Europese privacywaakhond adviseert data-delete-knop in auto’s
De European Data Protection Board, de Europese privacywaakhond, heeft een conceptversie gepresenteerd van de dataregulering in connected vehicles. Daarin stelt het zeer scherpe eisen aan het gebruik van voertuig- en berijdersdata uit auto’s. In de basis komt het er op neer dat de berijder te allen tijde inzicht moet hebben in welke gegevens er worden verzameld en voor welk doel. Hij moet hierover door de autofabrikant in zijn eigen taal worden geïnformeerd. Ook moet de berijder op elk gewenst moment de mogelijkheid hebben om de data te wissen. Zo eenvoudig mogelijk, bijvoorbeeld via een “data-deleteknop op het dashboard”, zo stelt EDPB.
Recht uitoefenen
Data uit auto’s worden onder meer gebruikt om de status van de auto te monitoren, zoals vloeistofniveau, bandenspanning en andere onderhoudsrelevante zaken. Daarnaast aggregeert een auto berijdersdata, waarvan EDPB opmerkt dat deze privacygevoelig kunnen zijn; onder meer omdat ze iets zeggen over de handel en wandel van de bestuurder en over zijn rijgedrag. Steeds meer autofabrikanten, maar ook andere partijen zoals verzekeraars, navigatieleveranciers en aftermarketpartijen, verzamelen informatie als onderdeel van hun dienstverlening. Bijvoorbeeld voor rijdgedragverzekeringen, en reis- of onderhoudsadvies.Lees ook het interview met data-expert René Stolp: ‘Het vergaren van data wordt steeds lastiger.’
Vrijwel alle data uit auto’s moet daarom als privacygevoelig worden aangemerkt, wat betekent dat de bestuurder de controle over die data moet hebben: het ‘datasubject’ moet gedurende de complete periode dat data over hem en zijn voertuig worden vergaard, de mogelijkheid hebben om die in te zien, aan te passen dan wel te verwijderen. “Ze moeten op een effectieve wijze hun rechten kunnen uitoefenen”, aldus het EDPB in de richtlijn.
Derde partij
Alle data die nodig is voor het functioneren van de auto moet als ‘default’ worden verstuurd, al het overige moet standaard op ‘uit’ staan tenzij het datasubject uitdrukkelijke toestemming heeft gegeven voor het vergaren van de data. Ook mag de data niet, zonder toestemming van de datasubject, aan een derde partij worden doorgegeven en mogen de prestaties van de auto niet verminderen als de consument besluit om geen data te delen.
De richtlijn betekent een vergaande restrictie voor het verzamelen en gebruiken van data uit connected cars. Tot 20 maart kunnen betrokkenen commentaar leveren op het document.
De conceptrichtlijn van het EDPB is te vinden in de Automotive Kennisbank.