2322

ITExp

Ert

»

Voor reacties en nieuwe bijdragen van IT-experts: Henk Ester, 070 3046812h.ester@automatise-ringgids.nl

data. Het Duitse Verband der Automobilindus-trie publiceerde de ‘Data Protection Principles for Connected Vehicles’. Aangesloten partijen zoals Audi, Fiat en Volkswagen beloven hiermee transparantie te betrachten over de verwerkin-gen van voertuigdata en voertuigbezitters controle te geven over deze data. De Duitse privacytoezichthouder noemt dit een begin, maar vindt dat er nog vragen onbeantwoord blijven – bijvoorbeeld over wie verantwoordelijk is voor de verwerking van de autodata.Ondertussen hebben andere organisaties hun posities ingenomen over autodata. De Britse Automobile Association (‘AA’) vindt dat consumenten altijd volledig geïnformeerd moeten worden over wat er met de autodata gebeurt. De AA stelt dat het eigendom van de data moet liggen bij de bestuurders. Zij moeten controle behouden over deze data zolang zij eigenaar zijn van het voertuig.De voertuigbezitter wil niet alleen zijn auto besturen, maar ook de autodata. De Algemene Verordening Gegevensbescherming – afkomstig van de Europese Commissie – helpt hem hierbij. Dit is aanstaande wetgeving die zware eisen stelt aan het bedrijfsleven zodra het persoonsge-gevens verwerkt. De verordening geldt dus zodra de autodata juridisch gezien persoonsge-gevens zijn. Gegevens over de locatie van het voertuig zullen al snel gegevens zijn die door de verordening worden beschermd. Als dat het geval is, dan zal voor de consument een systeem moeten worden opgetuigd waarin hij zijn ‘privacy-instellingen’ van het voertuig kan

beheren. Naar verwachting treedt de verorde-ning medio 2016 in werking. Bedrijven die de regels niet naleven, kunnen een boete opgelegd krijgen van 100 miljoen euro of 5 procent van de wereldwijde jaaromzet.

AfsprakenNiemand is eigenaar van autodata en de databeheerders zullen rekening moeten houden met de privacyrechten van de consumenten. Staat de voertuigindustrie dan met lege handen? Nee, integendeel, voor partijen in de voertuigke-ten zijn er meerdere mogelijkheden om de positie op de datamarkt juridisch te regelen. Van belang is om vast te stellen of er intellectuele eigendomsrechten zijn die bescherming kunnen bieden, zoals het databankenrecht of het auteursrecht. De partij met een databanken-recht kan in vergaande mate anderen verbieden de data te gebruiken zonder zijn toestemming. Ook is het maken van goede afspraken binnen de gehele voertuigketen van belang. Zo kunnen contractpartijen elkaar houden aan het afgesproeken gebruik van de voertuigdata.Bedrijven in de voertuigindustrie doen er goed aan deze mogelijkheden in kaart te brengen. Doet men dat niet, dan is de kans groot dat de voertuigindustrie wordt ingehaald door bedrijven uit Silicon Valley. Zij weten als geen ander hoe data – en dus ook autodata – vermarkt moeten worden. Wie deze ‘slag om de autodata’ wil winnen, zal zijn competitive advantage moeten tonen. Privacybescherming kan zo’n concurrentievoordeel zijn.

Inmiddels zijn auto’s rijdende computers. De data die auto’s genereren bieden veel inzicht in de voertuigbezitter en zijn rijgedrag. Tijdens de Consumer Electronics Show (CES) in Las Vegas vorig jaar meldde

een topman van Ford dat dankzij het GPS-sys-teem bij iedere Ford-bezitter precies kon worden nagegaan wie de snelheidslimiet overschreed. ‘Maar,’ zo voegde hij eraan toe, ‘we verstrekken deze gegevens aan niemand.’ Een relletje was echter geboren.De laatste tijd maken zowel voertuigfabrikanten als privépersonen zich zorgen over wat er met hun data gebeurt. Fabrikanten klagen over het feit dat ze benaderd worden door Silicon Valley-bedrijven of adverteerders om hun voertuigdata ter beschikking te stellen. Fabrikanten staan hierom niet te springen.

