Europese Dataverordening moet automobilist definitief zeggenschap over eigen data geven

De nieuwe Europese Dataverordening moet data binnen de EU vrij laten stromen en optimaal laten renderen. De wet – die van toepassing zal zijn op de hele economie – neemt fabrikanten en dienstverleners de dataregie uit handen en geeft die nadrukkelijk aan consumenten. Hoewel er over aanvullende wetgeving voor de auto-industrie nog wordt onderhandeld, staat nu al vast dat de gevolgen voor met name deze sector groot zullen zijn. 

Dit stuk in vijf punten:

  • Met de Dataverordening is nieuwe Europese wetgeving die belangrijk zal zijn voor de privacy van iedereen aanstaande. Op basis daarvan moeten gegevens vrij kunnen stromen binnen alle sectoren van de economie en optimaal kunnen worden gebruikt en hergebruikt. Met zo’n interne datamarkt wil de EU zich op mondiaal niveau een concurrentievoordeel verschaffen in een steeds verdergaande, gegevensgestuurde economie.

  • Belangrijk uitgangspunt van de Dataverordening is dat consumenten ten aanzien van apparaten die verbonden zijn met het internet (waaronder connected cars) toegang krijgen tot hun eigen data, en zij ook – veel nadrukkelijker dan onder de Algemene Verordening Gegevensbescherming het geval is – kunnen bepalen met welke derde partijen zij die data wel en niet willen delen.

  • Voor sommige sectoren schiet de Dataverordening op zichzelf tekort. Die vereisen specifieke, aanvullende wetgeving. Dat geldt ook voor de auto-industrie. Gesprekken over sectorale wetgeving voor die industrie zijn nog gaande en verlopen moeizaam. Tegenover elkaar staan enerzijds de autofabrikanten en anderzijds met name partijen uit de aftermarket. Ter discussie staat met name hoe toegang tot voertuiggegevens en een aantal aanverwante zaken moeten worden geregeld.

  • Autofabrikanten willen hun datasoevereiniteit niet zomaar uit handen geven terwijl de aftermarket verzekerd wil zijn van eerlijke toegang tot voertuiggegevens en niet buitenspel wil komen te staan. Er zal een compromis moeten worden gevonden want de voorstellen van beide kampen liggen ver uit elkaar.

  • De Dataverordening mag dan binnenkort formeel worden aangenomen (invoertermijn: 20 maanden), de bijbehorende sectorale wetgeving zal waarschijnlijk sowieso nog geruime tijd op zich zal laten wachten. Het huidige Europees Parlement zal zich er waarschijnlijk niet meer over buigen. Volgend jaar juni zijn er Europese verkiezingen en vooraleer er door het nieuwe parlement over voertuigdata zal worden gestemd, kan het zo maar 2025 of later zijn.

Wet- en regelgeving hobbelt onvermijdelijk achter digitale technologieën aan. Pas als de samenleving lang en breed bekend is met de ongewenste gevolgen van bepaalde ontwikkelingen, kan er worden beteugeld, bijgestuurd of verbannen. Of juist nog meer worden geïnvesteerd in zaken die waardevol worden geacht.

Of het nu gaat over zoekmachines of algoritmes, slimme apparaten of cloudcomputing – de Brusselse beleidsmachine draait de laatste jaren overuren. Met wetgeving omtrent kunstmatige intelligentie in de maak en eerder al wetten over gegevensbescherming (rond elektronische communicatie), cybersecurity, digitale markten en digitale diensten, is recent de volgende stap gezet in het verwezenlijken van de Europese datastrategie. Met dit grote beleidsplan probeert de EU zich op mondiaal niveau een concurrentievoordeel te verschaffen in een steeds verdergaande, datagestuurde economie.

