Neurodata en de GDPR: Hoe kunnen wij onze breindata beschermen? (Deel 1)
Door enkele recente ontwikkelingen op het gebied van neurotechnologie en AI, is er een snelgroeiende toename aan “Internet of Bodies (IoB)”, dit omvat iedere vorm van technologie waarbij de hersenactiviteit gemonitord wordt en de vergaarde informatie doorgestuurd wordt via het internet, direct of indirect door tussenkomst van een ander device zoals een smartphone.
Deze IoB geeft ons toegang tot de breindata of neurodata van een bepaald individu. Dit soort gegevens kunnen worden gebruikt om mensen te identificeren, hun emotionele toestand, ideeën of gevoelens af te leiden en een waslijst aan andere soorten gegevens te onthullen.
Is de GDPR voorzien op deze snelgroeiende ontwikkeling en biedt het voldoende bescherming om onze breindata te beschermen? In het eerste deel van deze blog zullen we ingaan op wat neurodata zijn en of de GDPR toepasbaar is op deze neurodata. In het tweede deel zullen we ingaan op de bescherming die de GDPR kan bieden en de mogelijke gevolgen wanneer deze bescherming tekortschiet.
1. Wat zijn Neurodata?
De term “neurodata” verwijst naar gegevens die direct de functie van het menselijk brein vertegenwoordigen. Het zijn gegevens die worden gegenereerd door het zenuwstelsel, dat bestaat uit de elektrische activiteiten tussen neuronen of proxies . Deze neuronen helpen bij het uitvoeren van taken zoals begrip, beweging en communicatie.
Deze gegevens stellen de bezitter ervan instaat om letterlijk in het menselijk brein te kijken en te zien welke processen er in het brein worden uitgevoerd.
Het bezitten van deze informatie kan van grote waarde zijn in verschillende contexten waarin de ene partij invloed over een andere partij wil uitoefenen of bepaalde kennis wil vergaren, vooral wanneer het een vollediger begrip en voorspelling van de acties van de ene partij mogelijk maakt.
De voorbijen decennia hebben we ons nog niet veel zorgen moeten maken over deze neurodata. Door verscheidenen medische obstakels was het immers nog niet mogelijk om neurodata heel actief toe te passen.
Door enkele recente ontwikkelingen in de cognitieve wetenschap zijn we op een punt gekomen waar dat wel het geval is.
Een van deze ontwikkelingen is het perfectioneren van de Brain-Computer Interfaces (BCIs). Zo werden in december 2021 de eerste woorden getweet door een compleet verlamde man die alleen zijn gedachten gebruikte en een brain-computer interface (BCI) geïmplanteerd door het bedrijf Synchron.
De BCI’s geven verlamde mensen, die zelfs hun ogen niet meer kunnen bewegen, de kans om toch nog met hun geliefde te communiceren. Dit is uiteraard een prachtig fenomeen maar we mogen ook niet vergeten dat breindata onze meest persoonlijke gegevens bevatten. Deze breindata kan ons namelijk een hoop vertellen over zowel de identiteit als de mentale toestand van een persoon.
2. Is de GDPR van toepassing op neurodata?
Om te weten of de GDPR bescherming kan bieden aan neurodata zullen we ons de vraag moeten stellen wanneer de GDPR van toepassing is.
Over het algemeen zijn de GDPR-bepalingen van toepassing op betrokkenen in termen van ‘de verwerking van persoonsgegevens.’ Om te bepalen of activiteiten binnen deze reikwijdte vallen, zullen dus twee elementen moeten worden beoordeeld.
Eerst moeten de gegevens worden ‘verwerkt’. Het gegevensbeschermingsrecht heeft een zeer brede kijk op wat gekwalificeerd kan worden als verwerking. Over het algemeen wordt aangenomen dat de verwerking van persoonsgegevens het volgende omvat:
“…elke handeling of reeks handelingen die wordt uitgevoerd op persoonsgegevens. . . “
Verder is de GDPR van toepassing op verwerking die geheel of gedeeltelijk automatisch kunnen zijn.
De term ‘gegevensverwerking’ heeft dus een zeer brede betekenis en omvat waarschijnlijk de meeste bewerkingen die waarschijnlijk zullen plaatsvinden in het verzamelen en opslaan van hersengegevens. In termen van deze dimensie van de verordening lijkt het duidelijk dat elke denkbare BCI zeker gegevens op een regelgevingsrelevante manier zal verwerken.
