datadeling’. Dit geldt ook voor kopers van een tweedehands auto wiens locatie door zowel de fabrikant als de oude eigenaar kan worden gevolgd. De Europese privacy toezichthouders willen de zogenaamde ‘datahonger’ in de automotive sector sterk gaan reguleren. Het gaat vooral om gevoelige informatie die iets onthullen over de religie, ras of seksuele geaardheid van de gebruiker. Er worden dan ook om die redenen hoge eisen gesteld aan de kwaliteit van de toestemming die een gebruiker geeft voor het verzamelen en gebruiken van zijn persoonsgegevens. Datadeling behoort ook standaard ‘uit’ te staan. Het geven van toestemming voor datadeling moet zeer specifiek gebeuren, waarbij geldt dat de auto ook zonder datadeling even goed moet functioneren als met datadeling.
Het Financieel Dagblad schrijft in haar nieuwsartikel ook het volgende: “Tesla verkoopt auto’s standaard connected. Wie de aanbetaling doet (bij Tesla is dat online) krijgt de privacyverklaring voorgesteld vóór het moment van betaling. Daarin staat dat Tesla onder meer locatiegegevens verzamelt. Wie dat niet wil, kan zich bij de fabrikant afmelden. Tesla waarschuwt wel voor mogelijke gevolgen: ‘ernstige schade, of het niet werken van het voertuig’. De koper van een tweedehands Tesla moet zelf het oude gebruikersaccount verwijderen, anders gaan de locatiegegevens naar de verkeerde persoon. Een FD-lezer die zijn Tesla via een dealer doorverkocht, kreeg nog een maand lang de routegegevens van de nieuwe eigenaar doorgestuurd”.
Voertuigen worden steeds slimmer: het zijn rijdende (met het internet verbonden) computers. Uw auto navigeert (real-time) uw route en onthoudt waar u bent geweest en slaat ook uw contactgegevens op vanuit uw telefoon. Uw voertuig weet dus wie u bent. Het is dus goed om bij de aankoop of ingebruikname van een auto bedacht te zijn op de eventuele privacyrisico’s die vastkleven aan het voertuig. Onderzoek daarom vooraf wat de fabrikant onder meer verklaart in haar voorwaarden over de beveiliging van uw gegevens en over waar deze gegevens worden opgeslagen.
Het is volgens de Autoriteit Persoonsgegevens de taak van de fabrikant om het voertuig dusdanig te fabriceren dat het zo min mogelijk persoonsgegevens verwerkt. Ook moet de fabrikant het voertuig standaard zo instellen, dat het alléén persoonsgegevens verwerkt die noodzakelijk zijn. Dat houdt praktisch in dat er bij de keuze sprake moet zijn van opt-in in plaats van opt-out. Dit speelt onder meer een rol bij:
- het gebruik van bluetooth in de auto, als u het handig vindt dat de auto de contactenlijst uit uw telefoon overneemt, dan moet u daar wel eerst actief en uitdrukkelijk toestemming voor geven;
- navigatie-instellingen waarbij het praktisch kan zijn om de vaak bezochte plaatsen of veel gereden routes te onthouden, maar dan zal ook hiervoor eerst actief en uitdrukkelijk toestemming voor moeten worden gegeven;
- de overweging of uw auto bepaalde voertuiginstellingen moet opslaan;
- sommige voertuigen bieden u de mogelijkheid met een account op het voertuig in te loggen. U kunt daarvoor uw bestaande e-mailadres gebruiken. Sta stil bij de mogelijkheid dat uw e-mailprovider daarmee mogelijk nog meer over u te weten komt. U kunt natuurlijk ook een apart e-mailadres hiervoor gaan gebruiken. Bijvoorbeeld bij een provider die garandeert dat uw gegevens binnen de EU blijven.
Wilt u meer weten over privacy en nieuwe technologieën? Kom naar de Kennismarkt van Data&Privacyweb op 7 december 2021.