Een interne markt voor data moet ervoor gaan zorgen dat (geanonimiseerde) persoonlijke en niet-persoonlijke gegevens vrij kunnen stromen binnen de hele EU en door alle sectoren van de economie. Die gegevens moeten optimaal kunnen worden gebruikt en hergebruikt. Sommige sectoren – zoals transport en mobiliteit die voor een groot deel draaien op voertuigdata – worden geoormerkt als geprioriteerde data spaces en krijgen extra nadruk.

De datastrategie heeft twee belangrijke pijlers: de in 2021 overeengekomen Datagovernanceverordening en de Dataverordening, waarover eind juni dit jaar een akkoord is bereikt. Waar de Datagovernanceverordening de processen en structuren creëert om het delen van data door bedrijven, particulieren en overheden te vergemakkelijken, verduidelijkt de Dataverordening wie onder welke voorwaarden waarde uit die data mag creëren.

Doorgaans hebben alleen dienstverleners en fabrikanten zeggenschap over de toegang tot en het gebruik van de data die hun diensten of producten genereren. Die zeggenschap komt straks bij consumenten te liggen. Consumenten krijgen ten aanzien van apparaten die verbonden zijn met het internet (waaronder connected cars) toegang tot hun eigen data en daarnaast ook het recht om gegevens te verplaatsen van de ene naar de andere dienstverlener of fabrikant (verwerkingsverantwoordelijke). Bovendien kunnen consumenten bepalen met welke derde partijen zij hun data wel en niet willen delen. Derde partijen die toegang krijgen tot data zullen hiervoor een vergoeding aan de fabrikant moeten betalen.

In deze opzichten is de Dataverordening niet alleen in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG), maar ook een aanvulling daarop. Zie deze vraag-en-antwoordpagina van de Europese Commissie voor meer informatie over de Dataverordening. Op papier ziet het er aardig uit, maar in hoeverre deze wetgeving vanuit consumentenoogpunt daadwerkelijk een succes zal zijn, zal mede afhangen van het toezicht van de Europese autoriteiten persoonsgegevens. Feit is dat die waakhonden door een tekort aan personeel en financiering nu al nauwelijks berekend zijn op hun taak en hun handen vol hebben aan overtredingen van de AVG.

Sectorale wetgeving

De Dataverordening is horizontale wetgeving: ze heeft betrekking op alle sectoren van de economie. Maar op de (technische) complexiteit van bepaalde sectoren is de verordening onvoldoende toegesneden. Die sectoren, waaronder de medische, de energie- en de bankensector, vereisen specifieke, aanvullende wetgeving die onder de verordening komt te hangen. Dergelijke verticale wetgeving moet voorkomen dat belanghebbenden elkaar voortdurend voor de rechter slepen vanwege een gebrek aan duidelijkheid.

In ons vorige artikel over connected cars gingen we in op de vraag wie de regie voert over voertuigdata. Dat zijn op dit moment overwegend de autofabrikanten. Ondanks de AVG hebben automobilisten om een aantal specifieke redenen grotendeels het nakijken. Met de komst van de Dataverordening komt daar verandering in en zullen automobilisten een veel centralere rol gaan innemen in het ecosysteem van spelers rond connected cars. Zij moeten straks expliciet toestemming geven aan de partijen met wie zij hun data willen delen. Het mag ook niet (meer) zo zijn dat een auto niet werkt als niet overal toestemming voor wordt verleend. Om dit en andere zaken goed te regelen is wel aanvullende sectorale wetgeving voor de auto-industrie nodig.

Struikelblokken

Die sectorale wetgeving bestrijkt verschillende onderwerpen maar draait hoofdzakelijk om de manier waarop toegang tot voertuiggegevens, -functies en -hulpmiddelen wordt geregeld, en alles wat daar voor verschillende belanghebbenden bij komt kijken. Denk bij voertuigfuncties bijvoorbeeld aan de mogelijkheid een auto op afstand te ontgrendelen of vergrendelen.

