Toezichthouders willen cookieregels ook voor slimme auto's laten gelden

De European Data Protection Board heeft enkele dagen geleden een conceptversie van een opinie over het gebruik van data in moderne auto's gepubliceerd. De opinie bevat enkele opvallende passages, waaronder het uitgangspunt dat gegevens alleen op basis van toestemming zouden mogen worden verwerkt. Er kan nog tot 20 maart op de conceptopinie worden gereageerd.

Auto's worden steeds slimmer, maar weten daardoor ook veel meer

In de inleiding wijzen de toezichthouders erop dat de auto van nu al lang niet meer lijkt op de auto uit het verleden. De auto heeft zich getransformeerd van een vervoermiddel, naar een slim apparaat dat de bestuurder niet alleen gemak biedt, maar vooral ook heel veel van de bestuurder weet. Dat loopt uiteen van een eenvoudige rittenregistratie tot het bijhouden van allerlei biometrische gegevens van de bestuurder. 

Meer uitwisseling van gegevens

Die gegevens worden bovendien uitgewisseld met steeds meer partijen. Traditioneel kan een garage veel gegevens bij een onderhoudsbeurt "uitlezen". Daar kun je van alles van vinden, maar de scope van de gegevensverwerking is dan nog relatief beperkt. Bij allerlei moderne diensten als verkeersinformatie, navigatie, rij-ondersteuning of zelfs (zodra dat ooit goedgekeurd wordt) volledig geautomatiseerd besturen wordt veel meer en vooral voortdurend informatie over de auto uitgewisseld met de aanbieders van die diensten. Dat rechtvaardigt ook dat de toezichthouders zich nu over de materie uitlaten.

Toepasselijke regelgevend kader

Vervolgens gebeurt er iets opmerkelijks in de opinie. Er wordt namelijk gesteld dat op de verwerking van gegevens van auto's twee soorten regels van toepassing zijn:

1. de AVG/GDPR (dus verordening 2016/679);
2. de e-privacy regels (dus richtlijn 2002/58).

Dat de AVG van toepassing is, is in grote lijnen niet zo verrassend. Je kunt nog best een boom opzetten over de vraag of gegevens over rijgedrag van een familie-auto die door meerdere mensen wordt gebruikt eenvoudig te herleiden is tot 1 persoon. Maar dat er vele situaties zijn te bedenken waar de data te herleiden is tot een persoon, en er dus sprake is van persoonsgegevens, lijkt me inderdaad wel logisch.

Dat de e-privacyregels volgens de toezichthouders van toepassing zijn is opmerkelijk. De redenering die zij betrachten is dat de met internet verbonden auto in feite gelijk te stellen is met internet verbonden computers of telefoons. In die redenering is echter ieder met internet verbonden apparaat onderworpen aan de e-privaycregels. De vraag is of de wet zo ruim bedoeld is geweest.

Toestemming vereist?

De e-privacyregels stellen in de kern dat toestemming vereist is om gegevens te mogen opslaan op of uitlezen van randapparatuur van gebruikers. De toezichthouders benadrukken dat voor de verdere verwerking van die gegevens een grondslag in de zin van de AVG vereist is en dat het voor de hand ligt dat, omdat de e-privacyregels al toestemming vereisen, dat dit opnieuw toestemming is.

Dat laatste is een wel erg strenge opvatting, zeker gelet op wat het Hof van Justitie in de Fashion-ID zaak heeft overwogen. Het Hof verwerpt daarin immers uitdrukkelijk de opvatting van de Europese Commissie dat er toestemming gevraagd had moeten worden voor de verdere verwerking van gegevens die via cookies zijn verzameld (randnummer 87 e.v. van dat arrest).

Toestemming lastig

De toezichthouders signaleren vervolgens dat het in de praktijk lastig zal zijn om toestemming te vragen. Ze wijzen hierbij o.m. op de problematiek van het uitlenen van auto's of het kopen van een tweedehands auto. Een oplossing voor dit probleem bieden ze echter niet. Dat is vrij wrang, nu het opvolgen van hun opinie feitelijk zo betekenen dat er in slimme auto's voortdurend om toestemming moet worden gevraagd (danwel middels biometrie moet worden gemeten of de bestuurder reeds eerder toestemming heeft gegeven). 

