Ultieme vorm van smart mobility blijft door privacyrisico’s stip op de horizon
Dankzij verschillende technologische toepassingen wordt verkeer almaar intelligenter. Van het meest spraakmakende onderdeel van smart mobility komt om verschillende redenen echter nauwelijks iets terecht. Auto’s die met elkaar praten en zich automatisch aan elkaar aanpassen zijn vooralsnog een zeldzaamheid. Voornaam obstakel: de privacy van automobilisten is onvoldoende beschermd.
Dit artikel in vijf punten:
- Op allerlei manieren wordt het verkeer steeds slimmer. Zo is er in toenemende mate sprake van communicatie tussen moderne auto’s en bepaalde digitale infrastructuur aan de kant van de weg. De slimste vorm van smart mobility – die waarbij voertuigen op grote schaal direct met elkaar communiceren en zich automatisch aan elkaar aanpassen – komt daarentegen nauwelijks van de grond.
- De auto-industrie zet weliswaar vol in op rijhulpsystemen en zelfrijdend vermogen, maar de dure ontwikkeling van ‘coöperatief rijden’ gaat de meeste fabrikanten bij een gebrek aan een overtuigend verdienmodel een stap te ver.
- Belangrijker nog: een voorstel van de Europese Commissie om in voertuigen apparatuur voor coöperatief rijden verplicht te stellen, werd door de EU-landen verworpen. Wetgeving die voor een doorbraak had kunnen zorgen, is er dus niet gekomen.
- Een voorname reden daarvoor is dat de voorgestelde onderliggende technologie de privacy van automobilisten onvoldoende waarborgt. Coöperatief rijden werkt op basis van het ongericht uitzenden van open berichten. Berichten die locatiegegevens en dus persoonsgegevens bevatten. Daar moet volgens de Europese privacytoezichthouder veel zorgvuldiger mee worden omgesprongen dan de Commissie voor ogen had.
- De fundamentele aanpassingen die deze waakhond inmiddels zeven jaar geleden heeft aanbevolen om coöperatief rijden volledig te verwezenlijken, laten nog altijd op zich wachten. Uit onwil bij verschillende partijen zit dit dossier in een impasse. Wanneer daar een einde aan komt is onduidelijk. Zo blijft het kroonjuweel van verkeer dat slim is voorlopig slechts een toekomstvisie.
Toen 21 van de (toen nog) 28 EU-landen in juli 2019 wetgeving omtrent smart mobility van de hand wezen, stond de Europese Commissie in haar hemd. Lang was ze in de weer geweest met een voorstel om in voertuigen apparatuur voor ‘coöperatief rijden’ verplicht te stellen, en op zoveel tegenwerking had ze niet gerekend. Zeker niet nadat het Europees Parlement al groen licht had gegeven. Toch struikelde de Europese Raad over het feit dat het voorstel van de Commissie niet technologieneutraal was en er ernstige zorgen bestonden over de privacy van automobilisten. Nederland vond dit ook bezwaarlijk en behoorde tot de tegenstemmers. Waar dit precies over gaat, welke gevolgen dit had en hoe de zaken er nu – vijf jaar later – voor staan, daarover gaat dit tweede deel van ons tweeluik over slim verkeer.
Zonder voertuigdata geen slimme verkeerstoepassingen die de veiligheid en de doorstroom op de (snel)wegen ten goede komen, zo lieten we in het eerste deel over dit onderwerp zien. Die data worden omgezet in verkeersinformatie en aanverwante diensten, maar moeten daarvoor wel eerst langs verschillende partijen, waaronder autofabrikanten en wegbeheerders. Die methode heeft zich inmiddels bewezen, maar het verkeer zal pas écht slim worden zodra die tussenschijven achterwege kunnen blijven en voertuigen op grote schaal direct met elkaar gaan communiceren (Vehicle-to-Vehicle, V2V). Dan houden ze elkaar op de hoogte van snelheden, onderlinge afstanden en bijvoorbeeld gevaar op de weg, en zetten ze die informatie automatisch om in een gewenste actie: gas geven, remmen en/of sturen. Als gevolg daarvan zijn ze voornamelijk op snelwegen in staat om veel dichter op elkaar te rijden (platooning) en kan de capaciteit van de wegen efficiënter worden gebruikt.
