DPIA voor gebruik wearables bij gevangenen
Met een apparaatje dat op de pols gedragen wordt is het tegenwoordig mogelijk om agressie bij gevangenen te voorspellen. Het werkt op basis van de huidgeleiding en hartslag. Het WODC deed onderzoek naar deze technologie om te kijken of de privacy van de dragers voldoende beschermd wordt. De onderzoekers raden aan voorafgaand aan de keuze van een wearable een DPIA uit te voeren, zodat ook de principes van privacy by design kunnen worden toegepast. Dit betekent dat al in een vroeg stadium aandacht wordt besteed aan en rekening wordt gehouden met privacy.
Het gebruik van deze zogenoemde wearables brengt volgens het Wetenschappelijk onderzoek- en documentatiecentrum (WODC) namelijk risico’s mee voor de privacy van de dragers. Bij veel wearables is het namelijk onduidelijk wat er precies met de gegevens gebeurt nadat ze verzameld zijn. Ook is de technologie soms kwetsbaar voor het onderscheppen of stelen van gegevens door derden. Dit is zeker in de justitiële context niet wenselijk. Het WODC deed casusonderzoek naar de risico’s van de wearable Empatica E4, en doet aanbevelingen voor wat nodig is om zelfmeetmethoden op een veilige manier in te zetten.
Agressie voorspellen
Technologische zelfmeetmethoden hebben de potentie om behandeling te personaliseren, de veiligheid in detentie te verbeteren, reclasseringstoezicht te verrijken en zelfredzaamheid van justitiabelen te vergroten. Zo is de Empatica E4 (die huidgeleiding, hartslag, beweging en huidtemperatuur meet) gebruikt om agressie te voorspellen bij sterk gedragsgestoorde licht verstandelijk beperkten. Begeleiders konden daardoor op tijd ingrijpen. Ook wordt pilotonderzoek gedaan bij jongeren met een agressieprobleem en bij daders van huiselijk geweld: als zij een seintje krijgen als de fysieke spanning oploopt, helpt hen dat dan om bijvoorbeeld een time-out te nemen of hulp te zoeken, zodat erger wordt voorkomen.
Risico’s voor veiligheid en privacy
Bij veel wearables worden de verzamelde fysiologische gegevens automatisch opgeslagen in de online omgeving van de fabrikant (de cloud). Dat is het belangrijkste veiligheidsrisico van wearables. Lokaal en offline gebruik van de polsband zou veiliger zijn, maar dat is voor veel cloud-gebaseerde wearables (waaronder de Empatica E4) niet (gemakkelijk) mogelijk. Omdat de verzamelde fysiologische gegevens iets over iemands gezondheid kunnen zeggen, is er sprake van bijzondere persoonsgegevens waarvoor extra beveiligingseisen gelden. Met deze gegevens moet daarom dus extra zorgvuldig omgegaan worden, conform de (privacy)wetgeving.
Maatregelen om de veiligheid en privacy te vergroten
Zowel de fabrikant van de wearable als de gebruiker heeft een rol in het vergroten van de veiligheid en privacy, zo blijkt uit het casusonderzoek. Empatica heeft verschillende maatregelen genomen om de fysiologische gegevens van de dragers tijdens transport en opslag op de servers van Empatica te beveiligen tegen onderschepping door derden. Zo worden de gegevens gekoppeld aan de gebruiker (Dienst Justitiële Inrichtingen) en niet aan de drager (de justitiabele), opgeslagen in een speciaal formaat en versleuteld verzonden. De fysiologische gegevens zijn daardoor alleen voor de gebruiker herleidbaar tot individuele personen en niet voor de fabrikant. De onderzoekers stellen echter vast dat dit niet voldoende is om aan de privacywetgeving te voldoen. De gebruiker zal daarom aanvullende maatregelen moeten nemen. Het is van belang om een (privacy) jurist een goede verwerkersovereenkomst met de fabrikant te laten afsluiten. De onderzoekers raden ook aan voorafgaand aan de keuze van een wearable een DPIA uit te voeren, zodat de principes van privacy by design kunnen worden toegepast. Dit betekent dat al in een vroeg stadium aandacht wordt besteed aan en rekening wordt gehouden met privacy.
Download hier het volledige rapport
Bron: Onderzoek naar polsapparaat dat agressie voorspelt - BeveiligingNieuws