De auto als datavergaarbak

‘U rijdt zo langs ons Big Mac-menu’

Over een jaar of drie zijn alle nieuwe auto’s in Europa connected. Gegevens over je auto maar óók over jouzelf worden dan non-stop naar de fabrikant geseind. Of je parkeert voor de McDonald’s, of bij een homo-strandje. Wie je contacten zijn, wat zij jou mailen. Waar komt de delete-knop?

Vanaf een troosteloos industrieterrein in Veenendaal draait onze elektrische Renault Zoe geruisloos de snelweg op richting Utrecht. De telefoon, die via een draadje aan het dashboard hangt, verzendt contactgegevens, afspeellijst en afbeeldingen naar de boardcomputer van de auto. Op het scherm naast het stuur verschijnt een app-bericht. De stem van het navigatiesysteem wijst de weg. Zoe slaat alles op en verstuurt automatisch gegevens door naar de fabrikant. Terug bij het verhuurbedrijf moet je er zelf aan denken om die data van de harde schijf te wissen voordat je de sleutel inlevert.

De auto, symbool voor vrijheid en autonomie, is een van de meest geavanceerde computers die mensen bezitten. Hij registreert alles wat we doen en kan ook steeds meer voor ons doen: van zelf achteruit inparkeren en bijsturen als je niet in het midden van je baan blijft, tot de hulpdiensten bellen bij een hartaanval. In september werd in Canada een Tesla aangehouden die met 140 kilometer per uur over de snelweg raasde. De bestuurder had zijn wagen op de automatische piloot gezet en lag zelf, met zijn stoel op horizontale stand, achter het stuur te slapen.

De moderne auto is een computer waar je zelf in zit. Momenteel rijden er wereldwijd ruim honderd miljoen auto’s rond die zijn verbonden met het internet. Naar verwachting zijn in 2023 nagenoeg alle nieuwe auto’s in de Europese Unie connected. Dat betekent niet alleen dat ze een actieve internetverbinding hebben, maar ook dat gegevens uit de auto continu worden doorgestuurd naar de fabrikant. Volgens de fabrikanten zijn die autogegevens immers van hen. Maar welke gegevens precies? Alleen die over de auto of ook die over de bestuurder? En met wie deelt de fabrikant die data nog meer? In het verkoop- of leasecontract en in de privacyvoorwaarden van autofabrikanten vind je daar weinig specifieke informatie over. Bij het huren van onze auto kwam het onderwerp niet aan de orde en ook in het huurcontract wordt er met geen woord over gerept. Tien jaar geleden waren veel consumenten zich nog nauwelijks bewust van de inbreuk die via smartphones wordt gedaan op onze privacy. Ook nu, bij auto’s, leeft dit besef niet. Auto’s zijn op privacygebied het nieuwe wilde westen.

Moderne auto’s produceren per uur zo’n 25 gigabyte aan data, omgerekend zo’n 125.000 e-mails. Dat zijn gegevens over de auto zelf, maar ook over de bestuurder. Je gewicht bijvoorbeeld, dankzij sensoren in de gordelspanners. Of je moe bent, dankzij camera’s bij de achteruitkijkspiegel die kunnen zien hoe vaak je met je ogen knippert. Of je goed oplet, door lane detection die ingrijpt als je niet netjes binnen de lijnen rijdt. De auto weet hoe hoog je hartslag is, dankzij sensoren in de bestuurdersstoel. Hoe hard je rijdt en of je veel remt. Of je in de stad rijdt of op het platteland. Als je de radio gebruikt, weet hij je muziekvoorkeur, naar welke praatprogramma’s je luistert en zodoende misschien ook je politieke voorkeur. Via het gps weet een auto continu waar je bent, wat je huisadres is, je werkadres, je dagelijkse patronen, de benzinestations waar je stopt, of je bij Shell of Texaco tankt, of je vaak bij de McDonald’s eet of een ander wegrestaurant. Via een ingeplugde telefoon weet de auto ook wie je contacten zijn, je collega’s, je vrienden, familie. De auto kan je e-mails en tekstberichten lezen. De nieuwste modellen, zoals de volledig elektrische Polestar 2, synchroniseren automatisch met je smartphone, ook zonder in te pluggen.

Al die data leveren niet alleen handige apps op voor de gebruiker, maar zijn ook een potentiële goudmijn voor bedrijven die de gegevens kunnen verwerken. Te beginnen met de autofabrikanten zelf, die de gegevens gebruiken om de prestaties en de veiligheid van de auto te verbeteren. Consumenten zijn gebaat bij zo nauwkeurig mogelijke gegevens over de staat van de auto, zodat ze direct weten wanneer onderhoud nodig is. Ook kan het fijn zijn als je auto precies weet wat jouw persoonlijke instellingen zijn voor stoel, spiegels en temperatuur.

