ANWB wil nieuwe regelgeving voor data automobilisten. Terecht?

Een curieus bericht in een groot aantal nieuwsmedia vorige week: de ANWB waarschuwt voor autofabrikanten die data verzamelen en dringt aan op nieuwe regelgeving. Curieus vanwege twee redenen. Ten eerste: dit wisten we toch allang? En ten tweede: hier is toch helemaal geen nieuwe regelgeving voor nodig…?

Gegevens uit auto worden al veel langer verzameld

Om met het eerste punt te beginnen, we weten al jaren dat autofabrikanten data verzamelen rondom de status van een auto (voor onderhoud) maar ook steeds meer over waar een auto geweest bijvoorbeeld is en hoe hard er is gereden. Ik kan me wel voorstellen dat dit tot nu toe alleen bekend was bij relatieve insiders, maar laat ik eens twee voorbeelden noemen die de pers gehaald hebben. Als eerste is daar in 2014 Espen Andersen, een Tesla-eigenaar uit Noorwegen. Hij wilde graag onder een parkeerboete uitkomen en dacht dat te kunnen doen met data die Tesla over zijn auto had. In zijn blog hierover (‘Elon, I want my data!’) staan aanwijzingen dat Tesla inderdaad data verzamelt. Iets later, in januari van dit jaar, heeft een topman van BMW aangegeven dat hij door de reclame- en technologie-industrie benaderd is: of ze de data die BMW verzamelt kunnen krijgen, want dat adverteert zo lekker!

De berichtgeving dat autofabrikanten data verzamelen is op zich niets nieuws dus. Het tweede deel van het bericht vond ik echter veel interessanter: de ANWB dringt aan op nieuwe regelgeving hieromtrent. Nu komen we uit op mijn terrein, dat van de privacy en bescherming van persoonsgegevens. Mijn mening hierover: ik denk dat het helemaal niet nodig is om hierover nieuwe regelgeving te maken. Laat mij dat toelichten.

Regelgeving hieromtrent bestaat al

Als je denkt dat een organisatie persoonsgegevens van je verzamelt, dan mag je die organisatie vragen of ze dat doen en zo ja, welke data ze dan allemaal van je hebben. Dat is gewoon een regel uit de huidige Wet bescherming persoonsgegevens (voor de fijnproevers: Artikel 35). Dus om inzicht te krijgen in wat de autofabrikant allemaal van je weet, zijn geen nieuwe regels nodig. En deze regel werkt: vier jaar geleden heeft in een breed uitgemeten zaak de Oostenrijker Max Schrems met een beroep op deze regel eens aan Facebook gevraagd hoeveel data ze van hem hadden. Hij kreeg een CD thuisgestuurd met 1200 pagina’s aan gegevens.

Vervolgens, als je weet welke gegevens ze van je hebben, mag je vragen of ze die gegevens willen verbeteren of aanvullen (indien onjuist of onvolledig), of om ze weg te gooien. Dat is ook allemaal geregeld in de Wbp (wederom, voor de fijnproevers: Artikelen 36 t/m 42).

Kern van het probleem

Wat is nu de kern van dit probleem, waarom komt ANWB met dit bericht? Volgens mij komt deze discussie voort uit het Internet of Things (IoT), het feit dat we in een rap tempo allerlei apparaten op het internet aansluiten, die eerder slechts alleen een apparaat waren. Dit geldt namelijk niet alleen voor auto’s. Ook huishoudelijke apparaten, medische apparatuur, machines in fabrieken, lantarenpalen en stoplichten… je kunt het zo gek niet verzinnen of het wordt tegenwoordig aangesloten op het internet.

De data die daarmee verzameld wordt, zijn vaak persoonsgegevens. En die persoonsgegevens komen dan terecht bij organisaties die het helemaal niet gewend zijn om met dit soort data in zulke grote hoeveelheden om te gaan. Dit zijn geen digital native organisaties – dit zijn organisaties die heel goed zijn in het bouwen van een product of apparaat. En dat is iets heel anders dan het verwerken van grote hoeveelheden, best gevoelige data.

Nieuwe regels nodig?

Kortom, hebben we nieuwe regelgeving nodig voor alle data die gegenereerd wordt specifiek door auto’s? Nee, dat lijkt me toch niet – het is allemaal al geregeld. Hebben we dan nieuwe regelgeving nodig voor alle data die gegenereerd wordt door al die dingen die aan het internet aangesloten worden? Misschien, maar gegeven wat ik hierboven heb uitgelegd, sta ik zelfs daar sceptisch tegenover, omdat ik denk dat we het al hebben.

Dat wil niet zeggen dat ik de ANWB niet snap. Ze geven in hun persbericht aan dat 94 procent van de Nederlandse automobilisten vindt dat er specifieke regelgeving moet komen ter bescherming van hun privacy. Dat snap ik ook – waar je geweest bent en wanneer is voor veel mensen persoonlijke informatie; als die data verzameld wordt, voelt het alsof iemand je continu volgt. Dat is heel eng. Wat we dus vooral kunnen doen is die automobilisten wijzen op de rechten die ze al hebben en hoe ze daar gebruik van kunnen maken.

Tegelijkertijd kunnen we dan tegen fabrikanten van auto’s en andere IoT producten zeggen dat ze meer rekening moeten houden met privacy. Liefst vanaf het begin van het ontwikkelproces, oftewel Privacy-by-Design toepassen. Dat is de meest effectieve manier zonder wetboeken opnieuw aan te hoeven passen…