Liaise Advocaten logo
8 min Leestijd

Veilig Rijden Autoverzekering ANWB voldoet niet aan privacywet

De ANWB meldde dat verzekerden die veilig rijden een korting krijgen van maximaal 30% op de autoverzekering. De Veilig Rijden Autoverzekering. Dat is een leuke korting. Om daar aan mee te mogen doen, moet de verzekerde wel zijn rijgedrag voortdurend laten monitoren. Dat is de prijs van de korting.

Om te weten of verzekerden wel veilig rijden wordt er een “stick” (ook wel “dongel” genoemd) in de auto geplaatst die data over het rijgedrag van de bestuurder verzamelt. Die persoonlijke data worden opgeslagen op een server van de ANWB (zie ook noot hieronder, ANWB is niet de enige die de data verwerkt). De opgeslagen data worden geanalyseerd. De rijstijl van de verzekerde wordt vastgesteld en die rijstijl bepaalt de korting op de verzekering. Hoe meer de rijstijl lijkt op een, statistisch gezien, veilige rijstijl, hoe hoger de korting.

Een mooi initiatief dat hopelijk leidt tot veiliger rijgedrag. Een initiatief dat verder past in een trend waarin big data grootschalig worden ingezet. Over die trend en de gevolgen daarvan een volgende keer.

Nu eerst het recht. Voldoet dit plan zoals de ANWB het uitrolt wel aan de geldende privacywetgeving? Ik heb om die vraag te beantwoorden het privacystatement en de overige teksten op de website van de ANWB geanalyseerd.

Fout 1: onvoldoende informeren.

De persoonlijke data die over het rijgedrag worden verzameld, zijn volgens het privacystatement alleen de volgende:

De dongel meet hoe u bochten neemt, remt, optrekt en hoe hard u rijdt. Deze gegevens slaat de dongel op in onze database.

De ANWB meldt dus niet dat ook gegevens over wáár u was, locatiegegevens, worden opgeslagen. Toch gebeurt dat volgens mij. Dat is logisch omdat een snelheid zonder locatie niet zoveel zegt: over een woonerf met 120km per uur, is ander rijgedrag dan met die snelheid over een snelweg. De dongel/stick meet dan ook enkele malen per seconde de GPS locatie van het voertuig.

Dat locatiegegevens worden opgeslagen, blijkt ook verder uit het privacystatement: “Maar ook kunnen we zien waar er bijvoorbeeld veel wordt geremd.” Dat “waar” kan alleen maar worden gebruikt als er locatiegegevens worden opgeslagen. Zeker nu de wegbeheerder erbij wordt betrokken (“De ANWB gebruikt deze informatie om samen met de wegbeheerder naar oplossingen te zoeken”). En er staat: “..en om uw auto terug te vinden bij diefstal.” Terugvinden kan alleen als de ANWB weet waar de auto is en als die locatiegegevens worden opgeslagen.

Er worden dus locatiegegevens over de verzekerd gebruikt en opgeslagen. Dat betekent dat de ANWB in ieder geval de verzekerden onvolledig informeert. Dat er locatiegegevens worden opgeslagen, staat immers niet met zoveel woorden in het privacystatement. Er staat alleen dat er enkele malen per seconden een GPS locatie wordt bepaald, niet dat die GPS gegevens (locatiegegevens) ook worden opgeslagen. Dat onvolledig informeren is in strijd met de wet. Dat dat in strijd is met de wet is niet vreemd: uitgangspunt is dat de consument weet waar hij aan toe is. En gegevens die vastleggen waar iemand op een bepaald moment is, zijn gevoelig. Het vastleggen van dat soort gegevens moet daarom aan de consument worden gemeld.

Fout 2: te lang bewaren.

Er is meer. De ANWB bewaart de rijgegevens (waaronder dus de locatiegegevens) maximaal zeven jaar. En soms, in bijzondere gevallen, langer. De termijn van zeven jaar staat niet in het privacystatement maar op de website. Het privacystatement meldt alleen dat de rijgegevens worden geanonimiseerd bij het einde van de overeenkomst.We moeten hier dus afgaan op de mededeling op de website dat de bewaartermijn van de rijgegevens maximaal zeven jaar is. Nergens wordt vermeld wat de bewaartermijn van de locatiegegevens is.

Die termijn van zeven jaar is in ieder geval in strijd met de wet. Uitgangspunt is dataminimalisatie. Data mogen niet langer bewaard worden dan noodzakelijk is. Het doel van het opslaan, is het beoordelen van de vraag of iemand korting verdiend heeft of niet (en zo ja hoeveel dan). Daarvoor hoeft alleen bekend te zijn hoe hard iemand op een traject reed waar de veilige snelheid X was. Niet waar dat precies was. De persoonlijke data kunnen dus makkelijk en snel worden geaggregeerd: dat wil zeggen: ontdaan van precieze locatie. Die is immers na het feit van al of niet te hard rijden te hebben vastgesteld, niet meer nodig om iemands rijgedrag te beoordelen.

Het kan zijn dat de precieze locatiegegevens nodig zijn als iemand bezwaar maakt tegen de in zijn of haar ogen ten onrechte niet gegeven korting. Of dat zo is, lijkt me onwaarschijnlijk. Het kortingspercentage is een conclusie getrokken uit een veelheid aan persoonlijke data. Dat op een enkele plek de conclusie van de ANWB dat er onveilig hard werd gereden niet zou deugen, maakt dat kortingspercentage niet anders.

