Blockchaintechnologie en privacy: onverenigbaar of toch niet?

Share
Share on linkedin
Share on facebook
Share on twitter

Bij velen is de term ‘blockchain’ vooral bekend van de cryptomunt bitcoin, maar blockchain kan voor veel meer doeleinden worden gebruikt dan enkel voor het overdragen van crypto’s. Blockchain kent diverse toepassingen en de technologie is enorm veelzijdig. Bedrijven en overheden maken bijvoorbeeld gebruik van blockchain voor het bijhouden van internationale contracten. In de kraamzorg loopt een experiment om te onderzoeken wat blockchain kan betekenen voor administratieve processen, zoals het bijhouden van gewerkte uren. Dit zijn interessante (en misschien positieve) ontwikkelingen, maar hoe zit het met de privacy van burgers? Kunnen blockchain en privacy samengaan of zijn de twee onverenigbaar? In deze blog wordt nader ingegaan op blockchain vanuit Europeesrechtelijk privacyperspectief.

Wat is blockchain en hoe werkt het?

Een blockchain is enigszins te vergelijken met een ‘grootboek’ (‘ledger’) waarin een lijst met data-transacties of -handelingen wordt bijgehouden. Denk bijvoorbeeld aan de grote aantallen databases die in de praktijk worden gebruikt. Meestal is zo’n database in handen van één centrale organisatie (‘trusted third party’). Voor het gebruik – of het wijzigen – van de in een ledger opgeslagen gegevens is toestemming nodig van deze organisatie.

De blockchain is daarentegen een openbaar en decentraal grootboek. Er is niet slechts één centrale beheerder, maar deelnemers aan de blockchain zijn gezamenlijk beheerder (‘peer-to-peer’) van de blockchain en de gegevens die daarin zijn opgenomen. De afzonderlijke deelnemers hebben namelijk identieke kopieën van de blockchain opgeslagen op hun computers waardoor transacties voor iedere deelnemer toegankelijk zijn.

Wie er precies toegang heeft tot de blockchain is afhankelijk van het type blockchain. Zo heeft een publieke blockchain, zoals bitcoin, geen ‘eigenaar’ en is daarmee open en toegankelijk voor iedereen. Het systeem is dientengevolge transparant en controleerbaar. Bij een private blockchain kan daarentegen worden afgesproken dat alleen een beperkte groep aan het netwerk mag deelnemen. Dit onderscheid, tussen een publieke en private blockchain, is op verschillende punten van belang in de context van compliance met de Algemene verordening gegevensbescherming (AVG). In deze blog wordt onder het kopje ‘juridische (privacy)uitdagingen’ nader ingegaan op blockchain en de AVG.

Verder is een blockchain in principe onveranderbaar. Gegevens (bijv. transactiegegevens zoals bedrag en begunstigde) worden opgeslagen in een ‘block’, waarbij gebruik wordt gemaakt van gegevens uit eerdere ‘blocks’. De gegevens worden zodoende gestapeld (mutaties worden vastgelegd in een ‘chain’, of keten) waardoor het (in principe) niet mogelijk is om data uit oude blokken te verwijderen of aan te passen (‘immutabiliteit’). Dit kenmerk van blockchain wordt hieronder bezien vanuit privacyrechtelijk perspectief.

Juridische (privacy)uitdagingen

Als in een blockchain persoonsgegevens worden verwerkt, is de AVG van toepassing, mits ook aan de overige voorwaarden betreffende de reikwijdte van de AVG is voldaan (de verwerkingsverantwoordelijke is gevestigd in de Europese Unie of richt zich op personen in de EU ex artikel 2 en artikel 3 AVG). In deze context roept de opkomst en het (toenemende) gebruik van blockchaintechnologie een aantal lastige vragen op over de toepasbaarheid en handhaafbaarheid van het gegevensbeschermingsrecht.

Dataminimalisatie en ‘recht op vergetelheid’

Gegevens in de blockchain blijven in principe permanent opgeslagen. De gegevens kunnen namelijk niet zomaar worden aangepast of verwijderd. Met betrekking tot persoonsgegevens strookt dit uitgangspunt niet met de AVG, in het bijzonder met het beginsel van dataminimalisatie (artikel 5 lid 1 sub c AVG). Dit beginsel houdt in dat de verwerking van persoonsgegevens moet worden beperkt tot datgene wat relevant en noodzakelijk is voor het doel waarvoor gegevens worden verwerkt.

Ook de rechten van betrokkenen zijn een belangrijk onderdeel van de AVG (artikel 12 t/m 22 AVG). In dit kader is het de vraag of betrokkenen hun rechten, zoals het recht om te worden vergeten, kunnen uitoefenen nu blockchain juist is ontworpen om gegevens permanent en decentraal op te slaan. Dit lijkt erop dat de keten van gegevensverwerking via een blockchain niet strookt met het doel van de AVG om betrokkenen meer controle over hun gegevens te bieden.

Verwerkingsverantwoordelijke

Daarnaast rijst ook de vraag of in het bijzonder bij een open, publieke blockchain wel een (gezamenlijk) verwerkingsverantwoordelijke in de zin van de AVG valt aan te wijzen. Bij de verwerking van persoonsgegevens dient er altijd een verwerkingsverantwoordelijke te zijn. Het dient voor betrokkenen te allen tijde duidelijk te zijn wie er toezicht houdt op de verwerking en waar betrokken terecht kunnen als zij hun rechten willen uitoefenen. Daarnaast legt de AVG een aantal verplichtingen op aan organisaties die kwalificeren als verwerkingsverantwoordelijke.

