Persoonsgegevens van vluchtelingen en Gegevensbescherming in de migratiecontext is steeds relevanter, zeker met de vluchtelingecrisis en de oorlog in Oekraïne in het achterhoofd en de opkomst van nieuwe technologieën zoals AI.
We merken meer en meer dat sommige Europese landen de aanvragen van vluchtelingen en migranten beoordelen door te kijken naar hun sociale media en digitale voetafdruk.
Bovendien zijn er verschillende grensautoriteiten die asielzoekers vragen om wachtwoorden voor sociale media-accounts en mobiele telefoongegevens te overhandigen.
Ook is het gebruik van AI-systemen populair in bepaalde Europese landen. Zulke systemen kunnen gebruikt worden voor emotieherkenning, probleemanalyse in opvangkampen en het labelen van bepaalde personen als een “risico”. Ook biometrische datavergaring gebeurt nog steeds.
Incidenten rond gegevensdiefstal, gegevensverlies,openbaarmaking en ongeoorloofd of ongepast gebruik van persoonlijke gegevens in de migratie context komen dan ook vaker voor dan zou mogen.
Hoewel het delen van gegevens voordelig is bij de vergelijking tussen landen en bij de op feiten gebaseerde beleidsvorming, en ondanks het feit dat er een toenemende vraag is naar frequentere en tijdigere migratiegegevens, is het recht op privacy een mensenrecht en is gegevensbescherming een prioriteit.
In de blog zullen we onderzoeken in hoeverre de GDPR gerespecteerd wordt wanneer het gaat om asiel en migratie.
Welke gegevens worden verzameld van asielzoekers?
Van asielzoekers wordt verwacht dat ze een grote hoeveelheid aan persoonlijke informatie verstrekken. Er wordt in de verschillende stadia van de asielprocedure persoonsgegevens gevraagd. De hoeveelheid varieert van land tot land.
Bij hun aankomst in de meeste Europese landen, zullen de asielzoekers worden gescreend, gefotografeerd en zullen hun vingerafdrukken worden genomen.
Asielzoekers doorlopen de opvang- en identificatieprocedure, een geschiktheidsbeoordeling, volledige registratie en een asielgesprek om in aanmerking te komen voor de vluchtelingenstatus.
Wanneer asielzoekers naar andere landen reizen, worden hun persoonlijke informatie en biometrische gegevens vaak gedeeld met lokale grensautoriteiten om hun identiteit te valideren. Meestal omvat de persoonlijke informatie hun naam, leeftijd, geslacht, nationaliteit. De biometrische gegevens worden doorgaans bekomen door een gezichtsopname, een vingerafdrukscan of een irisscan. VN-agentschappen die bij het asielproces betrokken zijn, verzamelen, delen en bewaren deze persoonlijke en-biometrische gegevens voor de registratie van vluchtelingen en de distributie van hulp.
Wetgevende ontwikkelingen en praktijktoepassing
Bovendien zijn er verschillende grensautoriteiten die de vluchtelingen vragen om wachtwoorden voor sociale media-accounts en mobiele telefoongegevens, afhankelijk van de nationale wetgeving. Momenteel hebben Denemarken en Duitsland wetten die het extraheren van informatie uit elektronische apparaten mogelijk maken. Ook in België was er lange tijd sprake om dit in te voeren.
Er lag lange tijd een wet op tafel die het CGVS (Commissariaat-generaal voor de Vluchtelingen en de Staatlozen) het recht zou geven om inzage te vragen in gsm’s, laptops en sociale media profielen van asielzoekers. Die aanpassing van de Vreemdelingenwet kwam er in november 2017 op initiatief van de toenmalige staatssecretaris voor Asiel en Migratie Theo Francken (N-VA).
De wet werd tot op heden nog niet toegepast in de praktijk omdat er voor de CGVS nooit het nodige KB werd opgesteld om de precieze uitwerking van de maatregel vast te leggen. Dit betekent niet dat het CGVS niet naar de sociale media van asielaanvragers kijkt, openbare profielen en gegevens worden wel degelijk in beschouwing genomen bij de beoordeling van een aanvraag.
Vragen over gegevensbescherming en rechtsmiddelen
Het is een goede zaak dat België deze plannen aan de kant heeft geschoven maar in andere landen gebeurt het nog al te vaak. Dit is zeer problematisch. Telefoongegevens kunnen immers leiden tot discriminatie, vooral als de vermeende sociale media-inhoud van vluchtelingen ongunstig lijkt voor de autoriteiten omdat ze tegengestelde politieke meningen vertegenwoordigen. Hoe dan ook kunnen deze gegevens geen verifieerbare manier zijn om de aanvraag van een asielzoeker af te wijzen, omdat ze door anderen verkeerd kunnen worden geïnterpreteerd en vervalst. Er rijzen daarom vragen over de rechtsmiddelen die vluchtelingen met betrekking tot hun gegevensbescherming kunnen inroepen bij autoriteiten.
De complexiteit van AI-systemen in migratie: De beperkingen en vooroordelen van risico-inschattingen op basis van algoritmes
Naast de controle op sociale media is het ook belangrijk nader te kijken naar het gebruik van AI-systemen in de migratie–context. Vooreest dient er gekeken te worden naar de algoritmes van AI-systemen die bedoeld zijn om het risiconiveau van een bepaald persoon in te schatten, dit zou moeten voorkomen dat mensen met een bepaalde criminele achtergrond vluchtelingenstatus bekomen of het land in mogen migreren.
