eCall en Privacy objectief bekeken

eCall BMW

Gisteren, 26 februari 2014, stemde het Europees Parlement in met de eCall Verordening. Deze verordening verplicht alle fabrikanten actief binnen de Europese Unie om per 1 oktober 2015 nieuwe auto’s te leveren met het eCall systeem geimplementeerd.

Dit gaat uiteraard gepaard met het doorgeven van lokatie- en metadata dus privacy voorvechters doorheen de EU gingen collectief “Boe!” roepen, maar niet altijd even gefundeerd. Ik probeer de werking van eCall te bekijken en objectief te bedenken of er nu levens gered worden of privacy geschonden. Of beiden natuurlijk.

Wat is eCall?

eCall is de technologie die snelle hulpverlening bij ongevallen binnen de Europese Unie mogelijk moet maken. Dit werkt met een “black-box” voorzien in auto’s die GPS coordinaten en andere informatie doorstuurt naar hulpverleningsinstanties zoals 112. Aangezien hulpverleners exactere informatie krijgen die efficienter wordt doorgegeven is het mogelijk bij ongevallen cruciale tijd te winnen waarmee uiteindelijk levens worden gered. Ook niet onhandig: door snellere afhandeling van ongelukken zouden files moeten verminderen.

Hoe werkt eCall?

Informatie genoeg over hoe eCall werkt. Helaas is dit vaak op  kleuterniveau, zoals dit filmpje van BMW. Ik was op zoek iets meer technische details en die vond ik ook. Voordat eCall officieel gestemd werd liep er een uitgebreide pilot van januari 2011 tot januari 2013 in meerdere EU landen waaronder Belgie en deze bleken prima gedocumenteerd. De werkwijze van de pilot in Belgie zoals beschreven in de documentatie:

  1. Een eCall kan automatisch (doordat de sensoren in de auto een ongeval registeren) of manueel (doordat de bestuurder handmatig een eCall initieert) geactiveerd worden.
  2. Het Mobistar netwerk (in de pilot toch) herkent de eCall en stuurt deze door naar een speciaal nummer van de “filter entiteit” (Belgie koos voor een implementatie met een derde partij: eCalls gaan niet rechtstreeks naar 112 maar komen eerst terecht bij een andere partij, in Belgie de pechhulpverlener  Touring)
  3. Bij de filter entiteit wordt de MDS (Minimum Data Set, zie onder) verwerkt en opgeslagen in een database
  4. Na de verwerking van de MDS komt de eCall terecht bij een operator (oftewel, een mens) die de afweging maakt of het om een echte noodomroep gaat. Zoja voegt hij dit toe aan de data en neemt contact op met de nooddiensten
  5. De MDS wordt doorgestuurd naar ASTRID (Belgisch noodoproep- en communicatiesysteem van politie e.a.) en de operator van Touring praat met een operator van ASTRID. De operator van ASTRID kiest uit een overzicht dat tot zijn beschikking staat de juiste eCall en neemt de eCall over.
  6. De ASTRID operator neemt contact op met de bestuurder of passagier van de betreffende auto en heeft alle informatie van de MDS en Touring beschikbaar
  7. De eCall wordt afgehandeld zoals een “gewone” 112 noodoproep

Ik weet niet hoe lang dit in de praktijk allemaal duurt maar echt efficient vind ik het niet. Wanneer alle betrokkenen bij een ongeval dood, bewusteloos of anderzijds immobiel zijn is dit een prima oplossing. Is dat niet het geval lijkt rechtstreeks 112 bellen met de GSM toch aanzienlijk sneller.

De MDS

De MDS is de basis van het eCall systeem. Het is de minimale data set aan gegevens die doorgespeeld wordt aan de diensten die een eCall binnenkrijgen. Wat zit er in de MDS:

  • Een unieke ID
  • Of de eCall manueel of automatisch was
  • Type (test of echt)
  • Voertuig type
  • Voertuig identificatie nummer
  • Brandstof
  • Timestamp
  • Voertuig locatie (obv GPS coordinaten)
  • Vertrouwen in positie (er is een mogelijkheid een laag vertrouwen attribuut mee te geven indien er problemen zijn een goede positie door te geven)
  • Richting van het voertuig (voor bepalen rijbaan)
  • Aantal passagiers (Optioneel)
  • Recente locaties (Optioneel)
  • Overige optionele data (te bepalen door fabrikant, maar uiteraard toegankelijk voor ontvangers eCall)

Ok, maar waar zijn de privacy schendingen?!

