Heeft U nog de controle over uw auto?

Duitse degelijkheid viel vorige week van z’n voetstuk. Volkswagen installeerde slimme software in dieselauto’s, manipuleerde daarmee testresultaten van stikstofoxiden-uitstoot en verloor na ontmaskering op de Duitse beurs 30 miljard euro in waarde. De reputatieschade is natuurlijk vele malen groter.

Een moderne auto is allang geen blik op wielen meer. De moderne heilige koe is een ‘rijdende iPad’ voorzien van miljoenen regels programmeercode. Geen verrassing dus, dat we eerder dit jaar ook al moesten vaststellen dat moderne auto’s op een geheel nieuwe wijze kwetsbaar worden. Afgelopen zomer riep Chrysler in de VS 1,4 miljoen auto’s terug toen hackers aantoonden dat zij de controle over een Jeep Cherokee via het internet konden overnemen. Ze hackten de besturing via een elektronische opening in de radio, waarna ze de snelheid van de auto konden beïnvloeden en de controle over remmen, versnelling, radio, ruitenwissers en allerhande andere functies wisten over te nemen. Chrysler is zeker niet het enige bedrijf waarvan de auto’s zijn gehackt. Ook BMW, Tesla en General Motors hebben eraan moeten geloven. En recent mocht hoogleraar informatica Bart Jacobs eindelijk het onderzoek publiceren dat aantoont hoe eenvoudig het software-gestuurde autoslot van Volkswagen valt te kraken. Het autobedrijf heeft met een gerechtelijke procedure de publicatie jaren tegen weten te houden.  

Slimme software bestuurt – al dan niet frauduleus - onderdelen van onze auto. Maar ook wijzelf worden in ons gedrag gestuurd. Al eerder liet het alcoholslot zien dat wie het rijgedrag van mensen wil veranderen niet langer de automobilist zelf hoeft te corrigeren, maar alleen nog zijn auto. En inmiddels leveren auto’s zoveel kennis over bestuurders, hun rijgedrag en rij-omgeving dat vele partijen hun kansen zien. Zoals alarmdiensten in geval van een ongeluk. Afgelopen april ging het Europees Parlement akkoord met wetgeving die producenten van personenwagens verplicht om auto’s die na 31 maart 2018 nieuw op de weg komen te voorzien van een communicatiesysteem, genaamd eCall. Hiermee wordt bij een ongeluk automatisch contact gelegd met een alarmcentrale.1 Illustratief zijn ook de verzekeraars die momenteel de mogelijkheid onderzoeken om tot prijsdifferentatie te komen in verzekeringen voor jonge automobilisten. Dat doen ze door – met toestemming – via sensoren en apparaten in de auto hun rijgedrag te registreren, analyseren en voorspellen. Hoe snel ga je door de bochten? Hoe hard trek je op? Met welke maximumsnelheid rij je gemiddeld? De sensoren, navigatie-apparatuur of in de auto aanwezige smartphone (die immers is voorzien van locatieinstellingen) registreren het allemaal. Wie naar de standaarden van de verzekeraar een roekeloos automobilist is, betaalt een hogere premie dan zijn studievriend die het wat voorzichtiger aan blijkt te doen.

Door de combinatie van technologieën en de verbondenheid van de auto met toepassingen en andere voertuigen wordt autorijden weer een stapje veiliger. Met de verworven kennis over automobilisten valt rijgedrag gerichter en op-maat te beïnvloeden. Maar de Volkswagen-affaire en Chrysler-hack tonen aan dat met de groeiende afhankelijkheid van complexe software en verbondenheid met kwetsbare netwerken tegelijkertijd weer andere risico’s opdoemen. Cybercrime is plots een onderwerp voor een APK-keuring en veiligheid van auto en passagier krijgt een geheel nieuwe dimensie.