Concrete aanbevelingen

Er worden vervolgens voor verschillende soorten gegevens en thema's aanbevelingen gedaan

1. Locatiedata
   1. Frequentie toegang. Er moet kritisch worden getoetst met welke frequentie alle apps e.d. toegang tot die data mogen hebben.
   2. Helderheid doelen. Vooraf helderheid geven over de vraag of en zo ja voor welk doel gegevens worden verzameld.
   3. Geldige toestemming. Er moet geldig om toestemming worden gevraagd, op een wijze die los staat van de overige verkoopvoorwaarden.
   4. Standaard uit. Locatiegegevens zouden alleen verzameld moeten worden indien er een functie is ingeschakeld die locatiedata vereist.
   5. Indicator. Met een indicator zou moeten worden weergegeven of de locatiegegevens worden verwerkt.
   6. Uit knop. Locatiegegevens zouden altijd uitgeschakeld moeten kunnen worden.
   7. Opslagbeperking. De locatiegegevens zouden slechts beperkte tijd opgeslagen moeten worden. 
2. Biometrische data. 
   1. Passend in de context. Het gebruik van biometrie moet zijn afgestemd op het risiconiveau.
   2. Passend beveiligd. De sensoren moeten zijn beveiligd, het aantal inlogpogingen moet worden beperkt, de sleutel moet versleuteld zijn opgeslagen en de ruwe data worden niet opgeslagen.
3. Strafrechtelijke gegevens
   1. Nu gegevens uit de auto strafrechtelijk van aard zouden kunnen zijn, raadt de EDPB aan om de gegevens slechts lokaal en onder controle van betrokkene op te slaan.
4. Privacy by design
   1. Lokale controle. Gegevens zou zo veel mogelijk lokaal in de auto zelf en onder controle van de betrokkene opgeslagen moeten worden (er zou dan zelfs geen sprake zijn van verwerkingsverboden voor bijzondere persoonsgegevens, omdat sprake is van persoonlijk en huishoudelijk gebruik).
   2. Minimum. Alleen minimaal noodzakelijke gegevens verwerken, al het meerdere gelaagd toestemming.
   3. Verwijderoptie. Optie gegevens uit de auto te doen verwijderen (bijv. voorafgaand aan verkoop). 
   4. Toegang. Toegang tot data opgeslagen in de auto. 
5. Transparantie
   1. Gelaagd en volledig. De EDPB wijst er op dat op grond van de wet er allerlei informatie moet worden gegeven en dat dit zo snel mogelijk doch liefst wel gelaagd moet gebeuren (conform vast standpunt van de EPDB).
6. Verdere doorgifte
   1. Toestemming. De EDPB zijn van oordeel dat gelet op de gevoeligheid van door de auto verzamelde gegevens voor iedere verdere doorgifte ook weer toestemming vereist is.

Huishoudelijk gebruik?

In de opinie hinkt de EPDB wat op twee gedachten over huishoudelijk gebruik. Enerzijds stelt ze dat data die de auto niet verlaten onder de uitzondering voor huishoudelijk gebruik vallen. Een welkome opvatting, die veel ruimte biedt aan ontwikkelaars van slimme software. Anderzijds stelt ze ook dat de uitzondering de softwareontwikkelaars niet ontslaat van de verplichting veilige software e.d. te maken bij de verwerking van persoonsgegevens.

Als echter stap 1 in de redenering is dat een situatie onder een uitzondering valt, dan kan stap 2 in de redenering logischerwijs niet zijn dat ondanks die uitzondering de regels toch van toepassing zijn. Met andere woorden: als de echt gevoelige data de auto's niet verlaten en daarom onder een uitzondering vallen, dan is de verantwoordelijkheid van de ontwerpers van de software m.i. beperkt tot de verwerking van de (kennelijk minder gevoelige) data die de auto wel verlaten en verder worden verwerkt door de leveranciers van de betreffende dienst(en). Dat lijkt spijkers op laag water zoeken, maar kleurt wel degelijk hoe ver de verplichtingen van de betreffende dienstverlener dan strekken (zijn beveiligingsmaatregelen zijn dan immers gericht op de verwerking van gewone gegevens, niet van bijzondere gegevens).

Reageren tot 20 maart

De conceptversie van de opinie is spreekwoordelijke "verplichte kost" voor iedereen in de auto-industrie of bedrijven die zich met aan vervoer aanpalende diensten bezighouden. Er kan tot 20 maart worden gereageerd, om zo de toezichthouders wellicht op andere gedachten te brengen.