Gps-gegevens zijn interessant voor routeplanner-apps, verkeersdeskundigen en gemeenten. Maar ook voor marketeers, die met persoonlijke advertenties kunnen inspelen op je voorkeuren: ‘U rijdt zo langs een McDonald’s, het Big Mac-menu is in de aanbieding.’ Verzekeraars hebben een direct belang bij je rijgedrag en de registratie daarvan. Zij kunnen de premie verhogen of verlagen naar gelang je rijstijl. Ook is de verzekeraar, net als de politie, geïnteresseerd in je route, remgegevens en alertheid, in geval van ongevallen. Consultancybedrijf McKinsey schat in dat er over tien jaar 450 tot 750 miljard dollar te verdienen valt met autodata. Dat zou neerkomen op tien procent van de totale inkomsten in de auto-industrie. Adviesbureau Accenture voorspelt dat de inkomsten uit autodata in 2050 de inkomsten uit verkoop en onderhoud overtreffen.

Dat we een elektrische Zoe huurden, had een reden: we wilden ervaring opdoen met de data-verzameling van dit type auto. Samen met kro/ncrv dataprogramma Pointer en mede voor dit artikel in De Groene Amsterdammer kocht onderzoeksplatform Investico zo’n zelfde auto die als goedkoop schadegeval in de aanbieding was. Daar lieten we twee ethische hackers op los, om te ontdekken of het datasysteem van de auto zich makkelijk laat kraken. In de parkeergarage van kro/ncrv stelden ze hun werkplaats op: een simpele kampeertafel met twee laptops, een dongel om de technische gegevens van de boardcomputer uit te kunnen lezen en een zakmes. Het infotainment-systeem van de auto liet zich snel uitlezen, het had geen wachtwoord. Met twee drukken op de knop verschenen drie gebruikersprofielen, één met naam en toenaam en vier megabyte aan e-mailberichten van deze persoon.

De boardcomputer zelf liet zich, gelukkig, niet zomaar kraken. Maar ook uit die gegevens valt veel uit te lezen. De adac, de Duitse evenknie van de anwb, kraakte de computer van de Renault Zoe dit jaar en waarschuwde dat bij elke reis in de Zoe ten minste om de dertig minuten een datapakket naar Renault wordt gestuurd met daarin minstens vin-nummer (het unieke nummer van je auto), diverse serienummers, datum, tijd, gps-positie, temperatuur, lading en celspanning van de batterij.

Renault laat in een reactie weten dat het gegevens over de auto en bestuurder verzamelt zoals rijgedrag, maar ook meer persoonlijke data uit je mobiele telefoon en data over muziekvoorkeur. Dit gebeurt met toestemming van de bestuurder. ‘Voor de verwerking van hun persoonlijke data wordt klanten wel eerst om toestemming gevraagd. Dit gaat ofwel onboard ofwel via een contractueel document voor de ingebruikname van een nieuwe auto.’ Verkoop je de auto door, dan ben je zelf verplicht de nieuwe eigenaar te informeren over het verzamelen van data en moet je er zelf aan denken om je gegevens te wissen.

Namen en mailadressen zijn maar een minuscuul deel van wat auto’s aan data verzamelen. Otonomo, een in Israël gevestigd bedrijf, heeft naar eigen zeggen een databestand van wereldwijd ruim twintig miljoen autobestuurders die dagelijks 2,6 miljard datapunten naar het bedrijf versturen. Het ontvangt de data van autofabrikanten als Mercedes, Fiat en bmw, maar ook van verhuurbedrijf Avis. In totaal staan er zo’n 250 verschillende datapunten in de database. Informatie die vertelt wat de staat van de auto is, wie er achter het stuur zit, naar welke muziek die luistert, of de bijrijdersstoel bezet is en of er al dan niet stevig wordt doorgereden. Die data komen geanonimiseerd het bedrijf binnen. Een simpel proefabonnement is voor iedereen toegankelijk. Omdat de data worden geanonimiseerd is de privacy van automobilisten volgens de bedrijven niet in het geding. Maar door deze autodata, die in keurige Excel-sheets worden aangeleverd, te combineren met bijvoorbeeld de gegevens uit het kadaster, achterhaal je in een handomdraai waar de eigenaar van de auto woont, waar die bijvoorbeeld zijn boodschappen doet en of er iemand op de passagiersstoel zat.

