EU arbeider for å innføre en harmonisert paneuropeisk alarmtjeneste for kjøretøy ("eCall"), som bygger på det felleseuropeiske alarmnummeret 112. Alle biler som selges i EU-området fra 2010 skal være utstyrt med satellittposisjonering og kommunikasjon via mobiltelefonnettet som gjør at det sendes informasjon automatisk ved ulykker til nærmeste alarmsentral. Galileo, EUs nye system for satellittposisjonering, har her en sentral rolle.
Datatilsynet ser at systemet kan ha visse positive sider, men finner det nødvendig å gjøre oppmerksom på at gjennomføringen av eCall vil kunne innebære problemer med hensyn til personvern og beskyttelse av privatlivets fred.
Hvorfor eCall?
Formålet er å forbedre trafikksikkerheten ved hjelp av avansert IKT. eCall er et høyt prioritert prosjekt. Det er utarbeidet forslag og fremdriftsplaner som skal fremme innføringen av systemet i hele EU/EØS-området og gjøre det mulig å få systemet i alle nye biler fra 2010.
Hvem?
Norge har, sammen med blant annet Litauen, Slovenia, Kypros, EU-kommisjonen og deler av bilindustrien, undertegnet et avtalememorandum (Memorandum of
Understanding) om gjennomføringen av eCall. Avtalememorandumet skal sikre at eCall kommer til å virke i alle EU-medlemsstater. Det forplikter partene til en felles gjennomføring av eCall-initiativet.
Hva er eCall?
Det foreslåtte eCall-systemet er basert på en nesten øyeblikkelig tale- og dataforbindelse fra en eCall-generator til en offentlig alarmsentral. Alarmsentralen kan være en offentlig myndighet eller en privat tjenesteleverandør, som en offentlig myndighet er ansvarlig for. eCall-generatoren initierer et eCall, som utløses automatisk av sensorer i bilen i tilfelle ulykke eller manuelt av kjøretøyets passasjerer.
eCall-henvendelsen består av to elementer: et 112-oppkall med ren tale (audio) og et minimumsdatasett. eCall-henvendelsen (data+tale), som overføres via mobilnettet, mottas av mobilnettoperatøren som en 112-nødoppringning. Mobilnettoperatøren supplerer, på grunnlag av 112-behandlingsprosedyren, oppringningen med identifikasjon av abonnentens nummer og legger til så presis posisjonsangivelse som mulig.
Etter denne behandlingen sender teleoperatøren 112-talehenvendelsen, sammen med abonnentens nummer, posisjon og eCall'ens datasett, til den relevante alarmsentralen. Deretter sender alarmsentralen en bekreftelse til eCall-generatoren om at datasettet er korrekt mottatt.
Det har også vært foreslått koble pasientjournalopplysninger til eCall systemet. Datatilsynet er negativt til en slik utvikling, både av hensyn til de betydelige informasjonsikkerhetsmessige utfordringer som må overvinnes, og det faktum at det lett vil kunne oppstå usikre og til dels farlige situasjoner da det ikke nødvendigvis er bilens eier som sitter i førersetet på ulykkestidspunktet.
Frivillighet
eCall er et overvåkingsinstrument som legger til rette for en massiv registrering. Fra et personvernståsted bør lovlydige bilister ha adgang til å bruke veienettet uten å bli registrert. For Datatilsynet er derfor frivillighet viktig – at hver og en skal ha mulighet til selv å bestemme om bilen skal overvåkes.
Når eCall innføres som en form for avansert tjeneste til forbedring av trafikksikkerheten, vil systemet rent faktisk være innbygget i kjøretøyet. At det finnes en måte å aktivere/deaktivere systemet, og at aktivering skal være frivillig, er avgjørende. Det er en felles oppfatning blant datatilsynsmyndighetene i Europa at du selv skal kunne bestemme om boksen skal være aktivert eller ikke.
Se artikkel 29-gruppens uttalelse her (dansk, pdf, nytt vindu)
Brukeren, som ikke nødvendigvis er kjøretøyets eier, skal på ethvert tidspunkt ha mulighet til å slå systemet på eller av uten noen form for tekniske eller finansielle hindringer. Denne valgmulighet kunne f.eks. tilbys i form av en spesiell brukervennlig knapp, eller omskifter, i likhet med den som benyttes i forbindelse med airbags for passasjerer.
Det oppstår videre en problematisk situasjon, som neppe vil ha rettslig grunnlag i personopplysningsloven, hvis bilforsikringsselskaper eller bilutleiefirmaer utøver press for å tvinge sjåføren til å aktivere eCall-systemet. Tilsvarende vil også være situasjonen dersom ansatte som benytter firmabiler, direkte eller indirekte tvinges til å benytte eCall-systemet.
I mange tilfeller vil eCall kunne være av vital interesse for den registrerte, og dermed kunne begrunne en innføring. Imidlertid vil ikke dette gjelde i alle brukstilfeller. Dette er tilfellet i situasjoner hvor det forekommer uhell og eCall automatisk utløses, men hvor det likevel ikke er noe behov for hjelp. Hvis eCall-systemet ikke kan aktiveres og deaktiveres kostnadsfritt og uten for mye plunder, kan brukerne bli redde for mulige inngrep i privatlivets fred.
Frivillighet vil ikke hindre formålet en ønsker å oppnå med systemet. Det bør kanskje også reflekteres noe over at eCall er en såkalt ”black box” installert i bilen. Om bilens eier også står som eier av boksen, bør han også kunne bestemme over den.
Posisjonering
Datatilsynet har fått inntrykk av at den foreslåtte eCall-ordningen ikke medfører at bilens posisjon skal følges løpende av en tredjeperson kontinuerlig, da apparatet ikke permanent skal være tilsluttet mobilnettet. Det skal likevel være mulig å fastslå kjøretøyenes geografiske plassering. Boksen skal, etter det som er opplyst, kun få forbindelse med kommunikasjonsnettet hvis det aktiveres i forbindelse med en ulykke eller aktiveres manuelt av en av bilens passasjerer.
Fra et personvernsynspunkt vil det ikke være akseptabelt om eCall-boksen til enhver tid er tilsluttet nettet, og bilen kan følges løpende. I den foreslåtte eCall-ordningen oppbevarer ”boksen” data for de tre seneste GPS- /Galileo-registrerte posisjonene, men disse skal ikke kommuniseres med mindre eCall utløses. I så fall ville det være nødvendig å fastsette en klar begrensning av omfanget av de innsamlede data og forhindre enhver annen bruk av opplysningene.
I hvilken grad det i fremtiden vil være mulig å fjernaktivere sporingsverktøyet er foreløpig mer uklart.
Erfaring tilsier at samlinger av personopplysninger vil bli utvidet og/eller brukt til andre formål eller misbrukt – det er kun et spørsmål om tid. Det vil, etter Datatilsynets oppfatning, være naivt å legge noe annet til grunn i denne sammenheng. Bilen vil antagelig raskt få en egen elektronisk identitet, en sporingsbrikke, slik at enhver bevegelse vil kunne følges. Det er vel heller ikke usannsynlig at enkelte vil kunne ønske å utvide systemet til også å gjelde motorsyklister, syklende og gående, som tidvis også utsettes for trafikkulykker.
Systemer med samlinger av personopplysninger vil erfaringsmessig ”lekke”. Dette har vi sett rikelig av eksempler på, blant annet når det gjelder bankopplysninger, pasientjournaler og politiregistre.
Datatilsynet vil se nærmere på de personvernmessige sidene av eCall-teknologien og bakenforliggende standarder.