Connected cars als verdienmodel voor datamakelaars
Dit is het vierde artikel in onze serie over ‘connected cars’, oftewel: auto’s die hun data doorzenden naar de fabrikant. In deze aflevering kijken we wat er zoal gebeurt met voertuigdata nádat die bij de fabrikant zijn binnengekomen. Een hoofdrol is weggelegd voor vehicle data hubs: datamakelaars die hun geld verdienen met het verhandelen van voertuigdata.
Dit stuk in zes punten:
-
In de afgelopen jaren is buiten het zicht van automobilisten een grote industrie tot bloei gekomen: de handel in voertuigdata. Wereldwijd gaan er miljarden in om.
-
Voor de data die miljoenen connected cars voortbrengen bestaat namelijk grote belastingstelling. Onder meer van verzekeraars en adverteerders, maar bovenal van wagenparkbeheerders: midden- en kleinbedrijven, autoverhuurders, leasemaatschappijen, en verschillende overheden zoals de politie, de brandweer en ziekenhuizen.
-
Voordat de data bij dergelijke partijen belanden moeten ze eerst worden ‘gladgestreken’ en in gewenste formats worden gegoten. Dat doen zogeheten vehicle data hubs: bedrijven (veelal start ups) die zich tussen de fabrikanten en de eindafnemers in positioneren.
-
Deze third party data brokers krijgen onder meer ongefilterde persoonsgegevens binnen en leveren die met behoud van zoveel mogelijk commerciële waarde meestal geaggregeerd weer door. Geaggregeerde data blijken echter lang niet altijd zo anoniem als verondersteld: van wie gegevens oorspronkelijk waren, kan soms wel degelijk worden achterhaald.
-
Bovenstaande heeft betrekking op data die door voertuigen zelf worden gegenereerd. Er bestaat daarnaast ook een grote markt voor data die voortkomen uit ‘kastjes’ of dongels. Tussen aanbieders van dergelijke apparaten die ‘achteraf’ in auto’s worden ingebouwd woedt een felle concurrentiestrijd.
-
Het feit dat veel voertuigdata uitmonden in handige toepassingen waar weggebruikers zelf ook hun voordeel mee kunnen doen, betekent niet dat je je gegevens als automobilist moet afstaan als je daar bezwaar tegen hebt. Dat weigeren is een recht dat valt onder de Algemene Verordening Gegevensbescherming. Maar hoeveel automobilisten lezen de terms and conditions en maken er werk van om hun data af te schermen?
‘Turn data around your car into cash now’. Het uitroepteken ontbreekt er nog aan maar de aansporing is duidelijk. Het is het eerste wat je leest op de website van de Duitse startup MyAutoData (MAUD). Laat verschillende partijen niet langer met jouw voertuigdata aan de haal gaan zonder dat je er zelf iets voor terugkrijgt. Neem het heft in eigen handen en verdien onder ‘ideale omstandigheden’ tot wel 1000 dollar per jaar. Dat is de boodschap waarvan MAUD inmiddels 12 miljoen automobilisten in 25 landen heeft weten te overtuigen.
Hoe werkt het? Door gebruik te maken van je rechten onder de Algemene Verordening Gegevensbescherming (AVG) laat je partijen die jouw voertuigdata verzamelen weten dat ze daarmee moeten stoppen. Vervolgens installeer je in de auto een dongel van MAUD, die je koppelt aan een bijbehorende app op je telefoon. Vanaf dat moment bepaal je via de app helemaal zelf welke voertuigdata je met welke partijen deelt.
Hoewel er kritiek bestaat op het verhandelen van eigen data vanuit het principiële idee dat je je privacy niet zou moeten (kunnen) verkopen, is het tegendraadse initiatief van MAUD in veel opzichten een significante verbetering. Als er dan toch allemaal bedrijven achter je data aan zitten, dan kan je daar maar beter zelf de regie over voeren én er nog wat aan overhouden ook. Dat is normaal gesproken niet of nauwelijks het geval.
