Connected cars en privacy – wie zit er in de ‘driver’s seat’?

Tegen de achtergrond van enkele recente ontwikkelingen gaan we in deze aflevering van onze serie over connected cars in op de vraag wie de regie van voertuigdata in handen heeft. Is dat de automobilist of de autofabrikant? 

Dit stuk in vijf punten:

  • Van wie zijn gegevens die voortkomen uit een auto? Van de autofabrikant of van de bezitter/berijder van het voertuig? Hierover woedt al jaren discussie. Het is een lastige kwestie omdat er vaak sprake is van meerdere berijders en de eigenaar van een voertuig lang niet altijd de (vaste) berijder is, maar bijvoorbeeld een leasemaatschappij. Bovendien hebben voertuigen gedurende hun levensduur vaak meerdere eigenaren.

  • De vraag van wie voertuiggegevens zijn, veronderstelt bezit en eigenaarschap. In veel gevallen kan je data echter helemaal niet bezitten. Het gaat er veeleer om wie er de zeggenschap over heeft. Wie kan regie over de gegevens voeren en bepalen voor wie die beschikbaar zijn, en onder welke voorwaarden? Dat is wat juridisch moet worden geregeld.

  • Consumenten mogen dan wel de auto bezitten, het zijn in de praktijk toch echt de autofabrikanten die (in de meeste gevallen) de regie over de data voeren en bepalen of en hoe zij die data voor zichzelf te gelde maken.

  • Met juridisch dichtgetimmerde gebruiksvoorwaarden en privacyverklaringen, een app die bij de auto hoort en allerlei instellingen in het dashboardmenu is het voor automobilisten ook niet eenvoudig om qua datastromen het overzicht te bewaren en gebruik te maken van hun rechten onder de Algemene Verordening Gegevensbescherming. Grote kans dat ze akkoord gaan met zaken waar ze eigenlijk niet de voorkeur aan geven.

  • De AVG komt in automotive context niet goed uit de verf en autofabrikanten die met het oog op concurrentievoordeel sterk privacybeleid inzetten als exclusief verkoopargument, zijn vooralsnog op één hand te tellen. Lichtpunt: in Brussel is nieuwe wetgeving in de maak die in dit opzicht een significante verbetering voor consumenten zal betekenen.

Zo schiet je als startup als een raket omhoog en word je met een waarde van meer dan 1 miljard dollar aangeduid als een unicorn, zo drogen je kapitaalinjecties op en ben je genoodzaakt faillissement aan te vragen. Dat overkwam het Britse Wejo: in 2014 in Manchester opgericht en mede dankzij samenwerkingen met General Motors, Microsoft en Palantir Technologies uitgegroeid tot een van de grootste verwerkers van voertuigdata. Eind mei dit jaar kwam er tot veler verbazing een (voorlopig) einde aan het sprookje.

Als beursgenoteerd bedrijf wist Wejo zich lange tijd verzekerd van investeringen en sloot het in Europa bijvoorbeeld een grote deal met Ford waardoor het toegang kreeg tot de persoonsgegevens van Ford-rijders, die het vervolgens kon doorverkopen aan verzekeringsmaatschappijen. Als gevolg van de gierende inflatie, de cryptocrisis, banken die eerder dit jaar op omvallen stonden (o.a. de Silicon Valley Bank) en ingrijpende ontslagrondes binnen de techsector, verloren (durf)investeerders echter hun vertrouwen in snelgroeiende maar verlieslijdende ondernemingen als Wejo.

Het bedrijf mocht dan bijna 14 miljoen auto’s in realtime kunnen volgen, vorig jaar leed het een verlies van 160 miljoen dollar. De markt voor voertuigdata is schijnbaar niet per definitie een goudmijn.

Wejo noemden we al eerder in ons stuk over vehicle data hubs: bedrijven die voertuigdata gladstrijken voor derde partijen (zie: Connected cars als verdienmodel voor datamakelaars). Dergelijke startups (dat zijn het in de meeste gevallen) bestuderen is een handige manier om een goed beeld te krijgen van wat voor gegevens er uit connected cars komen.

