Ber om skjerpet bevissthet rundt bilens innsamling av informasjon

– Jeg tror det er et stort svart hull i bileieres kunnskap om kjøretøyets innsamling av data og personopplysninger. Utviklingen av kommunikasjon og elektronikk i bilene har vært rivende og vanskelig å følge med på. Det er viktig at den enkelte får muligheten til å innhente informasjon om dette, og å få muligheten til å selv kontrollere hvordan personopplysninger anvendes, sier direktør i Datatilsynet, Bjørn Erik Thon, til Juristkontakt.

Dagens moderne biler er i dag avanserte elektroniske datasystemer på hjul, bestående av blant annet sim-kort, og gps-anlegg. Noen bilprodusenter kan se hvor bilen din er til enhver tid. Samtidig blir detaljerte opplysning om din kjøreatferd lagret i bilen. Detaljer som om du har brukt bilbelte, oversikt over dine nedbremsinger, og hvor fort du har kjørt. I enkelte av bilprodusentenes instruksjonsbøker står det blant annet skrevet at dette er opplysninger som blir utlevert til politiet dersom myndighetene har grunnlag for å kreve det.

Opplysningene i bilens informasjonssystem blir også hentet ut av verkstedene når du leverer bilen til reparasjon, som et ledd i verkstedets feilsøking.

Hittil har bileiere i svært liten grad fått vite hva som samles inn av opplysninger og eventuelt hvilken risiko det er for at tredjepart får tilgang til dine personopplysninger.

Nå har Datatilsynet og Norges Bilbransjeforbund sammen utarbeidet en bransjenorm som skal sikre at den som kjøper en bil skal få kunnskap og dermed mulighet til å velge om han eller hun samtykker eller ikke i bruken av informasjonen. Et skjema som punkt for punkt retter spørsmål om hva som innsamles, og som selger fyller ut, skal nå brukes som et standardskjema ved bilfirmaers salg av biler. Samtidig kan da kunden ta stilling til om han eller hun samtykker i at de ulike opplysningene innhentes, og eventuelt også ta stilling til videre bruk av informasjonen.

Fra mobil til bil

– Vi pleier å følge ekstra med når det kommer nytt teknologisk utstyr som muliggjør innsamling av personinformasjon. Som mobiltelefon og datamaskin, hvor det var store utfordringer knyttet til dette. Etter hvert har vi også sett at bilen har utviklet seg til et slags kommunikasjonspunkt. I noen år har man hatt et slags elektronisk plug-in-system hvor verksteder har kunnet koble seg inn for å få status på om det er behov for skift av bremser, olje og slitedeler. Men nå kommer jo bilene med fullt oppsett, sim-kort, og er i virkeligheten en rullende mobiltelefon med gps-oppkobling, kartfunksjon, og telefonoppkobling som gjør at personopplysninger kan innsamles på en helt annen måte enn før, sier Thon som mener dette vil kunne føre til helt nye utfordringer som både har kommersielle og sikkerhetsmessige sider.

– For syv år siden, mens jeg var forbrukerombud, var jeg på konferanser i Brussel hvor det ble snakket om hvordan reklameskilt langs veien kan begynne å skifte etter hvilken bil som kommer og for å være direkte rettet mot bileierens behov. For eksempel om det er en småbarnsfamilie som kommer kjørende, så dukker bleiereklame opp på reklameboardene der du kjører. Vi har ikke sett det «live» her ennå, men slike ting kan komme hit også, som følge av bilenes elektronikk- og kommunikasjonssystemer, sier Thon.

Teknologisk fagdirektør Atle Årnes i Datatilsynet mener bransjenormen som nå er utarbeidet vil kunne få stor betydning.

– Vårt hovedfokus nå er at det skal gis informasjon til de berørte om hvilken informasjon som rent faktisk innhentes. For få år siden gjennomførte vil tilsyn hos flere bilprodusenter som selger biler i Norge, for å få vite hva som innhentes av informasjon. En av disse skrev rett ut at de samlet informasjon blant annet for å se på bilførernes kjøreatferd, og skrev det i instruksjonsbøkene som fulgte bilene, sier Årnes til Juristkontakt.

Han forteller at Datatilsynet undersøkte videre rundt bruken av sim-kort.

– Det gikk rykter om at sim-kort kunne plasseres i bilen uten at man egentlig visste at det var en kommunikasjonsenhet der. Da vi undersøkte dette fant vi ut at bilen ble tømt for informasjon i det du plasserte bilen på verkstedet, gjennom den såkalte OBD2-kontakten, sier Årnes.

Etter kontrollen ba Datatilsynet aktørene om følgende:

«Etablere et internkontrollsystem for behandlingen av personopplysninger som gjøres når de diagnostiserer og reparerer biler. Inngå databehandleravtaler mellom bilprodusentene og bilverkstedene. Slutte å utlevere personopplysninger til bilprodusentene hvis det ikke er noe rettslig grunnlag for dette. En eventuell utlevering må også foregå på en forsvarlig måte.»

– Det vi ikke så på den gangen var hva bilene hadde av ekstrautstyr. I bransjenormen som nå er utarbeidet skal bilkjøperne få vite hva som er i bilen av kommunikasjonsutstyr, om det er GPS, blant annet. Det skal fremkomme av skjemaet og da er det veldig viktig å få vite om det er tredjeparter som får tilgang til opplysningene. Det skal bilselger også opplyse om, sier Årnes som oppfordrer til å la det nye standardskjemaet om hva som innhentes og deles av opplysninger i bilen følge med til ny eier som en del av bilens dokumenter.