Maar dat is niet de kern. Het gaat om het volgende: de ANWB moet aantonen dat het nodig is al die locatiegegevens te bewaren. Stel dat het de ANWB lukt dat aan te tonen wat toont ze dan eigenlijk aan? Dat haar eigen systeem niet robuust de input verwerkt! Immers: de oorspronkelijke data worden kennelijk niet zonder dat er fouten mogelijk zijn, verwerkt. Er kan mee gerommeld worden dus. Immers: als er niet mee gerommeld kan worden, hoeven de oorspronkelijke data niet bewaard te worden. Nog korter gezegd: als de ANWB aantoont dat ze de oorspronkelijke data moet bewaren, toont ze meteen aan dat haar eigen systeem niet deugt. Dan is er nog meer aan de hand dus.

Daarom ontkomt de ANWB er niet aan de locatiegegevens veel sneller te deleten dan die zeven jaar. Dat deleten moet meteen al nadat de conclusie over het overschrijden van de maximale snelheid is opgeslagen. Als de ANWB verder de wegbeheerder wil helpen of de veilige snelheid van een weg wil bepalen, kan dat met geanonimiseerde data. Mocht de ANWB toch aantonen dat het nodig is dat zij die data langer bewaart dan een paar seconden, dan toch in ieder geval niet langer dan dat de verzekerde over het vaststellen van zijn korting kan klagen.

De conclusie dat er harder is gereden dan de veilige snelheid, mag de ANWB langer bewaren. Ook die gegevens moeten zo snel mogelijk geaggregeerd worden. En ook daar ligt de uiterste grens bij het verstrijken van de klachttermijn. Zeven jaar is daar ook veel te lang.

(Mogelijk) fout 3: geen toestemming??

De ANWB verzamelt de locatiegegevens (en de overige gegevens over het rijgedrag) niet alleen voor het vaststellen van de kwaliteit van het rijgedrag.

Voor alle duidelijkheid: voor het gebruik van de locatiegegevens is toestemming nodig van de verzekerde. Voor wat betreft het gebruik voor het uitvoeren van de overeenkomst met de ANWB zit die toestemming ingebakken in het feit dat de verzekerde deze overeenkomst sluit. Zonder dat de verzekerde wordt gemonitord, kan de polis immers niet werken. Het gaat dan om een impliciete toestemming. Die toestemming is dan wel beperkt tot gebruik en bewaren voor zover nodig voor het vaststellen van het rijgedrag.

Maar voor al het andere gebruik moet die toestemming in ieder geval apart gevraagd worden. Of die toestemming als nog “netjes” wordt gevraagd (en dus niet door alleen een akkoord te vragen op dit privacystatement) kan ik niet zien of ik moet zo ongeveer de verzekering zelf sluiten. Ik verwacht een vinkje waarbij een akkoord op de privacyvoorwaarden wordt gevraagd. Dat zou niet voldoende zijn. Toestemming moet duidelijk zijn en niet worden “verstopt” in een privacystatement. Dat gaat dan om de toestemming voor dat andere gebruik. De toestemming voor het gebruik om het rijgedrag te bepalen zit dus ingebakken in aard van de verzekering. Dat is dus mogelijk fout 3.

Conclusie

De Veilig Rijden Autoverzekering van de ANWB voldoet op meerdere punten niet aan de privacywet. Onnodig. De privacyregels staan niet in de weg aan de lancering van deze verzekering.

De ANWB had de locatiegegevens moeten benoemen, verschillende bewaartermijnen voor verschillende typen data moeten hanteren en een goede toestemming voor gebruik anders dan nodig voor uitvoering van de verzekering zelf moeten vragen (of de data gewoon niet anders gebruiken, dan blijft het principe nog steeds fier overeind).

Hopelijk hebben ze daar meer verstand van verzekeren.

P.s.

De volgende keer ga ik in op een interessante achterliggende vraag: straks is iedereen die met stick veilig rijdt netjes en goedkoop verzekerd. De rest betaalt dan een hogere premie dan nu of in ieder geval een hogere premie dan de stickrijders. Het moet uit de lengte of uit de breedte komen immers. Mensen met weinig geld kunnen zich gedwongen zien hun privacy op te geven. Meedoen moet de verzekering is dan juridisch geen “vrije” beslissing meer. En dan is het gebruik van de gegevens die op basis van een onvrije beslissing worden verkregen, in strijd met het recht.

NOOT

Ik schrijf hier over de ANWB, net als de ANWB zelf, maar er zijn meerdere partijen betrokken bij de verzekering. De ANWB is verkoper. UVM de verzekeringsmaatschappij en Unigarant heeft de polis ontwikkeld. Dan is er nog een partij die de gegevens analyseert: Ingenie. Wie nu verantwoordelijk is of wie van deze partijen dat zijn, wordt niet vermeld. Dat niet vermelden is ook in strijd met de wet.

Lees ook: Liaise Advocaten

De beperkte betekenis van het ONB arrest¹ voor de Nederlandse praktijk. Lees

 Liaise Advocaten

Deepfakes: Wat zijn het? Lees

Hulp nodig? Praat met een van onze experts

  • Alexandra Iedema
  • David Allick
  • Merel Teunissen
  • Jaap Versteeg
  • Roland Wigman
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Binnen 1 werkdag antwoord