Ten tweede moeten we ons de vraag stellen of neurodata gekwalificeerd kan worden als persoonlijke data.
De GDPR is namelijk alleen van toepassing op ‘persoonlijke’ gegevens. Als de gegevens anoniem blijken te zijn, zijn de regels van de GDPR niet langer van toepassing (zie: Europees Parlement en Raad 1995: artikel 3; Overweging 26 & werkgroep artikel 29, Advies 5/2014 over anonimiserings-technieken, goedgekeurd op 10 april 2014, 0829/14/NL WP 216).
Gegevens zoals een adres of een naam kunnen gemakkelijk aan een bepaalde persoon worden gekoppeld Bij neurodata ligt dat moeilijker. Neurodata zijn in essentie signalen van de hersenactiviteit, kunnen deze teruggekoppeld worden aan een bepaald persoon op dezelfde manier als een adres aan iemand kan worden teruggekoppeld?
Vaak zullen neurodata persoonlijk identificeerbaar zijn, zeker wanneer ze gecombineerd worden met andere identificerende gegevens die aan een persoon zijn gekoppeld. Dit is bijvoorbeeld het geval wanneer de neurodata is gekoppeld aan een bepaald gebruikersprofiel.
Betekent dit dan dat neurodata geanonimiseerd zou kunnen worden en de GDPR dus niet meer van toepassing zal zijn?
Het is in deze context belangrijk te onthouden dat, desondanks het feit dat de link die neurodata heeft naar de burgerlijke stand van een identificeerbaar individu dus duidelijk kan worden verbroken (in die zin dat men de naam bovenaan een neurodatabestand zou kunnen vernietigen, waardoor alleen de onbewerkte gegevens overblijven), de gegevens nog steeds een unieke weergave blijven van de identiteit en de mentale toestand van een specifiek individu. Dit betekent dat neurodata nooit op dezelfde manier ‘geanonimiseerd’ kan worden als bijvoorbeeld reisinformatie.
Daarnaast stelt de GDPR in haar overweging 30 dat:
“Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags.”
Deze overweging bevestigt dat technische identificaties kunnen beschouwd worden als persoonlijke data als er een duidelijk link is met een natuurlijk persoon.
We kunnen uit al het bovenstaande zeker concluderen dat het persoonlijke data betreft.
Een andere vraag die we ons in dit opzicht kunnen stellen is of deze data gevoelig is? Deze vraag moet volgens ons zeker positief beantwoord worden.
Het is namelijk zo dat
-leeftijd,
-geslacht
-seksuele geaardheid
kunnen worden voorspeld op basis van hersenactiviteit. Het zou volgens sommige onderzoeken zelfs zo ver gaan dat je op basis van de hersenactiviteit zou kunnen voorspellen wat iemand zijn politieke neigingen zijn. Onderzoek naar de hersenactiviteit van een persoon kan dan ook de meest intieme aspecten van een persoon onthullen. Om deze data als gevoelig te kwalificeren, kan men zelf een ‘understatement’ noemen.
Misschien nog belangrijker vanuit ethisch oogpunt, is het feit dat neurodata zou kunnen gebruikt worden om de gedachten en intenties van betrokkene te identificeren. Dit kan voor de betrokkene ernstige gevolgen hebben, hun “privé- hersentoestand” wordt dan in essentie een ogenschijnlijke open bron worden waaruit hun denkprocessen kunnen worden gekarakteriseerd.
Hoe deze hersenopnames en de daaruit afgeleide gegevens moeten worden beschouwd, is echter een moeilijke vraag. In termen van de GDPR worden de gegevens zeker verwerkt. Door een identificeerpunt van een betrokkene te zijn, hetzij op zichzelf of door middel van een koppeling met andere gegevens, zijn de gegevens dan ook persoonlijk. Het zijn daarnaast ook zeer significante gegevens die zeker als gevoelig kunnen worden beschouwd.
3. Conclusie
Het valt niet te ontkennen dat neurodata toegang kunnen geven tot zeer gevoelige gegevens over individuen.
Het is dan ook een zekere zaak dat de GDPR van toepassing is en moet zijn op deze soort data. In het tweede deel van de blog zullen we dieper ingaan op de bescherming die de GDPR al biedt en hoe deze bescherming nog verbeterd dient te worden.