In ons eerste artikel over connected vehicles hebben we de categorieën persoonsgegevens beschreven die de AVG onderscheidt, met speciale aandacht voor de soorten gegevens waar je extra op moet letten bij connected vehicles. In dit tweede artikel gaan we dieper in op een ander aspect van de AVG: de rechten van de personen over wie de gegevens gaan. In de AVG wordt dit de ‘rechten van betrokkenen’ genoemd.[1]

Volgens de AVG hebben betrokkenen verschillende rechten waar organisaties rekening mee moeten houden bij alle activiteiten rond de verwerking van gegevens over deze betrokkenen. In dit artikel beschrijven we welke rechten je moet kennen en hoe je met deze rechten moet omgaan als het gaat om connected vehicles. Maar voordat we uitleggen hoe je dat doet, leggen we eerst uit wat de rechten van betrokkenen precies zijn.

Welke rechten hebben betrokkenen volgens de AVG?

In het geval van connected vehicles moeten de rechten van betrokkenen altijd worden gerespecteerd. In hoofdstuk 3 van de AVG worden acht rechten van betrokkenen onderscheiden:

1. Het recht om te worden geïnformeerd: betrokkenen moeten correct worden geïnformeerd over processen waarbij hun persoonsgegevens worden gebruikt.[2]
2. Het recht op inzage: betrokkenen moeten toegang tot hun persoonsgegevens kunnen krijgen en een kopie van deze gegevens kunnen opvragen.[3]
3. Het recht op rectificatie: betrokkenen hebben het recht om onjuiste persoonsgegevens te corrigeren of aan te vullen.[4]
4. Het recht op vergetelheid (misschien wel het bekendste recht): betrokkenen hebben het recht om hun persoonsgegevens te laten wissen.[5]
5. Het recht op beperking van de verwerking: betrokkenen kunnen een verzoek indienen om de verwerking van hun persoonsgegevens in te perken.[6]
6. Het recht op overdraagbaarheid van gegevens: betrokkenen mogen een kopie van hun persoonsgegevens opvragen, zodat ze deze gegevens zelf of ten behoeve van andere services kunnen gebruiken.[7]
7. Het recht van bezwaar: betrokkenen hebben onder bepaalde omstandigheden het recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens.[8]
8. Rechten in verband met geautomatiseerde besluitvorming en profilering: betrokkenen hebben het recht om niet te worden onderworpen aan gegevensverwerking die uitsluitend geautomatiseerd plaatsvindt.[9]

Het is goed om te weten dat er in de artikelen van de AVG ook specifieke uitzonderingen op de rechten van betrokkenen worden genoemd. Dit is bijvoorbeeld het geval wanneer betrokkenen verzoeken om verwijdering van hun gegevens, terwijl de betreffende organisatie tegelijkertijd wettelijk verplicht is deze gegevens gedurende een bepaalde termijn te bewaren.[10]

Het Europees Comité voor gegevensbescherming heeft richtlijnen opgesteld voor bepaalde kwesties rond de rechten van betrokkenen in combinatie met connected vehicles.[11] In onze whitepaper ‘Connected Vehicles: How to create value and reduce costs while complying with the GDPR?’ gaan we hier nader op in.

Nu duidelijk is welke rechten betrokkenen hebben, kunnen we iets vertellen over hoe met deze rechten moet worden omgegaan in geval van connected vehicles.

Hoe moeten we bij connected vehicles omgaan met de rechten van betrokkenen?

Op dit moment weten veel mensen niet welke persoonsgegevens er allemaal worden verzameld in connected vehicles. Terwijl dit toch duidelijk zou moeten zijn voor de personen van wie de persoonsgegevens worden verzameld. De rechten van betrokkenen zoals beschreven in de AVG zijn bedoeld om de betrokkenen meer controle te geven over de gegevens die over hen worden verwerkt. Een belangrijk uitgangspunt hierbij is dat mensen gedurende de hele verwerkingsperiode controle over hun gegevens moeten hebben. Dat is dus vanaf het moment dat de gegevens worden ingevoerd in het connected vehicle (de input) tot en met de levering van een dienst (de output), zoals het gebruik van Spotify of een andere streamingprovider in de auto.

Hoe ga je in het geval van connected vehicles correct om met de rechten van betrokkenen? Een manier is het gebruik van een profielbeheersysteem. In zo’n systeem kunnen de voorkeuren van verschillende bestuurders worden opgeslagen en kunnen die bestuurders de privacy-instellingen op elk gewenst moment aanpassen. Een profielbeheersysteem biedt personen een efficiënte en effectieve manier om informatie te krijgen over welke gegevens worden verwerkt, waar de gegevens worden opgeslagen en hoe ze bepaalde verwerkingsactiviteiten kunnen beperken. Het is bovendien een handige manier om bepaalde verwerkingsactiviteiten tijdelijk of definitief te laten stoppen.

Een ander voorbeeld van een efficiënte privacy-oplossing in connected vehicles is om het dashboard te voorzien van een knop waarmee gegevens kunnen worden gewist. Het Europees Comité voor gegevensbescherming heeft in de recente richtlijnen voor connected vehicles onderstreept hoe belangrijk het is dat gegevens snel en gemakkelijk kunnen worden verwijderd. Denk bijvoorbeeld aan het wissen van een adresboek of de historische gegevens van de GPS-navigatie voordat een auto wordt teruggegeven aan het leasebedrijf.[12]

Hoe kun je zorgen dat je alle geldende wet- en regelgeving naleeft, inclusief de AVG? Het is verstandig dat je een projectmatige aanpak volgt voor het bepalen en uitvoeren van passende maatregelen, samen met collega’s die de benodigde kennis en expertise hebben, bijvoorbeeld over ‘privacy by design’. Hoe eerder je dit ontwerpprincipe toepast binnen het project, hoe meer kosten je op langere termijn kunt besparen. Bij een goede toepassing van ‘privacy by design’ hoort dat je alle vereiste elementen van de AVG al in een vroeg stadium bekijkt. Dit is veel efficiënter dan wanneer je pas in een later stadium rekening met privacy-aspecten gaat houden, omdat je dan soms achteraf kostbare aanpassingen moet maken in het ontwerp of in het implementatieproces.

Samenvatting

Rechten van betrokkenen bij het gebruik van connected vehicles worden nog vaak onderschat, maar het is wel een belangrijk onderwerp in het kader van de AVG, ook voor toezichthouders zoals het Europees Comité voor gegevensbescherming. Daarom is het voor bedrijven in de autobranche belangrijk dat ze goed begrijpen welke rechten de gebruikers van hun auto’s hebben en hoe met deze rechten moet worden omgegaan.

Voor een compleet overzicht wat de AVG betekent voor connected vehicles kun je onze whitepaper “Connected vehicles: How to create value and reduce costs while complying with the GDPR” downloaden.

[1] Artikel 13-23 AVG.

[2] Artikel 13-14 AVG.

[3] Artikel 15 AVG.

[4] Artikel 16 AVG.

[5] Artikel 17 AVG.

[6] Artikel 18 AVG.

[7] Artikel 20 AVG.

[8] Artikel 21 AVG.

[9] Artikel 22 AVG.

[10] Artikel 17 lid 3b AVG.

[11] Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van connected vehicles en mobiliteitsgerelateerde toepassingen, versie 2.0, 9 maart 2021.

[12] Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van connected vehicles en mobiliteitsgerelateerde toepassingen, versie 2.0, 9 maart 2021, p. 23.