Heb je een "connected car"? Weet dat je auto jouw data verzamelt

Steeds meer personenauto’s verzamelen en versturen gegevens naar de autofabrikant, vaak zonder dat de bestuurder dat in de gaten heeft. Via bijvoorbeeld je met bluetooth verbonden telefoon en het ingebouwde geheugen van de auto, die altijd in verbinding staat met de fabrikant, worden allerlei data van jou verzameld én met derden gedeeld. Kassa zocht uit waar jij rekening mee moet houden.

Begin september publiceerde technologiebedrijf Mozilla een onderzoek waaruit bleek dat alle vijfentwintig automerken die zijn onderzocht schrikbarend veel gegevens van de autobezitter verzamelen. Van je rijgedrag tot aan "genetische informatie" en zelfs je seksleven. De onderzochte auto’s kunnen ongeremd je telefoon doorspitten en via algoritmes tot allerlei conclusies over jouw leven komen.

Wat wel enige relativering kan bieden, is dat de dystopische conclusies van dit onderzoek wel gestoeld zijn op de Amerikaanse privacyvoorwaarden van de vijfentwintig autofabrikanten. Dit soort bedrijven houden we in Europa een stuk strenger in de gaten. Dit is echter geen reden om het privacyonderzoek compleet te negeren. De ANWB heeft uitvoerig onderzoek gedaan naar wat er wordt verzameld en ook na het lezen van dat onderzoek gaan je nekharen recht overeind staan.

Dat we in Nederland als consument meer rechten hebben dan in de VS is een feit, maar het is moeilijk te zeggen wat er nou precies wél allemaal wordt verzameld en opgeslagen door je auto. Bijvoorbeeld in hoeverre je auto automatisch wordt gesynchroniseerd met je telefoon. Als je je smartphone inplugt op de boordcomputer, of als je connectie maakt via bluetooth, worden gegevens uit je mobiel dan overgeheveld, en blijven ze dan binnen de auto of worden ze zelfs doorgestuurd?

In Europa kennen wij de Algemene Verordening Gegevensbescherming (AVG), wat ervoor heeft gezorgd dat de consument wat sterker in zijn schoenen staat op het gebied van gegevensverzameling door bedrijven. “Zo moet er bijvoorbeeld gerechtvaardigd belang zijn om iets verzamelen”, vertelt Daniël de Jongh, die bij Privacy First onderzoek doet naar connected cars. “De AVG zegt dat er eigenlijk sprake moet zijn van dataminimalisatie, ofwel er mag niet meer worden verzameld dan nodig.”

Dat klinkt in principe kristalhelder, maar dat is niet zo. De Jongh: “Een smartauto verzamelt zowel technische- als persoonlijke gegevens en de grens tussen die twee is niet altijd even duidelijk. De manier waarop je bijvoorbeeld remt zegt iets over jouw rijstijl, wat een persoonsgegeven is. Aan de andere kant is de staat van de remmen een technisch gegeven.”

Je zou jezelf nu kunnen afvragen; wat interesseert mij het dat mijn autofabrikant weet hoe hard en wanneer ik rem? Om een voorbeeld te geven: autoverzekeraars zijn erg geïnteresseerd in (geanonimiseerde) rijstijlgegevens. Zij kopen dat soort gegevens in, bijvoorbeeld om nieuwe diensten aan te bieden, of de voorwaarden van hun rijverzekeringen, vaak in hun eigen voordeel, aan te passen.

Een handig recht dat wij daarnaast ook hebben is dat wij de gegevens die bedrijven van ons hebben verzameld te allen tijde mogen inzien. Mocht je dus toch benieuwd zijn geworden, dan kan je dit aanvragen. “Maar of er tijdig en adequaat op zo’n verzoek wordt gereageerd, is een tweede”, nuanceert De Jongh. Tips hieromtrent en een voorbeeldbrief zijn te vinden bij de Autoriteit Persoonsgegevens.

Een saillant detail uit het onderzoek van de ANWB is dat er een laag bewustzijn in Nederland is als het aankomt op connectieve voertuigen. Hoewel 44 procent van de Nederlandse automobilisten weet dat een "connected" voertuig data kan versturen en ontvangen, is slechts 24 procent zich bewust van de privacyrisico’s van dataverzameling.

“Onder de AVG zijn autofabrikanten verplicht om hun klanten te vertellen dat zij data verzamelen. Ook moeten ze aangeven om welke gegevens het dan gaat”, legt privacy-expert De Jongh uit. “Daarbij moeten ze ook vermelden met welk doel dat is en of ze het eventueel doorverkopen aan derden.”

“Wat autofabrikanten precies met data doen, valt te lezen in hun uitgebreide privacyverklaringen. Het probleem is echter dat nagenoeg niemand dat soort documenten leest. Mensen gaan vaak akkoord met zaken waar ze eigenlijk liever niet voor zouden kiezen.”

Maar daarmee is nog niet de kous af. De Jongh legt uit: “In principe kan je op ieder moment je privacyinstellingen aanpassen, bijvoorbeeld in de app die bij de smart-auto hoort of in het dashboard van de auto zelf. Maar dat zijn instellingen waar je doorgaans niet zomaar op stuit, daar moet je specifiek naar op zoek zijn.”

Een lichtpuntje is wel dat de Europese Commissie in Brussel druk bezig is geweest om de wetgeving omtrent dataverzameling aan te scherpen in de vorm van de Dataverordening, die binnen twee jaar zal worden ingevoerd.

“Deze wet zal gelden binnen elke sector en zal betrekking hebben op elk apparaat dat met het internet verbonden is. Zoals het ernaar uitziet worden consumenten onder de verordening veel beter in de gelegenheid gesteld om aan te geven met welke partijen zij hun data wel of niet willen delen”, vertelt De Jongh. Kortom: als je aangeeft dat je geen gegevens wilt delen met de fabrikant van je auto, dan heeft die zich daaraan te houden.

Hoe dat precies geregeld gaat worden, wordt nog druk besproken in Brussel. “Op papier ziet het er aardig uit, maar in hoeverre deze wetgeving vanuit consumentenoogpunt daadwerkelijk een succes zal zijn, zal mede afhangen van het toezicht van de Autoriteiten Persoonsgegevens in Europa. Feit is dat die waakhonden door een tekort aan personeel en financiering nu al nauwelijks berekend zijn op hun taak, en hun handen vol hebben aan overtredingen van de AVG.”

Bronnen: ANWB/Mozilla Foundation/Privacy First