Slik blir du overvåket av bilen

Det er tidlig morgen, og du er sen ut av døren. Når du girer opp i fjerde i påkjøringsfeltet til motorveien høres det et metallisk «klakk» fra rattet, og du må manøvrere bilen forsiktig ut på veiskulderen. Bilen er mindre enn to år gammel, og du tar det som en selvfølge at skaden på bilen dekkes av fabrikkgarantien. Men når verkstedet ringer deg opp senere samme dag, er det med dårlige nyheter: Mekanikeren har lastet ned dataene fra bilens OBD-kontakt og kan se at du har akselerert for voldsomt og svingt kraftig i en sving før bilen havarerte. Derfor blir ikke skaden dekket av reklamasjonsretten.

Høres dette ut som et scenario i en fjern og ugjestmild fremtid? Det er det heldigvis også enn så lenge, men muligheten for at det skulle bli virkelighet, eksisterer allerede.

Datainnsamlingen startet før Internett

Faktisk er det ikke noe nytt fenomen at biler blir utstyrt med sensorer som fanger opp data. OBD-teknologien, der OBD står for On-Board Diagnostics, har vært innebygd i mange biler siden 1980-tallet, og i 1996 ble det et krav i USA at alle biler skulle være utstyrt med OBD-II-teknologien. I 2001 og 2004 fulgte EU opp og gjorde OBD til et krav i bilprodusentenes bensin- og dieselbiler.

Årsaken var at de ville holde øye med om bilene levde opp til den nye lovgivningen om grenseverdier for utslipp av skadelige partikler. Utslippsdata var imidlertid ikke den eneste informasjonen som OBD ble brukt til.

Senere kom navigasjon og annen informasjon i OBD

I utviklingen som fulgte ble nye biler utstyrt med et økende antall sensorer, så i dag har nye biler flere hundre forskjellige sensorer som registrerer data – både i motoren, kupéen og i bilens vitale deler som bremser og styring. Dataene lagres lokalt i bilen og brukes blant annet av verkstedene til å stille diagnoser eller til å endre bilens kjøreegenskaper.

For biler som har en fast internettforbindelse via mobile nettverk kan dataene sendes løpende til bilfabrikkene. På 2010-tallet fikk flere biler integrerte underholdnings systemer med blant annet navigasjon som ga enda et lag med informasjon til datainnsamlingen. Nå ble bilene også i stand til å registrere bilens posisjon og gi sjåførene tips om å kjøre mer økonomisk ved blant annet å holde øye med girskift, akselerasjon og nedbremsing. I dag er det også vanlig at underholdningssystemene fungerer med smarttelefonen din via Android Auto og Apple CarPlay, og det gir enda mer kompleksitet, for nå loggfører systemene også private data via telefonen.

Blant annet lagres opplysninger om telefonsamtaler du har foretatt, medieavspillingene dine fra mobiltelefonen og meldingene dine, og i tillegg lagres ofte hele telefonboken i bilen. Der kan denne typen informasjon også bli liggende igjen når du selger bilen videre. Med den kombinerte datamengden fra både bilens interne diagnosesystem OBD, navigasjon og underholdningssystem er omfanget av informasjon som lagres i bilen blitt ganske betydelig.

Tyske eksperter undersøker fire biler

Det fikk nylig den tyske organisasjonen for bileiere, ADAC, til å kreve større gjennomsiktighet om hvilken informasjon som lagres i bilen og hva den brukes til av bilprodusentene og eventuelle tredjeparter. ADAC satt to eksperter til å undersøke hvilken informasjon som ble loggført og lagret i fire populære Mercedes-, Renault- og BMW-modeller.

Ekspertenes undersøkelser avslørte at bilene registrerte og lagret flere personsensitive opplysninger om eierens bruksatferd, kjørestil og ferdsel samt private opplysninger fra telefoner som hadde vært tilkoblet. Undersøkelsen viste også at det ble lagret informasjon om harde nedbremsinger og justeringer av det elektriske førersetet, som kan gi innsikt i om det er flere brukere av bilen.

Datainnsamling kan føre til problemer for eieren

Som forbruker kan det være flere problemer forbundet med den store innsamlingen av data. Det er ikke vanskelig å forestille seg en situasjon der et autorisert verksted ser i billoggen og avslår en reparasjon på fabrikkgarantien med den begrunnelse at du har kjørt for hardt ifølge bildataene. Det er også et nylig eksempel der dansk politi har beslaglagt en Tesla fordi føreren kjørte for fort.

Men siden politiet ikke selv har foretatt en fartsmåling som de kan bruke i retten, vil de laste ned data om bilens hastighet på ulike steder fra den informasjonen som er lagret i bilen. Det er heller ikke vanskelig å forestille seg at opplysninger om posisjonen din på ulike tidspunkter kan være problematisk i andre situasjoner dersom de havner i feil hender – f.eks. på hjemmefronten.

