Privacy
De gegevens van je auto zijn van jou. Hier is precies hoe we dat zo houden — in gewone taal, geen verrassingen in de kleine lettertjes.
De korte versie
Het is het stuk dat geen enkele andere Tesla-logger biedt. We ontwierpen BlackCurrent zo dat je gegevens bewaren en je gegevens lezen twee verschillende dingen zijn: wij bewaren ze, jij hebt de sleutel. Jij houdt de controle over de sleutel, dus jij houdt de controle over de gegevens — en we hoeven je nooit te vragen ons gewoon te vertrouwen.
Wat dit voor jou betekent
- Een inbraak in onze database geeft de aanvaller versleutelde gegevens — nutteloos zonder je wachtwoordzin.
- Ons eigen team ziet in de opslag alleen ooit versleutelde gegevens. Er is geen interne knop om “de ritten van deze gebruiker te bekijken”.
- Worden we ooit overgenomen, of krijgen we een verzoek om je geschiedenis, dan kunnen we alleen versleutelde gegevens doorgeven. We kunnen niet ontsleutelen waar we de sleutel niet van hebben.
- Geen analyse, advertentietargeting of databrokering op je inhoud — de architectuur staat het niet toe, ook al zouden we het willen.
- Ons enige verdienmodel is jouw abonnement. Dat is de afspraak.
Hoe het werkt
Wanneer je je aanmeldt, levert je wachtwoordzin een privésleutel op onze server. We zetten die sleutel op slot met je wachtwoordzin — via een bewust traag proces voor wachtwoordversterking dat brute force onpraktisch maakt — en bewaren alleen de vergrendelde blob. Je wachtwoordzin wordt weggegooid voordat de aanmeldaanvraag terugkomt.
Wanneer je inlogt, leiden we de sleutel kort opnieuw af, ontgrendelen we je versleutelingssleutel, vergrendelen we hem opnieuw met een kortlevend sessiegeheim, slaan we de met de sessie vergrendelde versie op in onze cache en vergeten we de wachtwoordzin weer. Elke pagina die je laadt ontsleutelt alleen zoveel gegevens als nodig is om die pagina weer te geven, in het geheugen, en gooit ze daarna weg.
Wanneer je Tesla ons nieuwe telemetrie stuurt, kunnen we alleen schrijven — we verzegelen elke batch met je openbare sleutel zodat wij hem niet kunnen teruglezen totdat je inlogt.
Wat we zien, en wat niet
| We zien (altijd) | We zien (alleen terwijl je ingelogd bent) | We zien nooit |
|---|---|---|
| Je e-mail en een vergrendelde kopie van je versleutelingssleutel | De ontsleutelde inhoud van de pagina die je laadt | Je gegevens wanneer je uitgelogd bent |
| Je abonnementsstatus | Je ritten, laadsessies of accugeschiedenis in back-ups | |
| De identificatie van je auto (zodat we weten waar de data heen moet) | Geëxporteerde gegevens die je naar je eigen apparaat downloadt | |
| Je openbare sleutel (kan niets ontsleutelen) | Geaggregeerde analyses over alle gebruikers heen | |
| Tijdstempels, byte-aantallen, foutpercentages | Je wachtwoordzin (nadat het inloggen klaar is) |
Waar we ons op abonneren vanuit je Tesla
Met de Fleet Telemetry van Tesla kunnen we een precieze lijst kiezen van signalen die de auto naar ons streamt. We kiezen breed over signaalcategorieën die bestaande functies aandrijven en categorieën die we in de komende 6-12 maanden verwachten te leveren. De redenering: een signaal later toevoegen kost maanden aan historische opbouw voordat een functie die erop bouwt data heeft om weer te geven. De goedkopere richting is “nu verzamelen, later bouwen”. Elk signaal wordt met je sleutel versleuteld voordat het in onze opslag landt, dus de breedte van de verzameling verandert niets aan wie het kan lezen (nog steeds alleen jij).
De volledige signaallijst — elke categorie die we ontvangen, en wat elke aandrijft
| Categorie | Wat het mogelijk maakt |
|---|---|
| Voertuigstatus (wakker / in slaap / rijdend / aan het laden) | Het dashboard weet of je auto praat; sessiedetectie (ritten, laadsessies) leest uit dit gezaghebbende signaal in plaats van te gokken op basis van snelheid of laadstatus |
| Energie & accu (laadniveau, schattingen actieradius, pakketspanning / -stroom, celspanningen, moduletemperaturen) | Weergave accugezondheid; actieradiusplanning; degradatie op lange termijn volgen |
| Laden (status, ampère, vermogen, energie in, tijd tot vol, laadlimiet, laderfasen) | Laadlogboek met overzichten in kWh / km / kosten; detectie snellader versus thuis |
| Rijden (snelheid, versnelling, locatie, koers, GPS-status, kilometerstand, drive rail) | Live rittracking; afstand en gemiddelde snelheid per rit; kaarttraces |
| Klimaat / thermisch (temperatuur binnen / buiten, status accuverwarming, voorklimatiseren, waarschuwing te weinig vermogen voor verwarming) | Geschiedenis cabinetemperatuur; aanpassing actieradius bij koud weer; detectie van het starten van voorklimatiseren |
| Banden (spanning x 4 en tijdstempel laatst gemeten spanning x 4) | Logboek bandenspanning; detectie van geleidelijke lekkage |
| Planning (geplande laadstart / -modus / in behandeling, vertrektijd, Supercharger-trip-planner) | Bevestig dat je instellingen overeenkomen met wat de auto echt doet; geschiedenis van ritplanning |
| Voertuigmetadata (firmwareversie, voertuignaam, voertuigconfiguratie: model, uitvoering, kleur, wielen, regiovlaggen) | Geschiedenis firmware-updates; gedragsveranderingen met updates correleren; standaardwaarden voor actieradiusmodellering passen bij je auto |
| Status cruisecontrol (ingestelde snelheid, volgafstand) | Geschiedenis voorkeur adaptieve cruise; “je stelde 130 km/h in op dit stuk autobahn”. Voegt geen onthullingsrisico toe: je snelheid op elk punt in de ruimte valt al onder de rijsignalen hierboven |
| Status sentry-modus | Inzicht in energieverlies: kruislings de sentry-aan-duur met het verschil in laadniveau correleren om te berekenen “je sentry kostte je 0,8 kWh een nacht op het vliegveld” |
| Statistieken zelfrijden (totale kilometers, FSD-kilometers sinds reset; HW4-auto's op firmware 2025.44.25.5+) | Alleen geaggregeerde tellers (geen records per gebeurtenis), zodat ze gebruikstotalen beschrijven zonder afzonderlijke FSD-episodes te reconstrueren |
| Ritcontext (naam bestemming + ETA, kilometers / minuten tot aankomst, verwachte SoC bij aankomst, vertraging door verkeer, vlaggen voor locatie thuis / werk / favoriet) | “Je kwam om 18:42 thuis met 32% SoC”; functies die rekening houden met geofences |
| Voortgang software-update (versie, download %, installatie %, geplande start) | Aanduiding “Update beschikbaar / wordt nu geïnstalleerd”; geschiedenis van firmwareversies |
| Aandrijflijntemperaturen (temperaturen koellichaam / omvormer / stator, status hoogspanningsvergrendeling; voor + achter) | Degradatie aandrijfeenheid volgen; prestatieverlies op warme dagen correleren |
| Powershare / V2X (status, resterende uren, momentaan vermogen, type, reden van stoppen) | “Je huis trok 's nachts 4,2 kW uit de auto” voor gebruikers met Powershare |
| Nu spelende media (status, bron, titel, artiest, album, zender; geen afspeelpositie of volume) | “De soundtrack van deze rit”. Positie + volume uitgesloten als laagwaardig en hoogfrequent |
| Gebruikersvoorkeuren (24-uursklok, eenheden voor laden / afstand / temperatuur / bandenspanning) | Bepaalt hoe we elk getal op het dashboard weergeven. Zonder deze moeten we gokken |
Waar we ons bewust niet op abonneren, en waarom
Tesla stuurt veel meer signalen uit dan wij oppikken. De uitsluitingen hieronder zijn niet willekeurig — ze zijn een merkbelofte. Versleuteling beschermt de gegevens tegen ons, maar het enkele bestaan van bewijsbare gegevens in je account nodigt uit tot dagvaarding door derden bij geschillen over ongevallen, verzekering of rechtshandhaving. Op dat moment zou jij degene zijn die gedwongen wordt je sleutel te overhandigen. Door ze niet te verzamelen omzeilen we dat gesprek volledig.
| Wat we niet verzamelen | Waarom niet |
|---|---|
ADAS / botswaarschuwingen (BlindSpotCollisionWarning, ForwardCollisionWarning, LaneDepartureAvoidance, EmergencyLaneDepartureAvoidance, SpeedLimitWarning, AutomaticEmergencyBrakingOff) |
Doelwit voor verzekerings- en procesonderzoek |
Pedaalstanden (BrakePedal, BrakePedalPos, PedalPosition) |
Doelwit voor reconstructie van schuldvraag bij ongevallen |
Stoelbezetting en gordels (DriverSeatBelt, PassengerSeatBelt, DriverSeatOccupied) |
Identificeert wie er in de auto zat; doelwit voor civiel onderzoek |
Cabinebewaking (DoorState, Locked, FdWindow, FpWindow, RdWindow, RpWindow, SeatHeaterLeft, SeatHeaterRight, SeatHeaterRear*, GuestModeMobileAccessState) |
Stelt fysieke aanwezigheid en een toegangstijdlijn vast die niets anders wat we verzamelen kan afleiden |
Geen van deze wordt door de API van Tesla uitgesloten; we vragen er simpelweg niet om. Als een toekomstige functie er echt een nodig heeft, leggen we op deze pagina uit waarom en leveren we een opt-in per voertuig, in plaats van het voor iedereen aan te zetten.
