eCall en Privacy objectief bekeken

eCall BMW

Gisteren, 26 februari 2014, stemde het Europees Parlement in met de eCall Verordening. Deze verordening verplicht alle fabrikanten actief binnen de Europese Unie om per 1 oktober 2015 nieuwe auto’s te leveren met het eCall systeem geimplementeerd.

Dit gaat uiteraard gepaard met het doorgeven van lokatie- en metadata dus privacy voorvechters doorheen de EU gingen collectief “Boe!” roepen, maar niet altijd even gefundeerd. Ik probeer de werking van eCall te bekijken en objectief te bedenken of er nu levens gered worden of privacy geschonden. Of beiden natuurlijk.

Wat is eCall?

eCall is de technologie die snelle hulpverlening bij ongevallen binnen de Europese Unie mogelijk moet maken. Dit werkt met een “black-box” voorzien in auto’s die GPS coordinaten en andere informatie doorstuurt naar hulpverleningsinstanties zoals 112. Aangezien hulpverleners exactere informatie krijgen die efficienter wordt doorgegeven is het mogelijk bij ongevallen cruciale tijd te winnen waarmee uiteindelijk levens worden gered. Ook niet onhandig: door snellere afhandeling van ongelukken zouden files moeten verminderen.

Hoe werkt eCall?

Informatie genoeg over hoe eCall werkt. Helaas is dit vaak op  kleuterniveau, zoals dit filmpje van BMW. Ik was op zoek iets meer technische details en die vond ik ook. Voordat eCall officieel gestemd werd liep er een uitgebreide pilot van januari 2011 tot januari 2013 in meerdere EU landen waaronder Belgie en deze bleken prima gedocumenteerd. De werkwijze van de pilot in Belgie zoals beschreven in de documentatie:

  1. Een eCall kan automatisch (doordat de sensoren in de auto een ongeval registeren) of manueel (doordat de bestuurder handmatig een eCall initieert) geactiveerd worden.
  2. Het Mobistar netwerk (in de pilot toch) herkent de eCall en stuurt deze door naar een speciaal nummer van de “filter entiteit” (Belgie koos voor een implementatie met een derde partij: eCalls gaan niet rechtstreeks naar 112 maar komen eerst terecht bij een andere partij, in Belgie de pechhulpverlener  Touring)
  3. Bij de filter entiteit wordt de MDS (Minimum Data Set, zie onder) verwerkt en opgeslagen in een database
  4. Na de verwerking van de MDS komt de eCall terecht bij een operator (oftewel, een mens) die de afweging maakt of het om een echte noodomroep gaat. Zoja voegt hij dit toe aan de data en neemt contact op met de nooddiensten
  5. De MDS wordt doorgestuurd naar ASTRID (Belgisch noodoproep- en communicatiesysteem van politie e.a.) en de operator van Touring praat met een operator van ASTRID. De operator van ASTRID kiest uit een overzicht dat tot zijn beschikking staat de juiste eCall en neemt de eCall over.
  6. De ASTRID operator neemt contact op met de bestuurder of passagier van de betreffende auto en heeft alle informatie van de MDS en Touring beschikbaar
  7. De eCall wordt afgehandeld zoals een “gewone” 112 noodoproep

Ik weet niet hoe lang dit in de praktijk allemaal duurt maar echt efficient vind ik het niet. Wanneer alle betrokkenen bij een ongeval dood, bewusteloos of anderzijds immobiel zijn is dit een prima oplossing. Is dat niet het geval lijkt rechtstreeks 112 bellen met de GSM toch aanzienlijk sneller.

De MDS

De MDS is de basis van het eCall systeem. Het is de minimale data set aan gegevens die doorgespeeld wordt aan de diensten die een eCall binnenkrijgen. Wat zit er in de MDS:

  • Een unieke ID
  • Of de eCall manueel of automatisch was
  • Type (test of echt)
  • Voertuig type
  • Voertuig identificatie nummer
  • Brandstof
  • Timestamp
  • Voertuig locatie (obv GPS coordinaten)
  • Vertrouwen in positie (er is een mogelijkheid een laag vertrouwen attribuut mee te geven indien er problemen zijn een goede positie door te geven)
  • Richting van het voertuig (voor bepalen rijbaan)
  • Aantal passagiers (Optioneel)
  • Recente locaties (Optioneel)
  • Overige optionele data (te bepalen door fabrikant, maar uiteraard toegankelijk voor ontvangers eCall)

Ok, maar waar zijn de privacy schendingen?!

Een kleine bloemlezing die ik willekeurig van het internet pluk:

Maar persoonlijk heb ik met de basis implementatie zoals die in veel Europese documenten beschreven wordt weinig moeite vanuit privacy oogpunt, overal wordt specifiek de 95/46 richtlijn vermeld rond data bescherming en ook de Artikel 29 werkgroep heeft zijn zegje gedaan. Ok, er worden tussen GSM masten locatiegegevens heen en weer gestuurd maar door wie die opgevangen zouden moeten worden en hoe die gekoppeld worden tot bruikbare data zie ik niemand beschrijven. Het valt me ook op dat de klassieke grote namen (zoals Bits of Freedom) opvallend stil zijn over eCall.

