Autofabrikanten in de VS schenden privacy, massaschadeclaims afgewezen

In onze reeks achtergrondartikelen over connected cars vandaag een ‘tussendoortje’. Vijf onderling gerelateerde massaschadeclaims tegen autofabrikanten in de Amerikaanse staat Washington trokken onze aandacht. Die zijn opmerkelijk omdat het – voor zover wij weten – gaat om wereldwijd de eerste (grote) rechtszaken tegen autoconcerns die draaien om het schenden van de privacy.

Wat is het geval? Zodra Amerikaanse bezitters van modellen van tenminste Ford, General Motors, Honda, Toyota en Volkswagen hun mobiele telefoon verbinding laten maken met de infotainmentsystemen van hun auto’s, downloaden die systemen automatisch en zonder toestemming de sms-berichten en belgeschiedenis van de telefoon. Die gegevens worden in de auto opgeslagen, maar de on-board software verhindert vervolgens dat de automobilisten er zelf toegang toe hebben. Indien zij daarom vragen krijgen opsporingsinstanties die toegang wel. Dergelijke instanties zijn in algemene zin bovenmatig geïnteresseerd in voertuigdata, lieten wij in ons vorige artikel zien.

Het overhevelen van telefoondata naar de boordcomputer van de auto zonder dat mensen daar van op de hoogte waren, was in ieder geval jaren geleden in de VS geen uitzondering (zie dit opzienbarende fragment uit een interview met een expert op het gebied van car forensics). Mits je toestemming geeft tot synchronisatie, de gegevens in de auto blijven en je daar via het infotainmentsysteem in het dashboard ook gewoon bij kan, is er niet veel aan de hand.

In de EU geldt onder de Algemene Verordening Gegevensbescherming (AVG) dan het volgende: je gebruikt je eigen gegevens dan puur op persoonlijke, ‘huishoudelijke’ basis. Die persoonlijke verrichtingen vallen buiten het toepassingsgebied van de AVG. Deze uitzondering ontslaat autofabrikanten echter niet van de plicht om ervoor te zorgen dat de technische toepassingen en standaardinstellingen aan boord veilig zijn en rekening houden met de privacy. Op hen blijft de AVG in die zin wel van toepassing (zie punten 33 en 75 in de AVG-richtlijnen voor connected cars).

Terug naar Washington, waar de rechters in Seattle de claims van de eisers (inwoners van diezelfde staat) eind vorig jaar in hoger beroep van de hand wezen omdat zij onvoldoende konden aantonen dat zijzelf, hun reputatie of hun bedrijf waren geschaad. Dat wordt onder de Washington Privacy Act immers verlangd, wil er juridisch gezien sprake zijn van een schending van de privacy. In de ogen van Privacy First is dat natuurlijk een absurde bepaling, maar dura lex, sed lex. Tenzij die gebrekkige wet wordt aangescherpt, staat het de autofabrikanten dus vrij om door te gaan met deze nogal opzichtige inbreuk op de privésfeer.

Op Californië na lopen de Verenigde Staten op het gebied van privacy hopeloos achter op de EU. Mochten autofabrikanten hier hetzelfde doen, dan zou dat indruisen tegen de AVG. In het geval van een Europese rechtszaak zouden de fabrikanten dan ook geheid door een rechter worden teruggefloten.