De European Data Protection Board (EDPB) heeft een nieuwe richtlijn aangenomen voor de verwerking van persoonsgegevens in het kader van slimme auto’s. Hierin erkent de EDPB dat het ingewikkeld is om in deze context toestemming te verkrijgen van bestuurders en passagiers. Welke gevolgen heeft dit voor de grondslag in deze context voor fabrikanten en betrokkenen, en welke handvatten biedt de EDPB?
Waarom deze richtlijn?
Een connected vehicle (hierna: slimme auto)is een breed begrip, dat kan worden gedefinieerd als een voertuig uitgerust met veel Electronic Control Units (ECU)[1]. De ECU’s zijn met elkaar verbonden via een netwerk in het voertuig. Daarnaast maken zij het mogelijk om informatie te delen met apparaten zowel binnen als buiten het voertuig. Volgens de EDPB zijn slimme auto’s dan ook enorme ‘data hubs’.
Slimme auto’s genereren een grote hoeveelheid data die je kunt aanmerken als persoonsgegevens. Vaak hebben zij sensoren en apparatuur aan boord die gegevens zoals motorprestaties, rijgewoontes, locatiehistorie en mogelijk zelfs oogbewegingen van de bestuurder verzamelen. De gegevens zijn vaak te relateren aan de betrokkenen. Dat zijn in dit geval de bestuurder en eventuele passagier(s). Zelfs wanneer de gegevens niet direct te linken zijn aan een naam, maar bijvoorbeeld aan meer technische aspecten of kenmerken van de auto, zal het de betrokkenen (indirect) aangaan.
Gegevens die worden verzameld kunnen betrekking hebben op het rijgedrag van de bestuurder. Denk aan gegevens over afstanden, slijtage aan onderdelen, locatiegegevens en gegevens verzameld door camera’s. Daarnaast wordt ook informatie verzameld over passagiers of derden die passeren. Dergelijke gegevens worden gegenereerd door een natuurlijke persoon, namelijk de bestuurder of passagier. Ze maken directe of indirecte identificatie mogelijk voor de verwerkingsverantwoordelijke of derden. Dat kan de autofabrikant zijn, maar ook een commerciële partner van een serviceprovider.[2] De richtlijn heeft als doel gegevensverwerkingen in de context van slimme auto’s te vergemakkelijken.
Informeren en toestemming als grondslag
Betrokkenen krijgen niet altijd adequate informatie over welke gegevens worden verwerkt in de slimme auto. Deze informatie zal in beginsel moeten worden verstrekt aan de eigenaar van de auto, die niet per definitie de bestuurder is.[3] Er bestaat dus een risico dat betrokkenen niet voldoende opties krijgen om hun rechten uit te oefenen. Dit is belangrijk omdat auto’s in de loop van de tijd van meerdere eigenaren kunnen zijn, bijvoorbeeld omdat ze worden verkocht.
De partij die verantwoordelijk is voor de gegevensverwerking moet toestemming krijgen van een ieder waarvan gegevens worden verwerkt. Om tot een rechtmatige toestemming van betrokkenen te komen moet worden voldaan aan een aantal elementen. Toestemming moet ‘vrij, specifiek en geïnformeerd’ zijn, zoals blijkt uit artikel 4 onder 11 van de AVG.[4] De autofabrikant moet daarbij letten op het verkrijgen van toestemming van verschillende betrokkenen – oftewel de bestuurder én passagier(s) – voor verschillende verwerkingen.
