Volg Software Zaken

Nieuwe privacyrichtlijn voor connected cars

| Joost Krapels | Privacy

De Autoriteit Persoonsgegevens maakte op 24 maart kenbaar onderzoek te gaan doen naar in Nederland gevestigde autofabrikanten. De AP gaf aan te gaan kijken of de AVG wordt nageleefd en houdt daarbij een richtlijn van het EDPB aan. Het EDPB, het Europese samenwerkingsverband van nationale toezichthouders, bracht eerder dit jaar een eerste versie uit van hun richtlijn omtrent het verwerken van persoonsgegevens in de context van verbonden voertuigen en vervoergerelateerde applicaties. Deze eerste versie is al “van kracht”, maar er kunnen tot en met 3 mei wijzigingsvoorstellen gedaan worden. In dit artikel geven wij uitleg en een samenvatting van de richtlijn.

Sinds de Ford Model T in 1908 als eerste massaproductie auto van de band rolde, is de uitrusting van voertuigen flink veranderd. Belangrijke stappen vooruit waren onder andere stuurbekrachtiging, de driepuntsgordel en ABS. In de afgelopen tien jaar zijn er ook op het digitale vlak sprongen gemaakt. Veel auto’s houden met behulp van slimme sensoren de weg in de gaten, de bestuurder in de gaten of kunnen zelfs draadloos (Over The Air) updates van de fabrikant ontvangen.

Door hun voertuigen data te laten genereren en dit te analyseren, verzamelen autofabrikanten op grote schaal persoonsgegevens. Deze gegevens kunnen direct iets over een bestuurder of eigenaar zeggen, maar ook indirect. Bij direct kun je bijvoorbeeld denken aan het adres dat in het navigatiesysteem als “thuis” is ingesteld, en bij indirect locaties die een persoon bezocht heeft of regelmatig bezoekt. Als een bestuurder elke zondag om 8.45 naar het parkeerterrein van een katholieke kerk rijdt, is met grote zekerheid te zeggen welke religie deze persoon aanhangt.

Ook softwareontwikkelaars dragen graag bij aan de digitalisering van het autorijden. Applicaties zoals Google Maps, de Tesla app of de automodus van Spotify zijn gericht op auto eigenaren en bestuurders. Deze apps verzamelen een hoop data, en hebben daarmee vaak vergaande inzichten in het persoonlijke leven van de gebruiker.

De nieuwe richtlijn

De richtlijn, die hier te downloaden is, is met 31 pagina’s vrij dik en bestaat uit drie delen. Na een korte uiteenzetting over scope en wetgeving komen de aanbevelingen aan bod. Tot slot worden er nog vijf casussen beschreven. Het tweede deel, de aanbevelingen, zijn het meest beeldend en lezen het fijnste. De scope en wetgevingen zijn er echter niet voor niks, en geven duidelijk de kaders van de aanbevelingen aan.

Deel 1: Scope en wetgeving

Scope

Om concrete en specifieke aanbevelingen te kunnen doen, beperkt het Europees Comité voor Gegevensbescherming (EDPB) zich tot persoonsgegevens:

  1. verwerkt in het voertuig;
  2. uitgewisseld tussen het voertuig en een persoonlijk apparaat dat ermee verbonden is;
  3. verzameld binnen het voertuig en verzonden naar een partij daarbuiten.

Binnen deze categorieën kunnen diensten zowel door middel van ingebouwde software en hardware geboden worden als door mobiele applicaties. Geboden diensten zijn bijvoorbeeld navigatie, voertuigbeheer, veiligheidssystemen, entertainment, assistentiesystemen en welzijn.

Wetgeving

Met betrekking tot connected cars, of in het Nederlands “verbonden voertuigen”, zijn drie Europese wetten en Richtlijnen van belang. Belangrijk hier is dat er een verschil is tussen de termen Richtlijn (Engels: Directive) en richtlijn (guideline). “Directives” zijn, in tegenstelling tot “Verordeningen” wetteksten die niet direct in landen van kracht worden, maar als nationale wetten in alle lidstaten van de EU ingevoerd moeten worden. “Guidelines” zijn informatiedocumenten uitgegeven door Europese adviesorganen zoals het EDPB. Deze documenten helpen nationale toezichthoudende organen bij het interpreteren van de wet.