Maar goed, het is en blijft een systeem dat data verzamelt en rondstuurt. Laat het maar aan Europa over een paar caveats op het gebied van privacy te laten. Toch hebben mijn bedenkingen niet zo zeer met het kastje zelf te maken maar meer met de implementatie van de systemen en de verwerking van de data door derden.

  • Belgie kiest voor een variant met een derde partij die de eCall ontvangt: Touring. En nu net met Touring heb ik zeer recent meegemaakt dat ze geen flauw benul hebben van de vereisten in de privacywet en persoonsgegevens zonder meer doorgeven aan andere partijen
  • De MDS laat ruimte aan de fabrikant om zelf nog wat data toe te voegen. Of het dan gaat om de opties van de auto, of de ruitenwisser aanstond ten tijde van het ongeval of de naam, telefoonnummer en geboortedatum van de bestuurder is niet beschreven (proportionaliteit)
  • Voor het pure eCall systeem is continue tracken verboden, niet voor “added-value services” zoals men het mooi noemt, maw: deze zouden wel continu mogen tracken (hoor ik alarmbellen?)
  • Die added-value services worden zéér regelmatig genoemd in de documentatie over eCall. Men hint nadrukkelijk op diensten voor verzekeraars, rekeningrijden, etc, al blijft men steeds de voorwaarden van richtlijn 95/46 benadrukken: informed consent.
  • Hoe lang mag men de data in de databases bewaren (bewaartermijnen)?
  • Wie krijgt hier toegang toe (doorgifte aan derden)?
  • Wie is er verantwoordelijk voor de data, wie is het aanspreekpunt voor de betrokkenen voor wat betreft hun data (verantwoordelijke voor de verwerking)?
  • Hoe veilig is het eCall systeem, kan men inderdaad locatiegegevens onderscheppen?

Conclusie

Bottomline: in de basis implementatie zoals die straks vanaf oktober 2015 moet gelden vind ik dat de mogelijkheden levens te redden opwegen tegen privacy bedenkingen, mits toegepast conform de 95/46 richtlijn en mits keiharde afspraken met de dienstverleners die betrokken zijn in de keten, van fabrikanten tot operators.

Zodra de added-value services nadrukkelijker in beeld komen vrees ik dat de privacywet actief gehandhaafd moet worden om overschrijdingen te voorkomen en laten we wel zijn: dat lukt op dit moment ook niet best. Maar hoe lang duurt het voor verzekeraars dit gaan verplichten?

Tot slot

Dan nog een paar praktische bedenkingen: het eCall systeem is gebaseerd op GSM technologie, is dat niet wat achterhaald? En wat met het feit dat wij drie talen hebben in Belgie: komt dat straks mee als metadata in de MDS of zijn alle operators perfect drietalig, nog los van auto’s uit pakweg Roemenie die in Belgie een ongeluk hebben? Hoe gaat men zorgen dat operators van Touring de juiste afweging kunnen maken en het “gewone” 112 verkeer niet belasten? En hoe vangt men dubbele meldingen op, mensen die zowel met de GSM bellen als een auto hebben die dat doet?

Pseudonieme data: Waarom eigenlijk?

google 2084

Heet hangijzer in de discussie over privacy en de nieuwe privacy regels in de EU (de General Data Protection Regulation (GDPR), op Twitter ook wel bekend als #EUdataP) was het gebruik van “pseudonymous data” en hoe hiermee omgegaan mag worden. De Facebooks en Googles van deze wereld zien liefst dat pseudonieme data gelijkgesteld wordt aan anonieme data, privacy voorvechters zitten dan weer aan de andere kant van het spectrum: pseudonieme data volledig gelijktrekken met persoonsgegevens.

Er is voorlopig geen uitsluitsel aangezien de GDPR nog alle kanten uit kan: het Europees Parlement heeft nu weliswaar een definitieve compromistekst, maar de European Council (Raad van Ministers) moet nog met een definitief voorstel komen en dáárna mogen beiden een robbertje gaan vechten over de definitieve vorm die er sowieso niet voor 2015 is.

Maar wat is nu pseudonieme data, en waarom is deze categorie van data in het leven geroepen in de nieuwe Europese verordening?

Wat is pseudonieme data?