Voorstanders van het gebruik van zulke AI-systemen zullen beweren dat de systemen objectiever zijn en hun risico-inschatting mindere zullen baseren op basis van vooroordelen. Niets is echter minder waar. De algoritmes van de AI-systemen werden namelijk gecreëerd door mensen en steunen op een immense hoeveelheid statistische data, gegenereerd door beslissingen die in het verleden reeds werden genomen.
Als een bepaalde groep laaggeschoolde uit land X generaties lang de toegang tot een bepaald land werd geweigerd, zal op basis van deze situatie een grote hoeveelheid statische data aanwezig zijn om het algoritme mee te voeden. Deze algoritmes zullen op hun beurt sneller mensen uit land X als risicovol bestempelen wanneer ze de EU binnen willen komen.
Een blik op het opvangkamp op Samos, Griekenland
In het opvangkamp op het eiland Samos in Griekenland. Worden de vluchtelingen constant in de gate gehouden door camera’s, en het beeldmateriaal wordt vervolgens doorgestuurd naar een controlekamer in het Grieks ministerie van Migratie. Een AI-systeem is verantwoordelijk voor het analyseren van deze beelden en waarschuwt voor potentiële problemen. Het recht op privacy wordt in dit kamp geheel van de asielzoekers ontnomen.
Biedt de ai- wet de oplossing??
Tot op heden is er geen regelgeving rond AI. De Europese Unie zou met haar AI-act de eerste mondiale speler zijn die AI reguleert. Deze AI-act zal, wanneer hij in werking treedt, optreden als een equivalent van de GDPR op vlak van AI. In het initiële voorstel van de Europese Commissie werd er te weinig aandacht besteed aan migratiekwesties, zo werd er initieel geen verbod voorzien voor het gebruik van emotieherkenning en werd het fenomeen van voorspellende analyse met behulp van AI niet eens in de tekst opgenomen. Ook over het gebruik van AI voor controle en toezicht werd niets opgenomen.
Verbod op indringend en discriminerend gebruik van AI-systemen in het huidige ontwerp van de Act
Tijdens stemming van de wet in het Europees Parlement werden ondertussen enkele van deze punten weggewerkt. Zo staat er in het huidige ontwerp van de Act een verbod op indringt en discriminerend gebruik van AI-systemen, dit betekent dat de volgende technologieën niet meer gebruikt mogen worden bij de inwerkingtreding van de Act:
- Emotieherkenningstechnologieën, die zich expliciet uitbreiden tot de Europese grenzen. Emotieherkenningstechnologieën beweren de emoties van mensen te detecteren op basis van aannames over hoe iemand zich gedraagt als hij zich op een bepaalde manier voelt, onder andere om zijn geloofwaardigheid in te schatten.
- Biometrische categorisatiesystemen die gebruik maken van persoonlijke kenmerken om mensen te categoriseren en op basis daarvan conclusies te trekken. Dit soort software wordt gebruikt om te bepalen of iemands dialect overeenkomt met de regio waar hij/zij beweert vandaan te komen.
- Voorspellende controlesystemen, die gebruik maken van vooringenomen ideeën over wie als risicovol kan worden beschouwd, om beslissingen te nemen over het controleren van bepaalde groepen en ruimtes.
GDPR-kwesties
Het is doorheen deze blog vrij duidelijk geworden dat vluchtelingen en migranten zeer weinig zeggenschap hebben over hun persoonsgegevens. Ze hebben vaak geen idee welke van hun persoonsgegevens verwerkt worden en wat er met deze gegevens in werkelijkheid gebeurt.
De GDPR vereist dat persoonlijke gegevens alleen worden verzameld en verwerkt voor specifieke, expliciete en legitieme doeleinden. De gegevens moeten ook juist zijn en up-to-date worden gehouden. Asielzoekers moeten een grote hoeveelheid persoonsgegevens verstrekken, waaronder biometrische gegevens zoals vingerafdrukken en gezichtsopnamen.
Deze gegevens worden vervolgens opgeslagen in een centrale database, waar verschillende overheidsinstanties toegang toe hebben.
Het belang van transparantie en geïnformeerde toestemming
Artikel 5 van de GDPR vereist dat personen worden geïnformeerd over de verwerking van hun persoonsgegevens en hun rechten op grond van de verordening. In het Europese asielsysteem wordt dit allesbehalve gewaarborgd. Daarbij vereist artikel 5 dat persoonsgegevens alleen voor specifieke doeleinden en met specifieke ontvangers worden gedeeld. Nog al te vaak worden gegevens tussen verschillende overheidsinstanties gedeeld zonder dat daar de juiste toestemming voor werd gegeven, denk bijvoorbeeld aan de gegevens van het opvangkamp in Samos die aan het Grieks ministerie van Migratie worden doorgestuurd.
Conclusie
We kunnen concluderen dat de persoonsgegevens van migranten en vluchtelingen in Europa onvoldoende beschermd worden tegen ongeoorloofde toegang, openbaarmaking en vernietiging.
We kunnen alleen maar hopen dat de AI-act weldegelijk in werking zal treden en een beperking zal opleggen op het gebruik van AI. Op heden is het nog altijd zo dat Europese agentschappen die instaan voor migratie, zoals Frontex, fors investeren en gebruik maken van nieuwe datagedreven controletechnologieën.
Als het gebruik van dergelijke technologieën niet beter wordt gecontroleerd, zal de toekomst van de vluchtelingen en migranten in Europa er niet rooskleurig uitzien
Voor meer informatie omtrent de toepassing van de GDPR in het kader van asielaanvragen, contacteer een erkend DPO.