Een moderne auto verzamelt tal van persoonlijke gegevens – en die zijn niet altijd veilig

Een groot datalek bij Volkswagen heeft ertoe geleid dat van 800.000 bezitters van elektrische auto’s zeer privacygevoelige informatie online stond. Het lek laat zien hoeveel data automakers tegenwoordig verzamelen en delen.

Acht vragen over de auto als „rijdende privacynachtmerrie.” Data uit de app van VW met zeer gedetailleerde informatie over ongeveer 800.000 elektrische auto’s en hun gebruikers stond maandenlang onbeschermd online.



Het gaat om locatiegegevens, waarmee precies te volgen is waar een auto zich bevindt, en om contactgegevens van de bestuurders. Aan de hand daarvan is bijvoorbeeld af te leiden waar autobezitters vaak parkeren en dus waar ze wonen en werken. Kopers van een nieuwe elektrische auto worden aangemoedigd zo’n app te gebruiken.

Daarmee kunnen ze onder meer zien hoeveel lading de batterij nog heeft, en de auto voorverwarmen. De data werden verzameld via een dochteronderneming van VW, softwarebouwer Cariad. Die slaat de gegevens op in de cloud van Amazon, maar deed dat vanaf de zomer van 2024 per ongeluk maandenlang op een publiek toegankelijke plek.

Het gaat om elektrische auto’s van de VW-merken Seat, Audi en Skoda, waarvan de meeste in Europa rijden. Ook data van Nederlandse autobezitters zijn gelekt. Het lek is onthuld door weekblad Der Spiegel , dat daarvoor heeft samengewerkt met de Chaos Computer Club, een organisatie van zogenoemde white hat hackers, die gaten in onlinebeveiliging opsporen.

Nee. Cariad is door de hackers voor publicatie van het artikel gewaarschuwd en heeft het lek gedicht. Volgens het bedrijf zijn er vooralsnog geen aanwijzingen dat er misbruik is gemaakt van de data.

Moderne auto’s zijn een soort rijdende computers waarin veel techniek zit en die steeds vaker voortdurend online zijn en gegevens delen. Dat kan gaan om bestemmingen en routes, maar ook om de rijstijl (te hard!) en bijvoorbeeld contacten. Dat is privacygevoelige informatie.

Mensen slaan in de app voor hun auto ook betaalgegevens op, die ze gebruiken om af te rekenen als ze laden. Fabrikanten zeggen allerlei gegevens te verzamelen in het kader van serviceverbetering. De data helpen bijvoorbeeld bij het op afstand analyseren en verhelpen van storingen.

Maar automakers kunnen en doen er veel meer mee. Dat bleek onder meer in 2023 toen de Mozilla Foundation de dataverzameling van 25 automakers vergeleek . De bedrijven kregen allemaal een ruime onvoldoende, omdat ze veel te veel tot personen herleidbare informatie verzamelden en (de meerderheid van de bedrijven) zich vrij voelden die informatie door te verkopen.

„Privacynachtmerries op wielen”, concludeerden de onderzoekers. Allereerst natuurlijk de autoproducent en de bedrijven waar die ze mee deelt. Dat is bijvoorbeeld de garage waar je komt voor een onderhoudsbeurt.

Die begint bij een moderne auto met het uitlezen van data. Mensen vergeten bij het huren of verkopen van een auto vaak de boordcomputer te resetten, waardoor de volgende gebruiker de gegevens ook kan inzien. Zelfs als ze dat wel doen, blijft er nog een kopie van de complete data in de cloud staan, zegt Marcel Wendt van het Nederlandse bedrijf Digidentity.

„Bij VW ging het mis in de cloudconfiguratie.” Digidentity verkoopt een softwaretool waarmee zelfstandige garagehouders toegang krijgen tot de informatie over een auto die de fabrikant verzamelt. Daarvoor moeten ze eerst geverifieerd worden.

Die verificatie van garagemedewerkers is nodig, legt Wendt uit, want het kan voor de georganiseerde misdaad bijvoorbeeld heel interessant zijn om de locatiegegevens van de Audi’s van de Nederlandse politie uit te lezen. Of om een gesloten auto te kunnen resetten. De AP krijgt er tot dusver weinig klachten over, maar wijt dat eraan dat mensen zich weinig bewust zijn van dataverzameling door auto’s.

Ze zouden zich volgens de Autoriteit Persoonsgegevens (AP) veel bewuster moeten zijn van de risico’s. „Als je de keus hebt, zou jij er dan mee akkoord gaan dat wordt bijgehouden dat je naar een verslavingskliniek gaat, de rosse buurt of een ziekenhuis waar een bepaalde ziekte wordt behandeld? Of dat je naar homo-ontmoetingsplaatsen gaat?”, vraagt een woordvoerder. De AP raadt onder meer aan goed te kijken naar de instellingen in de autoapps.

Die staan vaak standaard op de minst privacyvriendelijke optie. Kort gezegd: ook die zijn een privacydrama. Steeds meer auto’s filmen voortdurend hun omgeving.

Dat mag niet, maar gebeurt wel. Net als bij filmende deurbellen is dat de verantwoordelijkheid van de bezitter (van de auto of deurbel). In 2023 paste Tesla op aandringen van de AP de instellingen van de beveiligingscamera’s op zijn auto’s aan.

Die filmden voortdurend alles in de omgeving van de geparkeerde Tesla’s, inclusief alle voorbijgangers, en sloegen dat op. Die functie is niet meer automatisch ingeschakeld en de beelden worden minder lang opgeslagen. Veel meer dan aandringen en waarschuwen kan de AP niet, want de autofabrikanten vallen onder andere toezichthouders.

Op initiatief van het CDA is in april 2024 in de Tweede Kamer een motie aangenomen om te laten onderzoeken wat er gebeurt met de data die de camera’s van Chinese elektrische auto’s ophalen. Je zou kunnen kiezen voor een ouder model dat al die snufjes en verleidelijke gadgets niet heeft. Maar dat is waarschijnlijk wat veel gevraagd.

De AP publiceerde in maart 2020 een advies over hoe je je gegevens kunt beschermen als je in een gekochte of gehuurde ‘connected car’ gaat rijden. En hoe je er bijvoorbeeld voor zorgt dat je geen gegevens over jezelf meeverkoopt als je de auto van de hand doet. Denk bijvoorbeeld na of je het voertuig via Bluetooth toegang wil geven tot de contactenlijst in je telefoon.

En toestemming om op te slaan welke locaties je vaak bezoekt. Als je via je e-mailadres inlogt bij je voertuig, gaat er mogelijk allerlei informatie naar de e-mailprovider. „Gaat u bijvoorbeeld akkoord met fabrikanten die rijgegevens delen met een verzekeringsmaatschappij? Wees kritisch op fabrikanten die gegevens delen met anderen.

”.