Autofabrikanten gebruiken online platforms als Otonomo, Caruso, Smartcar en High Mobility om de data door te verkopen aan bijvoorbeeld overheden, verzekeringsbedrijven, marketingbedrijven en andere ondernemingen. Het is een miljoenenindustrie die razendsnel groeit. Otonomo haalde met zijn 2,6 miljard dagelijkse datapunten onlangs nog 82 miljoen dollar binnen van investeerders.

Klanten van autodata kunnen elk gewenst gebied selecteren, van complete landen tot op straatniveau. Bij de verkopers komen we lange lijsten tegen van de informatie die wordt verkocht. Vaak gaat het om gegevens over de auto: hoeveel brandstof erin zit, of de binnenverlichting aan staat, wat de exacte locatie en bestemming van het voertuig is. Maar de verkopende platforms geven ook aan dat ze de alertheid van een bestuurder of diens hartslag kunnen registreren en verkopen.

Liet het datasysteem van de auto zich makkelijk kraken? Met twee drukken op de knop verschenen drie gebruikersprofielen, één met naam en toenaam

Dataverzamelaar Otonomo krijgt de data niet vanzelf. Daarvoor heeft het bedrijf toestemming nodig van de gebruiker. ‘Ons standpunt is dat de bestuurder of eigenaar van de auto de eigenaar is van de data’, zegt Ben Volkow, ceo van Otonomo, in een bedrijfsblad van Boston Consulting Group, een internationaal adviesbureau dat autofabrikanten en dealers helpt autodata te gebruiken om een nieuw verdienmodel op te zetten. ‘We proberen toegang te krijgen door de klant een voordeel te geven, bijvoorbeeld door een dienst drie maanden gratis aan te bieden’, legt Volkow uit. ‘Wanneer er eenmaal op “ja” is geklikt, kunnen de data steeds weer opnieuw worden verkocht.’

De industrie staat volgens hem nog in de kinderschoenen, maar kent een enorme groeipotentie. ‘Bekend zijn de verzekeringen waarbij je korting krijgt op basis van je rijstijl. Maar er zijn tientallen apps in ontwikkeling. Zoals een app waarmee je alle gegevens van een gebruikte auto die je wenst te kopen kunt downloaden, en een waarmee een koerier je internetaankopen bij je voertuig kan afleveren. Allemaal mooie apps die het leven van mensen gaan verbeteren.’

‘We drukken op zo’n scherm veel te makkelijk op “oké”’, zegt Carlo van de Weijer, hoogleraar smart mobility aan de Technische Universiteit Eindhoven. Achter het stuurwiel zijn we te naïef, vindt hij. ‘Zo’n auto weet gewoon alles van je, wat je doet, waar je werkt, waar je minnaar of minnares woont. Daar wordt wat mij betreft veel te makkelijk overheen gestapt. Mijn laatste auto had geloof ik wel drie verschillende simkaarten, een van de verzekering, een van de auto zelf, een voor navigatie. Het gaat ook niet alleen om de bestuurder. De auto verzamelt ook een hoop gegevens over de omgeving. Een nieuwe Tesla heeft acht camera’s, die zien alles. Theoretisch gezien kun je met toegang tot één procent van de auto’s de hele wereld al real time in kaart brengen.’

Zijn vorige auto, een Tesla, kon hij nog maandenlang op afstand volgen. ‘Ik hoorde zelfs van mensen dat ze hun auto nog 2,5 jaar konden volgen. Dan kun je gewoon naar die locatie toe gaan en je oude auto stelen. Of je kunt midden in de nacht de auto laten claxonneren of tijdens het rijden een keer het dak open laten gaan. Dat is potentieel gevaarlijk.’

Op een kritische houding van de burger-automobilist hoeven we volgens Van de Weijer niet te rekenen. ‘Als je bij de dealer zit en je krijgt een pak papier voor je neus, dan teken je gewoon. Ik ben nog vrij goed ingelezen op het onderwerp, maar zelfs ik lees die privacyvoorwaarden niet. En als je ze wel leest, kun je ze niet begrijpen, zo juridisch dichtgetimmerd zit het.’ Bijna tachtig procent van de eigenaren van een connected auto zegt niet te weten welke informatie fabrikanten verzamelen en wat zij ermee doen. ‘Er wordt vaak gezegd dat privacywetgeving innovatie tegenhoudt, maar ik vind het eigenlijk wel goed dat we die wetgeving in Europa hebben. Hier staat de mens in de wetgeving meer centraal, in Amerika staat het bedrijf centraal en in China de overheid. Die mensgerichte insteek lijkt me toch de beste. Gebruikers zouden zeggenschap over de data moeten hebben.’