Zo ver is het echter nog lang niet. Niet in de laatste plaats omdat dit auto’s met een hoge mate van autonomie vereist, en daar is bij nog geen enkel goedgekeurd model al sprake van. Toch wordt van Cooperative Intelligent Transport Systems (C-ITS) hoog opgegeven, onder meer als oplossing voor het wijdverbreide fileprobleem op snelwegen (stadsverkeer zal voor autonoom en coöperatief rijden waarschijnlijk te complex blijken). Proeven hieromtrent in binnen- en buitenland (ook met vrachtwagens) gaan al decennia terug. Het zijn echter vooral overheden, universiteiten en onderzoeksinstellingen die zich hiermee bezig houden. En enige tijd zowaar ook Privacy First: in de jaren 2015-2017 waren we deelnemer aan een landelijke ronde tafel waar kennis werd uitgewisseld en verschillende aspecten omtrent smart mobility werden bediscussieerd, waaronder privacy en gegevensbescherming.
Daarentegen is de markt enorm achtergebleven. Ja, de auto-industrie zet vol in op rijhulpsystemen en zelfrijdend vermogen, maar de ontwikkeling van coöperatief rijden gaat nog een stap verder en is complex en duur. Bij gebrek aan een overtuigend businessmodel valt er voor autofabrikanten ook weinig aan te verdienen. Zolang klanten er niet om vragen en zolang het niet wettelijk verplicht wordt, zijn er voor hen weinig prikkels om ermee aan de slag te gaan. Het aantal autoconcerns dat echt werk heeft gemaakt van C-ITS is op slechts één hand te tellen.
Toyota was tien jaar geleden pionier en is er inmiddels ver mee, maar dan vooral in thuisland Japan. In Europa heeft Renault serieuze interesse getoond, maar is Volkswagen het enige concern dat coöperatief rijden in de praktijk heeft gebracht – hoewel dat vooralsnog beperkt blijft tot het uitwisselen van verkeerswaarschuwingen. Enkele VW-modellen zijn sinds 2020 in staat om elkaar op de hoogte te brengen van gevaarlijke wegsituaties. Denk aan filestaarten, gladheid, spookrijders, enzovoort. Het is vervolgens aan de bestuurders (die het versturen en ontvangen van dergelijke berichten kunnen uitschakelen) om daarnaar te handelen. Zo wordt weggebruik voor met name deze VW-rijders een klein beetje veiliger, maar zolang alle andere merken achterblijven, is van een netwerkeffect natuurlijk geen sprake.
Wifi vs 5G
Connected cars zijn via hun SIM-kaarten en 3G, 4G of 5G versleuteld verbonden met de (verre) buitenwereld – eerst en vooral met de autofabrikant. Bij coöperatief rijden (voor zover daar dus al sprake van is) vindt de communicatie met de directe omgeving plaats aan de hand van een apart device en een aparte broadcast over een ongelicenseerd spectrum: Dedicated Short Range Communication (DSRC). De gangbare technologie hiervoor is wifi-P. Dat gaat niet om een vaste verbinding tussen een modem en een computer, zoals bij wifi thuis of op kantoor, maar om het ongericht uitzenden van een korte datastroom (het ITS-bericht) naar iedere willekeurige ontvanger in de buurt.
Deze zogenaamde Cooperative Awareness Messages (CAM) – die informatie geven over onder andere voertuigdimensies, posities en snelheden, en die door ontvangers in principe ruim binnen één seconde kunnen worden verwerkt – roepen eigenlijk aan de lopende band: ‘hier ben ik, hier ben ik, hier ben ik’. Hierbij is de privacy niet geborgd in de zin dat het open berichten zijn en het niet te overzien is wie die data allemaal ontvangt. Het gaat om locatiegegevens in combinatie met tijd, en dat heeft altijd een zekere gevoeligheid. Door heel veel berichten van verschillende locaties aan elkaar te koppelen, kan je – met name als overheid die beschikt over bepaalde digitale infrastructuur langs de weg en bij gebrek aan technologie die dit onmogelijk maakt – in potentie precies reconstrueren waar iemand is geweest.
Naast CAM-berichten zijn er de Decentralised Environmental Notification Messages (DENM); veiligheidsinformatie die slechts in bepaalde situaties wordt verstuurd. Denk aan wegwerkzaamheden of een ongeluk. Op termijn worden hier mogelijk nog zogenaamde Collective Perception Messages & Services (CPM/CPS) aan toegevoegd. Daarmee kunnen voertuigen de beelden van hun omgeving – bijvoorbeeld loslopende honden of spelende kinderen langs de weg – doorgeven aan achteropkomend verkeer. Voor autofabrikanten zal dit echter vooral een kostenpost zijn aangezien CPM de overdracht van veel grotere bestanden betekent. Dat gaat het snelst via 5G, vandaar dat vooral de telecomindustrie hier wél brood in ziet.