Wie controleert de VoErTuIgdATA?Databeheerders zullen rekening moeten houden met privacyrechten van consumenten

Wie heeft de controle over autodata? de autobezitter of de fabrikant? Fabrikanten wor-

den benaderd door adverteerders. Wat moeten zij doen? Bedrijven in de voertuigindustrie

doen er goed aan, zeggen louise de Gier en Joost Gerritsen, de mogelijkheden in kaart te

brengen. doen zij dat niet, dan is de kans groot dat zij worden ingehaald door bedrijven uit

Silicon Valley. Want zij weten als geen ander hoe data vermarkt moeten worden.door: louiSe de Gier & JooSt GerritSen beeld: AnP

Zij willen geen imagoschade oplopen omdat een auto van hun merk gehackt wordt zodat ‘hun’ autodata op straat komen te liggen.Van wie zijn de autodata? De fabrikant? De voertuigbezitter? Een Amerikaanse geschiede-nisdocent ging bij zijn garage op bezoek omdat zijn controlelampje van de motor ging branden. Hij wilde weten wat dit betekende en bracht zijn auto naar de garage. De garagehouder vertelde hem dat hij geen toegang kreeg tot zijn motordata, tenzij hij 135 Amerikaanse dollars betaalde aan Toyota. De docent vond dit onbegrijpelijk. Het gaat toch om zijn gegevens?

ControleVeel partijen claimen eigendom op voertuigdata of willen eigenaar zijn van deze gegevens. Denk aan fabrikanten, overheden, importeurs,

dealers, brancheverenigingen, start-ups en auto-eigenaren. Eigendom is niet het goede woord, omdat eigendom geldt voor ‘zaken’ – zoals een auto. Men kan eigenaar zijn van een auto, maar niet van autodata want data zijn juridisch gezien geen ‘zaken’ (met uitzondering van intellectuele eigendomsrechten, zie de kaders). Het is logischer na te gaan wie controle mag hebben over de data. Het is mogelijk dat meerdere partijen op basis van verschillende juridische gronden controle mogen uitoefenen op de autodata. Kwalificeren we de autodata als persoonsgegevens, dan heeft de betreffende persoon – voertuigbezitter, leaserijder – hier zeggenschap over. Zijn de autodata te bescher-men onder het databankenrecht, dan mag de rechthebbende van die data anderen toestaan – of juist verbieden – gebruik te maken van de

Uit onderzoek van McKinsey volgt dat 51 procent van de ondervraagden in Duitsland terughoudend is om ‘connected car’-diensten te gebruiken, vanwege privacyzorgen. Daarom is het essentieel om als partij in de voertuigketen de privacyrechten te respecteren (ter bescher-ming van de privacy), afspraken met ketenpart-ners te maken (ter voorkoming van onder meer aansprakelijkheid voor schade) en de intellectu-ele eigendomsrechten vast te stellen (ter bescherming van de autodata). Zie kaders voor concrete aanwijzingen. Bedrijven die hier- in succesvol zijn, hebben een voorsprong.

Louise de gier is advocaat en partner van

het kantoor De Gier | Stam & Advocaten,

gespecialiseerd in Big Data en privacy

(louisedegier@degierstam.nl).

Joost gerritsen (twitter: @JBAGerritsen) is als

advocaat werkzaam bij hetzelfde kantoor.

Ook hij is gespecialiseerd in Big Data en privacy

(www.degierstam.nl).

Het dashboard van de Model X, de volledig elektrische

SUV van het Amerikaanse automerk Tesla.

Privacybescherming• Als data – bijvoorbeeld voertuiggegevens – herleid kunnen worden tot een

persoon, dan zijn dit persoonsgegevens. De Wet bescherming persoonsge-gevens (Wbp) is dan van toepassing. Volgens de Wbp hebben personen het recht om persoonsgegevens te laten corrigeren, wissen of af te schermen. Dit betekent dat als er persoonsgegevens worden verwerkt, de personen zoals leaserijders, voertuigbestuurders of inzittenden een verzoek kunnen indienen om de data te verwijderen.

