In een recent onderzoek concludeerde het techbedrijf Mozilla dat moderne auto’s een 'privacynachtmerrie' zijn geworden. Dat komt door de agressieve verzameling van persoonsgegevens door middel van die smart auto’s zonder acht te slaan op beveiliging en privacy. Menno Weij, partner tech & privacy law bij BDO Tax & Legal, legt tegenover de redactie van PONT | Data & Privacy een aantal aandachtspunten uit rond deze kwestie.
“Het korte antwoord is dat auto’s inmiddels software op wielen zijn geworden. Dat betekent dat ze gegevens verwerken, en dat gebeurt op allerlei manieren. Denk bijvoorbeeld aan de camera’s die voor en achter de auto gevaren scannen, of aan hoe de software ingrijpt op het moment dat hij denkt dat de bestuurder niet oplet. En natuurlijk worden er ook persoonsgegevens verwerkt.”
“Rijgedrag, camerabeelden en audiopnames, zowel binnen als buiten de auto, zijn allemaal gegevens die aan mij worden gelieerd. Dus direct of indirect herleidbaar. Daarom zijn dit gewoon persoonsgegevens waarvoor verwerkingsgrondslag onder de AVG vereist is.”
Bij de verwerking van persoonsgegevens door telefoonapps krijg je in een privacybeleid uitgelegd wat er met de verzamelde gegevens gebeurt, zodat je kunt beslissen of je de app verder wilt gebruiken of niet. Bestaat er ook dergelijke transparantie in het aankoopproces van smart auto’s?
“Stel dat ik een auto koop bij een lokale dealer in Nederland. Een goed voorbeeld, naast Amerikaanse techgiganten, zijn Chinese elektrische auto’s die vol zitten met software. Op het moment dat ik die auto koop en het contract onderteken, zou er een waarschuwing moeten zijn zoals 'let op, er is iets met privacy'. De lokale dealer zou ervoor moeten zorgen dat als de autofabrikant bepaalde gegevens over mij wil verwerken, ik daarvan op de hoogte ben en vrijwillige toestemming kan geven als dit de wettelijke basis is. Dit is vergelijkbaar met het 'MediaMarkt-model'.”
“Als je bij MediaMarkt een Apple-telefoon koopt, moet MediaMarkt ervoor zorgen dat je akkoord gaat met de garanties en voorwaarden van de producent Apple. Dit wordt nog complexer bij de aankoop van een auto. Als ik voor het eerst in de auto zit, legt de dealer uit hoe je radio werkt, hoe je je telefoon koppelt, enzovoort. Op dat moment zou ik als consument eigenlijk niet zelf op privacyvragen moeten letten, maar de dealer zou ervoor moeten zorgen dat dit gebeurt. Als er nog een schakel tussenkomt, zoals bij leaseauto's die mijn bedrijf ter beschikking stelt aan medewerkers, wordt het nog ingewikkelder. Wie is dan precies verantwoordelijk voor wat? Daarom zie ik hier wel een uitdaging.”
“Je ziet dat autoproducenten zich nog al eens beroepen op hun gerechtvaardigd belang om de meeste gegevensverwerkingen te rechtvaardigen. Ze stellen bijvoorbeeld dat de verwerking nodig is om de veiligheid van de auto te garanderen. De vraag is welke verwerking ze daaronder kunnen hangen. Informatie over bijvoorbeeld iemands seksuele geaardheid heeft niets te maken met productveiligheid. Maar ook als het gaat om meer basis categorieën persoonsgegevens, zoals geslacht en leeftijd, blijft dit een aandachtspunt. Bovendien moeten we ook rekening houden met het feit dat het niet alleen gaat om de gegevens van de bestuurder, maar ook om die van passagiers en mensen die de auto kunnen lenen. In hoeverre kunnen ze dan het belang van veiligheid oprekken?”
“Allereerst hoop ik dat de Europese toezichthouders en de European Data Protection Board dit onderzoek hebben gezien. In ieder geval zijn partijen zonder vestiging in de EU maar die wel zaken doen in de EU verplicht om zich aan de AVG te houden, omdat ze gegevens van Europeanen verwerken. Volgens artikel 27 van de AVG hebben ze ook de verplichting om een vertegenwoordiger aan te stellen die gevestigd is in een van de lidstaten van de EU. Er is wel wat discussie over de mogelijke aansprakelijkheid van deze vertegenwoordigers in geval van schendingen van de AVG door de vertegenwoordigde (lees: de autoproducenten), maar in principe zou deze constructie het probleem van toezicht moeten oplossen.”
“Als je als auto-eigenaar zorgen maakt over de gegevens die over jou worden verwerkt, kun je altijd een verzoek om inzage indienen en dit eventueel bij de Autoriteit Persoonsgegevens (AP) verder aankaarten als je er niet uitkomt. Het zou me verder niet verbazen als privacyorganisaties of de Consumentenbond in de toekomst oproepen doen aan auto-eigenaren om zich aan te sluiten bij een massaclaim tegen deze bedrijven.”
“Ik kan je één ding verzekeren. Als ik hem vertel dat de fabrikant van onze auto gegevens over hem verzamelt, gaat hij heel hard lachen. De nieuwe generaties lijken niet zo veel te geven om privacy…”