Daarover gesproken: coöperatief rijden is niet alleen mogelijk met wifi-P, het zou net zo goed of zo niet nog beter kunnen met 5G. Op dit moment beschikken alleen de allernieuwste modellen over een 5G-verbinding. De auto-industrie – voor zover zij dus überhaupt al warmloopt voor coöperatief rijden – is verdeeld over de keuze tussen deze twee technologieën. Sommige fabrikanten zetten hun geld in op wifi (Toyota, Volkswagen en Renault), andere zweren bij 5G (onder andere Ford, Peugeot, BMW en Daimler). 5G is afhankelijk van netwerkdekking en die is er (in Europa) niet overal. De telecomindustrie is hoe dan ook groot voorstander van C-ITS op basis van 5G en lobbyt actief voor deze potentiële nieuwe bron van inkomsten.
In vergelijking is wifi-P niet afhankelijk van netwerkdekking van telecombedrijven want samen met de communicerende infrastructuur aan de wegkant (onder andere slimme verkeerslichten) vormen de voertuigen zelf het vermaasde netwerk. Het is goed mogelijk dat als C-ITS alsnog wordt gerealiseerd, beide technologieën elkaar zullen aanvullen voor het beste bereik. Veel EU-landen willen de optie voor 5G, of voor een combinatie van wifi en 5G, in ieder geval openhouden. Mede daarom verwezen ze in 2019 het voorstel van de Europese Commissie naar de prullenbak. Dat voorstel tot verplichting van C-ITS-apparatuur in ieder voertuig was namelijk enkel en alleen gestoeld op wifi.
Dikke rode streep
Het is goed om dat voorstel van de Commissie in context te plaatsen. In 2010 werd een Europese richtlijn voor intelligente vervoersystemen geïntroduceerd. Het was een eerste poging om een aantal zaken op dit gebied, waaronder technische standaarden, tussen EU-landen enigszins gelijk te trekken. Deze ITS-richtlijn heeft enkele aanvullende, verplichte onderdelen: zogeheten gedelegeerde verordeningen waarbij de EU-landen zelf moeten toezien op de naleving. Het in voertuigen verplichte noodhulpsysteem eCall is zo’n verordening. Het voorstel om coöperatief rijden eveneens verplicht te stellen, had er ook een moeten worden, maar is in 2019 dus afgeketst op een dwarsliggende Raad (die gedelegeerde verordeningen niet kan wijzigen, enkel aanvaarden of verwerpen). Een groot knelpunt was de privacy.
In 2017 bracht een werkgroep van de Europese Commissie gericht op C-ITS en gegevensbescherming een uitvoerig document uit over de technische aspecten omtrent het verwerken van persoonsgegevens bij coöperatief rijden. Vervolgens verzocht de Commissie de Article 29 Data Protection Working Party (WP29) om dat document en haar algehele C-ITS-plannen tegen het licht te houden. WP29 was de voorloper van de European Data Protection Board (EDPB), het overkoepelend orgaan van alle Autoriteiten Persoonsgegevens in de EU.
De opinie die dat opleverde was niet mals. In feite zet WP29 daarin een dikke rode streep door de privacywaarborgen die de Commissie voor ogen had. De waakhond waarschuwt dat de grootschalige toepassing van C-ITS zoals voorgesteld, gepaard gaat met het verzamelen en verwerken van ongekende hoeveelheden locatiegegevens van automobilisten, hetgeen hun persoonlijke levenssfeer onder druk zet en kan leiden tot een vorm van permanente gedragstracering die een ongemakkelijk gevoel van surveillance met zich meebrengt.
WP29 verwijst in dit verband nota bene naar een ander voorstel van de Europese Commissie – dat voor een verordening over ePrivacy. Vanwege eindeloos getouwtrek op een aantal cruciale punten is die aanvulling op de Algemene Verordening Gegevensbescherming (AVG) er nu, zeven jaar later, nog altijd niet gekomen, maar de ePrivacy Verordening legt – ongeacht de communicatietechnologie (wifi of 5G) – zeer strikte beperkingen op aan het gebruik van ‘uitgezonden gegevens’ zoals CAM- en DENM-berichten.
Verouderde technologie
De intenties van de Commissie waren niet slecht en er was natuurlijk wel degelijk het nodige aan privacy engineering gedaan. Denk aan C-ITS-apparatuur die regelmatig van identificatiecode wisselt zodat – als je twee uur lang van A naar B rijdt – je voor de buitenwacht niet de hele rit dezelfde identifier uitzendt. Toch vonden ook encryptie-experts die niet gelieerd waren aan WP29, de uitvoering onvoldoende. Mede door de conservatieve houding van de auto-industrie is er te lang over gedaan om deze technologie goed en wel van de grond te krijgen.
