Blockchain is een hot item de dag van vandaag. Blockchain werd bekend als de technologie waarop de virtuele munt “Bitcoin” draait maar heden heeft de toepassing van de blockchain werkwijze zich doorgetrokken naar diverse sectoren om onder meer administratieve processen te vereenvoudigen en te automatiseren. |
Blockchain is geen product of dienst maar wel een digitale werkwijze die een centrale tussenpersoon onnodig maakt. Een block staat voor één of meerdere transacties en de chain staat voor een keten van blocks die door andere mensen reeds werd goedgekeurd. Het is als het ware een keten van aan elkaar gekoppelde (persoons)gegevens. Op deze manier wordt frauduleus handelen zoveel mogelijk uitgesloten aangezien men kan voortbouwen op de handelingen van voorgangers.
Een bekend voorbeeld hiervan zijn onder meer de smart contracts die er voor zouden zorgen dat men waterdichte contracten kan bekomen zonder de verdere tussenkomst van een derde (notaris, bank, ambtenaar, rechtbank etc) en dit op uniforme wijze wereldwijd, althans in theorie. Men noemt blockchain dan ook een gedecentraliseerd netwerk.
De Algemene Verordening Gegevensbescherming (afgekort AVG oftewel General Data Protection Regulation, GDPR) gaat op 25.05.2018 van kracht en voorziet in een strikt Europees wettelijk privacy kader wanneer men te maken heeft met de verwerking van persoonsgegevens (weliswaar niet van toepassing op B2B). Persoonsgegevens kennen een ruime definitie zodat men al snel in het toepassingsgebied van de GDPR terecht komt, dit is niet anders voor toepassingen van blockchain.
De gedachtegangen die echter schuilen achter blockchain en GDPR verschillen zodanig dat het botst op vele vlakken.
1. Blockchain
Blockchain steunt op de principes gedecentraliseerd, gedistribueerd en onveranderbaar.
Vooreerst dient er een onderscheid gemaakt te worden tussen de private blockchain en de publieke blockchain.
De private blockchain bestaat binnen een organisatie en kent dus een besloten netwerk van identificeerbare gebruikers (bv. Hyperledger Fabric). De private blockchain kent een duidelijke (verwerkings)-verantwoordelijke die de blockchain als het ware heeft mogelijk gemaakt. Men kan in een (private) blockchain bepaalde elementen afschermen voor bepaalde gebruikers maar men kan niet gegevens gaan wijzigen of verwijderen. Het is bij een private blockchain duidelijk wie eraan deelneemt en met welk doel de blockchain is opgezet.
De publieke blockchain staat open voor iedereen waardoor het mogelijk is dat eenieder toevoegingen kan doen aan de blockchain (bv. Bitcoin). De publieke blockchain kent dus geen identificeerbare (verwerkings)-verantwoordelijke en gebruikers daar iedereen vrij elementen (en dus persoonsgegevens) kan toevoegen. De publieke blockchain maakt het niet mogelijk bepaalde elementen af te schermen voor bepaalde gebruikers. Dit is dan ook het schoolvoorbeeld van het gedecentraliseerd karakter van een blockchain.
2. GDPR
GDPR steunt op de principes gecentraliseerd, beperkt en verwijderbaar.
De GDPR vereist dat voor het beheer van persoonsgegevens een identificeerbaare (verwerkings)-verantwoordelijke(n) en (sub)verwerker(s) worden aangeduid. Er moet door de (verwerkings)-verantwoordelijke(n) en (sub)verwerker(s) duidelijk bepaald worden wie toegang heeft tot de verzamelde persoonsgegevens, op welke wijze alsook aan wie er persoonsgegevens worden doorgegeven.