Waar is doorgaans dan wel sprake van? In Connected cars genereren zeeën van data, ons vorige artikel in deze reeks, deden we uit de doeken hoe voertuigdata bij autofabrikanten terechtkomen. Wat er daarna zoal met de gegevens gebeurt, is het onderwerp van het huidige artikel. De data waaieren breed uit en eindigen in handen van zeer uiteenlopende partijen. Naast bijvoorbeeld verzekeraars en adverteerders gaat het vooral om wagenparkbeheerders: midden- en kleinbedrijven, autoverhuurders, leasemaatschappijen, maar ook overheden, de politie, de brandweer en ziekenhuizen.
In bewerkte vorm stellen de data hun in de gelegenheid inzicht te krijgen in de algehele staat van hun voertuigen (ROB: reparatie, onderhoud en banden) om bijvoorbeeld onderhoudsproblemen te voorkomen en serviceafspraken in te plannen voor het juiste aantal auto’s. Zo kunnen kosten worden bespaard. Alleen is het voor deze partijen – met name grote leasemaatschappijen die soms wel twintig tot dertig merken hebben rondrijden – en ook voor de autofabrikanten veel te duur en veel te ingewikkeld om honderden losse contracten met elkaar af te sluiten. Bovendien spreken ze elkaars ‘talen’ niet; iedereen gebruikt verschillende dataformats. Dat heeft een reden.
De gegevens uit auto’s zijn bewust niet gestandaardiseerd. Iedere fabrikant heeft een eigen dataformat; zo hebben anderen geen toegang tot de betekenis van de enen en nullen en zijn ze in staat om meer diensten en onderdelen te verkopen binnen hun eigen merkkanaal. Anderzijds maken ze het zichzelf ook niet altijd even makkelijk; de dataformats zijn namelijk niet alleen verschillend per merk, maar soms ook per model.
Vehicle data hubs
Hier komen de vehicle data hubs om de hoek kijken: bedrijven die als intermediair optreden en de data ‘glad strijken’ of ‘normaliseren’ door er – eenvoudig gezegd – conversietabellen op los te laten. 68 graden Fahrenheit van OEM A (een Original Equipment Manufacturer) en 293 graden Kelvin van OEM B worden geconverteerd naar de door partij C gewenste 20 graden Celsius. Zie de data hub als een enorme stekkerdoos met allerlei verschillende ingangen: de ene inkomende stekker heeft twee pinnen, een andere heeft er wel drie of vijf, er zijn USB-stekkers en micro-USB-stekkers, HDMI-stekkers en UTP-stekkers, noem maar op. Aan de andere kant van de stekkerdoos is er één uniforme uitgang.
De vehicle data hubs (kortweg: dataverwerkers) werken, zoals talloze bedrijven in talloze sectoren, met application programming interfaces (API’s). Een API maakt communicatie mogelijk tussen verschillende (software) applicaties/programma’s, in dit geval die van henzelf en die van de autofabrikanten. API’s – die continu onderhoud en updates vergen – bieden ook de mogelijkheid aan klanten van dataverwerkers om data te integreren in hun eigen apps en diensten.
Zonder vehicle data hubs zou de markt voor voertuigdata niet van de grond komen, maar over welke bedrijven gaat het precies? Erg overzichtelijk is deze markt niet en er dienen zich voortdurend nieuwe clubs met fancy namen aan. Redelijk bekend zijn Wejo (Brits), Synaptiv (Brits), Caruso (Duits), High Mobility (Duits), Echoes (Frans), Targa (Italiaans), Crossyn (Nederlands) en Carscan (Zuid-Afrikaans). Daarnaast is er een flink aantal Amerikanen, waarvan sommige wel en sommige niet in Europa actief zijn: Dimo, IMS, Lexis Nexis, CarConnectivityConsortium, CCC-X, CerebrumX, Mojio, Otonomo, Smartcar, Terbine (dat zich specifiek richt op elektrische auto’s) en bijvoorbeeld Verisk. Dit lijstje is zeker niet compleet.
Bijna zonder uitzondering hebben deze third party data brokers futuristische websites, met statistieken over de miljarden ‘data points’ die dagelijks van miljoenen connected cars binnenkomen, en gelikte infographics en video’s die laten zien waar ze allemaal wel niet toe in staat zijn. Vooral ook om in het vizier te komen bij (durf)investeerders. In grote lijnen doen ze allemaal hetzelfde: voertuigdata omzetten in bruikbare informatie en daarnaast een trits ‘oplossingen’ aanbieden voor fleet management, smart mobility, car sharing, geofencing (excuseer het Engels), het efficiënt opladen van elektrische auto’s, het lokaliseren van (gestolen) voertuigen, en wat dies meer zij (en dat is heel veel).