Kan gi billigere forsikring

Bilenes registrering av kjøreatferd har vekket interesse blant forsikringsselskaper. Et selskap har søkt Datatilsynet og fått konsesjon i et konsept hvor informasjon om kjøreatferd innhentes fra bilens datasystem etter samtykke fra bilfører. Hvis de innhentede dataene viser at forsikringskunden er en sjåfør som kjører defensivt og sikkert, får kunden 15 prosent rabatt på forsikringen.

– Dette sa vi ja til fordi samtykkeordningen er ganske bra. Det som også vil være fint i slike sammenhenger er når det nye regelverket i Personvernsforordningen kommer neste år. Fra mai 2018 vil EUs personvernsforordning avløse personopplysningsloven og gjelde som norsk lov.

– Blant det nye der er at privatpersoners eiendomsrett til sine egne data styrkes. Noe som for eksempel betyr at dersom du er kunde i forsikringsselskapet som gir rabatt som følge av dokumentert god kjøreatferd, så vil du kunne si at disse dataene er så positive for deg at du vil ha de overført til et annet forsikringsselskap som eksempelvis kan tilby 20 prosent rabatt på forsikringen for ditt kjøremønster. Så en ting er at mer registreres, men samtidig så styrkes eiendomsretten til dine data, og vi har også sett at det går lenger enn bare å gjelde bilforsikring, sier Thon.

«Forordningen er langt på vei en videreføring og utdyping av EUs personverndirektiv fra 1995, men inneholder også vesentlige nye elementer», skriver Universitetet i Oslo på sine hjemmesider.

UiO skriver at: «Målet er like rettsregler for personopplysningsvern i Europa. Forordningen er en meget omfattende og kompleks tekst som vil gjelde «ord for ord» i alle land, uten mulighet for tilpasninger til nasjonal lovgivningstradisjon og rettskultur.»

Frivillig tvang?

I den nye bransjenormen som Datatilsynet og Norges Bilbransjeforbund har utarbeidet sammen skal bilkjøpere informeres slik at de kan avgjøre om de samtykker eller ikke til informasjonsinnhenting og bruk. Det finnes imidlertid bilprodusenter som kontinuerlig innhenter informasjon om hvor bilene befinner seg.

– Her eksisterer det en personvernpolicy som er slik at dersom du ikke samtykker til å avlevere lokasjonsinformasjon, så får du i realiteten ikke brukt bilen etter hvert. Men personvernpolicyen varierer fra bilmerke til bilmerke. Forskjellen fra før og nå er at den nye bransjenormen gjør at du som bilkjøper nå lettere får vite hvilke informasjoner de samler inn om deg. Og denne kunnskapen gir forbrukermakt. Dersom mange nok kunder sier nei til urimelige krav til innsamling av informasjon, vil i realiteten bilprodusentene måtte velge mellom å tilpasse seg til kundene, eller å få solgt færre biler, sier Årnes.

Bjørn Erik Thon mener det kan være en vanskelig balansegang, da man er nødt til å akseptere noe informasjonsinnhenting for at produktet skal fungere.

– Når du inngår avtale om kjøp av en bil, så er det jo et kjerneprodukt som følger med det. Som for eksempel at du skal motta oppdateringer av bilen for at den skal være sikker å kjøre. Dette er jo noe man som bileier bare må akseptere, og er en del av den kontrakten du inngår. Bruk av informasjon fra din bruk av bilen ut over dette mener jeg man må kunne velge å si ja eller nei til. Hvis man er innenfor den normale bruken av dataene så er det jo greit. Hvis bilselger for eksempel sier at de – i tillegg til å oppgradere software også må vite hvor du er hen, så er ikke dette noe de trenger å vite. Man bør også kunne si nei til at det innhentes data om kjøreatferd for at produsenten skal kunne bruke dette til produktutvikling, sier Thon.

Han peker også på at det er en sletteproblematikk ved salg av brukte biler.

– Du må kunne kreve at data fra din tid som eier av bilen slettes. Hvis ikke vil ny eier kunne hente ut dataene og se, for eksempel hvor du har vært med bilen til enhver tid.

Kundenes personvern

Datatilsynet har lagt ut pressemelding om den nye bransjenormen på sin hjemmeside. Der understreker advokat i Norges Bilbransjeforbund Anna Elisabeth Nordbø, som har vært aktiv i samarbeidet med Datatilsynet, betydningen av at bileiere får informasjon.

– Dagens biler samler inn og behandler masse informasjon. Dataene brukes til å lage enda bedre biler og gjør reparasjoner enklere. Men det er viktig at bileiere er kjent med datainnsamlingen og kan ta et klart standpunkt til denne innsamlingen. Betryggende ivaretakelse av kundenes personvern er viktig for våre medlemsbedrifter, sier Anna Elisabeth Nordbø.

Hun peker på at standardskjemaet bør legges ved alle salgskontrakter.

– Vi har hatt et meget godt samarbeid med Datatilsynet under utviklingen av denne bransjenormen, som bør signeres og legges ved enhver salgskontrakt. På denne måten gis bileieren informasjon i og kunnskap om hva bilen samler inn av opplysninger – ikke minst personopplysninger – og kan vurdere om de ønsker dette eller ikke, sier Nordbø.