Wetgeving omtrent access to vehicle data is al jaren in de maak, maar komt moeilijk van de grond. In 2018 verscheen in opdracht van de Europese Commissie een zeer lijvig onderzoek van het Transport Research Laboratory (TRL) over alle technologische mogelijkheden om als derde partij toegang te krijgen tot voertuigdata. De struikelblokken en tegengestelde belangen hierbij zijn talrijk.

Kortweg staan er twee uitersten tegenover elkaar: enerzijds is er het zogenaamde extended vehicle-concept (ISO standard 20077-1) waarbij fabrikanten derde partijen aan de hand van externe software en hardware toegang verlenen tot gegevens en functies uit het voertuig. De ontwikkeling, invoering en het beheer zijn hierbij volledig in handen van de fabrikant. Mede met het oog op de cyberveiligheid, intellectueel eigendom en juridische aansprakelijkheid in het geval er iets mis gaat (zeker nu voertuigen steeds zelfstandiger worden), zijn autofabrikanten huiverig om anderen toegang te geven tot het netwerk van de auto, dat zij zoveel mogelijk willen beschermen tegen manipulatie van buitenaf.

Automobilisten en derde partijen gegevens laten uitlezen (‘read access’) is tot daar aan toe, hun de mogelijkheid geven systemen aan te passen (‘read-write access’) is voor fabrikanten een absolute no go. Ingrijpen in de CAN-bus (het hoofdsysteem dat de algehele werking van het voertuig aanstuurt, van de remmen tot de rijhulpsystemen) lijkt echter sowieso uit den boze: het zal waarschijnlijk hooguit gaan om toegang tot het infotainmentsysteem voor het leveren van aanvullende diensten.

Anderzijds is er het Secure Onboard Telematics Platform (S-OTP), een oplossing van de grote Europese lobbyclub AFCAR, die de hele aftermarket vertegenwoordigt en in Nederland bestaat uit zeven partijen, waaronder BOVAG. Bij S-OTP hebben automobilisten de dataregie in handen, bestaat er een scheiding van taken, staan fabrikanten niet tussen automobilisten en dienstverleners in, en is bijvoorbeeld sprake van veilige, gestandaardiseerde toegang tot het netwerk van het voertuig voor alle dienstverleners (waaronder de fabrikant zelf) die van de berijder groen licht krijgen.

Het afspelen van deze video vereist het plaatsen van Youtube cookies. Deze cookies worden enkel geplaatst na het accepteren. Bekijk het privacybeleid van Youtube.

Poortwachter

Als autofabrikanten onder S-OTP niet direct gegevens uit de auto krijgen, of ervoor zorgen dat anderen toegang tot die data krijgen, wie zorgt daar dan wel voor? Hoe kunnen dienstverleners met wie consumenten in zee willen, gegevens uit de auto ontvangen en daar naartoe terugsturen? Wie ziet erop toe dat onder meer datastromen en apps in auto’s worden gevalideerd en geautoriseerd aan de hand van een standaard, beveiligd protocol? Dat de ene partij niet wordt bevoordeeld ten koste van de andere? Het idee is dat er één of meerdere onafhankelijke poortwachters (data guardians) komen die alle belanghebbenden vertegenwoordigen.

In de sectorale wetgeving zal niet voor de ene of de andere oplossing worden gekozen, maar voor een compromis waar iedereen mee kan leven. Het gevaar schuilt er echter in dat als fabrikanten nu ieder voor zich naar eigen inzicht doorgaan met de ontwikkeling van hun software, IT-systemen en datamanagement, er over enkele jaren sectorale wetgeving op tafel ligt die op technisch vlak allerlei zaken vereist die nog maar moeilijk zijn in te bouwen. Hoe sneller de sectorale wetgeving er komt, hoe makkelijker het is om bepaalde functies op te nemen in systemen die vooralsnog niet in beton gegoten zijn.

