We leven in een bijzondere tijd. Niet alleen vanwege het coronavirus, maar ook door de steeds verder ontwikkelde technologische oplossingen. In verschillende blogs hebben wij stilgestaan bij welke gevolgen het coronavirus heeft. Denk bijvoorbeeld aan het thuiswerken dat we nu massaal doen, of de continuïteit die een SaaS-leverancier ondanks alles toch moet waarborgen. Overige ontwikkelingen op het gebied van privacy willen we jullie natuurlijk niet ontnemen. Een mooi voorbeeld hiervan zijn ‘connected cars’.
De moderne auto is niet alleen een vervoersmiddel, maar voorziet ook nog eens in alle comfort. Denk aan navigatie, spraakherkenning en automatisch filerijden en zelfs inparkeren. Daarbij zijn steeds meer auto’s voorzien van internetverbinding. Connected cars waarschuwen de automobilist wanneer de bandenspanning laag is en geven updates over de verkeerssituatie en weersvoorspelling. Om dit mogelijk te maken verzamelen deze auto’s grote hoeveelheden data. Maar wie kan deze gegevens inzien? En wat betekent dit voor de privacy van de bestuurder?
Connected cars verzamelen grote hoeveelheden data. De verzamelde data bestaat onder andere uit persoonsgegevens van de eigenaar, de bestuurder en de inzittenden. Verder worden er gegevens verzameld over instellingen, voorkeuren, rijgedrag en locatie. Deze informatie kan zeer gevoelig zijn. Zo valt uit locatiegegevens af te leiden waar en wanneer de auto, en dus ook de mensen die daarin zitten, zich bevindt. Zo kan de auto in de buurt van een moskee, de kerk of synagoge stoppen. Maar uit de locatiegegevens kun je ook afleiden wanneer iemand een bezoek brengt aan de snackbar, de sportschool of het ziekenhuis. Deze gegevens kunnen veel verklappen over iemands geloofsovertuiging, leefstijl én gezondheid.
Uit praktijk blijkt dat de auto-industrie volop investeert in het innoveren van nieuwe auto’s, maar onvoldoende in het beveiligen van de data die zij verwerken. Een slechte beveiliging of het doorverkopen van gevoelige gegevens zijn dan ook risico’s waar mensen rekening mee moeten houden wanneer zij een connected car kopen, aldus de Autoriteit Persoonsgegevens (AP).
Bestuurders van connected cars weten vaak niet welke persoonsgegevens een autofabrikant eigenlijk allemaal van hem of haar heeft. Sterker nog, bestuurders hebben ook geen idee wat daar vervolgens mee gebeurt. Dit terwijl de AVG voorschrijft dat organisaties transparant moeten zijn in wat zij doen met persoonsgegevens, en daar ook over moeten informeren.
De AP deelt deze zorgen en inventariseert op dit moment in hoeverre Nederlandse autofabrikanten zich aan de privacywet houden. De AP heeft alle in Nederland gevestigde autofabrikanten een brief gestuurd, waarin gevraagd wordt welke persoonsgegevens zij verwerken, hoe lang zij deze bewaren, hoe zij deze beveiligen en met wie de gegevens worden gedeeld. Op deze manier kan de toezichthouder in kaart brengen hoe Nederland ervoor staat op gebied van connected cars en privacy.
Al eerder publiceerde de AP een handleiding voor connected cars. De handleiding bevat tips voor automobilisten om hun persoonsgegevens te beschermen bij het gebruik van slimme voertuigen. In de handleiding staat onder meer waar je op moet letten bij de aankoop van een connected car. De autofabrikant is verplicht om kopers te informeren over welke gegevens het voortuig verzamelt en opslaat. De handleiding bevat ook informatie over de verkoop van het voertuig. Bijvoorbeeld de tip om alle data te verwijderen bij verkoop om te voorkomen dat de volgende eigenaar toegang krijgt tot jouw data.
Deze blog is geschreven in samenwerking met Eva Meijer.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.