Recht op inzage

Het Duitse Netzpolitik bewandelt in dit opzicht een andere en iets preciezere weg. Als zoveelste medium wil het graag weten wat autofabrikanten aan data binnenhengelen en roept bezitters van nieuwe modellen van Audi, BMW, Mercedes, Opel, Volkswagen en Tesla op verzoeken tot inzage in hun eigen gegevens te doen, en de uitkomsten van die aanvragen vervolgens te delen. Iedere (nieuwsgierige) automobilist – ook in Nederland – heeft onder de Algemene Verordening Gegevensbescherming (AVG) het recht een dergelijk verzoek in te dienen, en iedere fabrikant is verplicht hier adequaat op te reageren. Tips hieromtrent en een voorbeeldbrief zijn te vinden bij de Autoriteit Persoonsgegevens.

Ontdekken wat een auto allemaal over je verzamelt kan ook makkelijker, dacht Privacy4Cars. Dat bedrijf werd in 2018 bekend door een gelijknamige gratis app te ontwikkelen die individuele automobilisten en bedrijven snel en efficiënt in staat stelt om persoonsgegevens te verwijderen uit de infotainmentsystemen van auto’s. Nu heeft het een online tool gebouwd (Vehicle Privacy Report) waarmee – vooralsnog alleen Amerikaanse en Canadese – automobilisten aan de hand van hun VIN-nummer (het unieke identificatienummer van een auto) er eenvoudig achter kunnen komen welke (persoons)gegevens hun autofabrikanten (kunnen) vergaren en met wie die gegevens zoal worden gedeeld. De tool baseert dat op een groot aantal privacyverklaringen, gebruiksvoorwaarden en andere bepalingen van autofabrikanten die Privacy4Cars van het internet heeft geplukt.

In dergelijke verklaringen blijft vaak onduidelijk of, en zo ja, in hoeverre je auto automatisch wordt gesynchroniseerd met je telefoon. Als je je smartphone inplugt op de boordcomputer, of als je connectie maakt via Bluetooth, worden gegevens uit je mobiel dan overgeheveld, en blijven ze dan binnen de auto, of worden ze zelfs doorgestuurd? Het overhevelen van telefoondata zonder dat mensen dat door hadden was in ieder geval jaren geleden in de VS geen uitzondering (zie dit opzienbarende fragment uit een interview met een expert op het gebied van car forensics). Mits je toestemming geeft tot synchronisatie en de gegevens in de auto blijven, is er niet veel aan de hand. Dan is in Europa de AVG slechts ten dele van toepassing omdat de verwerking van de gegevens plaatsvindt enkel voor persoonlijk of, zoals dat wordt genoemd, huishoudelijk gebruik.

Veel interessante berichtgeving omtrent connected cars komt uit de VS, waar overwegend dezelfde merken en in wat mindere mate ook dezelfde modellen rondrijden als in Europa. De vraag is echter of wat daar gebeurt op het gebied van datavergaring en (gebrek aan) privacy, ook van toepassing is op de situatie in de EU. Aan weerszijden van de oceaan zijn de auto’s technisch natuurlijk tot hetzelfde in staat, maar aangezien het in bijna alle Amerikaanse staten ontbreekt aan sterke privacywetgeving, hebben autofabrikanten daar meer speelruimte om met voertuigdata te doen wat ze willen, en hebben consumenten in dit opzicht eerder het nakijken. Alleen de progressieve staat Californië heeft met de California Privacy Rights Act sinds 1 januari 2023 wetgeving die vergelijkbaar is met onze AVG. De California Privacy Protection Agency (de enige toezichthouder in de VS die zich exclusief richt op privacy) is zojuist een onderzoek gestart naar datavergaring in de context van connected cars.

Enigszins kort door de bocht geldt: wetgeving stelt in Europa de burger/consument centraal, in Amerika het (groot)bedrijf en in China de overheid. Sinds 2016 verplicht China alle autofabrikanten, dus ook westerse, allerlei voertuigdata van elektrische auto’s met de overheid te delen. Primair (economisch) doel daarvan is de eigen auto-industrie een inhaalslag te laten maken, maar het mag duidelijk zijn dat surveillance door de staat in deze wetgeving zit ingebakken.

Van wie zijn voertuigdata?

Eerder al schreven we dat connected cars enorme hoeveelheden data genereren en brachten we in kaart bij welke partijen die data terechtkomen. Op de vraag van wie voertuigdata eigenlijk zijn, zijn we nog niet uitvoerig ingegaan. Zijn die gegevens van de autofabrikant of van de bezitter/berijder van het voertuig? Hierover woedt al jaren discussie en we zijn zeker niet de eersten die deze vraag aanstippen. Wat deze discussie bemoeilijkt is het feit dat er vaak sprake is van meerdere berijders, en de eigenaar van het voertuig lang niet altijd de (vaste) berijder is, maar bijvoorbeeld een leasemaatschappij. Daarnaast hebben voertuigen tijdens hun levensduur vaak meerdere eigenaren.

