Antwoorden op kamervragen over het artikel ‘Autosector voldoet niet aan strenge privacynorm’

23-03-2020

Beantwoording Kamervragen van de leden Schonis en Verhoeven (beiden D66) over het artikel ‘Autosector voldoet niet aan strenge privacynorm’ door de minister van Infrastructuur en Waterstaat drs. C. van Nieuwenhuizen Wijbenga

Hierbij beantwoord ik de schriftelijke vragen van de leden Schonis en Verhoeven (beiden D66) over het artikel ‘Autosector voldoet niet aan strenge privacynorm’.

Daarnaast stuur ik u, mede namens de staatssecretaris van EZK en zoals toegezegd in het AO Digitalisering van woensdag 11 maart 2020, het rapport over het delen van voertuigdata en interfaces dat op 27 januari 2020 is opgeleverd.

Het rapport concludeert dat de automotivesector snel verandert door trends als automatisering, connectiviteit, elektrificatie en de verandering van bezit naar gebruik door de opkomst van (deel)platformen. Het rapport heeft niet op alle vragen die deze trends oproepen een antwoord kunnen geven, maar maakt wel inzichtelijk dat deze trends zich de komende jaren gaan doorzetten en daarbij de sector drastisch zullen veranderen. Toegang tot voertuigdata en interfaces is daarin een belangrijk en complex vraagstuk, met grote belangen voor zowel autoproducenten, toeleveranciers en aftermarketbedrijven zoals service providers, onderhoudsbedrijven, verzekeraars en leasebedrijven. Bovendien vragen de belangen van consumenten in toenemende mate aandacht.

Het rapport kent vijf advieslijnen:

  1. De consument moet centraal staan bij koop, lease, gebruik van voertuigen, onder andere door transparantie rondom het gebruik van voertuigdata.
  2. Benutten van kansen die herzieningen van bestaande EU-wetgeving (i.c. de MV-TAR en MV-BER) bieden om toegang tot voertuigdata te borgen voor onder andere onderhoud en reparatie.
  3. Optimaliseren van de uitvoering van bestaande regelgeving, onder meer door het inzichtelijk maken en beoordelen van knelpunten vanuit de praktijk.
  4. Stimuleren van samenwerking tussen en door marktpartijen, zoals bijvoorbeeld nu wordt gedaan in Europa in het kader van de Data Task Force.
  5. Onderzoeken van opties voor aanvullende regelgeving, bijvoorbeeld voor derden zoals toegang tot data voor nieuwe mobiliteitsdiensten.

Samen met de staatssecretaris van EZK zal ik deze adviezen de komende periode nader uitwerken en samen met de sector en relevante toezichthouders oppakken. Hierbij vind ik het van belang dat acties gebaseerd worden op belemmeringen uit de praktijk. Hiertoe ga ik een meldpunt openen waar de sector concrete knelpunten kan melden zodat toezichthouders deze ook nader kunnen onderzoeken.

Vraag 1

Bent u bekend met het artikel ‘Autosector voldoet niet aan strenge privacynorm’

Antwoord 1

Ja.

Vraag 2

Klopt het dat de autosector in veel gevallen niet voldoet aan de Algemene verordening gegevensbescherming (AVG)? Wat is de reden hiervoor?

Antwoord 2

De onderlinge verschillen bij autofabrikanten zijn groot. Er zijn fabrikanten die al enkele jaren data verzamelen en enkele waar dit (nog) niet of nauwelijks gebeurt. Het is belangrijk dat de privacy van gebruikers goed gewaarborgd is bij gebruik van deze nieuwe technieken. Richting de Autoriteit Persoonsgegevens (AP), Autoriteit Consument & Markt (ACM) en de sector wordt hier dan ook op ingezet. Zie ook antwoorden bij vraag drie, zes en acht.

Verschillende onderzoeken, van onder meer de ANWB en zijn Duitse evenknie ADAC, uiten zorgen over privacy bij verschillende automerken.1 Zoals u eerder gemeld is heeft het Ministerie deze ontwikkelingen in juni 2018 aangekaart bij de Autoriteit Persoonsgegevens (AP). De European Data Protection Board (EDPB) was destijds nog in oprichting en dit onderwerp is later aan de prioriteiten toegevoegd.

De AP heeft laten weten op dit moment nog beperkt signalen te ontvangen over ‘connected vehicles’. Zij hebben gekozen voor een pakket aan gerichte maatregelen dat bestaat uit enerzijds het informeren van eigenaren/bestuurdersvan ‘connected vehicles’ en anderzijds het aanspreken van fabrikanten en dealers.

Om eigenaren/bestuurders van ‘connected vehicles’ te informeren over hun rechten heeft de AP een handleiding opgesteld waarin handvatten worden gegeven om rechten uit te kunnen oefenen.2 Vanuit de AVG kan men in eerste instantie de verwerkingsverantwoordelijke, dus de fabrikant, aanspreken, ook ten aanzien van de onder de AVG vereiste transparantie met betrekking tot verwerkingen. Indien rechten van eigenaren/bestuurders in onvoldoende mate worden ingevuld door fabrikanten/dealers kunnen klachten worden gemeld bij de AP.

Daarnaast spreekt de AP ook fabrikanten en dealers aan die auto’s verkopen. Omdat veel fabrikanten buiten Nederland zijn gevestigd, waarbij de AP geen leidende toezichthouder is, is het noodzakelijk om hierover ook op Europees niveau af te stemmen. Vanuit de EDPB heeft dit geresulteerd in richtlijnen die de AVG concreet maken ten aanzien van ‘connected vehicles’3. In februari 2020 heeft de AP fabrikanten die in Nederland gevestigd zijn op de hoogte gebracht van deze richtlijnen, en gevraagd om hun verwerkingsregister: het verplichte overzicht van gegevensverwerkingen, met daarin informatie over onder meer de soorten gegevens die de fabrikant verwerkt, de doeleinden van die verwerkingen en de bewaartermijnen van die gegevens.

Vraag 3

Hoe beoordeelt u de effectiviteit van de handhaving van de AVG voor autoproducenten?

Antwoord 3

De AP is de toezichthouder die de bescherming van persoonsgegevens bevordert en bewaakt. Dat betekent aan de ene kant dat de AP een taak heeft in voorlichting van fabrikanten en consumenten. Wat betreft die voorlichting heeft de AP belangrijke stappen gezet met de genoemde EDPB-richtlijn en de genoemde handleiding. Daarnaast is de AP verantwoordelijk voor handhaving van de AVG. De door de AP gestarte inventarisatie onder voertuigfabrikanten én de verwachte stijging van het privacybewustzijn onder consumenten kunnen leiden tot gerichte signalen over overtredingen van de AVG, waarop de AP actie kan ondernemen.

Daarnaast geeft de AP aan tot op heden nog beperkt signalen en klachten uit de praktijk te ontvangen. Hierbij is de internationale component erg belangrijk: de meeste voertuigfabrikanten zijn niet in Nederland gevestigd, maar hebben hun Europese hoofdvestiging in een ander EU-land. Dit betekent dat de AP bij onderzoeken naar fabrikanten vaak zelf niet de leidende toezichthouder zal zijn, maar dat een andere Europese toezichthouder de leiding neemt. Dit vergt goede samenwerking tussen de verantwoordelijke toezichthouders ten aanzien van het overdragen van signalen en klachten.

Vraag 4

Klopt het dat het ook gaat om bijzondere persoonsgegevens? Op welke wijze ziet de Nederlandse overheid toe op een zorgvuldige behandeling van de privacygegevens van de autobestuurder door de autoproducent?

Antwoord 4

Er zijn voorbeelden denkbaar waar het om bijzondere persoonsgegevens zou gaan. Als in de locatiegegevens bijvoorbeeld te zien is hoe vaak iemand naar een ziekenhuis rijdt, zijn dat bijzondere persoonsgegevens. Bijzondere persoonsgegevens genieten extra bescherming, in die mate dat het uitgangspunt is dat verwerking van bijzondere persoonsgegevens verboden is. De AP houdt vanuit de AVG hier toezicht op en reageert bijvoorbeeld op klachten en signalen.

Vraag 5

Wanneer kan de Tweede Kamer de resultaten van het aanvullend onderzoek naar dit onderwerp, dat u in uw antwoord op eerdere schriftelijke vragen van de vraagstellers aangekondigd heeft, verwachten?

Antwoord 5

De resultaten van het onderzoek stuur ik u bij deze toe.

Vraag 6

Deelt u de mening dat data enkel gedeeld mogen worden na nadrukkelijke toestemming van de gebruiker en niet zoals bij Tesla, middels een afmelding achteraf? Zo nee, waarom niet?

Antwoord 6

Ondanks de potentie die voertuigdata heeft op het gebied van bijvoorbeeld het veiliger maken en beter laten doorstromen van ons verkeer, staat voorop dat de gegevens die worden gebruikt in overeenstemming met geldende wetgeving voor verwerking van persoonsgegevens. In de AVG worden hieraan voorwaarden gesteld. Uitdrukkelijke toestemming vooraf is er daar een van. Dit gaat dus om zogeheten opt in, niet opt-out, zoals in het hierboven beschreven voorbeeld. In de op 28 januari 2020 uitgebrachte richtlijnen van de EDPB is die uitdrukkelijke toestemming vastgelegd als voorwaarde. Het is aan fabrikanten en dealers zelf om te bedenken hoe die toestemming concreet geregeld wordt.

Uit eerder onderzoeken (zie vraag 2) is bekend dat niet alleen de door u aangehaalde fabrikant, maar ook andere fabrikanten persoonsgegevens verwerken, maar dat wellicht nog niet voor iedere eigenaar/bestuurder duidelijk is dat dit gebeurt. Fabrikanten hebben dus mogelijk, voordat er überhaupt sprake kan zijn van het geven van toestemming op een wijze zoals vereist in de AVG, nog werk te verzetten ten aanzien van het geven van transparantie. Eigenaren en bestuurders moeten bijvoorbeeld in ieder geval een geïnformeerde keuze kunnen maken, en ook dient deze keuze vrij te zijn.

Vraag 7

Bent u het ermee eens dat eigenaren van auto’s op elk moment moeten kunnen beslissen of zij data wel of niet willen delen? Bent u bereid hierover in gesprek te gaan met autofabrikanten?

Antwoord 7

Privacy is een belangrijke publieke waarde, en er is voortdurend gesprek met de sector over ‘connected vehicles’ en het veilig benutten van deze technieken. In de AVG is vastgelegd dat burgers het recht hebben eerder gegeven toestemming voor verwerking van persoonsgegevens in te trekken. De AVG en de richtlijnen van de EDPB bieden hiervoor duidelijke kaders voor de autofabrikanten. Toezicht op de naleving van de AVG ligt bij eerdergenoemde instanties.

Vraag 8

Wat adviseert u autobestuurders bij de aankoop van een auto? Begrijpt u dat de Consumentenbond inmiddels haar leden waarschuwt voor de gevolgen van het delen van data aan autoproducenten?

Antwoord 8

De zorgplicht om autobestuurders goed te informeren ligt bij de autofabrikanten en dealers. Voor de consument moet deze informatie beschikbaar en begrijpelijk zijn. Eerdergenoemde handreiking kan helpen om het consumentenbewustzijn hieromtrent te verhogen. Deze zal digitaal beschikbaar komen en via nieuwsberichten worden verspreid.

Vraag 9

Bent u het met de vraagstellers eens dat het een onwenselijke situatie is dat consumentenorganisaties de consument moet waarschuwen voor de datahonger van autoproducenten? Zo nee, waarom niet?

Antwoord 9

Het zou niet nodig moeten zijn dat de consumenten op deze manier worden gewaarschuwd. Privacy en de bescherming omrent persoonsgegevens is uitermate belangrijk. De eerste zet is aan de fabrikant en dealers om invulling te geven aan de eis van transparantie ten aanzien van de verwerkingen die zij doen. Dat zou moeten leiden tot een duidelijk en transparant verhaal. Mochten er uit de praktijk klachten en signalen komen dat dit in onvoldoende mate gebeurt dan volgt de aanpak van de betreffende toezichthouders. De complexiteit van voertuigen zowel op datadiensten maar ook op rijhulpsystemen nemen toe. Naast het formele proces start het ministerie op korte termijn een verkenning om te komen tot betere consumenteninformatie over deze functies bij aanschaf van een nieuw of tweedehandsauto. Hierbij wordt samengewerkt met de sector die hierin een grote verantwoordelijkheid heeft.

Vraag 10

Klopt het dat (sommige) dealers bonussen krijgen om klanten over te halen om data te delen? In hoeverre is deze praktijk in overeenstemming met de leidraad

‘Bescherming online consument’ van de Autoriteit Consument & Markt (ACM)? Zo niet, welke stappen neemt u om deze praktijk te stoppen?

Antwoord 10

Navraag bij de sector levert op dat merkorganisaties zgn. ‘dealerstandards’ hanteren, ofwel een set afspraken als onderdeel van het dealercontract waar dealers zich aan hebben te houden als vertegenwoordigers van het merk.

Doorgaans maakt ook een bonusstructuur deel uit van de afspraken, die overigens per merk kunnen verschillen. Belangrijke componenten in de bonusstructuur zijn de aantallen verkochte voertuigen in een tijdvak, klanttevredenheid en de wijze waarop de dealer invulling geeft aan de zogenaamde ‘dealerstandards´.

Concrete aanwijzingen dat dealers, of medewerkers, specifiek bonussen krijgen om klanten over te halen hun data te delen is zowel de sector als de AP niet bekend. Op basis van de leidraad ‘Bescherming van de Online Consument’ moeten bedrijven online duidelijk aangeven of en zo ja op welke manier verzamelde data leidt tot een bepaald aanbod voor de klant, zeker als dat aanbod gepersonaliseerd is. Gebeurt dat niet, dan kan dit een misleidende handelspraktijk zijn. Of dat zo is hangt af van de omstandigheden van het geval. Het is niet op voorhand duidelijk dat er in dit voorbeeld sprake is van een dergelijke handelspraktijk.

De AP stelt dat zowel een fabrikant als dealer die zich hieraan schuldig maken in strijd handelen met de AVG. In dat verband wijst de AP erop dat ‘datahandel’ een speerpunt is in de strategie van de AP. Mocht de AP signalen ontvangen dan hebben deze bijzondere aandacht en kan dit leiden tot handhavend optreden.

Hoogachtend,

DE MINISTER VAN INFRASTRUCTUUR EN WATERSTAAT,

drs. C. van Nieuwenhuizen Wijbenga


Dit beleidsstuk is ook te vinden in het dossier AVG

bron: Rijksoverheid

Van onze partners

Masterclass Privacy: the next step

→ Lees meer

Online cursus: AVG voor griffiers

→ Lees meer

Examentraining CIPP / E Certified Information Privacy Professional Europe

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer