Wie controleert de voertuigdata?

Wie heeft de controle over autodata? De autobezitter of de fabrikant? Fabrikanten worden benaderd door adverteerders. Wat moeten zij doen? Bedrijven in de voertuigindustrie doen er goed aan, zeggen Louise de Gier en Joost Gerritsen, de mogelijkheden in kaart te brengen. Doen zij dat niet, dan is de kans groot dat zij worden ingehaald door bedrijven uit Silicon Valley. Want zij weten als geen ander hoe data vermarkt moeten worden.

 

Inmiddels zijn auto’s rijdende computers. De data die auto’s genereren bieden veel inzicht in de voertuigbezitter en zijn rijgedrag. Tijdens de Consumer Electronics Show (CES) in Las Vegas vorig jaar meldde een topman van Ford dat dankzij het GPS-systeem bij iedere Ford-bezitter precies kon worden nagegaan wie de snelheidslimiet overschreed. ‘Maar,’ zo voegde hij eraan toe, ‘we verstrekken deze gegevens aan niemand.’ Een relletje was echter geboren.

De laatste tijd maken zowel voertuigfabrikanten als privépersonen zich zorgen over wat er met hun data gebeurt. Fabrikanten klagen over het feit dat ze benaderd worden door Silicon Valley-bedrijven of adverteerders om hun voertuigdata ter beschikking te stellen. Fabrikanten staan hierom niet te springen. Zij willen geen imagoschade oplopen omdat een auto van hun merk gehackt wordt zodat ‘hun’ autodata op straat komen te liggen.

Van wie zijn de autodata? De fabrikant? De voertuigbezitter? Een Amerikaanse geschiedenisdocent ging bij zijn garage op bezoek omdat zijn controlelampje van de motor ging branden. Hij wilde weten wat dit betekende en bracht zijn auto naar de garage. De garagehouder vertelde hem dat hij geen toegang kreeg tot zijn motordata, tenzij hij 135 Amerikaanse dollars betaalde aan Toyota. De docent vond dit onbegrijpelijk. Het gaat toch om zijn gegevens?

 

Controle

Veel partijen claimen eigendom op voertuigdata of willen eigenaar zijn van deze gegevens. Denk aan fabrikanten, overheden, importeurs, dealers, brancheverenigingen, start-ups en auto-eigenaren. Eigendom is niet het goede woord, omdat eigendom geldt voor ‘zaken’ – zoals een auto. Men kan eigenaar zijn van een auto, maar niet van autodata want data zijn juridisch gezien geen ‘zaken’ (met uitzondering van intellectuele eigendomsrechten, zie kader). Het is logischer na te gaan wie controle mag hebben over de data. Het is mogelijk dat meerdere partijen op basis van verschillende juridische gronden controle mogen uitoefenen op de autodata. Kwalificeren we de autodata als persoonsgegevens, dan heeft de betreffende persoon – voertuigbezitter, leaserijder – hier zeggenschap over. Zijn de autodata te beschermen onder het databankenrecht, dan mag de rechthebbende van die data anderen toestaan – of juist verbieden – gebruik te maken van de data. Het Duitse Verband der Automobilindustrie publiceerde de ‘Data Protection Principles for Connected Vehicles’. Aangesloten partijen zoals Audi, Fiat en Volkswagen beloven hiermee transparantie te betrachten over de verwerkingen van voertuigdata en voertuigbezitters controle te geven over deze data. De Duitse privacytoezichthouder noemt dit een begin, maar vindt dat er nog vragen onbeantwoord blijven – bijvoorbeeld over wie verantwoordelijk is voor de verwerking van de autodata.

Ondertussen hebben andere organisaties hun posities ingenomen over autodata. De Britse Automobile Association (‘AA’) vindt dat consumenten altijd volledig geïnformeerd moeten worden over wat er met de autodata gebeurt. De AA stelt dat het eigendom van de data moet liggen bij de bestuurders. Zij moeten controle behouden over deze data zolang zij eigenaar zijn van het voertuig.

De voertuigbezitter wil niet alleen zijn auto besturen, maar ook de autodata. De Algemene Verordening Gegevensbescherming – afkomstig van de Europese Commissie – helpt hem hierbij. Dit is aanstaande wetgeving die zware eisen stelt aan het bedrijfsleven zodra het persoonsgegevens verwerkt. De verordening geldt dus zodra de autodata juridisch gezien persoonsgegevens zijn. Gegevens over de locatie van het voertuig zullen al snel gegevens zijn die door de verordening worden beschermd. Als dat het geval is, dan zal voor de consument een systeem moeten worden opgetuigd waarin hij zijn ‘privacy-instellingen’ van het voertuig kan beheren. Naar verwachting treedt de verordening medio 2016 in werking. Bedrijven die de regels niet naleven, kunnen een boete opgelegd krijgen van 100 miljoen euro of 5 procent van de wereldwijde jaaromzet.

 

Afspraken

Niemand is eigenaar van autodata en de databeheerders zullen rekening moeten houden met de privacyrechten van de consumenten. Staat de voertuigindustrie dan met lege handen? Nee, integendeel, voor partijen in de voertuigketen zijn er meerdere mogelijkheden om de positie op de datamarkt juridisch te regelen. Van belang is om vast te stellen of er intellectuele eigendomsrechten zijn die bescherming kunnen bieden, zoals het databankenrecht of het auteursrecht. De partij met een databankenrecht kan in vergaande mate anderen verbieden de data te gebruiken zonder zijn toestemming. Ook is het maken van goede afspraken binnen de gehele voertuigketen van belang. Zo kunnen contractpartijen elkaar houden aan het afgesproken gebruik van de voertuigdata.