Vergelijk het met de introductie van de OV-chipkaart. Tegen de tijd dat dat systeem in Nederland landelijk werd ingevoerd, was de technologie erachter al tien, vijftien jaar oud en viel het vrij eenvoudig te hacken. Het was niet meer state of the art. Als ontwikkeling (te) lang duurt, moet je de afweging maken of het niet tijd wordt om de gekozen technologie overboord te gooien en je pijlen te richten op veel nieuwere technologie die voor veel langere tijd veel veiliger zal zijn.
Vandaar ook dat de opinie van WP29 eindigt met een opsomming van dertien noodzakelijke acties om coöperatief rijden privacyproof te maken (zie pagina’s 13 en 14). Zo moet C-ITS in voertuigen eerst en vooral optioneel zijn en standaard staan uitgeschakeld. Daarnaast behoeft het systeem veel meer privacy by design; zijn er verbeteringen nodig in de beoogde toepassing van de Public Key Infrastructure (PKI is een systeem dat zorgt voor de uitgifte en beheer van digitale certificaten waarmee je kan verifiëren dat een afzender van een bericht een betrouwbare partij is); en moet bijvoorbeeld meer worden gedaan om ervoor te zorgen dat alle partijen die C-ITS-data ontvangen daar conform de AVG mee omgaan.
Persoonsgegevens
Het gaat bij C-ITS-berichten immers om locatie- en dus persoonsgegevens. Daarover bestaat ook bij de Commissie zelf geen twijfel. Niet iedereen is het daar overigens (geheel) mee eens. De lokale privacytoezichthouders van sommige Duitse deelstaten stellen dat C-ITS-gegevens weliswaar persoonsgegevens zijn, maar dat die buiten de AVG vallen vanwege de beperking tot ‘huishoudelijk (eigen) gebruik’. Nog weer anderen vinden dat C-ITS-gegevens helemaal niet als persoonsgegevens moeten worden gezien en dat de gevaren voor de privacy bij coöperatief rijden flink overtrokken zijn. Deze twee opvattingen vertegenwoordigen echter zeker niet de communis opinio in het veld.
Sommige mensen zullen daarnaast wellicht vinden dat het qua privacy nog maar weinig kwaad kan als C-ITS in voorgestelde vorm het levenslicht zou zien aangezien zowel autofabrikanten als aanbieders van navigatiediensten zoals Apple en Google toch al precies weten waar je rijdt, ook de overheid automobilisten op verschillende manieren allang kan volgen, en andere communicatietechnologieën in connected cars zoals Bluetooth door gebrekkige cyberbeveiliging ook tot identificatie kunnen leiden. Dat mag allemaal zo zijn, maar een dergelijke manier van redeneren mag nooit dienen als legitimering voor het doorvoeren van een bepaalde maatregel. Privacy-autoriteiten gaan daar ook niet in mee want dan is het einde onmiddellijk zoek.
Het strenge oordeel van de WP29 was pijnlijk voor de Europese Commissie, die er zo min mogelijkheid ruchtbaarheid aan heeft willen geven omdat de vereiste aanpassingen wel erg fundamenteel zijn en veel tijd zouden kosten. Had ze daar in de daaropvolgende jaren desalniettemin werk van gemaakt, dan was de verordening in 2019 waarschijnlijk niet verworpen en had dat voor (privacyvriendelijk) coöperatief rijden een doorbraak kunnen betekenen. Daarentegen is er op dit vlak sindsdien vrijwel niks meer gebeurd en zijn de zorgen omtrent de privacy ook onveranderd. Onduidelijk is wanneer er aan deze impasse een einde komt. De Commissie lijkt voet bij stuk te willen houden om geen gezichtsverlies te lijden terwijl met name het (te) magere verdienmodel achter coöperatief rijden ook bij autofabrikanten de nodige onwil tot gevolg heeft.
Talking Traffic
Eind 2023 heeft de ITS-richtlijn een update gehad (waarbij het Europees Parlement het belang van de privacy van automobilisten ditmaal wel onderstreepte – zie bijvoorbeeld recital 16). Die herziening is weliswaar door allerlei partijen met gejuich ontvangen, maar heeft bij lange na niet de reikwijdte van de in 2019 gesneuvelde verordening. Ze moet vooral de communicatie tussen verkeer en de digitale weginfrastructuur (Vehicle-to-Infrastructure en Infrastructure-to-Vehicle, V2I en I2V) een impuls geven. In tegenstelling tot het domein Vehicle-to-Vehicle wordt er ten aanzien daarvan nog wel progressie geboekt, al gaat het allemaal vrij langzaam.
