De privacyuitdagingen in een blockchain

Wat is de blockchain?

Een blockchain is het beste te omschrijven als een vorm van ‘distributed ledger’, wat in het Nederlands kan worden vertaald als ‘gedistribueerd grootboek’. Het is een manier om decentraal gegevens (waaronder persoonsgegevens) te administreren in een database, waarin alle gebruikers alle transacties die plaatsvinden gezamenlijk bijhouden.

Het bekendste voorbeeld van zo’n ledger is de cryptovaluta Bitcoin, maar de blockchaintechnologie kent vele toepassingen; zo kan het bijvoorbeeld gebruikt worden als logboek, waarbij een transportadministratie gedurende het hele logistieke proces in een keten wordt vastgelegd, om zo de efficiëntie, transparantie en veiligheid hiervan te vergroten. Doordat transacties in een blockchain (over het algemeen) niet kunnen worden aangepast, of kunnen worden verwijderd en deze dienen te worden goedgekeurd (of gecontroleerd) door gebruikers die aan de database deelnemen, is het praktisch onmogelijk om fouten te maken of om fraude te plegen. Omdat de ledger decentraal wordt bijgehouden, is het ook veiliger dan een centraal systeem; als één computer wegvalt of gehackt wordt blijft het netwerk functioneren. De mate waarin een blockchain toegankelijk is verschilt per netwerk, er zijn varianten waarbij gegevens voor eenieder toegankelijk zijn, en varianten waarbij een beheerder bepaalt wie toegang heeft en wie welke informatie kan lezen.

Bij een blockchain worden alle transactiegegevens (bijv. bedrag en begunstigde) blijvend opgeslagen in een block, waarbij gebruik wordt gemaakt van gegevens uit de vorige blocks. Bij blockchain worden de gegevens gestapelt (mutaties worden vastgelegd in een ‘chain’, of keten) waardoor het (in beginsel) niet mogelijk is om gegevens uit oude blokken te verwijderen of deze aan te passen. Het (al dan niet met terugwerkende kracht) aanpassen van gegevens in de blockchain is bijkans onmogelijk; hiervoor dient een nieuw block in de keten te worden gevoegd, of een bestaande block te worden aangepast. Hierbij dienen alle blocktransacties die na dit block volgen te worden herberekend, anders klopt de keten niet meer.

Privacyuitdagingen in een blockchain

Als in een blockchain persoonsgegevens worden verwerkt, is de AVG van toepassing. Persoonsgegevens in de blockchain blijven permanent opgeslagen, wat niet strookt met het beginsel van dataminimalisatie dat in deze verordening is neergelegd. De verwerking van persoonsgegevens dient namelijk te worden beperkt tot datgene wat relevant en essentieel is voor het doel. Ook rijst de vraag of bij een open blockchain wel een (gezamenlijk) verwerkingsverantwoordelijke, in de zin van de AVG, valt aan te wijzen, omdat er hierbij sprake is van veel gebruikers die elkaar doorgaans niet kennen. Dit maakt het maken van afspraken over het nakomen van de verplichtingen uit de AVG praktisch onuitvoerbaar. Persoonsgegevens in een open blockchain zijn hiernaast voor iedereen zichtbaar, wat weer een issue oplevert in het kader van de vertrouwelijkheid. Meer in het algemeen is het de vraag of betrokkenen hun rechten (zoals het recht om vergeten te worden) kunnen uitoefenen, nu de blockchain is ontworpen om gegevens permanent op te slaan.

Privacy bij design 

Mocht men het volledige potentieel van blockchaintechnologie willen benutten, dient zorgvuldig (ook in het kader van privacy by design) te worden overwogen hoe aan de AVG kan worden voldaan, waarbij (o.a.) bovenstaande punten, in het kader van gegevensbescherming, en het toezicht hierop dienen te worden geadresseerd. De Raad van State heeft in haar advies bij de Uitvoeringswet al gesignaleerd dat de opkomst van blockchain, en andere soortgelijke nieuwe technieken een aantal lastige vragen over de toepassing en toepasbaarheid van het gegevensbeschermingsrecht opwerpt. De Franse toezichthouder heeft onlangs al haar visie, en oplossingen op de hieronder genoemde punten aangedragen. Andere privacytoezichthouders moeten hun positie nog bepalen, maar veel blijft nog steeds onduidelijk, er valt dus nog een (wetgevings-)slag te slaan. 

Heb je vragen over de privacy uitdagingen van de blockchain, neem dan contact met ons op!

 

Hugo Pot Juridisch Adviseur

Neem direct contact op

pot@considerati.com +31 (0) 618419515