De autofabrikant kan geen toestemming vragen in een koop- of leasecontact[5], tenzij de betrokkenen voor verschillende onderdelen toestemming kunnen geven. Dit heeft te maken met het feit dat de toestemming granulair moet zijn. Dat is het geval wanneer een dienst meerdere verwerkingsactiviteiten voor meerdere doeleinden omvat. De betrokkenen moeten vrij kunnen kiezen voor welk doeleinde zij gegevensverwerking accepteren. Toestemming verlenen voor een volledig pakket aan verwerkingsdoeleinden is niet granulair.[6]
Toestemming is vermoedelijk niet vrijelijk verleend wanneer de betrokkene geen afzonderlijke toestemming heeft kunnen verlenen voor verschillende gegevensverwerkingen. Dit wordt verduidelijkt in de richtsnoeren van de EDPB inzake toestemming. De verwerking van persoonsgegevens kan niet direct of indirect de tegenprestatie voor een overeenkomst (tussen fabrikant en koper) zijn.
ePrivacy Richtlijn
Naast de AVG is ook de ePrivacy Richtlijn (ePR) van toepassing op slimme auto’s. Deze richtlijn is namelijk van toepassing op aanbieders van elektronische communicatiediensten en -netwerken die we kennen uit de telecomsector. De richtlijn ook van toepassing op entiteiten – privaat of publiek – die informatie plaatsen op eindapparatuur of deze uitlezen,
zonder rekening te houden met de aard of gevoeligheid van de gegevens die worden verzameld.
Onder de ePR bestaan twee uitzonderingen voor het verkrijgen van toestemming. Ten eerste is geen toestemming vereist wanneer het enige verwerkingsdoel is om communicatie te verzenden via een elektronisch communicatienetwerk. Denk daarbij aan radio of telefonie. Daarnaast is tevens geen toestemming vereist wanneer gegevensverwerking noodzakelijk is voor een dienst die een gebruiker zelf heeft aangevraagd, zoals facturering.
Is de huidige toestemming toereikend?
De EDPB maakt in de richtlijn onderscheid tussen drie verschillende categorieën persoonsgegevens. Namelijk locatiegegevens, biometrische gegevens en gegevens die strafbare feiten of andere overtredingen onthullen. De fabrikant moet via de boordcomputer van de auto toestemming vragen wanneer locatiegegevens worden verwerkt op basis van die grondslag. Dat stelt de EDPB. Op die manier kan de fabrikant zowel voldoen aan de informatieplicht als aan granulariteit van toestemming. De EDPB biedt hiernaast geen oplossingen of aanbevelingen voor het verkrijgen van een geldige toestemming. De fabrikant zal hiervoor zelf een nieuw mechanisme moeten ontwikkelen. In de richtlijn wordt dus erkend dat het verkrijgen van toestemming ingewikkeld is en in de praktijk niet altijd goed wordt uitgevoerd.
Het valt daarom te betwisten of toestemming überhaupt de juiste grondslag is waarop je de gegevensverzameling in slimme auto’s kunt baseren. Het is een grote opgaaf voor de autofabrikant om voor iedere verwerking, ieder doel en van iedere betrokkene toestemming te verkrijgen. Zeker als deze ook vrij, specifiek en geïnformeerd moet zijn. Daarnaast is het nog maar de vraag of toestemming daadwerkelijk vrij gegeven kan worden. In de privacyverklaring van bijvoorbeeld Tesla is te lezen dat wanneer de betrokkene geen toestemming geeft (of deze intrekt) Tesla hem niet meer in realtime op de hoogte kan stellen.
Problemen met het voertuig kunnen niet direct gemeld worden wanneer Tesla de betrokkene niet in realtime op de hoogte kan stellen. Dit kan leiden tot verminderde functionaliteit, ernstige schade of het niet werken van het voertuig. Daarnaast worden ook veel functies uitgeschakeld zoals periodieke software updates, interactiviteit met mobiele apps en functies in het voertuig.[7] In principe heeft de betrokkene in dit geval geen keuze. Óf hij geeft toestemming, óf hij heeft kans dat zijn voertuig ernstige schade oploopt of zelfs niet meer werkt. Het zou daarom niet aan de betrokkene moeten zijn om toestemming te geven voor alle verschillende gegevensverwerkingen. Een betere optie zou zijn om de verantwoordelijkheid bij de autofabrikant neer te leggen. De fabrikant zou een juiste afweging moeten maken over welke gegevensverwerking noodzakelijk is om de slimme auto naar behoren te laten functioneren.
