De European Data Protection Board (EDPB), het orgaan waarin de EU privacytoezichthouders samenwerken, heeft vorige week de concept richtsnoeren gepubliceerd over de verwerking van persoonsgegevens in verband met connected vehicles.
De richtsnoeren bevatten uitleg van regels die met name betrekking hebben op slimme auto’s, connected cars. Opvallend is het uitgangspunt dat uitdrukkelijke toestemming moet worden gegeven voor bepaalde gegevensverwerkingen en doorgiftes. Betrokkenen dienen voorts helder over de gegevensverwerkingen te worden geïnformeerd, opties voor gegevensverwerkingen mogen niet altijd standaard aan staan en het moet zo eenvoudig mogelijk zijn om persoonsgegevens te beheren. De richtsnoeren geven bovendien een aantal specifieke aanbevelingen ten aanzien van locatiedata, biometrische gegevens en strafrechtelijke gegevens.
Tot 20 maart 2020 kan nog op de concept richtsnoeren worden gereageerd.
Achtergrond
Connected cars verzamelen grote hoeveelheden data. In veel gevallen bevatten die data ook persoonsgegevens van de eigenaar, de bestuurder en de inzittenden. Het gaat niet alleen om persoonsgegevens zoals een naam, het ingestelde bestuurdersprofiel of een uniek voertuig ID, maar ook gegevens over bijvoorbeeld instellingen, voorkeuren, locatie en rijgedrag, waaronder overtreding van verkeersregels. In de afgelopen jaren hebben brancheorganisaties en privacytoezichthouders in Duitsland, Frankrijk en het Verenigd Koninkrijk al kaders opgesteld voor de verwerking van deze persoonsgegevens.
De Algemene Verordening Gegevensbescherming (AVG) bevat algemene regels over de verwerking van persoonsgegevens. De ePrivacy Richtlijn bevat meer specifieke regels over de omgang met persoonsgegevens binnen elektronische communicatie. De ePrivacy Richtlijn zal op termijn worden vervangen door de ePrivacy Verordening, welke op dit moment nog op de tekentafel ligt.
Toestemming
In de richtsnoeren stellen de toezichthouders allereerst dat de ePrivacy Richtlijn van toepassing is op de verwerking van persoonsgegevens in het kader van connected vehicles. Daarmee stellen zij een auto die met internet is verbonden gelijk aan een computer, smart TV of smartphone. De ePrivacy Richtlijn schrijft voor dat toestemming vereist is om gegevens te mogen opslaan of uitlezen van randapparatuur van gebruikers. Dit is ook de toestemming die nodig is voor het gebruik van cookies. Doordat toestemming nodig is voor het opslaan en uitlezen van gegevens uit het voertuig, menen de toezichthouders dat voor de verdere verwerking van die gegevens, welke onder de AVG valt, ook toestemming de meest voor de hand liggende grondslag zal zijn. Voor veel diensten en functionaliteiten met betrekking tot slimme auto’s wordt gebruik gemaakt van data die is opgeslagen en wordt uitgelezen uit het voertuig, daarvoor zal toestemming nodig zijn.
De ePrivacy Richtlijn bevat ook uitzonderingen op het toestemmingsvereiste. Toestemming hoeft niet te worden gevraagd wanneer het verwerken van de informatie nodig is om communicatie uit te voeren. Tevens is geen toestemming nodig indien het opslaan van gegevens of toegang verkrijgen tot gegevens strikt noodzakelijk is voor een door een gebruiker gevraagde dienst.
De toestemming uit de ePrivacy Richtlijn moet voldoen aan de toestemmingsvereisten uit de AVG. Dit betekent dat toestemming vrij, specifiek, geïnformeerd en uitdrukkelijk moet zijn. De auto starten en wegrijden betekent niet dat de bestuurder toestemming geeft voor bepaalde functionaliteiten in de auto.
