Datahonger van de ‘slimme’ auto niet te stillen?

Enfin! Deze slimme auto’s verzamelen dus niet alleen technische data, maar ook herleidbare gegevens en dus persoonsgegevens van de autobezitters. Een opmerkelijk (lees: verontrustend) feit is dat 80% van de eigenaren van mening is dat ze niet voldoende zijn geïnformeerd over welke persoonsgegevens hun auto nou verzamelt. Hierbij moet ook vermeld worden dat de verzamelde data met derden wordt gedeeld, terwijl de fabrikanten niet duidelijk (willen) maken wie deze partijen zijn en wat ermee gedaan wordt.

Op het eerste gezicht lijkt het dat we een reden hebben om ons zorgen te maken. Innovatie lijkt tegenwoordig hand in hand te gaan met het schenden van privacy. Is er een reden tot paniek? Voorbeelden van privacypaniek hebben we genoeg: van een rode stip op je voorhoofd op een festival tot het door TUI niet verstrekken van persoonsgegevens van een vermiste dochter in Cuba. Het is van belang dat we ons aan de wet houden, terwijl we tegelijkertijd gebruik kunnen maken van de open normen om innovatie toe te juichen. Wat zijn de mogelijkheden en wat wil de autorijder? Hoe kunnen we blijven innoveren en toch onze privacy blijven waarborgen?

Terug naar het artikel van het FD. Daarin wordt ook benoemd dat de autorijder in de meeste gevallen zijn toestemming niet heeft gegeven om de persoonsgegevens te mogen verwerken. Interessant punt, want is toestemming altijd nodig of is een beroep op een gerechtvaardigd belang ook mogelijk?

De Algemene Verordening Gegevensbescherming (hierna AVG) benoemd zes grondslagen om persoonsgegevens te mogen verwerken. Voor ons zijn de grondslagen toestemming en gerechtvaardigd belang relevant.

Toestemming

Toestemming wordt in de AVG als volgt gedefinieerd: ‘elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.’

Ten aanzien van toestemming heeft de Autoriteit Persoonsgegevens (AP) eerder uitspraken gedaan. Zo heeft de AP ten tijde van de Wet bescherming persoonsgegevens het standpunt ingenomen dat er in het geval van een arbeidsrelatie nooit sprake kan zijn van een vrije toestemming. Dit komt door de gezagsverhouding tussen werknemer en werkgever, aldus de AP.

Meer recent heeft de AP over vrije toestemming aangegeven dat tracking cookies niet voldoen aan de AVG, nu een cookiewall geen vrije keuze biedt. Gezien de lijn die de AP hanteert over de toestemming, ben ik van mening dat hetzelfde geldt ten aanzien van slimme auto’s. In het artikel van de FD wordt aangegeven dat Tesla bijvoorbeeld wel meldt dat de dataverzamelaar kan worden uitgeschakeld, maar als je dat doet de waarschuwing ‘de auto kan kapotgaan’ wordt weergegeven. In dat geval blijft er weinig aan vrije keuze over, aangezien de keuze snel is gemaakt: of je geeft toestemming of je auto gaat kapot.

Gerechtvaardigd belang

Moet de gegevensverwerking dan worden stopgezet nu de toestemming ontbreekt? Zeker niet! Niet in alle gevallen is toestemming van de bestuurder nodig. Voor bijvoorbeeld de gegevensverwerking die nodig is om botsingen te voorkomen (die veel levens zal kunnen redden) of files die door de botsingen veroorzaakt kunnen worden, ben ik van mening dat gerechtvaardigd belang moet kunnen volstaan.

Om de verwerking op de grondslag gerechtvaardigd belang te baseren, moet aan de volgende voorwaarden worden voldaan:

1. Er bestaat een gerechtvaardigd belang;
2. De verwerking is noodzakelijk;
3. Afweging maken tussen het gerechtvaardigd belang en de belangen van de betrokkene.

Uiteraard moet gerechtvaardigd belang niet te snel worden aangenomen. Maar gelet op de voordelen en mogelijkheden van een slimme auto, zeker als we levens kunnen redden, zie ik het als een gemiste kans als we elke verwerking onder toestemming moeten scharen. Ik pleit dan ook voor het toepassen van gerechtvaardigd belang als grondslag bij essentiële verwerkingen die een zodanig positieve impact op ons leven kunnen hebben, zoals het voorkomen van botsingen en files.

Voor gegevensverwerking die meer persoonlijk is, is toestemming vereist. Zo wordt in het artikel van het FD genoemd dat Tesla ook registreert hoe vaak je toetert. Indien je dit – om wat voor reden dan ook - wilt bijhouden, be my guest, maar ook daar moet je een vrije keuze in hebben.

De meeste fabrikanten hebben al een App waarmee een groot deel van de gegevens te zien is voor de bestuurder. Via de App zou ook toestemming geregeld kunnen worden. Ik ben van mening dat de formulering daarbij doorslaggevend is. In plaats van de melding: ‘indien je geen toestemming geeft, kan je auto mogelijk kapot gaan’, is een positievere formulering meer in lijn met de AVG. Zo kun je denken aan een waarschuwing als: ‘indien je je auto optimaal wilt onderhouden om zo min mogelijk kosten te maken, verzoeken wij toestemming om de volgende gegevens te verwerken (inclusief een transparante opsomming van de betreffende persoonsgegevens)’.

Hoe nu verder?

In het artikel wordt ook genoemd dat de AP de slimme auto als een speerpunt ziet. Dit geldt niet alleen voor de toezichthouder, maar ook voor de European Data Protection Board (EDPB) die momenteel werkt aan guidelines omtrent het verwerken van persoonsgegevens door middel van slimme auto’s. De verwachting is in ieder geval dat we deze volgend jaar kunnen lezen. De praktijk laat zien dat men al te snel geneigd is om te roepen dat een verwerking niet is toegestaan. Laten we niet verlammen daardoor en innovatie juist omarmen. Juist door de open normen biedt de AVG mogelijkheden om ‘outside the box’ te denken. Hier is enige creativiteit nodig, maar dan kunnen we innovatie en privacy in ieder geval in één adem noemen. Ik hoop dat de EDPB dit ook zo ziet. Er is in ieder geval nog hoop. Voor degenen onder ons die de slimme auto’s sowieso niet willen, is er altijd een andere optie: terug naar een ‘domme’ auto (ik raad de Peugeot 306 aan, maar dat zal niet iedereen even goed bevallen ben ik bang).