Uit artikel 4 lid 7 AVG volgt dat de verwerkingsverantwoordelijke degene is die het doel en de middelen voor de gegevensverwerking aanwijst. Binnen een private blockchain zal het waarschijnlijk geen probleem zijn om verwerkingsverantwoordelijke(n) aan te wijzen, het is immers duidelijk wie er aan de blockchain deelnemen en welke rechten deelnemers in de private blockchain hebben.

Bij een publieke blockchain is dit echter gecompliceerder. Door het openbaar en gedecentraliseerd karakter van de publieke blockchain, waarbij veel deelnemers – die elkaar doorgaans niet kennen – participeren in de blockchain, is het lastig om een verantwoordelijke of gezamenlijke verantwoordelijken aan te wijzen. Dit maakt het maken van afspraken over het nakomen van de verplichtingen uit de AVG vrijwel onmogelijk. Het ontbreken van een verwerkingsverantwoordelijke kan daarmee gevolgen hebben voor de naleving van de kernbeginselen die gelden voor het verwerken van persoonsgegevens.

Blockchain als oplossing voor méér privacy

Het gebruik van blockchain kan ook positieve ontwikkelingen met zich meebrengen voor de privacy van burgers. Zo zou blockchaintechnologie kunnen worden gebruikt om (het intrekken van) toestemming te registreren. Ook kan blockchain worden gebruikt om de eigendom van gegevens aan individuen terug te geven. Door gebruik te maken van blockchain kunnen burgers en organisaties de regie houden over hun eigen data (persoonsgegevens), inclusief een eigen digitale identiteit. Dit heet ‘self sovereign identity (SSI)’, ook wel ‘baas over eigen identiteit’.

Het gebruik van een digitale identiteit op basis van blockchaintechnologie vergemakkelijkt de interactie op de blockchain. In het geval waarin overal een digitale identificatie wordt gebruikt, keert de eigendom van gegevens daadwerkelijk terug naar het individu. Men is niet langer afhankelijk van een centrale organisatie waarbij data bovendien gelokaliseerd is. Een en ander vergemakkelijkt de uitoefening van rechten zoals het recht op overdraagbaarheid en het inzagerecht. Al met al wordt de verwerking van gegevens veiliger en betrouwbaarder, met als resultaat dat de privacy van burgers beter wordt beschermd.

Tot slot kent de AVG de nodige flexibiliteit, aangezien de privacywet technologieneutraal is geformuleerd. De eerste tekenen zijn dat toezichthouders bereid zijn om van deze flexibiliteit gebruik te maken. Al met al blijkt dat de AVG de toepassing van blockchains lang niet altijd in de weg staat. Desalniettemin zal het waarborgen van privacy in veel gevallen ten koste gaan van transparantie, één van de belangrijkste kwaliteiten van de blockchain. Ontwikkelaars van (publieke) blockchain-applicaties zullen in het kader van gegevensbescherming derhalve zorgvuldig moeten nadenken over de inrichting van hun applicaties (‘privacy by design’).

Privacy by design

Privacy by design (artikel 25 lid 1 AVG) bepaalt dat organisaties tijdens het ontwerpen van producten / diensten die persoonsgegevens verwerken, prioriteit moeten geven aan de privacy van betrokkenen door het treffen van ‘passende technische en organisatorische maatregelen’, zoals pseudonimisering. Blockchaintoepassingen maken gebruik van verschillende pseudonimiseringstechnieken om gegevens af te schermen voor andere gebruikers, zoals ‘asymmetrische encryptie’ en ‘hashing’. In de AVG is pseudonimisering opgenomen in artikel 4 lid 5 AVG.

Versleuteling van persoonsgegevens in de blockchain kan een belangrijke maatregel zijn om persoonsgegevens passend te beveiligen en daarmee de privacy van gebruikers te waarborgen. Ondanks deze versleutelingsmaatregelen blijft de AVG gewoon van toepassing. Dit is alleen anders als de gegevens in de blockchain geanonimiseerd zijn. Het Europees Parlement heeft in dit kader benadrukt dat ‘data in een publieke blockchain gepseudonimiseerd is en niet geanonimiseerd’.

Conclusie

De blockchain is een manier om decentraal gegevens – waaronder persoonsgegevens – te beheren in een database, waarin deelnemers gezamenlijk alle transacties bijhouden die in de blockchain plaatsvinden.

In blockchains waarin persoonsgegevens worden opgeslagen, is de AVG van toepassing. Hoewel de AVG technologieneutraal is geformuleerd, lijkt deze impliciet te zijn ontworpen voor centrale databases die beheerd worden door eenvoudig te identificeren organisaties. Eén van de kenmerken van blockchaintechnologie is de decentrale registratie van gegevens, waarbij er niet altijd een (verwerkings)verantwoordelijke is aan te wijzen. Dat is een radicale benadering die niet direct aansluit op de AVG. Ook andere eigenschappen van blockchain lijken op gespannen voet te staan met belangrijke onderdelen in de AVG. De flexibiliteit van de AVG biedt echter ook kansen voor nieuwe technologieën. Daarnaast kan blockchain worden gebruikt om het individu juist meer controle te geven over zijn gegevens en om de privacy van betrokkenen beter te waarborgen.

Als de overheid en bedrijven de vruchten willen plukken van blockchaintechnologie dan dient daarbij zorgvuldig (ook in het kader van privacy by design) te worden overwogen hoe aan de AVG kan worden voldaan. Kortom, privacy en de bescherming van persoonsgegevens binnen de technologie van blockchain vereisen een kritische blik.

Ivy Woanya

Ivy Woanya

Ivy Woanya is jurist bij The Privacy Factory. Momenteel volgt zij de Master Internet, IE en ICT aan de Vrije Universiteit Amsterdam. Zij heeft een passie voor privacy, big data en artificial intelligence.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.