Personal Information Management System

Neem als voorbeeld het lovenswaardige uitgangspunt dat er niks met gegevens gebeurt zonder toestemming van de eigenaar of berijder van het voertuig. Geeft die geen toestemming, kunnen er geen data worden gedeeld, noch met de fabrikant, noch met derde partijen. Maar hoe ga je het precies regelen als diegene uitgebreide voorkeuren heeft: deze data mag wel worden gedeeld, maar deze niet, en wel met partijen A, B en C, maar niet met partijen D, E en F. (Interessant is overigens wat deze ontwikkeling zal betekenen voor de markt van vehicle data hubs, die wij in een eerder artikel bespraken. Het is goed denkbaar dat veel automobilisten helemaal geen gegevens met dergelijke bedrijven willen delen.)

Hiervoor zal een personal information management system in het dashboard moeten worden opgetuigd. Maar waar moet dat systeem aan voldoen? Hoe stel je mensen het beste in staat hun voorkeuren uit te spreken? Hoe uitgebreid wordt het en hoe houd je het behapbaar? Gesprekken in Brussel gaan ook hier over. Feit is dat als je IT-architectuur al helemaal op poten staat en je met terugwerkende kracht nog allerlei features omtrent toestemming moet inbouwen, dat een lastig verhaal kan worden.

Minimumlijst

Onderdeel van de voorstellen van de Europese Commissie om toegang tot voertuigdata te regelen is een minimumlijst met data, functies en hulpmiddelen die de fabrikant van een model moet openbaren. Zo’n lijst zou min of meer neerkomen op een opsomming van alle sensoren die in een auto zitten, iets dat op dit moment geen deel uitmaakt van de typegoedkeuring van een voertuig. Aftermarketpartijen zijn hier in principe voorstander van, maar zijn ook wat sceptisch omdat een vaste lijst met datapunten door de voortschrijdende techniek mogelijk al verouderd is net nadat die is opgesteld. Ze pleiten voor een onafhankelijke partij (de eerder genoemde poortwachter?) die bijhoudt en toetst welke data er uit een auto kunnen komen.

Overigens is het zo dat elektrische voertuigen bij lange na niet zoveel technische data generen als auto’s met brandstofmotoren, en de kosten voor reparatie en onderhoud in vergelijking ook veel lager liggen. Voor een deel van de aftermarket zijn stekkerauto’s een stuk minder interessant.

Redelijke vergoeding

Een ander heikel punt in de onderhandelingen over sectorale wetgeving heeft betrekking op het feit dat derde partijen die toegang krijgen tot voertuigdata, de autofabrikant daarvoor een ‘eerlijke, redelijke en non-discriminatoire’ vergoeding moeten betalen. Maar wat is een dergelijke vergoeding precies? Over dat rekbare begrip zijn de meningen verdeeld. In de huidige situatie is het zo dat de fabrikanten zelfstandig vergoedingen bepalen door te kijken naar hun eigen kosten en naar hoe relevant en lucratief voertuigdata zijn voor de business case van een derde partij. Aftermarketpartijen pleiten ervoor om bij het bepalen van de vergoeding rekening te houden met de onderhandelingspositie die derde partijen met autofabrikanten hebben. Van gelijkwaardigheid is vaak geen sprake. Zo kan een lokale mkb’er in onderhandelingen met een multinationale autofabrikant makkelijk worden afgetroefd.

Fabrikanten wijzen in deze discussie vooral op de complexiteit en voor hen hoge kosten die gemoeid zijn met twee (waarschijnlijke) vereisten: de voertuigdata moeten voortdurend en in realtime beschikbaar zijn voor automobilisten en derde partijen; en gedurende de hele levensduur van een auto (10-15 jaar) moet die voorziening (qua volume, type, functionaliteit, enz.) up to date worden gehouden. Vooral dat laatste is met zoveel modellen en ook zoveel verschillen tussen die modellen volgens de fabrikanten geen doen.