De ePrivacy Richtlijn (2002), bij ons geïmplementeerd in 2002 als de Telecommunicatiewet. Deze wet richt zich op elektronische communicatie en de aanbieders daarvan. Ondanks het feit dat de wet meerdere keren is aangepast, blijft de essentie gelijk: het faciliteren van elektronische communicatie door middel van transmissie en opslag van data op de apparaten van eindgebruikers is aan regels gebonden. Een opvolger van de Richtlijn, de ePrivacy Verordening, ligt nog bij de Europese Commissie. De wet zelf is hier te vinden.

De Algemene Verordening Gegevensbescherming (AVG), van kracht sinds mei 2018. De data die door fabrikanten van verbonden voertuigen verwerkt wordt, zijn vaak herleidbaar naar een persoon of hier zelfs al direct aan gekoppeld. Veel van de aanbevelingen later in het rapport zijn direct terug te herleiden naar eisen en verplichtingen vanuit de AVG. Aan de principes van rechtmatigheid, behoorlijkheid en transparantie wordt veel waarde gehecht. De wet zelf is hier te vinden.

Voertuigen geproduceerd na 31 maart 2018 zijn onder de 112-eCall Verordening verplicht een systeem aan boord te hebben dat in geval van nood automatisch contact kan maken met een 112-meldkamer. Hierbij heeft de meldkamer na een ongeval direct inzicht in autodata zoals locatie en eventueel eerdere snelheid en defecten en contact met de bestuurder. Zo kunnen hulpdiensten sneller ter plaatse zijn, en hebben zij van tevoren een beter beeld van de situatie. De wet zelf is hier te vinden.

het eCall systeem

Ook enkele rapporten en besluiten worden in de richtlijn voor connected cars aangehaald. Deze documenten zijn geen wetten, maar adviezen of aanwijzingen van belangrijke instanties:

Deel 2: Algemene aanbevelingen

Het EDPB doet aanbevelingen op tien aspecten van verbonden voertuigen. Soms zijn deze erg uitgebreid, zoals bij Privacy by Design en Privacy by Default. Op andere onderdelen, zoals Doelbinding, wordt alleen aangehaald dat de AVG gevolgd moet worden.

Categorieën van persoonsgegevens: Sommige persoonsgegevens zijn extra gevoelig, en moeten daarom extra beschermd worden. De drie categorieën die het EDPB aanmerkt zijn locatiedata, biometrische data en andere bijzondere categorieën persoonsgegevens uit de AVG, en data m.b.t. criminele veroordelingen en verkeersovertredingen.

Doelbinding: Er zijn meerdere goede redenen te bedenken om (bijzondere) persoonsgegevens van bestuurders te verwerken. Een van de basisprincipes van de AVG is echter dat verwerkingen doelgebonden moeten zijn, en verzamelde persoonsgegevens niet achter de schermen zomaar voor andere doelen gebruikt worden.

Relevantie en dataminimalisatie: Aangezien verzamelde gegevens, zoals de locatie, direct en indirect gevoelige aspecten van een betrokkene kunnen weerspiegelen, mogen zij alleen verwerkt worden als dit nodig is. Het is voor Spotify bijvoorbeeld niet nodig om de locatie van het voertuig te meten en weten.

Privacy by design en privacy by default: Het beschermen van persoonsgegevens begint ver voor de eerste data begint te stromen. Door gebruikers goed te informeren, hen in staat te stellen privacyinstellingen aan te passen en standaardinstellingen op privé te zetten leggen ontwikkelaars van applicaties en systemen de privacyfundering.

Informatieplicht: Een bekende manier om betrokkenen te informeren is d.m.v. een privacy statement. Het kan echter lastig zijn om de bestuurder van een voertuig te informeren. De beste tip van het EDPB hier is om gebruik te maken van gelaagde informatie: bijvoorbeeld iconen met de mogelijkheid tot doorklikken naar verdere toelichting.