Richtlijn EDPB in lijn met de AVG
Buiten het feit dat de richtlijn inzicht geeft over de toepasbaarheid van de ePrivacy Richtlijn, geeft de richtlijn verder algemene aanbevelingen die in lijn liggen met de AVG. Zo wordt onder andere aanbevolen om de verzameling van gegevens te beperken tot het minimale en noodzakelijke (dataminimalisatie). Daarnaast adviseert de EDPD om technologieën zo te ontwerpen dat de privacy van betrokkenen wordt gewaarborgd en standaardinstellingen zo privacy-vriendelijk mogelijk zijn (privacy by design en by default).
In deel drie van de richtlijn staan nog een viertal specifieke voorbeelden van gegevensverwerking in de context van slimme auto’s. De voorbeelden hebben betrekking op gegevensverwerking waarvoor rekenkracht nodig is die niet lokaal in het voertuig kan worden uitgevoerd. Daarnaast zijn de voorbeelden toepasbaar op het verzenden van persoonsgegevens naar derden voor verdere analyse of om op afstand verdere functionaliteit te bieden. Voor elk type verwerking worden de beoogde doeleinden gespecificeerd: de categorieën van verzamelde gegevens, de bewaartermijnen, rechten van betrokkenen, etc. Dit is een leidraad voor belanghebbenden die in een sector werken waar de voorbeeldscenario’s mogelijk voorkomen.
Conclusie
In veel gevallen zijn de bestuurder en passagier niet op de hoogte van de gegevensverwerking in de auto. Er is dan geen sprake van geïnformeerde toestemming. Een dergelijk gebrek aan informatie vormt een belemmering voor het aantonen van geldige toestemming. Het verkrijgen van toestemming is dan ook moeilijk toepasbaar in de context van slimme auto’s, gezien het gebrek aan informatie. Daarnaast is het lastig om toestemming te verkrijgen van bestuurders en passagiers in het geval van verhuur, verkoop, uitlenen en leasen.
Dat slimme auto’s een enorme hoeveelheid aan gegevens verzamelen is een feit. Met de komst van deze richtlijn zullen fabrikanten van slimme auto’s ervoor moeten zorgen dat de gegevensverzameling tot het minimum zal worden beperkt. Toestemming zal vrij, geïnformeerd en specifiek moeten worden verkregen van bestuurders en passagiers. Omdat de EDPB hier geen handvatten voor biedt, zal de fabrikant zelf een nieuw mechanisme moeten ontwikkelen voor het verkrijgen van een geldige toestemming.
Op de hoogte blijven van de laatste ontwikkelingen omtrent privacy en cybersecurity? Schrijf je in voor onze nieuwsbrief!
[1] Een ECU is een klein apparaat in de carrosserie van de auto dat verantwoordelijk is voor het besturen van een specifieke functie. Denk aan functies zoals elektrische ramen, keyless entry, airbags, etc. https://www.aptiv.com/en/insights/article/what-is-an-electronic-control-unit
[2] “Een commerciële partner van een serviceprovider die van de serviceprovider persoonsgegevens ontvangt die uit het voertuig zijn gegenereerd, is bijvoorbeeld ook een ontvanger van persoonsgegevens.” 1.4 Definitions, Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications.
[3] 1.5.1 Lack of control and information asymmetry, Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications.
[4] De elementen van toestemming worden verduidelijkt in Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679
[5] 1.5.2 Quality of the user’s consent, Guidelines 01/2020 on processing personal data in the context of slimme auto’s and mobility related applications.
[6] 3.1.3 Granulariteit, Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679.
[7] https://www.tesla.com/nl_NL/about/legal#privacy-statement