Dat toezichthouders slimme auto’s gelijkstellen met computers en randapparatuur is opmerkelijk maar ook begrijpelijk. De ePrivacy Verordening kent een ruimer toepassingsbereik dan de ePrivacy Richtlijn. De ePrivacy Verordening zal ook zien op zogenaamde over-the-top-diensten, machine-to-machine-communicatie en (semi-)openbare draadloze netwerken. Internet of things (IoT) toepassingen vallen hieronder. De ePrivacy Verordening is echter nog niet finaal en zal waarschijnlijk in 2021 in werking treden. De toezichthouders lijken hierop een voorschot te hebben willen nemen.
Informatievoorziening
De toezichthouders benoemen een aantal privacyrisico’s in de richtnsoeren, die mede worden ingegeven door de grote hoeveelheden data die worden verwerkt en de gevoelige aard daarvan. De betrokkenen zijn in de praktijk niet altijd goed geïnformeerd over de verwerking van persoonsgegevens door de auto, waardoor zij niet voldoende controle kunnen uitoefenen over de verwerking van hun persoonsgegevens. Zonder afdoende informatie, kan bovendien geen rechtsgeldige toestemming tot stand komen.
De toezichthouders signaleren dat het verstrekken van informatie en het vragen van toestemming in de praktijk lastig kan zijn en wijzen erop dat de bestuurder van wie persoonsgegevens worden verwerkt steeds kan verschillen en ook een andere persoon kan zijn dan de eigenaar. Het oplossen van dit probleem laten de toezichthouders echter aan de markt over.
Een ander probleem bij de verstrekking van informatie is dat verschillende partijen persoonsgegevens verwerken als verwerkingsverantwoordelijke. Al deze partijen moeten hierover informatie verstrekken. De toezichthouders benoemen dat nieuwe informatie moet worden verstrekt wanneer een nieuwe verwerkingsverantwoordelijk persoonsgegevens verwerkt, bijvoorbeeld wanneer je de grens over rijdt.
Om de informatie voor de betrokkenen overzichtelijker te maken kan gebruik worden gemaakt van een gelaagde structuur, waarbij de belangrijkste algemene informatie eerst wordt verstrekt en in een ander stadium specifiekere informatie kan worden verkregen. Ook kan informatie worden verstrekt door gebruik te maken van gestandaardiseerde iconen zodat dit eenvoudig te begrijpen valt.
Privacy by design en privacy by default
De technieken die worden gebruikt voor het verwerken van persoonsgegevens moeten zodanig zijn ontworpen dat zo min mogelijk persoonsgegevens worden verwerkt en dat de meest privacyvriendelijke instellingen standaard zijn.
Om de rechten en vrijheden van betrokkenen te beschermen moeten persoonsgegevens zo veel mogelijk in de auto zelf moeten worden opgeslagen. De betrokkene moet zelf de controle kunnen uitoefenen over de persoonsgegevens die de auto verlaten. Dit geldt met name voor biometrische gegevens en locatiegegevens.
De toezichthouders raden onder andere aan om alleen de gegevens die strikt noodzakelijk zijn voor het functioneren van de auto standaard te verwerken. Voor andere verwerkingen geldt dat de betrokkenen de mogelijkheid moeten hebben om dit zelf te activeren (en weer te deactiveren). Daarnaast moeten persoonsgegevens in beginsel alleen toegankelijk zijn voor de betrokkene zelf en moet de betrokkene zijn persoonsgegevens permanent kunnen wissen voordat de auto wordt verkocht.
Rechten van betrokkenen
Betrokkenen moeten controle kunnen houden over hun persoonsgegevens. Leveranciers van slimme auto’s en andere dienstverleners moeten dit faciliteren door bijvoorbeeld een profile managementsysteem te implementeren in de auto waarin voorkeuren van verschillende bestuurders kunnen worden opgenomen en waarbij privacy instellingen op ieder gewenst moment kunnen worden aangepast.
Reageren voor 20 maart 2020
De richtsnoeren zijn nog in concept. Het concept dat er nu ligt heeft gevolgen voor alle partijen die betrokken zijn bij het aanbieden van connected vehicles en daaraan gerelateerde diensten. Al in de ontwerpfase moet rekening worden gehouden met strenge privacy eisen. Tot 20 maart 2020 kan op de richtsnoeren worden gereageerd.
