ORDINA BLOGT

Blockchain en privacy: zorgwekkend of zaligmakend?

  • Joost Bokhorst
  • 11 januari 2017

Terwijl juristen en privacy officers zich voorbereiden op de nieuwe Europese privacy-verordening die op 25 mei 2018 in werking zal treden, gaat de technologische ontwikkeling door. Waaronder de verdere ontwikkeling en het gebruik van blockchain door zowel private als publieke partijen. Een technologie waarbij iedere gebruiker een kopie heeft van alle in de blockchain opgeslagen informatie. (Zie voor een uitgebreidere uitleg mijn vorige blog.) Deze decentrale opslag van informatie kan een grote impact hebben op de waarborging van privacy en het is dan ook de vraag hoe dit zich verhoudt tot de aankomende Europese privacyverordening.

Deze verordening – de General Data Protection Regulation (GDPR) om precies te zijn – ziet toe op de bescherming van persoonsgegevens. Persoonsgegevens zijn volgens de GDPR alle gegevens waarmee je direct of indirect een persoon kan identificeren. Een breed begrip waar vele soorten gegevens onder kunnen vallen. Zo heeft het Europese Hof van Justitie recentelijk geoordeeld dat zelfs dynamische IP-adressen hieronder vallen. De naam van de persoon achter het IP-adres zou namelijk (desnoods met een rechterlijk bevel) opgevraagd kunnen worden bij de provider. Een blockchain bevat dus al snel gegevens die kwalificeren als persoonsgegevens. Dat deze gegevens versleuteld of gehasht zijn, doet hier juridisch gezien niet aan af. Dit betekent dat iedere gebruiker een kopie heeft van alle persoonsgegevens die in een blockchain terecht zijn gekomen. En dit zorgt voor een lastige situatie.

Met de komst van de GDPR heeft iedereen namelijk het 'recht op vergetelheid'. Personen hebben daarmee het recht om in bepaalde gevallen de op hun betrekking hebbende persoonsgegevens te laten wissen. Bijvoorbeeld wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of wanneer personen hun toestemming intrekken of bezwaar maken tegen de verwerking van hun persoonsgegevens. Dit terwijl de essentie van blockchain nu net is dat alle gebruikers een kopie hebben van alle informatie en dat deze informatie voor altijd bewaard blijft. Gegevens kunnen enkel uit een blockchain worden verwijderd wanneer het merendeel van de gebruikers hiermee instemt. Het recht op vergetelheid is daarmee feitelijk niet meer afdwingbaar, maar overgeleverd aan een stemming onder de gebruikers. Daarbij kun je je ten aanzien van een publiek toegankelijke blockchain met duizenden, zo niet miljoenen, gebruikers afvragen hoe groot de kans is dat het verzoek van één persoon wordt ingewilligd.

Maar zoals gezegd, staat de techniek niet stil. Er zijn al aangepaste vormen van blockchain in aantocht die dit recht op vergetelheid wel zouden kunnen waarborgen. Zo heeft Accenture patent aangevraagd op een blockchain waarbinnen een centrale administrator gegevens kan wijzigen en verwijderen. Dit prototype moet volgens Accenture financiële dienstverleners helpen die fouten binnen de blockchain snel willen repareren. Dit gaat echter in tegen de basisprincipes van blockchain. Namelijk dat deze niet te wijzigen is en dat men niet afhankelijk is van één autoritaire partij (de zogenoemde trusted third party). Het is dan ook de vraag of deze vorm van blockchain op grote schaal gaat aanslaan.

Tegelijkertijd wordt er ook onderzoek gedaan naar een model, waarbij blockchain er juist voor zorgt dat men zelf controle heeft over zijn/haar persoonsgegevens. Hierbij worden de persoonsgegevens bij de gebruikers zelf, en dus buiten de blockchain, opgeslagen. Vervolgens kunnen de persoonsgegevens via de blockchain doorgegeven worden aan derden, zoals bedrijven en publieke instellingen. De blockchain merkt de desbetreffende persoon aan als eigenaar van deze persoonsgegevens ,waardoor deze zelf kan beslissen met wie zijn gegevens gedeeld worden. Zo blijft iedereen controle houden over zijn persoonsgegevens, hoeven bedrijven zich minder bezig te houden met de beveiligde opslag hiervan en kunnen deze persoonsgegevens nog wel gebruikt worden voor het leveren van gepersonaliseerde diensten.

Deze twee voorbeelden laten zien dat de ontwikkeling van blockchain ten aanzien van privacy vooralsnog twee uitersten kent. Over de persoonsgegevens binnen de blockchain is helemaal geen controle of blockchain wordt zo toegepast dat het juist zorgt voor totale controle. Het blijft daardoor de vraag of blockchain een plaats (en zo ja, welke) gaat krijgen binnen de huidige privacyregels. In dit blog is enkel gekeken naar het recht van vergetelheid, maar er zijn nog legio andere privacyregels die in combinatie met blockchain de nodige vraagtekens oproepen. Wie is er bijvoorbeeld verantwoordelijk voor een datalek? Is het 'recht van dataportabiliteit wel uit te voeren? En zijn alle gebruikers van een blockchain 'verwerkers' in de zin van de GDPR? Aan juristen en privacy officers de schone taak om de regels van vandaag toe te passen op de technologie van morgen.