Vanskelig å få oversikt over den totale datamengden

Et annet problem med den informasjonen som bilen lagrer om deg, er at det kan føre til at du gir fra deg personlige opplysninger den dagen du selger bilen til en annen person. Som kunde er det ikke lett å få en samlet oversikt over dataene som samles inn. Den danske bilimportøren K.W. Bruun forteller at datainnsamlingen er nevnt i instruksjonsboken til bilen, og i en håndbok til en ny Peugeot står det helt tydelig om datainnsamling fra underholdningssystemet.

Til gjengjeld er det ganske sparsomt med opplysninger om informasjonen som samles inn av bilens flere hundre sensorer, og om hva bilprodusenten skal bruke disse opplysningene til. Det står bare i håndboken at «elektroniske styreenheter er installert i bilen din. Disse styreenhetene behandler for eksempel data som er mottatt fra bilens sensorer, data de genererer selv eller utveksler med hverandre.

Noen av disse kontrollene er nødvendige for riktig drift av bilen, mens an dre støtter deg under kjøring». Andre opplysninger står i avsnittet om databeskyttelse i instruksjonsboken, men de er vage og er skrevet med en juridisk formulering som gjør det vanskelig å forstå for vanlige mennesker. Bilimportøren K.W. Bruun forteller også at du som kunde hos et autorisert verksted alltid blir bedt om samtykke før bildataene sendes fra bilen til bilprodusenten.

Tyskerne krever en ny EU-lov

Den amerikanske bilprodusenten General Motors, som var en av forløperne som installerte OBD-systemet i bilene sine, oppgir at dataene brukes til å forbedre trafikksikkerheten og til å gjøre fremtidige biler og tjenester enda bedre. Men i Tyskland mener den tyske organisasjonen for bileiere, ADAC, at det mangler gjennomsiktighet i dataene som bilene genererer, lagrer og sender.

Det har fått ADACs tekniske direktør, Karsten Schulze, til å kreve en ny EU-lov hvor du som eier får større innblikk i hvilke opplysninger bilen lagrer og hva de brukes til. Organisasjonen mener også at det skal være mulig å slå av datainnsamlingen og videreformidlingen helt hvis du ønsker det, og at du skal ha rett til å bestemme selv hvem som skal ha tilgang til bildataene. Informasjonen om bildata må være lett tilgjengelig i henhold til ADAC – for eksempel på produsentens nettsted eller hos forhandleren – for å kunne inspisere den før du kjøper bilen. I tillegg krever ADAC at bilprodusenten skal garantere bilens IT-sikkerhet gjennom hele bilens levetid, f.eks. med viktige sikkerhetsoppdateringer.

IT-sikkerhetsekspert David Jacoby fra det svenske sikkerhetsselskapet Sprinkler Security Sweden er også skeptisk til datainnsamlingen i biler. Han minner oss på at når data samles inn, er det alltid en risiko for at de kan misbrukes – for eksempel til statssponsede angrep eller av kriminelle.

90 prosent av bilistene har ingen kontroll over dataene

Den danske organisasjonen for bileiere, FDM, mener at det trengs en ny lovgivning som regulerer bilens datainnsamling og sikrer bilistenes rett til egne data, og faktisk er det kanskje nye regler på vei ganske snart. I februar presenterte EU et forslag om en ny såkalt «Data act», som er en tverrgående lovgivning som skal sikre rammene for innsamling og bruk av data i hele EU.

Danske FDM mener imidlertid at den kommende lovgivningen er utilstrekkelig. Organisasjonen trenger en ny lov som mer spesifikt tar utgangspunkt i de dataene som biler samler inn. Noe tyder på at bilistene gir FDM rett. I en ny, stor undersøkelse – utført av bilklubbenes paraplyorganisasjon, FIA Region 1 – om europeernes kjennskap til datainnsamlingen i biler, har 1145 av 1251 bilførere som ble spurt tilkjennegitt at de ikke stoler på hva bilfabrikkene bruker opplysningene fra bilene til. Ni av ti bilister har med andre ord ikke tiltro til at de selv har kontroll over de dataene som bilene samler inn.

75 prosent av de spurte nekter i det hele tatt for å ha gitt tillatelse til at bilen deres kan dele informasjonen med bilprodusenten eller andre firmaer. Undersøkelsen viser imidlertid også at bilister faktisk er villige til å dele data hvis det kan gjøre det enklere eller billigere å være bilist. Det kan for eksempel være bilforsikring basert på registert kjøredata, eller hjelp til å spare drivstoff.

47 prosent av de spurte europeerne svarer at de er trygge på å dele data med blant annet bilprodusenter, verksteder og forsikringsselskaper for å få tilgang til tjenester eller funksjoner, bare de selv kan bestemme hvilke data som skal deles med hvem.