Historische nauwkeurigheid en het geval van de “stille auto”
De telemetrie van Tesla stuurt alleen een signaal als de waarde verandert. Een auto die een maand stilstaat, stuurt heel weinig. Om te zorgen dat je bij het terugscrollen naar de weergave van vorige maand (bijvoorbeeld het laadniveau) nog steeds een grafiek ziet in plaats van een lege band, vragen we Tesla om belangrijke signalen op een vast ritme opnieuw te sturen, ook als er niets veranderde. Het opnieuw sturen is gelimiteerd en treedt alleen in werking op firmware 2024.44.32 of later; oudere firmware werkt nog steeds, de grafiek wordt dan alleen dunner in rustige periodes.
Hoe cloudversleuteling hierin past
Drie lagen versleuteling zitten tussen een aanvaller van buiten en je voertuiggegevens. Elke laag verdedigt tegen een andere dreiging. Slechts één ervan maakt de privacybelofte hard. We willen precies zijn over welke welke is, want zeggen “we versleutelen alles” zonder te onderscheiden wie welke sleutel heeft, is de makkelijke manier om te misleiden.
| Laag | Wat versleuteld is | Wie de sleutel heeft | Waartegen dit verdedigt |
|---|---|---|---|
| 1. Infrastructuur | De onderliggende schijven en opslag | Onze cloudaanbieder, automatisch | Verloren, gestolen of afgedankte hardware. De schijf is onleesbaar voor iedereen buiten de aanbieder zonder een geldig verzoek. |
| 2. Platform | Auditlogs, de toestemmingstokens van Tesla, je met de sessie vergrendelde versleutelingssleutel | De cloudaanbieder, op ons account | Compromittering van onze applicatiecode of operatorinloggegevens. Een aanvaller met onze inloggegevens moet nog steeds de sleuteldienst van de aanbieder aanroepen om iets te ontgrendelen; die aanroepen laten een auditspoor na dat we kunnen nakijken. |
| 3. Je voertuiggegevens | Elke rit, laadsessie, GPS-punt en accucyclus in onze opslag | Jij alleen, afgeleid uit je wachtwoordzin | Al het overige. De cloudaanbieder kan laag 1 en 2 onder rechtmatige dwang lezen. Laag 3 kunnen ze niet lezen, want de sleutel bereikt hun hardware nooit. |
Wat dit concreet betekent:
- Een rechtmatig bevel gericht aan de cloudaanbieder kan hen dwingen te ontsleutelen op laag 1 en 2. Ze geven auditlogs af, de toestemmingstokens van Tesla (waarmee de aanvrager hetzelfde zicht op je Tesla krijgt als wij hebben — het live-kanaal van Tesla, niet je historische gegevens) en de versleutelde blobs die je voertuiggegevens opslaan. De blobs zelf kunnen ze niet ontsleutelen; daarvoor is je wachtwoordzin nodig, die de aanbieder nooit heeft gezien en die wij direct na het inloggen weggooien.
- Een compromittering van onze code of operatorinloggegevens wordt door dezelfde architectuur ingeperkt. Laag 2 is controleerbaar — we kunnen zien wie welke sessie wanneer ontgrendelde. Laag 3 is voor ons onleesbaar, ongeacht of we gecompromitteerd zijn, omdat de ontgrendelde versleutelingssleutel alleen in het geheugen bestaat terwijl je de app actief gebruikt.
- Een compromittering van jou (je wachtwoordzin, je apparaat) is het enige waartegen deze architectuur niet kan verdedigen. Dat is de inherente prijs van zelf de sleutel hebben: niemand anders kan hem kwijtraken, en niemand anders kan hem voor je herstellen. Schrijf hem op.
Waar dit allemaal staat
Alle infrastructuur van BlackCurrent draait binnen de Europese Unie, bij een bekende cloudaanbieder, in een regio die onder de EU-gegevensbeschermingswet valt. Je versleutelde gegevens verlaten die nooit. We gebruiken geen externe analyse, advertentienetwerken of databrokers.
De eerlijke grenzen
Geen enkel beveiligingsontwerp is absoluut, en we laten je liever de randen zien dan te doen alsof die er niet zijn. Hier zijn ze in gewone taal, elk met wat we eraan doen — grofweg in volgorde van wie zich er druk om zou moeten maken. De meeste mensen raken er nooit eentje aan.
1. Terwijl je ingelogd bent, zit je sleutel kort in ons geheugen
Je versleutelingssleutel leeft tijdens actieve aanvragen in ons geheugen. Werden onze servers tijdens je sessie gecompromitteerd, dan zou een aanvaller met toegang tot dat geheugen je gegevens kunnen lezen zolang je sessie open bleef. Strikte end-to-end versleuteling zoals die van Signal zou dit uitsluiten; de onze niet.
Maatregelen die we hebben getroffen:
- Agressieve time-outs bij inactiviteit (standaard: uitloggen na 30 minuten inactiviteit).
- Nooit leesbare kopieën weggeschreven naar schijf of logs — afgedwongen door een gestructureerde logger met een toegestane lijst van veilige velden.
- Productietoegang wordt gecontroleerd; elke keer dat de sleuteldienst een sessie ontgrendelt, wordt die aanroep gelogd en is hij na te kijken.
Is precies deze dreiging je grootste zorg, dan past een zelfgehost alternatief zoals TeslaMate beter.
2. Een toekomstig, gericht gerechtelijk bevel is het enige wat we er niet uit kunnen engineeren
Als een overheid ons gelast om de toekomstige sessies van een specifieke gebruiker te onderscheppen, kunnen we dat technisch niet weigeren. De gegevens die we al in rust hebben zijn voor hen nutteloos (we kunnen ze niet ontsleutelen zonder jouw sleutel), maar we kunnen niet garanderen dat een toekomstige sessie niet aan een gedwongen onderschepping onderworpen kan worden. We publiceren een transparantierapport.
3. De toestemmingstokens van Tesla worden met onze sleutel bewaard, niet met die van jou
De toestemmingstokens van Tesla (wat Tesla ons geeft om namens jou je gegevens te ontvangen) moeten bruikbaar zijn terwijl je offline bent — anders zouden we geen nieuwe telemetrie in je account kunnen streamen. Deze tokens zijn versleuteld met onze sleutel, niet met de jouwe. We behandelen ze als inloggegevens voor Tesla, niet als jouw voertuiggegevens. Je kunt ze altijd intrekken vanuit je Tesla-account, en we verwijderen ze wanneer je opzegt.
4. Nieuwe telemetrie is een moment lang leesbaar terwijl die binnenkomt
Wanneer je auto nieuwe gegevens naar onze ingest-server streamt, bestaan die gegevens een paar honderd milliseconden in het geheugen voordat we ze met je openbare sleutel verzegelen. Ze worden in die vorm nooit naar schijf of logs geschreven. Het stuk van onze code dat dit verzegelen doet, wordt als open source gepubliceerd zodat je de bewering kunt verifiëren.
Wat dit in de praktijk betekent
Als we gehackt worden — de gestolen database, opslag of back-ups bevatten alleen versleutelde gegevens. De aanvaller heeft de wachtwoordzin van elke gebruiker apart nodig om iets te kunnen lezen.
Als we een dagvaarding krijgen voor je historische gegevens — we geven versleutelde gegevens af. We kunnen geen leesbare gegevens produceren. We vertellen je dat de dagvaarding plaatsvond als dat juridisch is toegestaan.
Als je je gegevens eruit wilt halen — de functie “Exporteren” bouwt binnen je live sessie een volledige kopie van je gegevens op en geeft die als bestand aan je browser. Je browser ontvangt gewone leesbare gegevens; onze servers bewaren die nooit.
Als je je wachtwoordzin kwijtraakt — de gegevens zijn voorgoed weg. Dat is de keerzijde van het feit dat niemand anders ze kan lezen: er is geen “wachtwoord herstellen”-knop die je geschiedenis zou kunnen ontsleutelen, want zo'n knop kan niet bestaan zonder de hele belofte te breken. Kies een wachtwoordzin die je kunt onthouden en bewaar hem in een wachtwoordmanager; dat is de ene sleutel tot alles.
Verificatie
We moedigen je aan om onze marketing niet te vertrouwen. Drie dingen helpen je de bewering te verifiëren:
- Het stuk code waar leesbare gegevens kort leven (de live-stream-verzegelaar) wordt bij de lancering als open source gepubliceerd.
- Het volledige architectuurdocument wordt samen met de code gepubliceerd.
- Een onafhankelijke beveiligingsaudit wordt gepubliceerd voor de algemene beschikbaarheid.
Deze pagina is de privacybeschrijving in gewone taal. Een apart juridisch privacybeleid met de details over de gegevensverwerker onder de AVG, cookie-informatie en regionale nalevingstaal wordt gepubliceerd voor de publieke lancering. Vragen: hello@blackcurrent.app.