Privacy en blockchain

Privacy en blockchain technologie: gaat dat samen?   Iedereen heeft het er over: de blockchain technologie en haar potentiële toepassingen. De oorspronkelijke blockchain technologie ligt ten grondslag aan de alternatieve valuta Bitcoin. Dit is echter slechts de eerste toepassing van de blockchain technologie. De mogelijkheden zijn echter eindeloos, ook voor bedrijven buiten de financiële sector. Het is daarom belangrijk dat elke organisatie begrijpt wat de technologie inhoudt, welke vormen gekozen kunnen worden en wat daar de juridische consequenties van zijn. For English click here 

Wat is blockchain en hoe werkt het?

Een blockchain is in essentie niets anders dan een digitaal grootboek waar in principe iedereen aan kan deelnemen. Een blockchain bestaat uit verschillende blokken waar (financiële) transacties of andere gebeurtenissen in staan opgeslagen. De blokken met transacties vormen samen een ketting: de blockchain. De blokken in de ketting zijn via een wiskundige formule aan elkaar gelinkt. Degene die de puzzel als eerst oplost, mag een nieuw blok toevoegen. De overige deelnemers kunnen op die manier eenvoudig controleren of de transactie inderdaad correct is. Zodra de informatie in de blockchain is opgenomen, kan deze niet meer worden gewijzigd of gewist. Hierdoor weten de deelnemende partijen zeker dat een bepaalde transactie of gebeurtenis ook daadwerkelijk heeft plaatsgevonden. Dit wordt ook wel het principe van “gegevensintegriteit” genoemd.

Is de Algemene Verordening Gegevensbescherming van toepassing op de blockchain technologie?

De Algemene Verordening Gegevensbescherming ("AVG") is van toepassing op iedere verwerking van persoonsgegevens. De AVG is daarom van toepassing wanneer er persoonsgegevens in een blockchain zijn opgeslagen. Persoonsgegevens zijn alle gegevens waarmee een natuurlijk levend persoon (de "betrokkene") kan worden geïdentificeerd. Hetzij uit de gegevens op zichzelf, hetzij uit de gegevens in combinatie met andere informatie. Iemands naam is natuurlijk een persoonsgegeven, maar er is (veel) meer. Een persoon kan ook worden geïdentificeerd aan de hand van bijvoorbeeld fysieke kenmerken, pseudoniemen, beroep, adres enz. Zelfs persoonsgegevens die zijn geanonimiseerd, gecodeerd, gepseudonimiseerd of gehasht in de blockchain worden beschouwd als persoonsgegevens en het gebruik van deze gegevens valt dus binnen de reikwijdte van de AVG. Het is daarom waarschijnlijk dat de meeste bedrijven die de blockchaintechnologie gebruiken, zich aan de regels uit de AVG moeten houden.

Tegen welke problemen kunt u aanlopen bij het toepassen van de blockchaintechnologie?

Wanneer de AVG op de blockchain van toepassing is, kan dit verstrekkende gevolgen hebben. De betrokkenen krijgen er onder de AVG bepaalde rechten bij, waaronder het recht op vergetelheid en het recht om de gegevens te laten wijzigen. Deze rechten conflicteren met het blockchainprincipe dat gegevens in de chain permanent worden opgeslagen. Bovendien kan het lastig zijn om te bepalen wie de zogenaamde “verwerkingsverantwoordelijke” is en welke deelnemers slechts kwalificeren als “verwerker”. U zou daarom kunnen denken dat de blockchain en de AVG moeilijk samen gaan. Dit hoeft echter niet het geval te zijn! Verwerkingsverantwoordelijke versus verwerker Eén van de belangrijkste kenmerken van de blockchain is het gedecentraliseerde karakter. Dit betekent dat er geen derde partij meer nodig is, zoals bijvoorbeeld een bank, die de transacties eerst moet goedkeuren voordat ze kunnen worden uitgevoerd. Dit aspect botst met de AVG waarin is bepaald dat de gegevensverwerking dient plaats te vinden door een verwerkingsverantwoordelijke en/of een verwerker. Bestaat zo'n controlerende partij überhaupt wel in een blockchain? In een publieke blockchain zoals Bitcoin kan in principe elke deelnemer kwalificeren als verwerkingsverantwoordelijke of als verwerker. Er bestaat namelijk door het decentrale karakter geen hiërarchische relatie tussen de deelnemers. Hoe groter de groep deelnemers, hoe moeilijker het zal zijn om de privacyrol van elke partij te bepalen. Een gesloten blockchain biedt in dit geval uitkomst. Die is veel beter controleerbaar en hanteerbaar als het gaat om de verwerking van persoonsgegevens.

De rechten van de betrokkene

Een grotere uitdaging vormen de rechten van de betrokkenen. Zij hebben op grond van de AVG het recht op gegevensverwijdering en verandering wanneer de gegevens onjuist zijn. Deze rechten botsen met het blockchainprincipe van “gegevensintegriteit”, wat inhoudt dat de gegevens in de blockchain permanent worden opgeslagen en ook niet meer kunnen worden gewijzigd. Het probleem van gegevensverwijdering kan mogelijk worden verholpen door de persoonsgegevens te versleutelen en de sleutel op verzoek van de betrokkene te verwijderen. Op die manier worden de originele gegevens natuurlijk niet echt verwijderd, maar worden de gegevens wel blijvend geanonimiseerd. In een opvolgend blok kan dan worden beschreven hoe de codering en de daaropvolgende verwijdering van de sleutel hebben plaatsgevonden. Dezelfde techniek kan worden gebruikt als de betrokkene een beroep doet op zijn recht om de gegevens te wijzigen. De gegevens worden versleuteld, de sleutel wordt verwijderd en tenslotte wordt een nieuw blok toegevoegd met de gewijzigde informatie. Of dit standhoudt moet de praktijk gaan uitwijzen, maar het lijkt een voor de hand liggende oplossing om de AVG-regels te verenigen met de nieuwe technologische ontwikkelingen.

Conclusie

Er bestaat een schijnbare tegenstrijdigheid tussen transparantie en privacy. Een volledig transparant systeem, zoals de blockchain, geeft aan iedere deelnemer het recht om elk stukje informatie in te zien. Het recht op privacy gaat dan verloren. Aan de andere kant is een volledig gesloten systeem niet transparant en daarom minder betrouwbaar. Een gesloten blockchain kan echter nog steeds aanzienlijke privacy garanties bieden terwijl de transacties ook in zekere mate transparant zijn. Er is dus vooralsnog geen enkele reden om vanwege de AVG de blockchain technologie links te laten liggen. Wel moet er goed worden nagedacht over de exacte inrichting van het systeem. Wilt u meer weten over het toepassen van blockchain technologie binnen uw organisatie? Neem dan contact op met ons New Tech Team.