De vraag van wie (voertuig)data zijn maakt meteen duidelijk wat er op het spel staat, maar is eigenlijk wat ongelukkig. Los van het feit dat de meeste automobilisten technisch gezien helemaal niet in staat zijn om bij de versleutelde data uit hun eigen voertuig te komen, laat staan daar vervolgens mee aan de slag te gaan, veronderstelt deze vraag namelijk bezit en eigenaarschap. In veel gevallen kan je data echter helemaal niet bezitten. Althans, niet als enige: een identieke dataset kan gelijktijdig in veel verschillende handen zijn en zich op veel verschillende plekken bevinden. Het gaat er veeleer om wie de zeggenschap over de data heeft. Wie kan regie over de gegevens voeren en bepalen voor wie die beschikbaar zijn, en onder welke voorwaarden? Dat is wat juridisch moet worden afgedekt.

De boodschap van de langlopende campagne My Car My Data van de ANWB en de Internationale Automobiel Federatie (FIA) is duidelijk: automobilisten moeten zelf kunnen beslissen over alle voertuigdata, waaronder die van technische aard. De in Finland gevestigde maar Europees actieve ngo MyData denkt daar – net als veel andere niet-gouvernementele organisaties – net zo over. Belangrijker is dat de European Data Protection Board (EDPB) – de koepelorganisatie van alle autoriteiten persoonsgegevens in de EU – hier in mee gaat door in specifieke richtlijnen onder meer te stellen dat technische voertuiggegevens inderdaad óók persoonsgegevens zijn. De EDPB beveelt fabrikanten aan een verwijderknop op het dashboard te installeren zodat automobilisten eenvoudig in één keer hun persoonsgegevens kunnen wissen wanneer ze maar willen.

Grijs gebied

De theorie is redelijk duidelijk maar de praktijk is weerbarstiger. De richtlijnen van de EDPB moesten voorkomen dat de autoriteiten persoonsgegevens tig keer dezelfde vragen zouden krijgen en autofabrikanten zich achter de generieke AVG zouden verschuilen. Toch komt de AVG voor wat betreft connected cars niet goed uit de verf. Automobilisten zijn er over het algemeen maar weinig mee opgeschoten.

Zo kan de EDPB bijvoorbeeld wel stellen dat technische gegevens persoonsgegevens zijn, dat neemt niet weg dat er door de grote overlap tussen deze twee soorten data (de staat van de remmen en het remgedrag) sprake is van een grijs gebied. Dat stelt fabrikanten bijvoorbeeld in de gelegenheid om – onder het mom van het goed en veilig laten functioneren van het voertuig – bepaalde bepalingen naar hun hand te zetten (bijvoorbeeld de AVG-grondslag ‘gerechtvaardigd belang’ om gegevens te mogen verwerken), en zo alsnog bepaalde data te verzamelen. Het is niet dat autofabrikanten massaal de AVG overtreden – ze kijken wel uit. Sommige maken gewoon handig gebruik van de mazen in de wet. Mede afhankelijk van het business model gaat de ene fabrikant daar verder in dan de andere.

Een studie van de universiteit Harvard (Who owns the data generated by your smart car?) komt tot de conclusie dat de consument dan wel de auto mag bezitten, het zijn in de praktijk toch echt de autofabrikanten die (in de meeste gevallen) de regie over de data voeren en bepalen of en hoe zij die data voor zichzelf te gelde maken.

Met juridisch dichtgetimmerde gebruiksvoorwaarden en privacyverklaringen (die na aanschaf vaak nog herhaaldelijk worden geüpdatet), een app die bij de auto hoort en allerlei instellingen in het dashboardmenu is het voor automobilisten ook niet eenvoudig om qua datastromen het overzicht te bewaren. Ze krijgen in principe wel de kans om de regie over hun data te voeren – tot op zekere hoogte dan, want het nodige komt wel degelijk aan op take it or leave it – maar erg duidelijk en begrijpelijk is het voor hen meestal niet. Grote kans dat ze akkoord gaan met zaken waar ze eigenlijk niet de voorkeur aan geven.