De Autoriteit Persoonsgegevens waarschuwde begin dit jaar over de datahonger van connected auto’s. ‘Veel auto’s sturen om de paar minuten je locatie door naar de fabrikant, die jou dan dus continu kan volgen’, zegt woordvoerder Quinten Snijders. ‘Veel mensen weten dat niet. Als je de keus hebt, zou jij er dan mee akkoord gaan dat wordt bijgehouden dat je naar een verslavingskliniek gaat, naar de rosse buurt of naar een ziekenhuis waar een bepaalde ziekte wordt behandeld? Of dat precies wordt bijgehouden wanneer je naar een kerk, moskee of synagoge gaat? Of dat je naar homo-ontmoetingsplaatsen gaat? En dat de fabrikant het feit dat jij parkeert bij een ivf-kliniek doorverkoopt aan een drogist? Handig voor de marketing van die drogist, maar wil je dat?’

Om bestuurders te helpen publiceerde de Autoriteit een handleiding met tips om de instellingen aan te passen en om fabrikanten of leasemaatschappijen expliciet te vragen welke gegevens ze verzamelen.

In truckerscafé Treurenburg in Den Bosch ruikt het naar gehaktballen met jus. Tussen de truckers en toevallige passanten zitten Tom van Engers, hoogleraar juridisch kennismanagement aan de Universiteit van Amsterdam, en Wouter van Haaften, datajurist en onderzoeker bij het Leibniz Institute. ‘In theorie is het helder’, zegt Van Haaften. ‘De gegevens over de auto, zoals de werking van de remmen, zijn eigendom van de fabrikant. Die data mag hij gebruiken en doorverkopen. Voor persoonlijke gegevens ligt dat anders, daar moet eerst toestemming voor worden gegeven.’ Aan deze simpele waterscheiding zitten nogal wat haken en ogen. Want wat zijn persoonlijke data? ‘Hoe hard je op de remmen trapt of door de bochten stuurt, de staat van de auto die jij nog wil doorverkopen: zijn die data van de eigenaar of van de fabrikant? Daar bestaat allemaal nog veel onduidelijkheid over.’

Tom van Engers benadrukt dat de vragen over autodata veel verder reiken dan alleen de privacykwestie. ‘Door de toenemende informatisering in de auto kun je je afvragen of we straks als mensen nog echt in control zijn. Je kunt auto’s op afstand laten remmen, of naar links bijsturen. Hackers kunnen inbreken in de systemen. Stel dat je ineens kunt zien waar een minister rijdt? Het gaat dus niet alleen over privacy en datalekken, het ligt breder. Het gaat ook over zeggenschap, over economische belangen, over verkeersmanagement, veiligheid en terrorisme.’

Is er een oplossing? Volgens de European Data Protection Board, de Europese privacybewaker, moet er een ‘delete-knop’ op het dashboard komen. Bijna alle gegevens die auto’s opslaan zouden volgens de organisatie als privacygevoelig moeten worden aangemerkt. Uit die redenering volgt dat een autobestuurder altijd moet weten welke data worden verzameld en waarvoor, en dat iedere chauffeur die data op elk moment kan wissen.

Tweede-Kamerlid Kees Verhoeven (D66) pleit voor meer zeggenschap van consumenten. Het verzamelen van de data moet volgens hem geweigerd kunnen worden, zonder dat de auto minder goed presteert. De Europese toezichthouder adviseert fabrikanten om hier rekening mee te houden bij het ontwerp van hun auto’s, maar in de praktijk gebeurt soms het omgekeerde. Er zijn fabrikanten, zoals Tesla, die expliciet waarschuwen dat het uitschakelen van de datafunctie problemen kan geven.

De Autoriteit Persoonsgegevens sluit zich aan bij het voorstel van de delete-knop, maar ziet tegelijkertijd wel wat in een datadieet voor autofabrikanten. ‘Privacy by design, heet dat’, zegt woordvoerder Snijders. ‘Fabrikanten moeten de auto zo ontwerpen dat die zo min mogelijk persoonsgegevens verzamelt. Fabrikanten steken miljoenen in het minimaliseren van het gewicht van hun auto’s, dat minimaliseren is ook een eis als het gaat om het verwerken van persoonsgegevens.’


Deze publicatie kwam tot stand met steun van het Fonds Bijzondere Journalistieke Projecten, fondsbjp.nl