De rechten van betrokkenen: Waar persoonsgegevens verwerkt worden, hebben de betrokkenen privacyrechten. Het advies hierbij is om gebruikersprofielen aan te bieden, zodat bestuurders op één centrale plek hun gegevens kunnen inzien, wijzigen en verwijderen. Ook zou het verkopen van een auto het verwijderen van bestaande data in gang moeten zetten.

Beveiliging en geheimhouding: Industriestandaarden voor informatiebeveiliging (versleuteling, authenticatie) zijn ook van toepassing op auto’s. Nieuwe aanbevelingen zijn het scheiden van voertuigdata van infotainment data, mogelijk maken van Over The Air beveiligingsupdates, automatische alarmen, bijhouden van logs over toegang tot de data.

Verstrekken aan derden: Verantwoordelijken mogen, net als bij andere verwerkingen, de hulp inschakelen van verwerkers. Als de verantwoordelijke ook data naar een derde partij wil sturen, kan hij volgens het EDPB het beste gebruik maken van de grondslag Toestemming. Met het brede gebruik van touchscreens in voertuigen tegenwoordig is dit praktisch goed te doen.

Verstrekken buiten de EER: Persoonsgegevens mogen onder de AVG alleen naar landen buiten de EER gestuurd worden als hier een waarborg voor is. Veel Amerikaanse organisaties maken gebruik van het Privacy Shield, Japan is door de Europese Commissie veilig beschouwd, en met Zuid Korea lopen gesprekken.

Gebruik van in-car Wi-fi: Een draadloos netwerk in voertuigen kan op twee manieren gebruikt worden. Het kan persoonlijk zijn, of als dienst van de bestuurder aan de passagiers. In beide gevallen moet de fabrikant mogelijk maken het netwerk te verbergen voor derden.

Deel 3: Case studies

Aan de hand van de in deel twee beschreven categorieën van aandacht zijn vijf voorbeelden uitgewerkt. Per voorbeeld wordt er gekeken naar de wettelijke basis, welke persoonsgegevens verwerkt worden, hoe lang deze bewaard mogen blijven, hoe de rechten van betrokkenen gefaciliteerd kunnen worden, welke derde partijen betrokken kunnen zijn en hoe de gegevens beveiligd moet worden. Hieronder een overzicht van de vijf situaties en hoe daar volgens het EDPB met persoonsgegevens omgegaan moet worden.

1. Dienstverlening door een derde partij

Een klassiek voorbeeld van dienstverlening door een derde partij is een autoverzekeraar die korting op de verzekering biedt bij veilig rijgedrag. Veilig rijgedrag wordt beoordeeld door een analyse van sensordata, waaruit bijvoorbeeld opgemaakt wordt of de bestuurder zich aan de snelheid houdt, vaak hard remt/optrekt, of wild heen en weer stuurt. De verzekeraar mag met deze data werken, omdat dit nodig is om het contract (de verzekering) met de auto-eigenaar te vervullen. Met de directe sensordata, waaronder ook vaak locatie, is echter een erg compleet profiel van de bestuurder te vormen, zowel qua gedrag als gewoontes. Het EDPB raadt daarom aan om het berekenen van de “veiligheidsscore” aan de hand van de data buiten de verzekeraar te laten plaatsvinden. Dit kan bijvoorbeeld in het voertuig zelf, of door een derde partij.

2. Het eCall systeem

Autofabrikanten zijn sinds 2018 bij wet verplicht het eCall systeem in hun voertuigen in te bouwen. Bij het uitzenden van een melding moet het eCall systeem naast informatie over het voertuig zelf ook de laatste drie gemeten locatiepunten meesturen. Om dit laatste te doen, moeten voertuigen dus constant de locatie meten. Om aan de principes van proportionaliteit en dataminimalisatie te voldoen, moet het eCall systeem van voertuigen dus continu alle opgeslagen locatiepunten verwijderen, behalve de laatste drie. Omdat het opslaan en versturen van de data onzichtbaar (tot het eerste ongeluk) gebeurt, moet de fabrikant bestuurders duidelijk hierover informeren in de autohandleiding.

