EDPB richtlijnen slimme auto’s

Auto’s worden steeds slimmer. Ze genereren data over het voertuig (bijvoorbeeld over de prestaties van de motor), maar ook steeds meer data over de bestuurder en/of passagiers. Voorbeelden hiervan zijn rijstijl, welke locaties bezocht zijn en mogelijk hartslag, vingerafdrukken of oogbewegingen van inzittenden. Bestuurders maken ook steeds meer gebruik van applicaties van derden zoals Waze of Flitsmeister, die eveneens gegevens verzamelen. Daarnaast zijn er andere partijen voor wie deze gegevens erg waardevol zijn zoals leasemaatschappijen of verzekeraars. Nu deze data (voor een groot deel) te herleiden zijn naar natuurlijke personen, spreken we over persoonsgegevens. Een goede reden voor de European Data Protection Board (EDPB) om richtlijnen voor connected vehicles op te stellen.

Naast de AVG zijn ook de e-Privacy regels (geïmplementeerd in de Telecommunicatiewet) van toepassing op slimme auto’s. De e-Privacy regels schrijven voor dat gegevens opslaan of uitlezen van randapparatuur alleen mag als de gebruiker goed is geïnformeerd en toestemming heeft gegeven. De slimme auto is in dit geval de randapparatuur van de gebruiker. De EDPB geeft inzicht in haar uitleg van AVG en e-Privacy-regels.

De uitwisseling van gegevens tussen slimme auto’s en andere partijen moet in beginsel met toestemming van de gebruiker (er zijn enkele uitzonderingen). De toestemming dient daarbij vrij, specifiek, geïnformeerd en ondubbelzinnig te worden verstrekt, hetgeen weer voortvloeit uit de AVG.

Nu toestemming vaak noodzakelijk is, ontstaat het volgende probleem. Hoe ga je toestemming vragen terwijl de eigenaar van de auto niet altijd degene is die het voertuig bestuurt (bijvoorbeeld bij huurauto’s en leaseauto’s)? Moet er dan per rit en per systeem informatie en toestemming worden gegeven? Dat lijkt onwenselijk, zeker als je haast hebt.

De EDPB biedt geen concrete oplossing hiervoor, maar doet verder aanbevelingen over hoe je de beginselen van de AVG dient toe te passen op slimme auto’s. Zo wordt er aanbevolen om een profile management systeem in de slimme auto’s op te nemen waarmee bestuurders hun privacy instellingen makkelijk kunnen aanpassen. Een dergelijke tool kan ook worden gebruikt voor het uitvoeren van de rechten van betrokkenen zoals het inzien of verwijderen van de persoonsgegevens die worden verwerkt.

Het idee is goed, maar dient mijn inziens nog wat meer worden uitgewerkt zodat zeker is wie er achter het stuur zit en dat diegene ook zijn eigen privacy settings kan aanpassen. Wellicht biedt een gebruikers-ID hier uitkomst.

De guidelines zijn nu nog in concept en er kan tot 20 maart op worden gereageerd.

Heeft u vragen naar aanleiding van dit artikel? Neem dan vrijblijvend contact op met Wieger Weijland of met één van de andere leden van het Privacy-team.