Bedrijven in de voertuigindustrie doen er goed aan deze mogelijkheden in kaart te brengen. Doet men dat niet, dan is de kans groot dat de voertuigindustrie wordt ingehaald door bedrijven uit Silicon Valley. Zij weten als geen ander hoe data – en dus ook autodata – vermarkt moeten worden. Wie deze ‘slag om de autodata’ wil winnen, zal zijn competitive advantage moeten tonen. Privacybescherming kan zo’n concurrentievoordeel zijn.

Uit onderzoek van McKinsey volgt dat 51 procent van de ondervraagden in Duitsland terughoudend is om ‘connected car’-diensten te gebruiken, vanwege privacyzorgen. Daarom is het essentieel om als partij in de voertuigketen de privacyrechten te respecteren (ter bescherming van de privacy), afspraken met ketenpartners te maken (ter voorkoming van onder meer aansprakelijkheid voor schade) en de intellectuele eigendomsrechten vast te stellen (ter bescherming van de autodata). Zie kader voor concrete aanwijzingen. Bedrijven die hierin succesvol zijn, hebben een voorsprong.

Waar bedrijven in de voertuigdata-industrie op moeten letten

Privacybescherming

Als data – bijvoorbeeld voertuiggegevens – herleid kunnen worden tot een persoon, dan zijn dit persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) is dan van toepassing. Volgens de Wbp hebben personen het recht om persoonsgegevens te laten corrigeren, wissen of af te schermen. Dit betekent dat als er persoonsgegevens worden verwerkt, de personen zoals leaserijders, voertuigbestuurders of inzittenden een verzoek kunnen indienen om de data te verwijderen. Er bestaan meer verplichtingen. Voor de leaserijder, voertuigbezitter en anderen moet transparantie bestaan over het gegevensgebruik. Deze personen moet om toestemming worden gevraagd voor het beoogde gebruik van de gegevens. De ‘cookiewetgeving’ – op basis waarvan websites pop-ups over cookiegebruik tonen – geldt ook in het voertuig. Dit betekent dat de inzittenden eerst geïnformeerd moeten worden over het datagebruik zodat zij toestemming kunnen geven. Ontbreekt de vereiste informatie of toestemming en start men alsnog met de verwerking van bijvoorbeeld de locatiegegevens, dan is dit een overtreding die toezichthouder ACM zou kunnen beboeten. Verantwoordelijke bedrijven moeten adequate beveiligingsmaatregelen bieden tegen oneigenlijk gebruik van de voertuiggegevens, zoals hacking of datalekken. Miljoenen auto’s zoals BMW’s, Mini’s en Rolls Royce’s bleken onlangs kwetsbaar voor hackers vanwege een softwarefout in het voertuigsysteem. De aanstaande Algemene Verordening Gegevensbescherming benadrukt het belang van Privacy By Design: technologische en organisatorische maatregelen om bij het vroegste ontwerp van een informatiesysteem rekening te houden met privacy. Het achteraf toevoegen van privacybescherming aan een systeem of dienst wordt vaak lastiger en duurder dan wanneer dit in het ontwerpproces wordt meegenomen. Voor databedrijven binnen de automotive-sector is Privacy by Design daarom essentieel.

 

Afspraken met ketenpartners

Het is denkbaar dat niemand in de voertuigketen een intellectueel eigendomsrecht heeft (een ‘IE-recht’, hier: auteursrecht of databankenrecht) op een of meer gegevensverzamelingen. Deze situatie kan zoveel mogelijk worden ondervangen door contractueel afspraken te maken over het gegevensgebruik. Anders dan bij een IE-recht kan niet iedereen worden aangesproken op het gebruik van de gegevens, maar alleen de partij waarmee het contract is gesloten. Hanteert deze partij de gegevens in strijd met de overeenkomst, dan kan hij hierop worden aangesproken. Het is van belang dat de contracten rekening houden met de omstandigheid dat de data persoonsgegevens kunnen bevatten of kunnen ‘verkleuren’ naar persoonsgegevens. In aparte overeenkomsten moeten de rechten en plichten over en weer worden vastgesteld, bijvoorbeeld over technische en organisatorische beveiligingsmaatregelen ter waarborging van de persoonsgegevens.

 

Vaststelling intellectuele eigendomsrechten

Als op een verzameling van gegevens een IE-recht rust, dan kan de rechthebbende anderen het gebruik van de gegevens verbieden of juist toestaan. Een databank kan auteursrechtelijke of databankrechtelijke bescherming genieten. Auteursrechtelijke bescherming van databanken is mogelijk indien de keuze of de rangschikking van de in de databank opgenomen gegevens een oorspronkelijke uiting is van de creatieve vrijheid van de maker ervan. Een rechter oordeelde dat een gedetailleerde rubricering van een telefoongids auteursrechtelijke bescherming genoot. Er waren hiervoor voldoende persoonlijke, creatieve, keuzes gedaan. De databank kan daarnaast databankrechtelijke bescherming genieten. Dit databankenrecht is voor degene die substantieel heeft geïnvesteerd in een databank. Deze ‘substantiële investering’ betekent dat niet iedere database voor juridische databankbescherming in aanmerking komt. Als een database met voertuiggegevens het bijproduct is van bijvoorbeeld een remsysteem of diagnostische apparatuur, dan ontbreekt al snel een substantiële investering omdat die niet gericht is op het creëren van de databank als zodanig. Van belang is dus voor databankrechtelijke bescherming dat er met behulp van de administratie wordt aangetoond wat er in de databank is geïnvesteerd en dat deze investeringen inderdaad betrekking hebben op de databank.

Tag

IoT

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag