Omgaan met persoonlijke data – ook Tesla maakt fouten
| Sieuwert van Otterloo |
Other
Heeft een Tesla-rijder recht op inzage in de gegevens die de autofabrikant opslaat? Een Noorse blogger had de data nodig en heeft deze opgevraagd, maar Tesla geeft niet thuis. Wat ging hier fout of het gebied van persoonlijke data?
Dit artikel is ook verschenen op het blog Frankwatching.
Espen Andersen, een business school professor uit Noorwegen, wilde een parkeerboete aanvechten en had daarvoor gegevens nodig hoe lang hij ergens had geparkeerd. Vaak is dit soort informatie niet altijd voorhanden, maar Espen Andersen rijdt in een Tesla S. Een zeer moderne auto die alle gegevens continue opneemt en doorstuurt naar de fabrikant. Hij stuurde daarom een verzoek aan Tesla om de data. Hij kreeg de data echter niet, omdat Tesla niet kon leveren.
Saillant detail is dat als Tesla zelf de data nodig heeft, ze de data goed kunnen vinden. Tesla heeft de data bijvoorbeeld een keer gebruikt om een negatieve review te corrigeren met behulp van gedetailleerde grafieken. Als het in het eigen belang van Tesla is, is er blijkbaar veel mogelijk. Nu is de schade van een slechte review ook groter dan een parkeerboete dus de afweging van Tesla is begrijpelijk. Ook had Tesla goede reden om dit te doen: Het programma Top Gear had al eerder technische gebreken in scene gezet.
Maar toch speelt hier ook een ander belang: mag Esper Andersen bij zijn eigen data? Er lijkt hier een geschil te zijn over het eigenaarschap van data. Onder andere ICT-jurist Arnoud Engelfriet analyseert het zo op zijn blog. Het eigenaarschap is echter een lastig begrip omdat er sprake is van twee soorten eigenaarschap:
- De verzamelaar (Tesla) heeft rechten (vergelijkbaar met auteursrecht) om zelf verzamelde data te gebruiken
- Het onderwerp van de data, als dat een persoon betreft (De Tesla-rijder) heeft ook rechten omdat de data tot hem of haar te herleiden is.
Deze situatie met dubbele rechten vertoont veel overeenkomsten met het intellectueel eigendom op portretfoto’s. Ook hier houden de Tesla’s van de wereld er niet altijd rekening mee dat personen ook rechten hebben.
Twee soorten rechten op foto’s
Stel dat een fotograaf een foto maakt van een persoon. De fotograaf is in dit geval de auteur van de foto, omdat hij of zij het creatieve werk heeft gedaan. Als de foto later gebruikt wordt door anderen, bijvoorbeeld op een billboard, moeten anderen de fotograaf betalen. Men koopt een licentie voor gebruik van de foto.
De persoon die is gefotografeerd, het fotomodel in modetermen, heeft echter ook rechten, namelijk portretrecht. Ongeacht wat de fotograaf vindt, mag de geportretteerde de foto gebruiken en kopiën maken. En anderen mogen de foto alleen met toestemming van het model gebruiken. In de praktijk doen professionele modellen vaak bij de fotoshoot afstand van hun rechten door middel van een model consent form, maar professionele sporters kunnen goed verdienen aan de fotorechten. En nog belangrijker, mensen die geen fotomodel willen zijn kunnen publicatie tegenhouden: mensen mogen jou niet zonder toestemming op de voorpagina van een brochure zetten.
Rechten op overige data
Een foto is een vorm van data, maar er zijn door het goedkoper worden van sensors tegenwoordig veel meer datavoorbeelden: telefoongebruik, zoekgeschiedenis en bezochte pagina’s, locatie-gegevens en wie een slimme meter heeft, energieverbruik. Ook heel veel apps hebben de gewoonte om zoveel mogelijk gegevens op te slaan: soms omdat de opdrachtgever daar om heeft gevraagd, in andere gevallen omdat de app-bouwer dit een goed idee leek.
In al deze gevallen geldt dat degene die de moeite neemt om de data te verzamelen, de controle heeft over deze data. In principe mag data waar iemand toegang toe heeft vrijelijk gebruikt worden om tot inzichten te komen, maar als de data over specifieke personen gaat zijn er op Europees niveau beperkingen gesteld. De persoon heeft ook verschillende rechten, vergelijkbaar met portretrecht: hij of zij moet van te voren op de hoogte zijn van de dataverzameling en heeft recht op inzage. Ook is het verboden om de data te gebruiken voor niet-noodzakelijke en niet van te voren gemelde doelen. Het geval van de Tesla van Espen Andersen lijkt daarom een eenvoudige zaak: Espen heeft gelijk.
In de praktijk gaan dataverzamelaars vaker de mist in, door een combinatie van onkunde en onwil. Dit zijn de fouten die partijen maken:
- Alle gegevens willen verzamelen en bewaren. Veel bedrijven hebben een technische instelling waarbij er zoveel mogelijk gegevens verzameld en bewaard worden. Dit mag echter niet met persoons-gerelateerde informatie. Veel bedrijven kunnen zich veel ellende besparen door gegevens die niet nodig zijn niet op te slaan.
- Gegevens niet inzichtelijk maken. Wie gegevens eenmaal opgeslagen heeft, moet deze inzichtelijk maken voor klanten. Veel bedrijven vergeten om dit te doen en komen dan in problemen. Het uitgangspunt zou moeten zijn dat alle opgeslagen gegevens ook terug te vinden zijn. In het geval van klantengegevens zouden klanten deze zelf moeten kunnen opzoeken.
- Te internationaal werken. Veel bedrijven zoals Tesla, Facebook, Apple en Google denken wereldwijd, maar vergeten dat ze op lokaal niveau zaken doen en zich aan lokale regels te houden hebben. Dit betekent ook dat Tesla een onderzoekscentrum in Europa zal moeten beginnen als ze onderzoek willen doen met Europese data. Niet alle gegeven mogen Europa uit.
Dat zelfs de grootste bedrijven moeite hebben met de regels blijkt uit voorbeelden van fouten van Apple. In Februari 2011 werd ontdekt dat een iPhone alle locaties bijhoudt waar een gebruiker is geweest. De twee onderzoekers hebben die het ontdekt hebben, konden precies tekenen hoe iemand reist. Uit de verklaring van Apple bleek dat deze privacyschending onbedoeld was . Er was een feature dat gebruikte wifi-netwerken onthield om sneller contact te kunnen leggen. Deze feature was echter zo ontwikkeld dat de gegevens nooit werden weggegooid, waardoor de iPhone onbedoeld de hele reisgeschiedenis van een persoon bijhield.
Om de genoemde fouten te voorkomen, moet er meer samenwerking komen tussen technici, juristen en marketeers. Door de nieuwe Euopese privacyregels moet opslag en verwerking van data altijd afgestemd zijn: de IT-systemen moeten inzage mogelijk maken, marketeers moeten duidelijk maken in welke markten producten worden verkocht en de voorwaarden moeten voldoen aan alle lokale regels. Zoals het voorbeeld aangeeft, ontbreekt deze samenwerking nu nog bij alle bedrijven, zelfs de grootste technologiebedrijven.
Dr. Sieuwert van Otterloo is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij is ISO 27001 en NEN 7510 auditor, doet onderzoek bij VU en HU en geeft advies bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.

