Stel, je stapt na een lange dag werken in de auto om naar huis te gaan. Je rijdt net op de snelweg en zoals altijd verloopt de rit soepel. Je voegt in op de rijbaan en er lijkt geen vuiltje aan de lucht te zijn. Opeens begint de auto raar te doen en gaan je lichten knipperen. Gerust denk je dat het een tijdelijk mankement is geweest. Maar dan ineens begint de auto sneller te rijden, van baan te wisselen, met dit allemaal zonder dat jij iets doet. Je realiseert je dat jij de auto niet langer bestuurt, de auto bestuurt zichzelf… Dit voorbeeld is niet uit de lucht gegrepen, het kan eenieder overkomen die in een connected car rijdt.

Niet zo lang geleden hebben Chris Valasek en Charlie Miller een Fiat Chrysler Jeep gehacked en bestuurd op afstand. De systemen in de auto zijn allemaal aan elkaar gekoppeld. Toen de onderzoekers eenmaal de auto systemen gehacked hadden, konden ze alles doen wat ze wilden. De bestuurder van de auto was machteloos en kon enkel toezien op hoe de auto compleet werd overgenomen. De autofabrikant besloot alle auto’s terug te roepen om dit lek in het systeem te repareren. De actie van Miller en Valasek opende de deur naar allerlei nieuwe vragen en problemen. Buiten het feit dat auto’s op afstand bestuurd kunnen worden en dat het hele gevaarlijke situaties kan opleveren, betekent deze technologie ook dat connected cars makkelijker gestolen kunnen worden. Met een app van slechts 90 euro is het mogelijk om deze auto’s binnen 30 minuten te stelen. De app zorgt ervoor dat de systemen worden uitgeschakeld en de deur binnen no-time open is, waardoor de dieven vrij spel hebben.

Afgelopen week kwam de connected car weer in opspraak, ditmaal om een hele andere reden. Want wat bleek nu? De auto bewaart allerlei gegevens van de gebruiker en stuurt dit door naar de autofabrikant en naar onafhankelijke garages. De auto heeft namelijk een infotainment-systeem dat gekoppeld is aan alle bestuurlijke systemen én aan de smartphone van de gebruiker. Dit betreft gegevens zoals de laatste honderd parkeerplekken, gereden routes, rijgedrag en foto’s. Deze gegevens worden allemaal doorgestuurd. De verzamelde gegevens vallen onder de Wet Bescherming Persoonsgegevens, de gebruiker is namelijk te herleiden aan de hand van deze gegevens. Dit betekent dat de verzamelaar van deze gegevens expliciete toestemming nodig heeft voor het verwerken hiervan. De verkopers van connected cars hebben dit slim aangepakt, in het koopcontract staat in de kleine lettertjes dat zij gegevens verzamelen. Het punt hierbij is dat een persoon bij het kopen van een auto niet zo snel zal denken aan het waarborgen van zijn privacy. Bij het kopen van een auto denk je aan hele andere zaken, waardoor de verkoper dit soort privacy kwesties er stiekem doorgedrukt  krijgt. Ongetwijfeld zullen veel autogebruikers amper op de hoogte zijn van het feit dat ze toestemming voor zoiets hebben gegeven. De ANWB heeft dit probleem al aangekaart en is sinds dinsdag een campagne begonnen genaamd ‘my car, my data’. Momenteel is er dus een grove schendig van de privacy van gebruikers gaande. Wordt er wel zorgvuldig omgegaan met deze gegevens? Ik denk van niet.

De incidenten rondom de connected car roepen veel juridische vragen op. Mogen ze zomaar gegevens verwerken? Zoals het er nu naar uit ziet is het antwoord hierop ja, want de gebruiker heeft een contract getekend. Echter kun je jezelf afvragen of de bepaling wel redelijk en geoorloofd is. Zou het niet onder de grijze of zwarte lijst moeten vallen? Wat nou als de gebruiker wel een moderne connected car wil, maar niet wil dat zijn gegevens worden verwerkt?
Buiten deze privacy vragen zijn er ook vragen als: ‘wie is er aansprakelijk in geval van een ongeluk nadat de auto gehacked is?’. De software ontwikkelaar is hiervoor vrij gewaard, dit is ook contractueel bepaald. Ook hier kun je je afvragen of dit wel een redelijke en geoorloofde bepaling is. Wie is er eigenlijk aansprakelijk, de auto verkoper, de gebruiker, de software ontwikkelaar of de dief/hacker? Dit is een vraag waarvan het antwoord nog uitgekristalliseerd moet worden. Als je het vergelijkt met de huidige jurisprudentie geldt dat als je als gebruiker het mogelijk maakt dat iemand een voertuig mee kan nemen, je aansprakelijk bent. Dit volgt onder andere uit het Haringkar-arrest. Wie is er aansprakelijk als je dit zou toepassen op connected cars? Het is een ingewikkelde kwestie waarbij nog veel uitgevogeld moet worden.

Naast de civielrechtelijke vragen, zijn er ook strafrechtelijke vragen. Het is voor criminele hackers makkelijker geworden om een auto te stelen en ze kunnen hem zelfs besturen op afstand. Dit kan vele nare gevolgen hebben. Is de politie hier op voorbereid? Moet er nu een speciale afdeling  voor connected cars bij de politie komen zodat er op tijd kan worden ingegrepen? Het hacken van een connected car is een eitje voor criminele hackers, ze kunnen de auto op afstand overnemen en er hele gevaarlijke dingen mee doen zoals aanrijdingen veroorzaken, plofkraken plegen, dit allemaal met onschuldige mensen in de auto.

De innovatie heeft in feite geleid tot een achteruitgang op een aantal vlakken. Het is weliswaar leuk dat er allerlei features zijn die het autorijden minder saai maken. Maar ga eens na, heb je al die zaken wel nodig? En weegt het op tegen de nadelen die we er nu van ondervinden? Het is een afweging met aan de ene kant leuke features en aan de andere kant je privacy en veiligheid die geschonden kunnen worden. Ik ben dan ook van mening dat er maar één oplossing is, KIS (Keep It Simple).

Namens de redactiecommissie,

Sadaf Zamani