In het eerste deel van deze blog gingen we al in op wat neurodata zijn en of ze beschermd worden door de GDPR.
In dit deel van zullen we onderzoeken of de GDPR voldoende bescherming biedt en de mogelijke gevolgen die de onvoldoende bescherming van neurodata met zich mee kunnen brengen.
1. Biedt de GDPR voldoende bescherming?
Zoals in het eerste deel al besproken bestaat er apparatuur die hersenregistraties kunnen maken en waarvan de gegevens potentieel gebruikt kunnen worden door derde partijen.
Deze gegevens en hun eventuele hergebruik door derden kunnen ernstige gevolgen hebben op vlak van ethiek en gegevensbescherming.
Dit is zeker het geval nu dat er een hele reeks aan apparaten voor hersenregistratie in ontwikkeling zijn die zullen gebruikt worden voor niet-medische toepassingen, zoals bijvoorbeeld gaming of andere economische activiteiten.
Deze apparaten worden momenteel op de markt gebracht door bedrijven zoals Emotiv en Neurosky.
Gelukkig zijn deze nog niet zo alledaags als mobiele telefoons, laptops, enzovoort. Dit kan te wijten zijn aan de afwezigheid van apps, problemen met gebruiksgemak of misschien wel een gebrek aan behoefte.
Echter is het geen geheim dat meer en meer technologiebedrijven hun intrede in het veld aankondigen en aanzienlijke bedragen investeren. Deze ontwikkelingen benadrukken de intentie om brein-interfaces voor consumenten te ontwikkelen en in essentie computers rechtstreeks met onze hersenen te koppelen.
Elon Musk is een van figuren die enorme sommen geld investeert in zulke ontwikkelingen. Daarnaast is er ook Kernel, een miljoenenbedrijf gevestigd in Los Angeles, dat de intentie heeft om ‘het menselijk brein’ te hacken’.
Meer recentelijk heeft Facebook zich bij hen aangesloten, ook zij willen een manier ontdekken om apparaten rechtstreeks te besturen met gegevens afkomstig uit het brein.
Zulke commerciële onderneming zullen in de toekomst, indien zij voldoende gegevens en signaalverwerkingscapaciteit hebben, de mogelijkheid hebben om potentieel gevoelige informatie af te leiden uit een geheel van geregistreerde hersenactiviteiten.
Dit fenomeen kan worden verergerd door het gebruik van adaptieve, lerende algoritmen die werken met grote hoeveelheden gegevens.
Op die manier kan een grote verscheidenheid aan gebruikersinformatie worden afgeleid, zonder dat gebruikers hiervoor iets speciaals moeten doen. Het enige wat nodig is, is dat ze hun computer gebruiken via de BCI.
Het feit dat men bepaalde zeer intieme gedachten en de mentale staat van een individu kan afleiden uit deze neurodata en dat deze gegevens waarschijnlijk in de toekomst meer en meer gecommercialiseerd zullen worden, is van belang in termen van artikel 9.1 van de GDPR.
De manier waarop gegevens al dan niet als gevoelig worden geclassificeerd, is van invloed op de mate van bescherming die door de verordening wordt voorgeschreven.
In de GDPR is deze classificatie gebaseerd op het doel van de verwerking. Als neurodata worden verkregen via medische apparaten, bijvoorbeeld BCI bij motorische of spraakrevalidatie, zullen deze gegevens gekwalificeerd worden als gezondheidsgegevens.
Men kan zich de vraag kunnen stellen of de neurodata nog steeds gekwalificeerd kunnen worden als gezondheidsgegevens indien ze afkomstig zijn van consumentenneurotechnologie aangeboden door bedrijven zoals Facebook, Kernel en Neuralink.
Ons lijkt dit niet het geval daar deze gegevens niet geregistreerd werden voor gezondheidsgerelateerde redenen.
Met betrekking tot gezondheids- of medische gegevens, verbiedt artikel 9 van de GDPR-verwerking, tenzij aan bepaalde uitzonderingen wordt voldaan. Samenvattend, als er gegevens van een speciale categorie moeten worden verwerkt, moet er naast een rechtsgrondslag volgens artikel 6 van de GDPR, een rechtsgrondslag zijn op grond van artikel 9 van de GDPR.