3. Studies op ongelukken

Om onderzoek te doen naar ongelukken, moet de onderzoekende partij toestemming van de bestuurder hebben. De data die hiervoor gebruikt wordt, is grofweg in te delen in twee groepen: data over personen en het voertuig, en sensordata van het voertuig. Aangezien je soms uit de sensordata kan afleiden of iemand zich aan de wet gehouden heeft of niet, moet deze data extra beveiligd worden. Concrete acties om dit te doen zijn het vervangen van iemands naam met een ID, locatie en acceleratie gescheiden opslaan en slechts een select groepje medewerkers toegang tot de data verlenen.

4. Tegengaan van autodiefstal

Voor het terugvinden van een gestolen voertuig is de locatie nodig. Als je een GPS-alarmsysteem van een derde partij hebt, mag/moet deze partij je helpen om het contract na te komen. In sommige gevallen is het ook mogelijk om, bijvoorbeeld via de fabrikant, een derde partij toegang te geven tot de laatst gemeten locatie van het voertuig. Deze locatie mag alleen opgevraagd worden met de expliciete toestemming van de eigenaar, en niet langer bewaard worden dan nodig is voor onderzoek door de politie.

5. Persoonsgegevens in huurauto’s

Zelfs de meest standaard huurauto’s bieden tegenwoordig de mogelijk om je telefoon te verbinden voor muziek en telefoongesprekken. Als in of bij de auto navigatie geleverd wordt door de verhuurder, is achteraf te zien welke bestemmingen de huurder ingevoerd heeft. Verhuurders moeten daarom huurders goed informeren welke gegevens waar opgeslagen worden (lokaal, cloud van de fabrikant, etc.) en hoe de huurder hier invloed op kan uitoefenen. Het EDPB raadt fabrikanten aan een toegankelijke “verwijder data” functionaliteit in te bouwen waarmee alle verzamelde persoonsgegevens gewist worden. Verhuurders wordt streng aangeraden procedures op te stellen waar van deze functionaliteit gebruik gemaakt wordt tussen huurders in.

Het vervolg

Met een duidelijke en overzichtelijke richtlijn van het Europese privacyadviesorgaan in handen, kan de AP op een constructieve manier in gesprek treden met meerdere autofabrikanten en andere betrokken partijen. Mocht zij aanleiding tot handhaving krijgen, dan is er terug te vallen op een objectief document gesteund door de Europese Commissie.

Handhaving zal echter niet de eerste stap zijn van nationale toezichthouders. De uitgebrachte richtlijn is in een eerste versie, en staat nog open voor consultatie. Gesprekken tussen toezichthouders en onderzochte partijen zal uitwijzen waar wrijving en onduidelijkheid zit tussen de theorie en praktijk. Een volgende (of daarop volgende) versie geeft nieuwe partijen in de industrie een handvat, en maakt gevestigde partijen duidelijk wat de spelregels zijn.

Op auto-eigenaren, bestuurders, inzittenden en andere betrokkenen heeft de nieuwe richtlijn vooral indirect effect. Als de inhoud en toon van de huidige versie niet al te veel verandert, zullen eigenaren en bestuurders in de nabije toekomst beter geïnformeerd zijn over de verwerking van hun persoonsgegevens, en hier meer invloed op kunnen uitoefenen.

Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Image credit:

@alwin_picturesque21 via Unsplash,  Porsche Connect via Porsche Newsroom, eCall via www.rijksoverheid.nl, Iconen via Flaticon

Author: Joost Krapels
Joost Krapels MSc. heeft zijn BSc. in Artificial Intelligence en zijn MSc. in Information Sciences gehaald aan de VU Amsterdam. Bij ICT Institute adviseert hij over informatiebeveiliging (CISSP, Security+, IRCA/CQI Lead Auditor), privacy (CIPP/E), praktisch toepassen van de AVG, en voert hij IT Due Diligence onderzoek uit.