ACEA: Richtlijnen voor persoonlijk data connected voertuigen zijn te breed

Richtlijnen voor persoonlijke data gerelateerd aan connected voertuigen zijn welkom. De richtlijnen die de European Data Protection Board (EDPB) voorstelt zijn echter te breed, stelt brancheorganisatie ACEA. De organisatie pleit ervoor de richtlijnen verder te verfijnen voordat tot publicatie wordt overgegaan.

Veel moderne auto’s zijn met internet verbonden en verzamelen allerlei gegevens. De richtlijnen die de EDPB voorstelt zijn bedoeld om de bescherming van deze gegevens en daarmee de privacy van klanten te verbeteren. Een e-privacyverordening moet voorkomen dat autofabrikanten te veel ruimte krijgen bij het gebruik van gegevens verzameld door connected voertuigen.

‘Te breed’

ACEA stelt dat dergelijke richtlijnen welkom zijn. De regels die de EPDB nu voorstelt zijn echter te breed in hun bereik, stelt de brancheorganisatie. ACEA wijst erop dat de term connectiviteit doorgaans wordt gebruikt om communicatie van voertuigen met de buitenwereld te omschrijven, waarbij data wordt verzonden tussen apparaten, mobiele applicaties of infrastructuur. De nieuwe regels zijn echter ook van toepassing op communicatie binnen het voertuig.

De brancheorganisatie vindt dit niet correct en wijst erop dat dit niet in overeenstemming is met nationale richtlijnen verschillende EU-lidstaten, waaronder Frankrijk en Duitsland. Ook stelt ACEA dat de richtlijnen duidelijk zouden moeten maken dat voertuigfabrikanten pas datacontrollers of -verwerkers worden zodra data het voertuig verlaat.

‘Auto’s zijn geen smartphones’

Eric-Mark Huitema, algemeen directeur van ACEA, wijst er daarnaast op dat auto’s geen smartphones zijn. “Motorvoertuigen verschillen van producten zoals smartphones doordat zij meerdere gebruikers hebben en daardoor in potentie meerdere ‘data subjects’ hebben. Of voertuigdata gezien kan worden als persoonlijke gegevens moet geadresseerd worden in de context van dataverwerking, waarbij de impact op de data subject in iedere case overwogen dient te worden.”

Zo verzamelen bijvoorbeeld camera’s en sensoren in voertuigen ook data over passagiers en voetgangers. ACEA wijst erop dat deze personen niet geïdentificeerd kunnen worden door de autofabrikant. Daarnaast verzamelen connected voertuigen ook data die niet gerelateerd is aan een data subject, zoals de gemiddelde snelheid van het voertuigen. Dergelijke technische gegevens hebben volgens ACEA dan ook geen impact op de data.

‘Niet alle data zou verwijderd moeten mogen worden’

De EPDB wil dat data subjects het recht hebben alle voertuigdata te (laten) verwijderen. ACEA hekelt deze bepaling en stelt dat dit niet het geval zou moeten zijn. Zo wijst de organisatie erop dat sommige data nodig is voor het aantonen van compliancy met wetgeving, uitvoeren van onderhoud en mogelijk maken van technische inspecties. Denk hierbij aan data gerelateerd aan componenten zoals de softwareversie of aan storingscodes. Niet alle data zou daarom verwijderd mogen worden.

Tot slot wijst ACEA erop dat de voorgestelde richtlijnen gebaseerd zijn op de Europese ePrivacy Directive, terwijl deze op korte termijn wordt vervangen door een nieuwe ePrivacy Regulation. Indien de richtlijnen in hun huidige vorm worden gepubliceerd, bestaat dan ook het risico dat de richtlijnen na korte tijd achterhaald zijn. ACEA roept de EPDB daarom op de publicatie van de richtlijnen uit te stellen totdat meer zekerheid bestaat over de inhoud van de ePrivacy Regulation.

‘Kwaliteit belangrijker dan snelheid’

“We denken dat de kwaliteit en nauwkeurigheid van de richtlijnen belangrijker zijn dan de snelheid waarmee deze omarmd worden”, aldus Huitema. “Onze industrie staat klaar om samen te werken met de EPDB om pragmatische en werkbare richtlijnen te creëren die het vertrouwen van klanten in nieuwe connectiviteitstechnologieën vergroot.”

“De auto-industrie is toegewijd aan het leveren van een hoog niveau van bescherming voor persoonlijke data van zijn klanten”, zeg Huitema. “Dat is waarom het zo cruciaal is dat deze richtlijnen robuuster worden gemaakt. Zij leveren autoriteiten in de EU een goede en overkoepelend begrip van hoe databeschermingsregels moeten worden toegepast op connected voertuigen.”

Auteur: Wouter Hoeffnagel