In januari 2016 maakte Vitalik Buterin op het blog van Ethereum duidelijk dat blockchain en privacy moeizaam samengaan. Compliance aan de AVG is van belang, vooral vanwege de hoge boetes die door de Autoriteit Persoonsgegevens opgelegd kunnen worden. In hoeverre kan de blockchain overweg met de AVG?
Een blockchain is bedoeld om transacties te faciliteren tussen mensen en organisaties die elkaar niet kennen en niet (hoeven te) vertrouwen. Gebruikers leggen data vast over een transactie, een betaling, een levering of een contract. Alle gegevens die daarvoor nodig zijn (de partijen, het subject, eventuele links naar documenten) worden vastgelegd. Dit ‘databaserecord’ wordt voorzien van een cryptografische sleutel die de inhoud authentiseert en onmuteerbaar maakt (een ‘record’-hash). De vastlegging wordt automatisch gecontroleerd. Indien goedgekeurd wordt het ‘record’, samen met andere goedgekeurde ‘records’ (van de afgelopen tien minuten) verzameld in een Blok. Het Blok wordt voorzien van een ‘timestamp’, waardoor de tijd van vastlegging wordt gedocumenteerd, en een daaraan gekoppelde ‘nonce’, een unieke en versleutelde waarde (de Blok-hash). Om het Blok in de blockchain te verankeren, wordt de Blok-hash van het voorgaande Blok opgenomen. ‘Mining servers’ controleren vervolgens de validiteit van het Blok. Daarna wordt het aan de keten toegevoegd en in een gedistribueerd netwerk opgeslagen. In de ‘ledger’, het register, wordt elk ‘record’ vastgelegd, waardoor het toegankelijk en vindbaar is.
Vanuit het perspectief van de AVG is het verschil tussen een publieke en private blockchain van belang. Een publieke blockchain heeft geen ‘eigenaar’ en iedereen kan deelnemen. In een private blockchain zijn de deelnemers vooraf geïdentificeerd en goedgekeurd. Een private blockchain gaat in principe in tegen de bedoeling van een blockchain: mensen en organisaties die elkaar niet kennen en niet vertrouwen helpen met het uitvoeren van transacties.
Een publieke blockchain kan niet voldoen aan een aantal vereisten uit de AVG:
(1) Er is geen verwerkingsverantwoordelijke, waardoor de kernbeginselen die gelden voor de verwerking van persoonsgegevens niet kunnen worden nageleefd (Artikel 4 lid 7 AVG);
(2) Er is geen toezichthouder die toetst op de wijze waarop de persoonsgegevens binnen de blockchain worden verwerkt; en
(3) Persoonsgegevens worden permanent opgeslagen. Dat botst met een aantal vereisten: zo moet de verwerking van persoonsgegevens worden beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (Artikel 5 lid 1 punt c AVG), moeten de gegevens worden gerectificeerd of gewist als ze onjuist zijn (Artikel 5 lid 1 punt d AVG) en moet het ‘recht op vergetelheid’ (het recht om te worden vergeten) worden gerealiseerd (op redelijk verzoek verwijderen van gegevens) (artikel 17 AVG).
Een private blockchain kan de AVG-problemen van verwerkingsverantwoordelijke en toezichthouder oplossen, maar niet dat van permanente opslag.
Het betekent dat de huidige generatie blockchaintechnologie niet in staat is een cruciaal beginsel van de AVG te realiseren. Er wordt onderzoek gedaan naar aanpasbare blockchains, maar zover is het nog lang niet.
De AVG is een bottleneck voor de toepassing van de blockchain. Daar waar persoonsgegevens een belangrijke rol spelen dient dan ook voorzichtig te worden omgegaan met de toepassing van deze technologie, ook in een private variant.
Deze column is gebaseerd op de volgende literatuur:
Ateniese, G., B. Magri, D. Venturi, en E. Andrade, ‘Redactable Blockchain – or – Rewriting History in Bitcoin and Friends’, 2017 IEEE European Symposium on Security and Privacy (EuroS&P), Parijs, April 26-28, 2017, pp. 111-126. PDF
Berberich, M., S. Malgorzata, ‘Blockchain Technology and the GDPR – How to Reconcile Privacy and Distributed Ledgers?’, European Data Protection Law Review, 2 (2016), nr. 3, pp. 422-426.
Bussel, G.J. van, ‘Blockchains en archivering’, Archievenblad, 2017, nr. 10, pp. 10-13. PDF
Buterin, V., ‘Privacy on the Blockchain’. Online source, 15 januari 2016.
Halberstam, S., R. Lumb, ‘Blockchain – The Concept and the Law’. Online source , s.d.
Maughan, A., ‘Blockchain – Legal and regulatory issues around distributed ledger technology’. Online source, 20 april 2016 (niet langer beschikbaar, ook niet in de Internet Archive (juli 2024).