Geen van deze partijen heeft ‘OEM-exclusiviteit’: autofabrikanten werken altijd met meerdere dataverwerkers samen om de markt te bedienen. Eén-op-één relaties met individuele automobilisten gaan vehicle data hubs doorgaans niet aan. Uiteenlopende andersoortige dienstverleners binnen de automotive-sector die kastjes of dongels inbouwen – hiervan zijn er nog veel meer, denk onder andere aan TomTom en de ANWB – bedienen zowel consumenten als andere bedrijven.
Er zijn verschillende manieren waarop voertuigdata terecht kunnen komen bij de dataverwerkers (of andere dienstverleners):
- een autofabrikant verkoopt voertuigdata van zijn connected cars (in privébezit of private lease) aan een verwerker, die de data geanonimiseerd en geaggregeerd doorverkoopt aan geïnteresseerden;
- een verwerker verzoekt een autofabrikant namens een klant (bijvoorbeeld een leasemaatschappij) toegang tot voertuigdata van een specifiek aantal auto’s (een wagenpark). Als een wagenparkbeheerder auto’s toevoegt aan zijn wagenpark, levert hij de VIN-nummers (de unieke identificatienummers van de voertuigen) aan zijn dataverwerker, die de nummers vervolgens invoert in zijn systeem. Zodra de desbetreffende autofabrikant groen licht geeft voor connectie, komt de datastroom naar de neutrale server van de dataverwerker op gang;
- een verwerker (of andere dienstverlener) bouwt namens een klant – en buiten de fabrikant om – een kastje in dat data verzamelt;
- een privébezitter (of private leaserijder) bouwt in zijn eigen auto een kastje in, om van een dienstverlener een of meer diensten af te nemen.
In de laatste drie gevallen nemen wagenparkbeheerders en privébezitters bewust een dienst af en is het voor hen duidelijk dat er gegevens worden uitgewisseld. Bij de eerste mogelijkheid is dat doorgaans niet zo. In de eerste twee gevallen gaat het om gegevens die rechtstreeks uit de auto komen (Probe Vehicle Data), bij later ingebouwde kastjes is sprake van Floating Vehicle Data. Opties één en vier vinden vaak gelijktijdig plaats. Voor meer informatie over Probe Vehicle Data en Floating Vehicle Data: zie ons eerdere artikel Connected cars genereren zeeën van data.
Concurrentiestrijd
De concurrentiestrijd tussen aanbieders van kastjes die achteraf worden ingebouwd of worden ingeplugd in de OBD-poort is heel fel. In Nederland zijn dat er ongeveer honderd, van Accredis tot FleetGo, en van TomTom tot TrackJack. (Die zijn op hun eigen manier ook dataverwerkers, maar niet de vehicle data hubs die namens wagenparkbeheerders voertuigdata uit verschillende auto’s gladstrijken zoals hierboven beschreven.) Een deel van deze dienstverleners is met het oog op ritregistratie door de Belastingdienst geaccrediteerd en heeft een keurmerk. Ritregistratie was een jaar of vijftien geleden ook de reden dat die kastjes hier werden geïntroduceerd.
Het is goed mogelijk dat dongels en kastjes op den duur zullen verdwijnen. Vehicle data hubs maken er ook gebruik van maar beginnen zich sinds enkele jaren steeds meer te richten op de mogelijkheden van Probe Vehicle Data afkomstig uit de Telematics Control Unit (TCU), wat welbeschouwd een kastje is dat door de fabrikant zelf al in de auto is ingebouwd.
Echoes (zetel in Zuid-Frankrijk, connectie met 15 OEM’s, levert diensten in 18 Europese landen) is een voorbeeld van een bedrijf dat op die manier werkt. De CEO van dat bedrijf (Mathieu Chèbenit) werkte voorheen als software engineer bij TomTom, waar het business model primair draait om het inbouwen van kastjes achteraf. Voordat hij met Echoes de markt betrad, heeft hij zich eerst een jaar of vijf gericht op het ontwikkelen van technologie waarbij kastjes achterwege blijven (‘‘Manage your multi-brand fleet without installing a third party device’’). In de praktijk komt dat neer op het vormgeven van een eigen API die zo goed mogelijk aansluit op die van autofabrikanten.
