Autoriteit Persoonsgegevens waarschuwt: Connected Car? Bescherm uw privacy!

10 maart 2020

Ina Brouwer

Privacy, Privacyrecht

GDPR

Rijden zonder autosleutel, inloggen met een app die verbonden is met je mobiele telefoon: het is allemaal mogelijk en zeer comfortabel voor de hedendaagse bestuurder. 

Eigentijdse auto’s verzamelen een schat aan persoonsgegevens van en voor de gebruiker, maar daar blijft het niet bij. Sommige autofabrikanten installeren de auto-apps zo dat alle informatie automatisch aan hen wordt doorgestuurd. Efficiënt voor de autofabrikant die aan direct marketing doet en voor de leasemaatschappij die kan nagaan of een roekeloze rijstijl oorzaak was van opgelopen schade, maar weet de koper/bestuurder eigenlijk wel dat dit gebeurt? Kent hij of zij de schaduwkanten van de auto als rijdende computer?

Automatische doorgifte persoonsgegevens

De app registreert zonder reserve waar de auto voor wordt gebruikt. Hoe laat je vertrekt en weer thuiskomt, wanneer je iemand bezoekt, op welke parkeerplaats je vaak stopt en hoe lang je dan uit de auto bent. Handig voor een detective, dat wel, maar moeilijker om iets privé te houden: even spijbelen tijdens werktijd, kerk- of moskeebezoek, een gesprekje met de concurrent of uitstapjes met een leuke collega. Het wordt secuur genoteerd en doorgeseind. Big Brother is watching you!

En als de verkoop van de auto daar is en je vergeet je app te verwijderen, dan ligt je hele telefoonboek bij de koper of rijdt de auto automatisch naar die leuke collega. De inbreuk op je persoonlijk leven kan fors zijn, maar bij kritiek wijzen autofabrikanten en leasemaatschappijen meteen op de privacy-paragraaf van hun algemene voorwaarden. Daar staat het toch allemaal in? En de koper/gebruiker heeft met ondertekening toch toestemming gegeven?

Waarschuwing Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens is het daar niet mee eens en vindt het tijd voor een waarschuwing. Op 2 maart j.l. publiceerde de AP de handleiding Connected Car? Bescherm uw privacy! 

Citaat:

 Moderne auto’s, maar ook motoren, scooters en fietsen, zijn vaak ‘connected’: het zijn rijdende computers, verbonden met het internet. Uw auto wijst u de weg en onthoudt waar u geweest bent, heeft de contacten uit uw telefoon opgeslagen en slaat gegevens op over uw rijstijl. Zo verzamelt het voertuig vaak allerlei privacygevoelige informatie. 

Wilt u zelf bepalen welke gegevens uw auto en de fabrikant van uw auto over u verzamelt en bewaart? En wilt u zeker weten dat uw persoonsgegevens niet in verkeerde handen vallen als u uw auto verkoopt?

Tips voor kopers en gebruikers

  1. Vraag aan de autodealer welke persoonsgegevens worden verzameld en doorgegeven? Zijn dat summiere gegevens of je hele telefoonboekje van de mobiele telefoon?
  2. Vraag naar beveiliging van deze gegevens. Gaan ze in de Cloud of op een beveiligde server?
  3. Vraag om informatie over de privacy-instellingen. Autofabrikant en leasemaatschappij mogen niet meer persoonsgegevens verwerken dan noodzakelijk is. Dus niet ook nog eens locatiegegevens via bluetooth of navigatiegegevens. Een opt in en niet een opt out!
  4. Kun je gemakkelijk alle gegevens wissen bij verkoop? Zo niet, dan gaan ze over op de nieuwe eigenaar, met routes, locaties en mogelijk zelfs met namen. 
  5. Wil je weten welke gegevens er liggen bij de autofabrikant of leasemaatschappij? Dat recht heb je volgens de AVG. Recht op informatie en recht op vergetelheid. Een autofabrikant of een leasemaatschappij doen er goed aan om een gemakkelijk systeem in te richten om de rechten van betrokkenen te kunnen honoreren. 

Aansprakelijkheid, boetes en schadevergoeding

De verantwoordelijkheid van leveranciers van slimme gadgets, van autodealers en leasemaatschappijen is groot. Zij zijn, in de zin van de AVG, verwerkingsverantwoordelijk of verwerker en kunnen worden aangesproken voor hun aandeel in de verwerking van persoonsgegevens.         

Klaagt de koper over te weinig informatie over de verwerking, dan is er wellicht geen sprake van toestemming omdat die alleen geldend is als je goed en volledig bent geïnformeerd. Mocht je huwelijk exploderen, omdat intieme persoonsgegevens via je ‘connected car’ zijn uitgelekt en onbedoeld bij je partner terecht zijn gekomen, dan is een schadevergoedingseis niet eens zo theoretisch. Grappig? Jazeker, maar het wordt minder vrolijk als er forse boetes worden opgelegd door de AP, zoals de €460.000 voor het Haga Ziekenhuis omdat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander konden inzien (de zogenaamde “Barbiezaak”). 

Een ander voorbeeld. Uit de data van een leaseauto blijkt dat de bestuurster regelmatig een vruchtbaarheidskliniek bezoekt, terwijl ze ook nog in een promotieronde zit. Mag haar werkgever die de persoonsgegevens toevallig in handen krijgt, hierop afgaan? Nee, zou je zeggen, onrechtmatig verkregen bewijs, maar de schade zit dieper. Het privéleven van de bestuurster ligt op straat en dat beschouwt de Algemene Verordening Gegevensbescherming (AVG) als een ernstige inbreuk op haar privacy-rechten. Zij kan in een civiele procedure verwijdering van alle persoonsgegevens eisen en de betaling van een schadevergoeding ( artikel 82 AVG). Een verwijzing naar de algemene voorwaarden met een privacy-paragraaf is dan echt niet meer voldoende. 

Hoe meer data er worden verzameld, hoe groter de verantwoordelijkheid om de persoonsgegevens te beschermen en hoe groter het risico van boetes en schadevergoeding. Iedere organisatie zal zich daar bewust van moeten zijn en privacy-bescherming prioriteit moeten geven in de bedrijfsvoering. 

 

Neem voor meer informatie contact op met Ina Brouwer.