• Er bestaan meer verplichtingen. Voor de leaserijder, voertuigbezitter en an-deren moet transparantie bestaan over het gegevensgebruik. Deze personen moet om toestemming worden gevraagd voor het beoogde gebruik van de gegevens. De ‘cookiewetgeving’ – op basis waarvan websites pop-ups over cookiegebruik tonen – geldt ook in het voertuig. Dit betekent dat de inzit-tenden eerst geïnformeerd moeten worden over het datagebruik zodat zij toestemming kunnen geven. Ontbreekt de vereiste informatie of toestem-ming en start men alsnog met de verwerking van bijvoorbeeld de locatie-gegevens, dan is dit een overtreding die toezichthouder ACM zou kunnen beboeten.

• Verantwoordelijke bedrijven moeten adequate beveiligingsmaatregelen bieden tegen oneigenlijk gebruik van de voertuiggegevens, zoals hacking of datalekken. Miljoenen auto’s zoals BMW’s, Mini’s en Rolls Royce’s bleken onlangs kwetsbaar voor hackers vanwege een softwarefout in het voertuig-systeem.

• De aanstaande Algemene Verordening Gegevensbescherming benadrukt het belang van Privacy By Design: technologische en organisatorische maatre-gelen om bij het vroegste ontwerp van een informatiesysteem rekening te houden met privacy.

• Het achteraf toevoegen van privacybescherming aan een systeem of dienst wordt vaak lastiger en duurder dan wanneer dit in het ontwerpproces wordt meegenomen. Voor databedrijven binnen de automotive-sector is Privacy by Design daarom essentieel.

Afspraken met ketenpartners• Het is denkbaar dat niemand in de voertuigketen een intellectueel eigen-

domsrecht heeft (een ‘IE-recht’, hier: auteursrecht of databankenrecht)

op een of meer gegevensverzamelingen. Deze situatie kan zoveel mogelijk worden ondervangen door contractueel afspraken te maken over het gege-vensgebruik.

• Anders dan bij een IE-recht kan niet iedereen worden aangesproken op het gebruik van de gegevens, maar alleen de partij waarmee het contract is gesloten. Hanteert deze partij de gegevens in strijd met de overeenkomst, dan kan hij hierop worden aangesproken.

• Het is van belang dat de contracten rekening houden met de omstandig-heid dat de data persoonsgegevens kunnen bevatten of kunnen ‘verkleuren’ naar persoonsgegevens. In aparte overeenkomsten moeten de rechten en plichten over en weer worden vastgesteld, bijvoorbeeld over technische en organisatorische beveiligingsmaatregelen ter waarborging van de persoons-gegevens.

Vaststelling intellectuele eigendomsrechten• Als op een verzameling van gegevens een IE-recht rust, dan kan de recht-

hebbende anderen het gebruik van de gegevens verbieden of juist toestaan. Een databank kan auteursrechtelijke of databankrechtelijke bescherming genieten.

• Auteursrechtelijke bescherming van databanken is mogelijk indien de keuze of de rangschikking van de in de databank opgenomen gegevens een oorspronkelijke uiting is van de creatieve vrijheid van de maker ervan. Een rechter oordeelde dat een gedetailleerde rubricering van een telefoongids auteursrechtelijke bescherming genoot. Er waren hiervoor voldoende per-soonlijke, creatieve, keuzes gedaan.

• De databank kan daarnaast databankrechtelijke bescherming genieten. Dit databankenrecht is voor degene die substantieel heeft geïnvesteerd in een databank. Deze ‘substantiële investering’ betekent dat niet iedere database voor juridische databankbescherming in aanmerking komt. Als een database met voertuiggegevens het bijproduct is van bijvoorbeeld een remsysteem of diagnostische apparatuur, dan ontbreekt al snel een substantiële investering omdat die niet gericht is op het creëren van de databank als zodanig. Van belang is dus voor databankrechtelijke bescherming dat er met behulp van de administratie wordt aangetoond wat er in de databank is geïnvesteerd en dat deze investeringen inderdaad betrekking hebben op de databank.

WAAR BEDRIjVEn In DE VOERtuIGDAtA-InDustRIE OP MOEtEn lEttEn