Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Is een blockchain verenigbaar met de AVG?

29 maart 2018 Door

Het is een van de meest gehypete technologieën van de afgelopen tijd: blockchain. Dit is het systeem dat een van de meest fundamentele problemen heeft opgelost op het gebied van digitale valuta, namelijk: hoe voorkom je dat digitaal geld meer dan één keer kan worden uitgegeven?

Valuta is echter niet het enige waarvoor deze technologie geschikt kan zijn. Inmiddels wordt in diverse andere sectoren gesproken over de mogelijkheden die de blockchain kan bieden, zoals in de logistieke sector, bij de overheid of in de zorg. Binnen de kraamzorg loopt bijvoorbeeld een test om te onderzoeken wat blockchaintechnologie in de praktijk kan betekenen voor administratieve processen, zoals de registratie van gewerkte uren.

In mei treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Wanneer in een blockchain persoonsgegevens worden verwerkt, dient de blockchain dan ook te voldoen aan de eisen die de AVG aan deze gegevensverwerking stelt? Een aantal aspecten van de blockchain lijken niet samen met de AVG door één deur te kunnen.

Publieke en private blockchains

Vanuit het perspectief van de AVG is het belangrijk om allereerst het verschil aan te kaarten tussen een publieke en private blockchain. Een publieke blockchain, zoals Bitcoin of Ethereum, heeft geen eigenaar en is open en toegankelijk voor iedereen. Iedereen kan deelnemen, het systeem is transparant en controleerbaar.

Bij een private blockchain, zoals Hyperledger of Corda, kan daarentegen worden afgesproken dat enkel bepaalde partijen aan het netwerk mogen deelnemen. Zo kan er binnen een groep participanten informatie worden uitgewisseld via de blockchain. Dit onderscheid is op verschillende punten van belang wanneer het gaat om de compliance met de AVG.

Wie is verwerkingsverantwoordelijke?

De AVG maakt het onmogelijk dat er voor een gegevensverwerking geen verwerkingsverantwoordelijke is aan te wijzen. Uit artikel 4 lid 7 AVG volgt dat de verwerkingsverantwoordelijke diegene is die het doel en de middelen voor de gegevensverwerking aanwijst. Binnen een private blockchain is het geen probleem om deze aan te wijzen, het is immers duidelijk wie er aan de blockchain deelnemen en waar deze voor dient. Bij een publieke blockchain is dit echter een lastig punt. Het gedecentraliseerde karakter van de publieke blockchain houdt in dat een derde partij overbodig is.

Het mogelijk ontbreken van een verwerkingsverantwoordelijke kan in het kader van de AVG dus consequenties hebben voor de naleving van de kernbeginselen die gelden voor het verwerken van persoonsgegevens. Gegevens staan niet onder de zeggenschap van één partij en daaruit volgend is het een complexe aangelegenheid om te bepalen op wie de verantwoordelijkheid van de gegevensverwerking rust binnen de blockchain.

De vereisten van de AVG

Een essentieel kenmerk van een blockchain is de aan elkaar geschakelde reeks van gegevens. Data wordt namelijk als een nieuw blok aan de keten toegevoegd en dat proces is onomkeerbaar. De AVG botst met het feit dat gegevens op de blockchain permanent worden opgeslagen. Daarnaast is de uitbreiding van de rechten van betrokkenen een belangrijk onderdeel van de nieuwe wetgeving. Er worden meerdere handvatten geboden om invloed te hebben op wat er met de eigen persoonsgegevens gebeurt.

Zo heeft men onder andere het recht op het verwijderen van gegevens en het recht om gegevens te veranderen wanneer deze niet juist zijn. De techniek van de blockchain maakt het echter niet mogelijk om een blok met data uit de keten weg te halen of te veranderen, aangezien dit het nut van het systeem teniet zou doen. Dit resulteert in het feit dat betrokkenen die rechten niet (effectief) kunnen uitoefenen. Wijzigingen kunnen alleen worden aangebracht door een nieuw blok aan de keten toe te voegen met de gewijzigde informatie. De keten van gegevensverwerking via een blockchain strookt dus niet met het doel van de AVG om betrokkenen meer grip op hun gegevens te bieden.

Een kritische blik op het gebruik van een blockchain

Al met al kunnen we op dit moment concluderen dat de belangrijkste eigenschappen van een blockchain op meerdere punten niet aansluiten bij de naderende privacywet, de AVG. Ondanks dat de technologie van de blockchain op het eerste gezicht geschikt lijkt voor verschillende soorten toepassingen, dient er niet overhaast overwogen te worden of het gebruik van een blockchain uitkomst biedt. De blockchaintechnologie staat nog in de kinderschoenen en er wordt volop mee geëxperimenteerd, waarbij de voor- en nadelen dienen te worden afgewogen. De toekomst zal leren voor welke sectoren de blockchain echt een juiste toepassing gaat zijn.

De technologie is nog volop in ontwikkeling en daarbij blijft privacy een struikelblok. De AVG beoogt betrokkenen meer grip te geven op hun persoonsgegevens, terwijl we in een blockchain deze grip dreigen te verliezen. Vooral wanneer er sprake is van een publieke blockchain, blijft er veel onduidelijk. Wie is de verwerkingsverantwoordelijke? Wanneer een verwerkingsverantwoordelijke is gevestigd in de Europese Unie of zich richt op personen binnen de Europese Unie, dan is de AVG van toepassing. Maar aangezien de data binnen een publieke blockchain wereldwijd beschikbaar is, welke regelgeving dient dan te worden toegepast? Wie houdt er toezicht op de verwerking en waar kunnen betrokkenen aankloppen als zij hun privacyrechten willen uitoefenen?

Hoe dan ook, het recht op privacy binnen de technologie van de blockchain vereist een kritische blik en zorgt met het oog op de toekomst voor de nodige juridische uitdagingen.

Dit artikel is geschreven door Beaubine Adriaansen, in samenwerking met Fay Kartner.


Wilt u goed voorbereid zijn op de komst van de AVG?

Begin april verschijnt het ‘Handboek AVG Compliance in de praktijk’ geschreven door onze privacy-experts. Dit boek bevat overzichtelijke adviezen en uitleg over de AVG, vele praktische voorbeelden, stappenplannen en standaardteksten. Het handboek is een must voor iedere privacy professional!

Teken nu alvast in voor het handboek en ontvang ruim 10% korting op het boek. Voorinschrijven met korting is mogelijk tot 2 april.

Fay Kartner

Juridisch adviseur

Fay Kartner is werkzaam bij ICTRecht als juridisch adviseur en is Certified Information Privacy Professional/Europe (CIPP/E). Binnen ICTRecht maakt zij onderdeel uit van het privacyteam. Fay ondersteunt organisaties bij het voldoen aan de Algemene Verordening Gegevensbescherming (AVG).


Er is één reactie

  1. Ik reageer op het recht van verwijderen. U schrijft: “De AVG botst met het feit dat gegevens op de blockchain permanent worden opgeslagen” en “De techniek van de blockchain maakt het echter niet mogelijk om een blok met data uit de keten weg te halen of te veranderen”. Een blok verwijderen is misschien niet mogelijk, maar wat wel kan is een blok onleesbaar maken, wat feitelijk hetzelfde effect heeft. Zo is MultiChain een systeem voor het opzetten en onderhouden van blockchains, waarbij: “Each chain has an official burnaddress […] to which assets can be sent and cannot be recovered, because [the burnaddress] has no corresponding private key”. “You can send units of an asset to the chain’s burn address which renders them permanently unspendable in a way which every node can verify”.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie