Minister: bestuurder moet altijd toestemming geven voor delen voertuigdata
Bestuurders moeten altijd aan derden toestemming geven voordat die hun voertuigdata mogen gebruiken. Alleen in het geval van uitzonderingen, zoals beschreven door de AVG, kan hiervan worden afgeweken. Dit geldt voor zowel publieke als private organisaties, zo laat demissionair minister Harbers van Infrastructuur en Waterstaat in een brief aan de Tweede Kamer weten.
De minister merkt op dat het gebruik van informatie- en communicatietechnologie in voertuigen de laatste jaren sterk is toegenomen. Daarbij zijn deze systemen vaak verbonden met internet en vormt data de basis voor de bijbehorende diensten. "Auto’s genereren, verzamelen en delen tegenwoordig grote hoeveelheden data. De verwachting is dat 30-50 procent van het Nederlandse wagenpark in 2030 verbonden zal zijn met het internet. Voertuigen jonger dan vijf jaar zullen dan allemaal verbonden zijn", aldus Harbers (pdf).
De data die auto's genereren bieden allerlei mogelijkheden, gaat de bewindsman verder. Omdat voertuigdata volgens de Europese privacytoezichthouders veelal als persoonsgegevens worden beschouwd, is de AVG en de e-privacyrichtlijn van toepassing. Ondanks deze kaders is er aanvullende sectorspecifieke regelgeving nodig voor toegang tot en delen van voertuigdata, merkt de minister op.
In Europees verband heeft Nederland heet uitgangspunt dat de bestuurder zeggenschap heeft over zijn data. Pas als de bestuurder derde partijen toestemming geeft mogen die de voertuigdata gebruiken. Tegelijkertijd wordt er gekeken naar de mogelijkheid wat betreft toegang tot en gebruik van voertuigdata, 'die recht doet aan de rechten en plichten van alle betrokken partijen', laat Harbers weten.
Zo vindt de bewindsman dat voertuigfabrikanten in staat moeten zijn hun verantwoordelijkheid te kunnen vervullen voor het veilig functioneren van het voertuig. "Tegelijkertijd is het onwenselijk dat de voertuigeigenaar of -gebruiker afhankelijk is van de voertuigfabrikant voor toegang tot haar voertuigdata om gebruik te kunnen maken van bepaalde diensten."
Offensieve cyberstrategie
Verder stelt Harbers dat een aanzienlijk deel van de voertuigen uit landen komt met een offensieve cyberstrategie. "Dat brengt risico’s zoals spionage met zich mee, waar Nederland in EU-verband extra aandacht voor vraagt. Privacy en security zijn daarom essentiële randvoorwaarden. Nederland zal zich dan ook inzetten om de impact van wetgeving en technologische ontwikkelingen uit voertuigproducerende landen op voertuigdata te onderzoeken." Inmiddels zijn verschillende ministeries bezig om te kijken hoe ze hier kennis over kunnen opdoen en moeten handelen.Het is laatste dag verkiezing campagne. Trap er niet in. Het is de VVD die dit al jaren laat gaan. Want brengt geld in het laatje van de ondernemers waar deze VVD heren later weer een luizen baantje krijgen.
TheYOSH
Werkt wel weer tegen de milieu plannen in, maar dat is het logische gevolg en liggen ze niet wakker van.
Daarnaast is veel dat PI data, denk aan locaties en tijfstippen.
Belachelijk voorstel, zeker om die er op t laatste moment nog even door te jassen.
Ik denk dat toestemming geven niet genoeg is. Ik wil weten wanneer de camera op opnemen en uitzenden staat. En als dat in een auto gebeurt die van mij is, moet ik dat altijd uit kunnen zetten.
Als er al data wordt doorgegeven wil ik die kunnen zien. Alsmede het motief van de fabrikant. Toestemming leuk bedacht. Maar moet per uitzending zijn een vooraf. Op een moment dat het voertuig stilstaat en ik de verkeersveiligheid niet in gevaar breng. Daarnaast wil ik zo een rood opname ledje op mijn dashboard. Dat ik weet wanneer de camera loopt.
Nergens in de AVG staat bijvoorbeeld druk sensors van stoplichten benoemd echter deze registreren toch echt ook data voor bijsturing van de stoplichten en latere analyse om drukte in de toekomst mogelijk in te kunnen perken. En bijna iedereen zal dan zeggen ja logisch maar als we de AVG echt zouden volgen zouden we dus een optie tot inzage hiervan moeten hebben recht tot vergetelheid en aanpassing alsmede opt-in voor gebruik en opt-out per sensor.
Zelfde met telefoonmasten alle telefoons die aanstaan maken connectie met die masten echter niet alle masten zijn van de zelfde partij. Zie je al voor je dat je per 100 meter mogelijk een nieuwe overeenkomst moet aangaan?
Ja het klinkt absurd maar dat is wat men altijd beweerd dat de AVG zou moeten doen en ook deze minister.
Het is een oplossing die we ooit heben bedacht omdat niemand in private en publieke sector gewoon common sense boven eigengewin kon stellen en men een instructie boekje nodig had zich normaal te gedragen en elke paar decenia proppen we weer wat erbij in omdat in plaats dat men ervan leert men omweggetjes zoekt om zich er niet aan te hoeven houden.
En in plaats dat het nu werkelijk de gebruiker beschermt is het zo ingewikkeld gemaakt dat het zichzelf stuk draait. Omdat men ook wel weet dat zonder een effectieve handhaver je nog een Dikke van Dale aan rechten en plichten kan opstellen niemand gaat zich eraan houden die het al niet van plan was.
Maar je zult niemand horen zeggen in een machtspositie we gaan de handhavers het AP de miljarden geven die ze eigenlijk nodig hebben om dit ooit te laten werken. Want dan zou die AVG schijnveiligheid heel snel door de mand vallen en ook het reguliere volk doorkrijgen dat geld en eigengewin toch echt boven hun rechten altijd zal staan.
Ik denk dat toestemming geven niet genoeg is. Ik wil weten wanneer de camera op opnemen en uitzenden staat. En als dat in een auto gebeurt die van mij is, moet ik dat altijd uit kunnen zetten.
Als er al data wordt doorgegeven wil ik die kunnen zien. Alsmede het motief van de fabrikant. Toestemming leuk bedacht. Maar moet per uitzending zijn een vooraf. Op een moment dat het voertuig stilstaat en ik de verkeersveiligheid niet in gevaar breng. Daarnaast wil ik zo een rood opname ledje op mijn dashboard. Dat ik weet wanneer de camera loopt.
Er zit al jaren geen rood lampje meer op camera's, behalve op dummy camera's die niks opnemen.
Iedere keer toestemming geven als er data wordt doorgegeven, dan komt er van rijden niet veel meer terecht denk ik.
Als je toestemming gevraagd wordt, zou de fabrikant heel duidelijk in begrijpelijke taal moeten uitleggen waarvoor dan wel zodat je een wel overwogen besluit kunt maken. Ik verwacht dat allerlei functionaliteit niet meer werkt als je geen toestemming geeft, maar zolang de auto nog steeds de basisfunctionaliteit van een auto heeft, zou dit in theorie Ok zijn. Dan heb je gewoon een domme auto ipv een "slimme". Je hebt ook privacyrechten, zoals het recht om de data die de fabrikant heeft verzameld in te zien of te laten verwijderen. Maar simpel en rooskleurig zal het allemaal niet werken.
Ik vertrouw er niet op dat deze commerciële partijen het beste met me voor hebben qua privacy, dus misschien is een oude auto blijven rijden wel een goed idee eigenlijk. Blijft het wagenpark op de weg ook een beetje interessant, ipv al die saaie auto's tegenwoordig :)
Nergens in de AVG staat bijvoorbeeld druk sensors van stoplichten benoemd echter deze registreren toch echt ook data voor bijsturing van de stoplichten en latere analyse om drukte in de toekomst mogelijk in te kunnen perken.
Aangezien er geen persoonsgegevens verwerkt worden heeft het niks met de AVG te maken.
Nergens in de AVG staat bijvoorbeeld druk sensors van stoplichten benoemd echter deze registreren toch echt ook data voor bijsturing van de stoplichten en latere analyse om drukte in de toekomst mogelijk in te kunnen perken.
Aangezien er geen persoonsgegevens verwerkt worden heeft het niks met de AVG te maken.
Dus stel kenteken plus locatie auto, dan is dat al een persoonsgegeven.
Of als dezelfde auto altijd tussen 7:10 en 7:20 langs stoplicht A, stoplicht B en stoplicht C komt, en er is een databank over woon-werkverkeer, dan heb je al behoorlijk veel kans dat dat een unieke combinatie is.
Nou, dan zijn we snel klaar.
Voor toestemming eist de AVG nl. dat de toestemming 'vrijelijk moet zijn gegeven'. Om vrijelijk toestemming te kunnen geven moet de betrokkene vrije keuze hebben en moet hij of zij in staat zijn toestemming te weigeren of in te trekken zonder te worden benadeeld. Zie verder https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-consent-valid_nl
Zonder die communicatiechip werkt de auto niet meer.
Je hebt dus geen keuze.
Overigens maakt ook het Nederlandse NXP dergelijke 'automotive communication chips'. Net zoals de Chinezen dat doen.
NXP is jarenlang gehackt via medewerkersaccounts. Ook door de Chinezen. Zie verder https://www.security.nl/posting/819458.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
