Pim pam pet – autodelen met de hele flat. Maar hoe ga je om met de data?

Tekst: Dannny Hoekzema | Afbeeldingen: Car2Go

Even met de Hely naar je zus, met een Fetch je nieuwe IKEA-aanwinsten vervoeren en met een Car2Go’otje als enige kunnen parkeren op dat krappe plekje. Deelauto’s – van die kleine karretjes die je kunt openen met een OV-chipkaart, telefoon of pasje en waarmee je makkelijk van A naar B kunt crossen. Autodelen wordt populairder. Dat bleek ook afgelopen week tijdens de conferentie “Een autoluwe stad”, waar de Gemeente Amsterdam liet blijken autodelen als een belofte voor de toekomst te zien. Persoonlijker vervoer, minder parkeerplekken en nieuwere (en dus schonere) auto’s – win win win. Het onderwerp dat schitterde in afwezigheid: hoe ga je om met de privacy? En dat terwijl carsharing per definitie gepaard gaat met de verwerking van persoonsgegevens. Een valse start, want privacywetgeving kan onverbiddelijk zijn als het erop aankomt.

Business first, privacy second?

Toen een autoverzekeraar een aantal jaar terug privacyadvies vroeg voor een innovatieve autoverzekering, wisten we dat het een though job kon worden. The basic idea: Jonge bestuurders krijgen een kastje in de auto dat het rijgedrag bijhoudt. Rijd je als een idioot, dan betaal je de volle mep. Rijd je als een beschaafd oud vrouwtje, dan krijg je korting. Ze hadden een interessant businessmodel ontwikkeld en de lancering stond binnen een paar maanden gepland. We moesten alleen het privacybeleid “nog even fixen”…

Niet eerder werd het me zo duidelijk dat dealen met de Algemene Verordening Gegevensbescherming (kort gezegd: AVG) (en daarvoor de Wbp) vaak een kwestie van timing is. In het geval van de verzekeraar was het plan rond, waren de contracten met leveranciers getekend, waren de hard- en software ingekocht en lagen de marketingplannen klaar. Het fixen van het privacybeleid eindigde met een keiharde boodschap: Het ingekochte ‘kastje’ kon op geen mogelijkheid voldoen aan Europese privacyregels. Het kastje, de contracten, de software en daarmee eigenlijk het hele plan – het kon de prullenbak in. –Erg zonde, er waren namelijk voldoende kastjes op de markt die wél aan de privacyregels voldeden, maar deze waren niet ingekocht.

Privacy by Design

Deze verspilling van resources was te voorkomen door privacywetgeving eerder in het ontwerpproces mee te nemen. In vaktermen wordt dit ‘Privacy by Design’ of ‘Data Protection by Design’ genoemd. Het is volgens de wetgever een van de belangrijkste peilers voor een effectieve privacybescherming  en het valt dan ook te verwachten dat de waarde ervan verder toe zal nemen. Niet alleen omdat Privacy by Design onder de AVG verplicht is (artikel 25), maar ook omdat de EDPS (the European Data Protection Supervisor aka de Europese privacywaakhond) een van haar eerste opinies onder de AVG aan Privacy by Design heeft gewijd. “This new legal principle is implemented and enforced will be a key success factor for the whole new legal Data Protection network”, aldus de EDPS.

Car sharing – De AVG doet vanaf het begin mee!

De privacy heeft geen aandacht gekregen op de conferentie, maar de AVG is wel degelijk van toepassing – car sharing is tenslotte ook data sharing. Betrek de AVG-vereisten daarom actief bij de ontwikkeling van nieuwe initiatieven. Niet alleen omdat het verplicht is, maar ook omdat je hiermee het verbranden van resources voorkomt. Vragen die je tijdens het ontwerpprocessen zoal in je achterhoofd kunt houden:

  • Welke leveranciers ga je bij je car sharing project betrekken? Gaan zij ook persoonsgegevens voor jou verwerken en zo ja, welke voorwaarden zijn hierop van toepassing?
  • Welke voorwaarden stelt de AVG aan de hard- en software die je nodig hebt? En zijn de persoonsgegevens voldoende beveiligd tegen datalekken?
  • Hoe ga je om met de locatiegegevens? Is het mogelijk om het rijgedrag van de gebruiker te monitoren en zo ja, hoe ga je met deze informatie om? Wat is de rol van algoritmes?
  • Is het noodzakelijk een data protection impact assessment (DPIA) uit te voeren (spoiler: waarschijnlijk wel!) en hoe borg je de DPIA in je project?
  • Hoe informeer je de gebruikers van de deelauto’s op laagdrempelige en effectieve manier of de gegevens die van hen worden verwerkt?

Privacy is geen showstopper

De Gemeente zal waarschijnlijk ruim baan geven voor de ontwikkeling van nieuwe autodeel-initiatieven, maar liet tijdens de stadsconferentie “Een autoluwe stad” de privacy en verwerking van persoonsgegevens onbesproken. Het is te hopen dat hier wel degelijk aan wordt gewerkt en de AVG niet op het laatste moment de rem op het project gaat gooien. Privacy hoeft helemaal geen showstopper te zijn – als je er maar op tijd mee begint. Sharing is caring!

Over ons

De Roos Advocaten is een ervaren, toegankelijk en transparant advocatenkantoor. We leveren steengoed juridisch advies op maat op het gebied van Ondernemingsrecht, Intellectueel Eigendomsrecht, Commercieel contractenrecht en Privacyrecht. We zijn het juridische verlengstuk van je onderneming.

Hulp nodig?

Onze gespecialiseerde advocaten zijn altijd beschikbaar voor een vrijblijvend eerste adviesgesprek. Heeft u een juridische kwestie waar u vertrouwelijk advies over wilt inwinnen? Aarzel niet om met ons contact te zoeken.

Ontvang onze nieuwsbrief

 
 

Wij gebruiken jouw emailadres voor het toesturen van de nieuwsbrief.
Niet voor andere doeleinden. Wil je meer weten? Zie hier onze Privacy Policy.

De Roos Advocaten, Hamerstraat 19-1, 1021 JT Amsterdam
© 2018 De Roos Advocatuur. All rights reserved.

Algemene voorwaarden | Privacy Policy