Privacytoezichthouders over ‘connected vehicles’: wat is toegestaan?

Share
Connected vehicles

Steeds meer auto’s zijn verbonden met het internet. Deze slimme auto’s, ook wel ‘connected vehicles’ genoemd, kunnen veel verschillende data verwerken die uiteindelijk een veelomvattend en privacygevoelig beeld van de autogebruiker kunnen schetsen. De gegevens variëren van locatiegegevens tot het volledige bel- en rijgedrag.1 Zo kan de bestuurder de navigatie en de telefoon in de auto gebruiken of weten wanneer hij/zij naar de garage moet. De autofabrikanten verkrijgen deze gegevens ook, maar vaak is het voor de bestuurder niet duidelijk welke gegevens zij verwerken en wat zij met die gegevens doen. De European Data Protection Board (EDPB) heeft daarom (concept)richtlijnen in consultatie gebracht over de verwerking van persoonsgegevens in de context van connected vehicles.

De EDPB stelt allereerst voorop dat de gegevens die connected vehicles verwerken persoonsgegevens betreffen omdat deze herleidbaar zijn tot de bestuurder of andere inzittenden. Daarbij gaat het vaak om gevoelige persoonsgegevens. Immers, alleen al uit locatiegegevens kan worden afgeleid waar iemand woont en werkt, wanneer diegene de dokter bezoekt en welke religie wordt aangehangen door bijvoorbeeld een bezoek aan de kerk. Andere bijzondere persoonsgegevens die de EDPB noemt zijn biometrische gegevens en gegevens die strafbare feiten of andere overtredingen aan het licht brengen zoals snelheidsovertredingen.

Voorts stelt de EDPB dat op de verwerkingen van deze gegevens de e-Privacyrichtlijn van toepassing is omdat het gaat om de verwerking van persoonsgegevens in de sector elektronische communicatie. Artikel 5, derde lid, van de e-Privacyrichtlijn schrijft voor dat voor de opslag van of toegang tot de gegevens uit het voertuig toestemming vereist is van de gebruiker na te zijn voorzien van duidelijke en volledige informatie. Die toestemming moet zijn verkregen overeenkomstig de AVG, hetgeen inhoudt dat de toestemming naast geïnformeerd ook vrijelijk en specifiek voor de doeleinden van de verwerkingen moet zijn gegeven. Toestemming voor datadeling zou daarom apart moeten worden verstrekt en niet gebundeld met het koop- of leasecontract van de auto. Bovendien moet toestemming ook weer op elk moment kunnen worden ingetrokken en zou de auto even goed moeten functioneren zonder datadeling.

Vaak is echter niet duidelijk welke gegevens worden gebruikt en zouden de auto’s de autodealer verlaten zonder dat de klant goed geïnformeerd is, aldus het Financieel Dagblad.2 Een voormalig Mercedes-verkoper heeft aan de krant zelfs anoniem verklaard dat de importeur bonussen geeft aan dealers die genoeg klanten overhalen tot datadeling. Ook is het verkrijgen van rechtsgeldige toestemming ingewikkelder bij connected vehicles omdat een auto door meerdere personen kan worden gebruikt of kan worden verhuurd of tweedehands doorverkocht. De EDPB signaleert dit probleem, maar laat open hoe zo’n rechtsgeldige toestemming in de praktijk moet worden vormgegeven. Wel benadrukt de EDPB dat de oorspronkelijke toestemming geen basis is voor een verdere verwerking van de persoonsgegevens. Dit betekent bijvoorbeeld dat de autofabrikant niet zonder toestemming gegevens over het rijgedrag van de bestuurder mag doorsturen naar de autoverzekeringsmaatschappij.

Over het algemeen moeten gebruikers controle kunnen hebben over het gebruik van hun gegevens. De EDPB adviseert dat gebruikers de mogelijkheid moeten hebben om elke aparte verwerking aan en uit te zetten en door middel van een zogenoemde ‘wisknop’ alle data te verwijderen voordat de auto te koop wordt gezet. Dit beaamt ook Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), in het artikel van het Financieel Dagblad. Hij vindt dat de ‘wisknop’ bijvoorbeeld op het dashboard kan worden geplaatst. De AP heeft in navolging van de EDPB op 2 maart 2020 een handleiding gepubliceerd teneinde mensen te helpen om hun persoonsgegevens te beschermen bij koop, huur, gebruik en verkoop van connected vehicles. Zij kunnen met vragen eerst contact opnemen met de fabrikant, dealer of leasemaatschappij en wanneer deze een verzoek niet naar tevredenheid afhandelt, kan de autogebruiker een klacht indien bij de Autoriteit Persoonsgegevens. Op 24 maart 2020 heeft de AP eveneens aangekondigd dat op dit moment wordt geïnventariseerd in hoeverre Nederlandse autofabrikanten zich aan de privacywet houden door per brief alle fabrikanten te vragen welke persoonsgegevens zij verwerken, waarom, hoe lang, hoe ze die beveiligd hebben en met wie ze die delen. De AP hoopt vóór de zomer de resultaten van de inventarisatie geanalyseerd te hebben. Op de (concept)richtlijnen van de EDPB kan tot 1 mei 2020 worden gereageerd.

1. De ANWB concludeert zelfs na eigen onderzoek uit 2015 dat ‘behalve de auto-industrie eigenlijk niemand weet welke data verzameld, opgeslagen, gebruikt en doorgestuurd wordt’.
2. Zie ook de beantwoording van de Kamervragen die naar aanleiding van dit artikel zijn gesteld: https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2020Z05474&did=2020D1138.

Robin Creuels

Robin Creuels

Robin Creuels is werkzaam als AVG & Cybersecurity jurist bij The Privacy Factory. Zij is in het bezit van een master ICT- en Privacyrecht.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.