Minister Schultz hield oktober 2014 een internetconsultatie voor regels om zelfrijdende auto’s toe te staan.2 Opvallend is dat het verslag daarvan weliswaar op  veiligheidsaspecten ingaat, maar slechts zeer algemeen en met geen enkele verwijzing naar de hiervoor geschetste risico’s. Afgelopen januari bood ze het regelgevend pakket aan de Tweede Kamer aan.3 Daarbij merkte ze op dat Nederland zich graag profileert als testland voor zelfrijdende auto’s en de ontwikkelingen wil faciliteren 'zonder alles vooraf dicht te regelen'. Mogelijke aansprakelijkheidsimplicaties van de zelfrijdende auto zullen, aldus de minister, in sterke mate afhangen van factoren als 'de mate van automatisering (kan de bestuurder de controle overnemen?), de verwachtingen die de autofabrikant wekt van het systeem en of sprake is van communicatie met andere voertuigen en/of infrastructuur'. Aangezien de techniek nog volop in ontwikkeling is, zo vervolgt ze, 'is het nog te vroeg om uitspraken te doen over de noodzaak tot het aanpassen van het aansprakelijkheidsrecht. In de testfase volstaat het huidige aansprakelijkheidsrecht.' Toch ontkomen we er niet aan de rijdende iPad juridisch meer gedegen te doordenken. Behalve de implicaties voor aansprakelijkheid (risico- of schuldaansprakelijkheid?) en privacy, is het gewenst dat er voorwaarden komen voor beveiliging als essentieel aspect bij het ontwerpen en bouwen van auto’s (security-by-design). Evenals uw iPad zal uw auto in de toekomst standaard uitgerust moeten zijn met antivirus- en detectiesoftware. Bovendien zal de update daarvan niet afhankelijk mogen zijn van het kennisniveau dan wel ‘cyberalertheid’ van de automobilist, maar moeten consumenten de garantie hebben dat de systemen regelmatig van een (security) update worden voorzien. Belangrijk is ook de verplichte segmentatie en isolatie van systemen en functies, zodat vitale onderdelen in de aansturing van de auto bij een hack of virus niet direct ook geïnfecteerd of gecompromiteerd worden. En auto’s moeten alle digitale handelingen bij het aansturen van rem-, schakel- en andere functies registreren zodat in geval van een ongeval achteraf kan worden vastgesteld wat exact er verkeerd ging. Ten slotte verdient een suggestie uit de VS wellicht navolging. Deze zomer werd daar in de Amerikaanse Senaat de Security and Privacy in Your Car (SPY Car) Act ingediend. Een heerlijk ouderwets instrument in dit voorstel is de introductie van een sticker voor op de voorruit van de auto: 'deze auto is cybersecurity en privacy proof!'.4

 

Dit Vooraf is ook gepubliceerd in NJB 2015/1674, afl. 33.

 

Bron afbeelding: Roger W

Corien Prins

Naam auteur: Corien Prins
Geschreven op: 29 september 2015

Hoogleraar Recht en Informatisering aan de Universiteit van Tilburg

Reageer op dit artikel
















Even geduld a.u.b.

Agenda

Afbeelding

Ontmoet vakgenoten en bespreek actuele onderwerpen in de LinkedIn-groep van het Nederlands Juristenblad.

 

 



Lees en doorzoek het NJB online in Navigator

Inloggen

U maakt gebruik van een verouderde browser

Het gebruik van een verouderde browser maakt uw computer onveilig en tevens ongeschikt voor het optimaal raadplegen van deze website.

De website van het NJB - Nederlands Juristenblad is namelijk geoptimaliseerd voor een nieuwere versie van uw browser.
In de meeste gevallen waarin het fout gaat, betreft dit het gebruik van de Internet Explorer browserversie 7 of 8.
Deze website is geoptimaliseerd voor Internet Explorer 9 en hoger, Google Chrome, Safari en Firefox.

Bekijk hier of er een nieuwere versie van uw browser beschikbaar is.