Betekent dit dat wanneer de neurodata afkomstig zijn van bedrijven zoals Facebook, zij niet van de bescherming van artikel 9 genieten? De GDPR geeft hier geen duidelijk antwoord op.
Concreet kunnen we hieruit de volgende problemen afleiden:
- Neurodata zijn een speciaal type van gegevens in die zin dat de betekenis ervan kan variëren afhankelijk van de verwerking ervan.
- De categorisatie van neurodata is onduidelijk in termen van de GDPR indien de verwerking niet gebeurde voor gezondheidsgerelateerde redenen.
- De wetgeving inzake gegevensbescherming zou een onderscheid moeten maken tussen verschillende gegevenstypen en de graad van gegevensgevoeligheid van ieder type. Er zou concreet gekeken moeten worden naar de kans die de gegevens hebben om gevoelige persoonsgegevens te onthullen.
De GDPR geeft op heden dus nog geen oplossing voor bovenstaande problemen. Dit is problematisch, de verwerking van neurodata wordt immers met de dag relevanter.
Naast de GDPR zijn er echter nog meer zorgen over BCI-gerelateerde gegevens. Het is mogelijk niet voldoende om betrokkenen passende bescherming te bieden door middel van regelgeving.
Zoals algemeen bekend is uit de manier waarop smartphones worden gebruikt, met name in termen van veelgebruikte apps en sociale media, stemmen betrokkenen er al te graag mee in dat hun gegevens geregistreerd en gebruikt worden.
Op vlak van sociale media “betalen” we immers met onze data voor de goederen en diensten van het betrokken platform. Zeer waarschijnlijk wordt dit ook het businessmodel voor neurodata.
En hiervoor voldoet de huidige GDPR – en het beleid in het algemeen – niet.
2. Wat zijn de mogelijke risico’s als de neurodata niet voldoende beschermd worden?
Als de GDPR en andere privacyregelgeving niet op zo een manier worden aangepast dat zij concrete oplossingen bieden voor de problematiek rond neurodata, kunnen we de volgende problemen verwachten:
- Externe bedrijven kunnen neurodata kopen van BCI-bedrijven en deze gebruiken om bepaalde essentiële beslissingen te nemen, bijvoorbeeld of iemand een lening krijgt of toegang krijgt tot de gezondheidszorg.
- Rechtbanken zouden neuromonitoring kunnen bevelen van personen die op basis van hun voorgeschiedenis of sociaal-demografische omgeving meer kans zouden kunnen hebben om misdaden te plegen.
- BCI’s die gespecialiseerd zijn in “neuroenhancement” kunnen een arbeidsvoorwaarde worden, zoals bijvoorbeeld in het leger. Dit zou de grenzen tussen het menselijk redeneren en de algoritmische invloeden kunnen doen vervagen.
Zoals bij alle sectoren waar gegevensbescherming van cruciaal belang is, bestaat er een reëel risico op het hacken van neurodata.
Daarbij zouden cybercriminelen toegang kunnen krijgen tot de neurodata van een enorm aantal personen en deze data kunnen exploiteren voor hun eigen persoonlijke doelen.
3. Conclusie
Het verwerken van neurodata wordt steeds meer en meer een belangrijke factor in ons leven.
Het kan zeer goede dingen doen voor de maatschappij, denk bijvoorbeeld aan de verlamde man die in 2021 door BCI-technologie terug kon tweeten, maar zoals veel mooie dingen in het leven kan neurodata gevaarlijk worden als we niet de nodige maatregelen treffen.
We kunnen op een punt komen in de toekomst dat onze gedachten gebruikt en verkocht kunnen worden door bedrijven zoals Facebook. Het is dan ook noodzakelijk dat de GDPR en andere databeschermingswetgevingen zich meer focussen op neurodata en dat er actief opzoek wordt gegaan naar manieren waarop we deze data kunnen beschermen.
