Wat weet jouw auto van je? En hoe zit dat bij Chinese merken?
Auto’s die met het internet verbonden zijn – zoals de meeste moderne modellen – verzamelen voortdurend gegevens. Over je locatie, rijgedrag en soms zelfs je stem. Steeds meer mensen vragen zich af: waar gaat die informatie naartoe, en wie kijkt er eigenlijk mee?
Die vraag wordt extra scherp gesteld bij auto’s van Chinese makelij, zoals BYD, NIO en MG.
Wat registreert een connected auto?
Of je nu in een Tesla, BYD of Volkswagen rijdt: verbonden auto’s registreren van alles. Locatiegegevens, camerabeelden, rijstijl, spraakcommando’s en informatie uit je smartphone als die gekoppeld is. Sommige modellen voeren automatisch software-updates uit via internet, ook wel over-the-air genoemd.
Dat is op zichzelf niet verdacht – Europese merken zoals Mercedes doen dit ook – maar het maakt het voor gebruikers lastig om te weten welke functies actief zijn, en wanneer.
Valt zo’n Chinese auto onder de Europese privacywet?
Volgens privacyjurist Jeroen Terstegge (Privacy Management Partners) is het antwoord meestal: ja. “Als een autofabrikant een vestiging heeft in de EU, en van daaruit voertuigen verkoopt of gegevens verwerkt, dan geldt de AVG zonder discussie,” zegt hij. Maar ook zonder zo’n vestiging kan de AVG van toepassing zijn. “Zodra een fabrikant zich richt op Europese klanten – denk aan een Nederlandse website of prijzen in euro’s – dan valt de verwerking van persoonsgegevens gewoon onder de AVG.”
Toch hangt het precieze antwoord af van hoe de verwerking is ingericht: gebeurt dat lokaal in Europa, of direct vanuit China?
Mogen gegevens worden doorgestuurd naar China?
Gegevens van Europese gebruikers mogen niet zomaar naar China worden gestuurd. “Als er een Europese vestiging is die data verzamelt en doorstuurt naar China, dan is dat in principe verboden, tenzij je als bedrijf aan specifieke voorwaarden voldoet,” legt Terstegge uit. “Dat vereist juridische onderbouwing en extra waarborgen.”
Is er géén Europese vestiging, maar richt de fabrikant zich wel op Europese klanten? Dan valt de verwerking alsnog onder de AVG, maar dan rechtstreeks voor het bedrijf in China.
En die automatische software-updates?
Over-the-air updates zijn niet alleen technisch, maar ook juridisch interessant. Ze vallen niet onder de AVG, maar onder de Telecommunicatiewet – beter bekend als de ‘cookiewet’. “Je mag niet zomaar software installeren of gegevens uitlezen via een verbonden apparaat zonder toestemming,” zegt Terstegge. “Dat geldt ook voor auto’s. Het is vergelijkbaar met het plaatsen van cookies op een website.”
Die toestemming is verplicht, tenzij de dataverwerking noodzakelijk is voor een dienst die via de auto wordt geleverd, zoals navigatie of verkeersinformatie.
Wat kun je zelf doen?
- Check in het instellingenmenu van je auto welke gegevens worden gedeeld
- Koppel je smartphone selectief (bijvoorbeeld alleen via Bluetooth, niet volledig)
- Zet automatische updates of microfoons uit als dat mogelijk is
- Vraag bij de dealer of jouw gegevens worden gedeeld met andere partijen
Let op: de dealer mag jouw gegevens gebruiken om de verkoop af te handelen, maar je hebt weinig invloed op waar de data daarna belandt. “Je kunt niet bepalen waar de dealer gegevens opslaat. Dat is onderdeel van hun bedrijfsvoering,” aldus Terstegge. “Als je dat niet prettig vindt, kun je het wel aangeven – of op zoek gaan naar een andere dealer.”