Kenmerkend in dit opzicht is dat nieuwe voertuigen in de EU tegenwoordig verplicht moeten zijn uitgerust met een Intelligent Speed Assistent (ISA). Overal waar je rijdt wordt die assistent geacht de maximum snelheid te weten, te tonen en te bewaken (tenzij je de functie deactiveert, wat mogelijk is). Voertuigen kunnen verschillende technieken en bronnen gebruiken om achter de geldende maximum snelheid te komen. Er is echter nog geen enkel initiatief geweest om tot goede digitale bronnen te komen en vooralsnog laat de betrouwbaarheid van de maximum snelheid die in voertuigen getoond wordt, regelmatig te wensen over. Met als gevolg dat veel automobilisten die over ISA beschikken, de functie uitzetten (te meer omdat die functie al heel snel allerlei irritante waarschuwingen veroorzaakt, zelfs als je ook maar één kilometer te hard rijdt). Dat laat zien dat er op het gebied van een betrouwbare digitale weginfrastructuur nog grote stappen moeten worden gezet.
Een vorm van communicatie van wegkant naar voertuig (‘talking traffic’) die beter uit de verf lijkt te komen, is C-ITS via pijlwagens. Om bij wegwerkzaamheden wegwerkers beter te beschermen tegen aanstormende voertuigen met bestuurders die onvoldoende opletten, versturen pijlwagens DENM-berichten waarin extra wordt gewaarschuwd voor bijvoorbeeld een verlaagde maximum snelheid of een rijstrookafzetting. Dergelijke berichten kunnen al op ruim een kilometer afstand worden ontvangen. De Duitse en Oostenrijkse nationale wegbeheerders (Autobahn en ASFinAG) zijn ermee bezig dit te introduceren. In Nederland blijft het vooralsnog bij proeven van Rijkswaterstaat. Verglijkbare proeven zijn in Frankrijk gedaan door Renault en wegbeheerder Sanef, maar dan met het oog op voertuigen die snelheid moeten minderen omdat ze tolpoortjes naderen.
Bij het verstrekken van dit soort veiligheidsinformatie komt de privacy van weggebruikers niet in het geding. Het privacyvraagstuk is voor wegbeheerders sowieso overzichtelijker dan voor autofabrikanten. De DEMN-berichten die zij uitzenden bevatten geen of nauwelijks persoonsgegevens. De CAM-berichten (‘hier ben ik’) en zeker de gegevens van mobieltjes van weggebruikers die zij ontvangen uiteraard wel, maar het zou voor wegbeheerders (veelal gemeenten) goed mogelijk moeten zijn om daar op een AVG-conforme manier mee om te gaan. Of dat ook daadwerkelijk het geval is, is een tweede.
Die gegevens komen bijvoorbeeld terecht bij slimme verkeerslichten. (Mobieltjes in) auto’s laten aan deze zogeheten Intelligente Verkeersregelinstallaties (IVRI’s) weten dat ze eraan komen zonder dat daar kostbare inductielussen in de weg voor nodig zijn. Op basis daarvan kunnen de IVRI’s een inschatting maken van de verkeerssituatie en zo mogelijk op een gunstiger moment van kleur verspringen. Het aantal IVRI’S in Nederland is nog altijd maar klein: het zijn er momenteel iets meer dan 1200.
Toch maakt de Autoriteit Persoonsgegevens zich al sinds 2021 zorgen over de opkomst van slimme verkeerslichten omdat Nederlandse gemeenten zich bij het gebruik daarvan onvoldoende aan de AVG lijken te houden. De persoonsgegevens en daarmee de privacy van automobilisten zijn volgens de AP in het geding. In een brief aan minister Mark Harbers van Infrastructuur en Waterstaat heeft de waakhond eind maart opnieuw om verbetering gevraagd.
Alles overziend wordt het verkeer in binnen- en buitenland steeds een beetje slimmer, maar zolang enkele significante struikelblokken omtrent coöperatief rijden (V2V) niet worden weggenomen, komt er van de grote sprong voorwaarts niets terecht en blijft de ultieme vorm van smart mobility een stip op de horizon.
Een samenvatting van dit artikel is gepubliceerd bij PONT Data & Privacy, zie Geen ‘slim verkeer’ zonder jouw voertuig- en locatiegegevens – PONT Data&Privacy (privacy-web.nl).