Internetconsultatie

Op een internetconsultatie van de Europese Commissie over de sectorale wetgeving (specifiek over vier verschillende manieren van toegang tot voertuiggegevens, -functies en -hulpmiddelen) kwamen vorig jaar 154 reacties. Opvallend genoeg waren het in meer dan de helft van de gevallen bezorgde burgers die hun stem lieten horen. Verder waren het de usual suspects: naast enkele overheden vooral brancheorganisaties, allianties en afzonderlijke bedrijven. Van de Franse Connected Mobility For All Alliance, die acht principes propageert voor een evenwichtig connected cars systeem, tot Fastned, de Nederlandse uitbater van laadstations voor elektrische auto’s.

De meeste reacties op de consultatie kwamen uit Duitsland, waar de discussie over de toegang tot voertuigdata waarschijnlijk nog het felst wordt gevoerd, mede omdat daar een gerelateerde nationale wet inzake mobiliteitsdata aanstaande is. Aanjager van het debat aldaar was de Duitse Federatie van de Auto-industrie, die met een voorstel kwam om sectorspecifieke wetgeving vorm te geven (Automotive Data Access, Extended and Open – ADAXO). Zowel de ADAC (de Duitse ANWB) als de Federatie van Duitse Consumentenorganisaties maakten daar in tegenvoorstellen korte metten mee omdat ADAXO nauwelijks iets aan de huidige situatie zou veranderen en autofabrikanten eenvoudigweg de niet-transparante poortwachters van de data zouden blijven.

Hoewel de onderhandelingen over de sectorale wetgeving lijken af te stevenen op de keuze voor één bepaald voorstel dat door de aftermarket wordt toegejuicht (optie 3), verlopen ze moeizaam. De auto-industrie weet dat het meer te verliezen heeft dan te winnen en zet in op damage control. In eerste instantie liep zij al niet erg warm voor de Dataverordening, kon daar vervolgens toch mee leven maar probeerde toen de sectorale wetgeving op de lange baan te schuiven met de boodschap: de verordening alleen is voorlopig echt wel voldoende, laten we eerst maar eens kijken hoe die uitpakt en vooral niet te hard van stapel lopen met nog meer regels die nefast uitpakken voor het innovatievermogen. Evident is dat autofabrikanten hun datasoevereiniteit niet zomaar uit handen willen geven.

Goedkeuring Europees Parlement

Naar verluidt lag EU-commissaris voor de Interne Markt Thierry Breton tot in ieder geval vrij recent om onduidelijke redenen ook dwars. En dat terwijl de hoge ambtenaren direct onder hem van mening zijn dat sectorale wetgeving wel degelijk gewenst is en de Europese Commissie in het derde kwartaal van dit jaar met een voorstel komt op basis waarvan het getouwtrek tussen belanghebbenden verder zal gaan.

De Dataverordening mag dan binnenkort formeel worden aangenomen (invoertermijn: 20 maanden), de bijbehorende sectorale wetgeving zal waarschijnlijk sowieso nog geruime tijd op zich zal laten wachten. Het is immers maar de vraag of het huidige Europees Parlement zich er nog over zal kunnen ontfermen. Volgend jaar juni zijn er Europese verkiezingen en vooraleer er door het nieuwe parlement over voertuigdata zal worden gestemd, kan het zo maar 2025 zijn. Of nog later.

Nederlandse positie

De Nederlandse positie is hoe dan ook duidelijk: er moet sectorale wetgeving komen. Daar hebben lobbyclub AFCAR en anderen zowel politiek Den Haag als het ministerie van Infrastructuur en Waterstaat in de afgelopen jaren van weten te overtuigen.

Momenteel werkt het ministerie aan een position paper om de Nederlandse positie in Brussel kracht bij te zetten. In het commissiedebat ‘Auto’ van afgelopen juni zegde de inmiddels demissionaire minister Mark Harbers toe om de Kamer dit najaar te informeren over de Nederlandse inzet op het dossier voertuigdata in EU-verband (alsook over de stand van zaken met betrekking tot privacy en data bij niet-Europese auto’s).