Heeft Europa blockchain over het hoofd gezien?

door:
Nadat alle mainstream media al wel een keer over blockchain hebben bericht, kan Fiat Justitia natuurlijk niet achterblijven (helaas, helaas, maar Fiat Justitia is geen mainstream media). Blockchain is de technologie die men kent als de technologie die achter bitcoin zit. Cryptocurrency, waaronder bitcoin, is een van de vele toepassingen waarvoor blockchain ingezet kan worden. Komende 25 mei zal onze huidige Wet Bescherming Persoonsgegevens vervangen worden voor een Algemene Verordening Gegevensbescherming (hierna: AVG). Deze Europese verordening is misschien niet helemaal voorbereid op blockchain.

Om te begrijpen of blockchain knelt met de AVG is het noodzakelijk te begrijpen wat blockchain is.

Blockchain is een netwerk van verschillende deelnemende computers die ‘nodes’ worden genoemd. Tussen deze nodes vinden elektronische transacties plaats. Van al deze transacties wordt een register bijgehouden (chain) en iedere keer als er een nieuwe transactie plaatsvindt, wordt die als ‘block’ toegevoegd aan de chain. Om een block toe te voegen aan de chain is het nodig dat deze eerst ‘gemined’ wordt. Oftewel, iedere nieuwe block moet geverifieerd worden en dat kan gebeuren door rekenkracht van computers ter beschikking te stellen. Kenmerkend voor blockchain is dat de blocks niet meer aangepast kunnen worden en iedere node een kopie van de chain heeft. Het verschil tussen blockchain en normale transacties is dat er bij normale transacties over het algemeen een partij is die alle gegevens verwerkt, de ‘trusted third party’, dit kan bijvoorbeeld een bank of notaris zijn. Bij blockchain is iedereen deze partij omdat iedereen een kopie krijgt van alle transacties. Het zou vergeleken kunnen worden met een klein dorp waar iedereen alles van elkaar weet en het onderling regelt.

Schematisch weergegeven ziet de blockchain er als volgt uit: eerst stuur node A een bericht aan het netwerk dat het een transactie wil aangaan met node B. Vervolgens accepteert node B dit en communiceert dat ook weer naar het netwerk. Daarna autoriseren en verifiëre alle nodes binnen het netwerk deze transactie. Ten slotte wordt de transactie in een vorm van een block geregistreerd in de registers van alle nodes.[1]

Het hiervoor beschreven model is een variant van een public blockchain. Dit kan ook een private blockchain worden wanneer er een ‘permissioned authoriser’ is. Daarnaast zijn er nog vele andere toepassingen van blockchain zoals smart contracts. Maar het echte probleem voor de AVG zit bij de public blockchain.

In de AVG is degene die verantwoordelijk is voor de privacy, de verwerker. Volgens artikel 4 lid 7 AVG is de verwerkingsverantwoordelijke de natuurlijk persoon of organisatie, welke alleen of samen met anderen het doel van en de middelen van verwerking van persoonsgegevens vaststelt. Bij een private blockchain is er een ‘permissioned authoriser’ waardoor het ontbreken van de verwerkingsverantwoordelijke geen rol speelt. Maar bij een public blockchain is in feite iedereen verwerkingsverantwoordelijke, zodoende kan er ook geen verwerker meer gekwalificeerd worden.[2] Het is dus onduidelijk wie de verantwoordelijkheid draagt voor het belangrijkste beginsel van de AVG, namelijk dat de persoonsgegevens op een rechtmatige, behoorlijke en transparante manier moeten worden verwerkt.[3]

Naast dat er geen verwerkingsverantwoordelijke aan te wijzen valt, is een ander probleem dat een block niet meer verwijderd kan worden uit de chain. Het kan wel gewijzigd worden maar alleen door een nieuwe block aan de chain toe te voegen. Dit betekent dat informatie in de blockchain voor altijd inzichtelijk is. Dit knelt met enkele beginselen van de AVG. Zo mag er bijvoorbeeld alleen sprake zijn van minimale gegevensverwerking.[4]

Betrokkenen, zoals deelnemers in een netwerk kunnen worden aangemerkt, hebben volgens de AVG het recht om gegevens te wissen.[5] Wanneer een betrokkene zich hierop beroept zal dat een probleem opleveren.

Het lijkt er dus op dat blockchain en de AVG niet door één deur kunnen. Degene die verantwoordelijk is voor het verwerken van persoonsgegevens kan niet aangewezen worden en persoonsgegevens kunnen niet worden verwijderd. Blockchain zal hier ongetwijfeld niet door gestopt worden. Want zoals de mysterieuze “Satoshi Nakamoto” in zijn ‘whitepaper’ bij bitcoin stelt, zou de informatie ook nog versleuteld kunnen worden.[6] Maar dat is weer een ander verhaal.[7]

 

 

 

 

[1] E.W. Verhelst, blockchain aan de ketting van de algemene verordening gegevensbescherming, uitgeverij Paris:Tijdschrift voor privacy en informatie, afl 1 2017.

[2] Artikel 4 lid 8 AVG.

[3] Artikel 5 lid 1 sub a AVG.

[4] Artikel 5 lid 1 sub c AVG.

[5] Artikel 4 lid 1 juncto artikel 17 AVG

[6] Satoshi Nakamoto is de schuilnaam van de bedenker van de bitcoin, tot op de dag van vandaag weet niemand wie het is.

[7] S. Nakamoto: “Bitcoin a peer-to-peer electronic cash system”.


Discussie

Relevante artikelen