Er zijn twee soorten data: persoonsgebonden data en anonieme data. Persoonsgebonden data, of persoonsgegevens, houdt in alle data die op de een of andere manier kunnen leiden tot een uniek identificeerbaar persoon. Om discussies over mijn parafrasering te vermijden, de exacte definitie uit de privacywet (art. 1, §1):

Voor de toepassing van deze wet wordt onder “persoonsgegevens” iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna “betrokkene” genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

Anonieme data is uiteraard de tegenpool: data die op geen enkele manier te herleiden is tot een natuurlijk persoon. Pseudonieme data ligt daar precies tussen en is een subset van persoonsgegevens: ze kunnen wel leiden tot een identificeerbaar persoon, maar niet op basis van de set van data waarin ze gepresenteerd worden. Een paar voorbeelden:

  • IP adres geregistreerd bij bezoek aan een site: dit adres identificeert op dat moment het gebruikte apparaat waarmee de site bezocht is. Koppel dat aan ISP data of link dat IP aan de verzamelde statistieken van b.v. een webshop waar wèl een naam en adres bekend is en je zit aan een uniek persoon. Echter, een IP adres op zich is niet zonder meer te koppelen aan een persoon
  • Mobiel telefoonnummer: een dataset waar een mobiel nummer gebruikt wordt om gebruikersstatistieken bij te houden is niet onmiddellijk te herleiden tot een persoon. Echter, een beetje googlen of sociale netwerken afspeuren kan vaak al leiden tot een koppeling tussen een mobiel nummer en een uniek persoon.
  • Een gecodeerd rijksregisternummer: een onderzoeker of beleidsbepaler heeft de mogelijkheid unieke subjecten te volgen zonder zicht te hebben op hun identiteit. Dit geldt uiteraard enkel zolang de onderzoeker niet beschikt over de mogelijkheid de codering terug te draaien of over voldoende meta data om alsnog terug te gaan tot unieke personen.

Waarom is de categorie “pseudonieme data” in het leven geroepen?

Het grote argument van b.v. Google (zoals ook aangehaald in het onderzoek door de CBP naar de privacy policy) is nu net dat pseudonieme data geen persoonsgegevens zijn en dat er daarom een onderscheid moet worden gemaakt. Een IP adres is een IP adres en is gekoppeld aan een apparaat niet aan een persoon.  Ook andere partijen zoals de IAB (Interactive Advertising Bureau, verantwoordelijk voor 86% van alle online marketing in VS) pleiten voor het onderkennen van pseudonieme data in de GDPR.

Dat is ook gelukt, na flink wat gelobby. In artikel 4 §2a van het GDPR voorstel uit het Europees Parlement is een aparte definitie gecreëerd voor pseudonieme data. Zelfs de ICO en het CDT pleiten vóór dit onderscheid en hebben ook geen problemen met verminderde veiligheidsvoorschriften voor zulke data zolang het gaat om data “waar alle persoonlijke identificeerbare data uit verwijderd is en er geen redelijke waarschijnlijkheid is op her-identificatie”. Maar wat is dan nog nut van dit onderscheid als je pseudonieme data weer gaat onderverdelen in persoonsgebonden pseudonieme data en anonieme pseudonieme data?

Niets, behalve dat voor Google, Facebook, de IAB, etc. dit onderscheid helemaal niet de bedoeling is: het creëren van deze categorie “pseudoniem” is slechts de voet in de deur voor het vervolg. Zij willen pseudonieme data als één categorie met minder voorschriften rond beveiliging en geinformeerde toestemming en al helemaal niet met een “right to erasure”. Sterker nog, liefst in een vorm van zelf-regulering, zoals reeds zeer succesvol bleek in het geval van Safe Harbor.

Feit is namelijk dat deze bedrijven in het tijdperk van Big Data onmogelijk pseudonieme data kunnen verwerken zónder mogelijkheid tot her-identificatie: Google vertegenwoordigd 25% van het internetverkeer wereldwijd en 60% van de apparaten op de planeet draait dagelijks iets van Google. Facebook heeft 1,3 miljard (!) gebruikers en zoals al eerder aangehaald verzorgd IAB tracking cookies op het merendeel van de online advertentie markt in de VS.

Conclusie

Het creëren van de categorie “pseudonieme” data is wat mij betreft overbodig. Wanneer er transparant wordt gecommuniceerd over wat er met persoonsgegevens gebeurt en betrokkenen (als ze uberhaupt willen) geïnformeerd kunnen besluiten of ze hiermee instemmen is er geen probleem.

Bedrijven in de data industrie denken ten onrechte dat hun verdienmodel aan een zijden draadje hangt: dagelijks zie ik om mij heen voorbeelden van consumenten die het eigenlijk prima vinden als Amazon hen advies geeft over andere boeken, Google advertenties genereert die precies op hun verlangens inspelen en Zalando ze een week later toch nog even herinnert aan die schoenen die vorige week op hun site bekeken werden.

Maar laat die paar paranoïde figuren zoals ik het recht behouden daar op een eenvoudige wijze “Nee!” tegen te zeggen en mijn data terug te halen als ik er toch een keer ingetrapt ben.