Voorts krijgen EU-inwoners duidelijke rechten toegekend met betrekking tot hun persoonsgegevens waarvan de belangrijkste rechten in het kader van dit artikel zijn: (i) het recht op persoonsgegevens te laten wissen (ii) het recht om persoonsgegevens te verbeteren (iii) het recht om de verwerking van persoonsgegevens te beperken. De GDPR legt de controle over persoonsgegevens volledig bij het individu om een betere privacybescherming te garanderen. Persoonsgegevens mogen slechts voor een beperkte tijd worden bewaard.
Tussen de (verwerkings)verantwoordelijke(n) en de (sub)verwerker(s) dienen duidelijke contractuele afspraken te worden gemaakt in de vorm van een verwerkersovereenkomst.
Tot slot dient de (verwerkings)verantwoordelijke(n) te voorzien in een gecentraliseerde database waarin al het voorgaande wordt in opgeslagen.
3. Blockchain vs GDPR
Voorgaande zorgt voor een spanningsveld tussen blockchain en GDPR op Europees niveau.
Het schoentje knelt voornamelijk bij de publieke blockchain wegens het niet kunnen aanduiden van een (verwerkings)verantwoordelijke inzake de naleving van de GDPR regelgeving alsook is het onmogelijk voor EU-inwoners om hun rechten te laten gelden inzake privacy door onder meer het wijzigen en de verwijdering van persoonsgegevens. Bij een datalek is het eveneens heel moeilijk te bepalen wie optreedt als (verwerkings)verantwoordelijke en wie als (sub)verwerker.
Eens een block wordt toegevoegd aan de chain is dit proces onomkeerbaar hetgeen resulteert in een permanente opslag van (persoons)gegevens. Er kan enkel en alleen een wijziging aan de chain worden gebracht door een nieuwe block toe te voegen. Dit staat haaks op de GDPR principes.
Verder zou de (verwerkings)verantwoordelijke met elke verwerker van persoonsgegevens een verwerkersovereenkomst dienen af te sluiten hetgeen praktisch onmogelijk is in een publieke blockchain.
Tot slot zitten de data in een blockchain wereldwijd verspreid waardoor men zowel met EU-regelgeving als niet-EU-regelgeving in aanraking kan komen. Het is moeilijk te voorspellen welk regelgeving zal gelden (en welk forum dit dient toe te passen) wat rechtsonzekerheid in de hand werkt.
Zelfs in een private blockchain leveren bovenstaande argumenten de nodige moeilijkheden op.
4. Mogelijke oplossingen
Een mogelijke oplossing zou zijn om de persoonsgegevens buiten de blockchain op te slaan om zo alsnog de rechten van het individu te kunnen waarborgen. Dit zou kunnen door een verwijzing te maken via hyperlink naar de persoonsgegevens en een specifieke hash toe te kennen aan persoonsgegevens. Men kan dan persoonsgegevens verwijderen zonder de blockchain te onderbreken. Dit systeem zet echter de deur open voor beveiligingsrisico’s, hetgeen blockchain aanhangers net zoveel mogelijk wil mijden.
Men kan eveneens van begin af aan een systeem implementeren dat het mogelijk maakt om persoonsgegevens permanent ontoegankelijk te maken. Het begrip “wissen” van persoonsgegevens staat niet nauwkeurig omschreven in de GDPR dus men zou eventueel kunnen denken aan het permanent verbergen van persoonsgegevens (blacklisten).
Men voelt aan dat men bij de opzet van een blockchain op Europees grondgebied eerder het principe van dataprotection by design in gedachte moet houden zoals voorgeschreven door de GDPR. Men dient van begin af aan de principes van de GDPR te implementeren om zo maximale privacybescherming van het individu te garanderen.
Het blockchain is op heden nog een hype en zal zeker zijn nut kennen doch valt het nog af te wachten in welke gevallen blockchain tot haar recht zal komen en in welke gevallen zij zal falen door strikte EU-regelgeving die (on)rechtstreeks een grote impact hebben. De toekomst zal uitwijzen als Europa de blockchain trein gaat missen omwille van haar strakke GDPR-regelgeving.