Privacy & Data Protection

News Update Technology, Media & Telecom

European Data Protection Board (EDPB) publiceert finale richtsnoeren over connected vehicles
News Update
13 april 2021

De European Data Protection Board (EDPB) (bestaande uit de verschillende Europese privacytoezichthouders) heeft op 9 maart 2021 de definitieve versie van de richtsnoeren aangenomen voor de verwerking van persoonsgegevens bij connected cars.

Deze richtsnoeren geven aanbevelingen aan allerlei stakeholders in het Automotive-veld, en moeten ervoor zorgen dat de verwerking van persoonsgegevens bij connected cars zo veel mogelijk in lijn is met de Algemene Verordening Gegevensbescherming en de ePrivacy-richtlijn (in Nederland omgezet in de Telecommunicatiewet).

De EDPB signaleert meerdere risico's die zich kunnen voordoen bij de verwerking van persoonsgegevens in het kader van connected cars, zoals:
  • de gevoeligheid van sommige gegevens, die meebrengt dat de toegang ertoe moet worden beperkt (denk aan locatiegegevens; zie ook hieronder);
  • betrokkenen worden onvoldoende geïnformeerd over de verwerking van hun persoonsgegevens;
  • betrokkenen kunnen te weinig controle uitoefenen over het gebruik van hun gegevens; en
  • het niet altijd hebben van geldige toestemming (voor zover wettelijk vereist).
Om deze en andere risico's te beperken, geeft de EDPB een aantal algemene aanbevelingen. Hieronder stippen we de meest opvallende punten aan.

De verwerking van persoonsgegevens

Allereerst valt op dat de EDPB het begrip 'persoonsgegevens' erg breed opvat. Eigenlijk zegt de EDPB dat alle informatie die een connected voertuig genereert, een persoonsgegeven is. Denk daarbij niet alleen aan de direct tot iemand herleidbare informatie, maar ook aan meer technische informatie, zoals de snelheid van het voertuig of afgelegde afstand.

Locatiegegevens

Het verwerken van locatiegegevens vraagt extra aandacht. Locatiegegevens geven immers veel prijs over iemands dagelijks leven en gewoontes en kunnen ook gevoelige informatie blootleggen, bijvoorbeeld op basis van bezochte plekken. De EDPB adviseert verwerkingsverantwoordelijken daarom om zo min mogelijk locatiegegevens te verzamelen, behalve wanneer dat strikt noodzakelijk is. Daarnaast is het advies het verzamelen van locatiedata enkel te activeren indien de gebruiker een functionaliteit start waarvoor dat vereist is. Het verzamelen van locatiedata mag niet standaard aan staan en volgens de EDPB ook niet steeds aan worden gezet wanneer de auto wordt gestart. De berijder moet in staat zijn om locatiedata op eigen initiatief uit te schakelen.

Gegevens niet buiten het voertuig

De EDPB raadt aan om, waar mogelijk, gegevens uitsluitend in het voertuig te verwerken. Oftewel: gegevens niet buiten het voertuig exporteren, tenzij dit echt nodig is. Zo heeft de gebruiker volledige controle over zijn gegevens. Ook zijn er daardoor minder risico's op toegang tot gegevens door derden, spelen de risico's van verwerking in de cloud niet en is er een kleinere kans op cybersecurity-risico's . Meer specifiek adviseert de EDPB om een veilig in-car applicatieplatform te ontwikkelen dat fysiek gescheiden kan worden van de functies van de auto die samenhangen met veiligheid ervan. Waar het niet mogelijk is om gegevens uitsluitend in het voertuig te verwerken, kan volgens de EDPB worden gekozen voor een 'hybride' verwerking. Als voorbeeld noemt de EDPB de op rijgedrag gebaseerde verzekeringen (pay-as-you-drive). Volgens de EDPB heeft een verzekeraar alleen maar een score nodig om een inschatting van de risico's te maken en hoeft hij geen toegang te hebben tot de volledige rauwe locatie- en rijgedrag-data.

Privégebruik niet onder de AVG

Daarnaast merkt de EDPB terecht op dat sommige verwerkingen die een berijder uitvoert voor persoonlijke of huishoudelijke doeleinden niet onder de AVG vallen. Tegelijkertijd constateert de EDPB dat dit niet betekent dat fabrikanten/ontwikkelaars geheel ontslagen zijn van hun verplichtingen onder de AVG. De EDPB leest in de AVG een verplichting voor producenten om hun producten en diensten in overeenstemming met de AVG te ontwerpen en in te stellen (privacy-by-design).

Rechten van betrokkenen

De EDPB raadt verwerkingsverantwoordelijken aan een profiel-managementsysteem te implementeren op basis waarvan berijders gemakkelijk kunnen wisselen tussen verschillende profielen (van andere berijders) en daarmee ook hun privacyinstellingen kunnen wijzigen. Zo'n systeem moet er tevens voor zorgen dat betrokkenen hun rechten kunnen uitoefenen en door middel van een druk op de knop al hun gegevens kunnen verwijderen.

Voorbeelden: pay-as-you-drive

De richtsnoeren sluiten af met enkele case studies, zoals een nadere toelichting op de pay-as-you-drive-verzekering die hiervoor al even ter sprake kwam. Deze op rijgedrag gebaseerde verzekering, waarbij "veilig" rijden leidt tot een lagere premie, is toegestaan onder de voorwaarde dat de verzekerde daar zijn toestemming voor geeft. De verzekerde moet daarbij wel de keuze hebben om ook een niet op zijn rijgedrag gebaseerde verzekering af te sluiten. Zoals al eerder aangehaald, zal de verzekeraar zich zoveel mogelijk moeten beperken tot uitsluitend de score van de verzekerde en is toegang tot de volledige rauwe data meestal niet nodig. In ieder geval zal de verzekeraar geen locatiegegevens mogen verzamelen indien dat niet noodzakelijk is. Voor meer voorbeelden, verwijzen wij naar de richtsnoeren.

Neem contact op met iemand van ons Data Protection & Privacy-team voor vragen.
Written by:
Thomas de Weerd

Key Contact

Amsterdam
Thomas de Weerd
Advocaat | Partner
+31206056985
+31651659208
Stuur e-mail

Key Contact

Amsterdam
Jurre Reus
Advocaat | Senior Associate
+31206056576
+31683803239
Stuur e-mail

Key Contact

Amsterdam
Nicole Bilderbeek
Advocaat | Associate
+31206056540
+31612912607
Stuur e-mail