Een kleine bloemlezing die ik willekeurig van het internet pluk:

Maar persoonlijk heb ik met de basis implementatie zoals die in veel Europese documenten beschreven wordt weinig moeite vanuit privacy oogpunt, overal wordt specifiek de 95/46 richtlijn vermeld rond data bescherming en ook de Artikel 29 werkgroep heeft zijn zegje gedaan. Ok, er worden tussen GSM masten locatiegegevens heen en weer gestuurd maar door wie die opgevangen zouden moeten worden en hoe die gekoppeld worden tot bruikbare data zie ik niemand beschrijven. Het valt me ook op dat de klassieke grote namen (zoals Bits of Freedom) opvallend stil zijn over eCall.

Maar goed, het is en blijft een systeem dat data verzamelt en rondstuurt. Laat het maar aan Europa over een paar caveats op het gebied van privacy te laten. Toch hebben mijn bedenkingen niet zo zeer met het kastje zelf te maken maar meer met de implementatie van de systemen en de verwerking van de data door derden.

  • Belgie kiest voor een variant met een derde partij die de eCall ontvangt: Touring. En nu net met Touring heb ik zeer recent meegemaakt dat ze geen flauw benul hebben van de vereisten in de privacywet en persoonsgegevens zonder meer doorgeven aan andere partijen
  • De MDS laat ruimte aan de fabrikant om zelf nog wat data toe te voegen. Of het dan gaat om de opties van de auto, of de ruitenwisser aanstond ten tijde van het ongeval of de naam, telefoonnummer en geboortedatum van de bestuurder is niet beschreven (proportionaliteit)
  • Voor het pure eCall systeem is continue tracken verboden, niet voor “added-value services” zoals men het mooi noemt, maw: deze zouden wel continu mogen tracken (hoor ik alarmbellen?)
  • Die added-value services worden zéér regelmatig genoemd in de documentatie over eCall. Men hint nadrukkelijk op diensten voor verzekeraars, rekeningrijden, etc, al blijft men steeds de voorwaarden van richtlijn 95/46 benadrukken: informed consent.
  • Hoe lang mag men de data in de databases bewaren (bewaartermijnen)?
  • Wie krijgt hier toegang toe (doorgifte aan derden)?
  • Wie is er verantwoordelijk voor de data, wie is het aanspreekpunt voor de betrokkenen voor wat betreft hun data (verantwoordelijke voor de verwerking)?
  • Hoe veilig is het eCall systeem, kan men inderdaad locatiegegevens onderscheppen?

Conclusie

Bottomline: in de basis implementatie zoals die straks vanaf oktober 2015 moet gelden vind ik dat de mogelijkheden levens te redden opwegen tegen privacy bedenkingen, mits toegepast conform de 95/46 richtlijn en mits keiharde afspraken met de dienstverleners die betrokken zijn in de keten, van fabrikanten tot operators.

Zodra de added-value services nadrukkelijker in beeld komen vrees ik dat de privacywet actief gehandhaafd moet worden om overschrijdingen te voorkomen en laten we wel zijn: dat lukt op dit moment ook niet best. Maar hoe lang duurt het voor verzekeraars dit gaan verplichten?

Tot slot

Dan nog een paar praktische bedenkingen: het eCall systeem is gebaseerd op GSM technologie, is dat niet wat achterhaald? En wat met het feit dat wij drie talen hebben in Belgie: komt dat straks mee als metadata in de MDS of zijn alle operators perfect drietalig, nog los van auto’s uit pakweg Roemenie die in Belgie een ongeluk hebben? Hoe gaat men zorgen dat operators van Touring de juiste afweging kunnen maken en het “gewone” 112 verkeer niet belasten? En hoe vangt men dubbele meldingen op, mensen die zowel met de GSM bellen als een auto hebben die dat doet?