Privacy en connected cars: Autoriteit Persoonsgegevens neemt autofabrikanten onder de loep

De Autoriteit Persoonsgegevens (AP) doet onderzoek naar de manier waarop persoonsgegevens worden verwerkt via ‘connected cars’. Via deze weg wil De AP te weten komen of autofabrikanten in overeenstemming met de privacyregels handelen.

Om die reden heeft De AP een brief gestuurd aan alle in Nederland gevestigde fabrikanten van auto’s, bedrijfswagens en vrachtwagens. Een aantal hebben daarnaast ook al een bezoek van de AP gehad.

Het is van belang dat autofabrikanten de beantwoording van deze brief serieus nemen. Een (onnodige) verkeerde beantwoording kan namelijk vervelende gevolgen hebben. Omschrijf in je antwoord nauwkeurig hoe met persoonsgegevens wordt omgegaan.

Hoe doe je dat?

In deze blog geven wij een aantal handvatten waar je als autofabrikant op kan letten bij het beantwoorden van deze brief van de AP.

De AP wil het volgende weten van de aangeschreven autofabrikanten:

Het is opvallend dat de AP reeds aangeeft te zien dat er veel nog niet goed is geregeld. Zodoende waarschuwt De AP alvast voor vervolgonderzoeken en mogelijke boetes.

Hou daar rekening mee bij beantwoording van de brief!

Aanleiding voor het onderzoek zijn de richtlijnen voor de auto-industrie van de European Data Protection Board. Dat is een orgaan waarin alle Europese toezichthouders zijn verenigd.

In die richtlijnen geeft de EDPB uitleg over hoe de Algemene Verordening Gegevensbescherming (AVG) moet worden toegepast op het verwerken van persoonsgegevens bij connected cars en ‘mobility related applications’.

Bij een auto denk je wellicht niet direct aan persoonsgegevens. Maar veel gegevens van de auto zijn direct of indirect te herleiden naar de eigenaar, bestuurder of huurder van een auto.

Een kenteken staat geregistreerd op naam van de eigenaar. Indien de auto wordt gehuurd is bekend wie de huurder is. De gegevens die van de auto worden bijgehouden, zoals brandstofverbruik en afgelegde afstanden, zijn daarom gemakkelijk te herleiden. En bij een koppeling van het navigatiesysteem aan de smartphone zijn de locatiegegevens te herleiden naar de smartphone bezitter.

Zo gaan de Europese toezichthouders ervan uit dat alle gegevens die worden geregistreerd over een auto, persoonsgegevens zijn. Denk ook aan gegevens over het rijgedrag, persoonlijke instellingen van het dasboard. Of de stoelverwarming en camera’s die beelden of bewegingen van personen registreren.

De Europese toezichthouders hebben speciale aandacht voor drie categorieën van persoonsgegevens die via connected cars worden verwerkt.

Uit locatiegegevens is veel informatie over de bestuurder te achterhalen. Waar iemand woont, waar hij werkt, welke supermarkt of winkels hij bezoekt, waar hij in zijn vrije tijd naartoe gaat. En wellicht ook welk geloof hij aanhangt of welke seksuele voorkeur hij heeft.

Deze gegevens mogen alleen worden opgeslagen als dat noodzakelijk is voor het doel. Om de bewegingen van de auto te registreren zijn de exacte locatiegegevens bijvoorbeeld niet nodig. Daarvoor mogen ze dus niet worden opgeslagen.

Om locatiegegevens te mogen verwerken is toestemming nodig. Deze mogen alleen verwerkt worden als de bestuurder dat zelf activeert. Ook moet de bestuurder weten dat ze worden verwerkt en de mogelijkheid hebben om dat uit te zetten.

Als je de auto opent of start met je vingerafdruk of irisscan, dan worden biometrische gegevens van de bestuurder verwerkt. Dit zijn bijzondere persoonsgegevens die op grond van de AVG in principe verboden zijn om te verwerken. Deze mogen alleen gebruikt worden als de bestuurder daar volledig zelf voor kiest en controle heeft over die gegevens.

Het moet dus mogelijk zijn om de auto ook zonder deze gegevens te openen of te starten. Daarnaast moet het gehanteerde systeem volledig betrouwbaar zijn. Daarbij mogen de originele biometrische data nergens worden opgeslagen.

De combinatie van snelheid en de exacte locatie van een auto zouden snelheidsovertredingen kunnen aantonen. Sensordata kunnen vastleggen wanneer een auto over een doorgetrokken lijn is gereden. Ook dat kan een verkeersovertreding zijn.

Het is verboden voor autofabrikanten om gegevens van strafrechtelijke gedragingen te verwerken. De Europese toezichthouders raden daarom aan om dergelijke gegevens alleen lokaal op te slaan en de bestuurder de volledige controle te geven over die data.

De AVG stelt de eis dat persoonsgegevens alleen mogen worden verwerkt als daar een welbepaald en gerechtvaardigd doel voor bestaat. Er mogen ook niet meer gegevens worden verwerkt dan noodzakelijk om die doelen te bereiken.

Bij connected cars zijn diverse doelen denkbaar om gegevens te verwerken, zoals:

Alle gegevens die de autofabrikant registreert voor eigen doelen moeten onder meer zijn vastgelegd in het verwerkingsregister. Daar moet ook per verwerking zijn aangegeven wat het doel daarvan is. Wie toegang heeft tot de gegevens. Hoe lang ze worden verwerkt. En of ze eventueel buiten de EER worden opgeslagen.

Ook zal verwezen moeten worden naar de beveiligingsmaatregelen die zijn getroffen. De AP kan dat register opvragen om te controleren of de autofabrikant in overeenstemming met de AVG handelt.

Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor de vastgestelde doeleinden. Persoonlijke instellingen moeten bewaard blijven zolang ze niet gewijzigd zijn. Worden ze gewijzigd, dan zijn de oude instellingen niet meer nodig.

Technische gegevens, zoals het accuverbruik zullen langer bewaard moeten worden. Sommige bewaartermijnen volgen uit specifieke wettelijke verplichtingen, zoals de fiscale bewaarplicht. Die termijn bedraagt 7 jaar en is bijvoorbeeld relevant voor de accijnzen op auto’s.

Het is aan de autofabrikant zelf om te bepalen hoelang die de gegevens bewaart. Dat zal hij moeten registreren in het verwerkingsregister, en in de informatie aan de personen over wie die gegevens gaan.

Alle persoonsgegevens dienen passend te worden beveiligd. Dat betekent dat de beveiligingsmaatregelen moeten zijn afgestemd op het risico dat een betrokkene, de persoon over wie de gegevens gaan, loopt als deze gegevens verloren gaan of in handen van onbevoegden zouden komen.

Omdat locatiegegevens veel informatie bevatten moeten die dus extra goed worden beveiligd. Informatie over de technische gegevens van de auto zijn een stuk minder gevoelig voor de bestuurder. Er zullen bijvoorbeeld maatregelen zijn getroffen dat een automonteur die toegang moet hebben tot de technische gegevens, niet de locatiegegevens of de persoonlijke voorkeuren van de bestuurder kan inzien.

Als gegevens worden opgeslagen in de cloud en via diverse interfaces toegankelijk zijn, zullen de verbindingen goed beveiligd moeten zijn. Dit door middel van versleuteling. De Europese toezichthouders geven aan dat lokale opslag waar mogelijk de voorkeur verdient. Anders moeten de gegevens gegevens in ieder geval gepseudonimiseerd worden. Zodat de gegevens niet direct herleidbaar zijn naar de eigenaar of bestuurder.

De AP wil ook weten met wie de autofabrikant de gegevens deelt. Dat kan met dealers of garages zijn, maar ook met een werkgever die de auto’s leaset voor zijn medewerkers. Ook de cloud aanbieder verwerkt de persoonsgegevens die bij hem worden opgeslagen.

Met deze laatste zal een verwerkersovereenkomst gesloten moeten worden. Ook in andere gevallen kan het nodig zijn om afspraken vast te leggen. Bijvoorbeeld om af te spreken wie de betrokkenen zal informeren.

Om te weten welke antwoorden je moet geven op de vragen van de AP, is het belangrijk om te weten welke privacyrechtelijke rol je hebt. De AVG kent twee rollen. Die van de verwerkingsverantwoordelijke en van de verwerker. Voor beide rollen gelden onder de AVG andere verplichtingen. Een verwerker zal daarom anders moeten reageren op de brief van de AP, dan een verwerkingsverantwoordelijke.

De verwerkingsverantwoordelijke bepaalt het doel en de middelen van een verwerking. Indien je als autofabrikant gegevens bijhoudt over het brandstofverbruik om de automobilist daarover te kunnen informeren, dan bepaal je zelf welke gegevens worden verwerkt en waarom. Datzelfde geldt als je de locatiegegevens gebruikt om een auto te kunnen bereiken bij pech onderweg. In die gevallen ben je verwerkingsverantwoordelijke en dien je te voldoen aan alle vereisten van de AVG.

Verwerk je bepaalde persoonsgegevens uitsluitend ten behoeve van een verwerkingsverantwoordelijke en doe je zelf niets met die gegevens? Dan ben je verwerker. Hou je bijvoorbeeld voor een werkgever gegevens bij over het rijgedrag van zijn personeel en doe je zelf niets met die gegevens? Dan ben je verwerker.

Een verwerker heeft maar een aantal verplichtingen op grond van de AVG. Waaronder de verplichting om de persoonsgegevens te beveiligen, en de gegevens alleen te gebruiken op instructie van de verwerkingsverantwoordelijke. Andere verplichtingen gelden niet voor verwerkers. Denk hierbij aan het informeren van de personen van wie de gegevens worden verwerkt. Of het geven van inzage in hun gegevens.

Let op! Je privacyrechtelijke rol kan per verwerking anders zijn. Dus je zal per verwerking moeten bepalen welke rol je hebt.

Kort gezegd moet je bij het beantwoorden van de brief aan autofabrikanten op de volgende aspecten letten:

Uit de informatie van de AP wordt duidelijk dat zij op zoek is naar schendingen. Ze willen kennelijk graag een onderzoek wil starten. Ook de autobezitters worden door de AP gevraagd om op verwerking van hun gegevens via hun auto te letten. En tevens om klachten direct bij de AP te melden.

De AP wil de automobilist bewust maken van het feit dat er persoonsgegevens worden verwerkt via zijn auto. Voor de autobezitters heeft de AP een handleiding gemaakt. Daarin geeft de AP de autobezitter onder meer tips over zijn privacyrechten en de privacyinstellingen van een connected car.

De AP schrijft zelfs dat ze ‘hoopt op klachten’ om een gericht (Europees) onderzoek te kunnen doen.

Het is dus belangrijk om niet alleen de vragen van de AP serieus te beantwoorden. En vooral ook om nadere actie te nemen mochten nog niet alle verwerkingen aan de AVG voldoen.

Overigens heeft de AP aangegeven autofabrikanten meer tijd te geven indien dat nodig is vanwege de coronacrisis.

Wij helpen graag! Ook als je een andere vraag hebt over privacy bij connected cars of de invloed van de AVG op jouw organisatie. Heb je vragen over connected cars? Neem dan contact op met Aziz al Mansouri.