Bij de meeste dataverwerkers is het moeilijk om te achterhalen of ze al dan niet met een kastje werken. Veel maakt het ook niet uit, maar voor zover Privacy First heeft kunnen nagaan, zijn naast Echoes in ieder geval ook CerebrumX, High Mobility, Smartcar en Targa al de nieuwe weg ingeslagen.
Enkele koplopers
Hoewel alle autofabrikanten connected cars op de markt brengen en data vergaren, bouwen ze daar niet allemaal in dezelfde mate een professioneel bedrijfsmodel omheen en varieert de mate waarin ze investeren in de technologie om verbinding te leggen met de vehicle data hubs. Door specifieke data-afdelingen op te zetten, lopen enkele merken in dit opzicht voorop, waaronder General Motors (Connected Vehicle Platform), BMW (BMW ConnectedDrive), Mercedes (Mercedes-Benz Connectivity Services) en Stellantis, dat met het dit jaar opgerichte Mobilisights grote stappen wil zetten op het gebied van software- en datagerelateerde diensten. Die diensten moeten dit moederbedrijf van 14 automerken tegen 2030 naar eigen verwachting 20 miljard euro aan extra omzet opleveren.
Grote consultancybureaus als McKinsey, Capgemini en de Ptolemus Consulting Group (die vanzelfsprekend hun eigen belangen hebben en autofabrikanten maar al te graag adviseren) gaan er in rooskleurige studies van uit dat de markt voor voertuigdata in 2030 vele honderden miljarden euro’s waard zal zijn.
Kosten
Voor het vrijgeven van (een deel van) de voertuigdata brengen autofabrikanten bij vehicle data hubs per connected car een maandbedrag in rekening. Dat kan vier euro zijn, maar net zo goed 15. Het hangt af van het verdienmodel dat het merk voor ogen heeft, waarbij in ieder geval de kosten moeten worden terugverdiend voor het inbouwen van de TCU, voor de dataverbinding naar de cloud (het telecom-abonnement) en voor de opslag van de data (de serverruimte).
Dat bedrag rekenen de dataverwerkers door aan hun eigen klanten (zoals eerder gezegd: voornamelijk de wagenparkbeheerders), en zij vragen daar bovenop een fee voor het gebruik van hun neutrale server en de diensten die zij leveren. Afhankelijk van de omvang van die diensten lopen de bedragen uiteen, vanaf een enkele euro per maand voor wat simpele track and trace-opties tot ongeveer een tientje (of meer) voor dienstverlening op maat.
Privacy
Het lijdt geen twijfel: datahonger is er alom. Maar hoe zit het in dit hele verhaal met de privacy van de berijders? Vooropgesteld, een maatschappelijke discussie over de massale datahandel heeft nooit plaatsgevonden. De technologie werd ontwikkeld, er ontstond een markt, en die markt werd al gauw bestormd door startups die hun kansen roken. En de automobilisten? Die hebben vaak geen idee, ook al is dit al jaren de praktijk.
Ze zóuden het kunnen weten, als ze de privacyvoorwaarden van hun autofabrikant hadden gelezen. Waarna ze er – via de dealer, de website van de autofabrikant of het dashboard in de auto – voor hadden kunnen kiezen om de fabrikant geen toestemming te verlenen om data te verzamelen en die te delen met derden. Dat recht – en andere, aanverwante rechten – hebben ze onder AVG. Maar ja, wie leest de terms and conditions en wie maakt er echt werk van om zijn data af te schermen? Mensen willen zonder gezeur van A naar B rijden en niet inboeten aan gebruiksgemak. Daarnaast is de overtuiging dat men ‘toch niets te verbergen heeft’ hardnekkig, hoewel waarschijnlijk slechts weinigen er juichend mee zouden instemmen als hun rechttoe rechtaan werd gevraagd of ze het goed zouden vinden dat hun locaties en routes structureel worden bijgehouden – ongeacht of de fabrikant wel of niet iets met die informatie doet.