Cookievoorkeuren

Als je je cookievoorkeuren instelt bij het bezoek aan een website en je bekijkt de lange lijst met adverteerders, dan val je van je stoel. Wat zouden automobilisten denken als ze in één oogopslag zagen met wie hun data allemaal wordt gedeeld? Helaas gaat de analogie met online cookies niet op: in een auto kan je niet op detailniveau voorkeuren uitspreken voor (de datastromen achter) essentiële, functionele en entertainmentapps en diensten.

De hierboven beschreven tekortkomingen (er zijn er meer) zijn waarschijnlijk de reden dat de vraag van wie voertuigdata zijn steeds opnieuw wordt gesteld. Een rechterlijke uitspraak die de richtlijnen van de EDPB bekrachtigt is er in ieder geval niet: noch een groep automobilisten noch de Europese Commissie heeft ooit een rechtszaak tegen een autofabrikant aangespannen vanwege vermeend misbruik van persoonsgegevens. Dergelijke rechtszaken zijn een indicatie van de mate waarin bepaalde wetgeving wordt overtreden of omzeild. Waar bijvoorbeeld Facebook en Google herhaaldelijk door de Commissie zijn aangepakt voor hun omgang met persoonsgegevens, blijft dit de auto-industrie tot dusverre bespaard.

In het geval van een massaclaimzaak zouden de consumenten (automobilisten) het overigens niet alleen moeten opnemen tegen een legertje topadvocaten, ze zouden waarschijnlijk ook aankijken tegen een grote informatieachterstand. Fabrikanten weten immers veel meer over hun klanten dan andersom. Daar kwamen ook klagende Tesla-rijders achter die Tesla voor de rechter hadden gesleept vanwege kapotte aandrijfassen. Als bewijslast voerde Tesla rijgedrag- en voertuiggegevens aan van én tegen deze procederende klanten, en werd op basis daarvan in het gelijk gesteld.

Exclusief verkoopargument

Zelf houden autofabrikanten zich in de datadiscussie wat meer op de vlakte: voor het imago is het ook niet handig om te roepen dat zij de baas over de data zijn. We are GDPR compliant of We value your privacy – doorgaans blijft het bij dat soort neutrale statements. Weinigen zullen betwisten dat met connected cars de privacy van automobilisten onder druk staat, toch zijn er met zoveel verschillende merken en modellen schakeringen. Zo zullen bijvoorbeeld Duitse automerken waarschijnlijk niet tot de grootste privacyschenders behoren.

Enkele merken komen hun klanten wat databescherming aan gaat duidelijk meer tegemoet dan anderen, zoals Audi met de dashboardinstelling ‘privacy mode’ en Volkswagen met de instelling ‘maximum privacy’. Sommige merken vermelden op het dashboard niet veel meer dan dat datavergaring plaatsvindt (gaarne accepteren of niet) en verwijzen naar een website voor meer informatie. Voor enkele voorbeelden, zie foto’s op Auto Interfaces.

Autofabrikanten die met het oog op concurrentievoordeel sterk privacybeleid inzetten als exclusief verkoopargument, zijn hoe dan ook op één hand te tellen. Marketing is veelal gericht op rijplezier en functionaliteit. Het bestuur van Porsche (onderdeel van Volkswagen) besloot twee jaar geleden op de troepen vooruit te lopen door nadrukkelijk te communiceren dat de dataregie (tenminste voor het model Taycan) geheel aan de klant is en die de mogelijkheid heeft het delen van (persoonlijke) gegevens – dan wel met de fabrikant, dan wel met derde partijen – te finetunen of volledig stop te zetten.

Fraai, maar ja, wie kan zich een Porsche veroorloven? Toch zal dit beleid binnen enkele jaren standaard worden voor alle autofabrikanten in Europa. Daar gaat de Dataverordening uit Brussel voor zorgen. Bedrijfsethiek en (vrijwillige) gedragscodes zijn nuttig, maar uiteindelijk kunnen alleen wetgeving en toezicht consumenten behoeden voor privacy-invasief gebruik van technologie voor commercieel gewin. Waar de AVG in automotive context hooguit een goede springplank was, zal de Dataverordening – die betrekking heeft op alle sectoren van de economie – de vraag wie de regie over (voertuig)data mag voeren voor eens en altijd in het voordeel van de consument beslechten.

In het volgende artikel gaan we dieper op deze nieuwe wetgeving in.