Het feit dat veel voertuigdata uitmonden in ontegenzeggelijk handige toepassingen waar automobilisten zelf ook hun voordeel mee kunnen doen (al zijn die toepassingen niet gratis en betaal je er de facto vaak twee keer voor: met je data én met je portemonnee), betekent in ieder geval niet dat je je gegevens moet afstaan als je daar bezwaar tegen hebt.
Personal Identifiable Information
Vehicle data hubs krijgen voertuigdata, waaronder ook persoonsgegevens, ruw en ongefilterd binnen. Ze laten zich er allemaal op voorstaan zich te houden aan de AVG en vergelijkbare wetgeving in andere landen. Samen met The Future of Privacy Forum, een grote Amerikaanse ngo, bracht dataverwerker Otonomo enkele jaren geleden zelfs een Privacy Playbook for Connected Car Data uit, met daarin negen aanbevelingen om de privacy van automobilisten te waarborgen.
Bij auto’s in privébezit anonimiseren en aggregeren de verwerkers de data voordat ze die, met zoveel mogelijk behoud van commerciële waarde, doorverkopen aan geïnteresseerden. Personal Identifiable Information (PII) en het VIN-nummer zijn dan niet meer te achterhalen, althans op papier. Hoe de data precies worden ‘gede-ïdentificeerd’ en vertroebeld wordt echter nooit kenbaar gemaakt. Otonomo licht in Otonomo’s dynamic blurring engine wel een tipje van de sluier op over zijn gepatenteerde technologie.
Tal van studies laten echter zien dat geaggregeerde data lang niet altijd zo anoniem zijn als verondersteld. Bekend is dat handige IT’ers die hun tanden zetten in geaggregeerde data, vaak een heel eind komen in het achterhalen van wie die gegevens oorspronkelijk waren, bijvoorbeeld door vergelijkingen te maken met andere datasets die eventueel voorhanden zijn. Aan de hand van via-via verkregen gegevens van Otonomo achterhaalde Motherboard precieze voertuigdata van individuen in verschillende landen. Daarvóór al wist datzelfde techplatform 10.000 locaties te destilleren uit gratis voertuigdatasamples op Otonomo’s website.
Bij wagenparkbeheerders ligt het anders. Zij krijgen de data aangeleverd op basis van het VIN-nummer, zodat ze per auto precies inzicht krijgen in de kilometerstand, de onderhoudsstatus en eventueel rijgedrag. Privacy in het geval van bijvoorbeeld een leasemaatschappij ligt nog niet zo eenvoudig, want bij wie horen de data? Zegt de kilometerstand of het onderhoudsinterval iets over de leaserijder, of over het geregistreerde eigendom van de leasemaatschappij? Of allebei? En wat als er een keer iemand anders dan de gebruikelijke leaserijder in de auto rijdt, van wie zijn de data dan? In hoeverre kan algemene slijtage van een auto bij lease of verhuur worden toegeschreven aan een specifieke klant, en gaat het dan wel of niet om persoonsgegevens? Omtrent dit soort kwesties bestaan richtlijnen van de European Data Protection Board (EDPB), die op de hand zijn van de automobilist. In lijn met de AVG pleiten de richtlijnen voor dataminimalisatie. De koepelorganisatie Leaseurope (‘The voice of leasing and automotive rental in Europe’) heeft er bedenkingen bij.
Dataminimalisatie zit in ieder geval niet in het DNA van de vehicle data hubs en groeien is het credo (hoewel niet iedere hub even commercieel is ingesteld: sommige beperken zich enkel tot het bedienen van wagenparkbeheerders). Zie bijvoorbeeld deze – voor investeerders bestemde – interne presentatie van Otonomo (‘strictly private and confidential’) uit februari 2021. Dat was voordat het rap bergafwaarts ging met dit Israëlische bedrijf, dat begin dit jaar – met naamsbehoud – werd overgenomen door het Amerikaanse Urgently.
In april vorig jaar spande een BMW-leaserijder in Californië mede namens anderen een class action (massaschadeclaim) aan tegen Otonomo, omdat het bedrijf zonder expliciete toestemming van berijders en in het geheim realtime GPS-locaties van 50 miljoen auto’s zou verzamelen en verkopen. Otonomo, dat stelt dat automobilisten eigenaar zijn van hun eigen data, kreeg de rechter zover om de claim in januari van dit jaar af te wijzen, maar de eisende partij ging een maand later in beroep. De zaak loopt nog.