De blockchain wordt gezien als dé nieuwe toepassing op allerlei uiteenlopende gebieden. Het zou een oplossing kunnen zijn voor veel bestaande problemen en kan nieuwe inzichten geven ten aanzien van de benadering van bestaande processen. Het zet geldtransacties, logistiek en fraudebestrijding in een nieuw daglicht, en zelfs klimaatverandering zou kunnen worden opgelost met behulp van de blockchain.
De blockchain is een openbare database, die gebruikt kan worden om gegevens vast te leggen en te distribueren naar een groot aantal partijen voor wie de data zichtbaar is. Doordat een transactie pas tot stand komt wanneer deze voldoet aan de regels die een partij vereist en de transactie door technologie gevalideerd kan worden, kunnen er transacties gesloten worden zonder menselijke tussenkomst. Of, zoals in het geval van de cryptocurrency, zonder tussenkomst van een traditionele bank. De in de ketting vastgelegde transactiegegevens zijn altijd te raadplegen en zullen niet meer verdwijnen. Dat maakt de blockchain een geliefde toepassing voor transacties: het is een transparante methode en lijkt niet of moeilijk te manipuleren.
Wanneer een blockchain persoonsgegevens bevat, is de AVG van toepassing. De gegevens die in de blockchain worden gebracht, zullen daar nooit meer van verdwijnen. De data is daarbij ook niet aanpasbaar. De kracht van de blockchain, namelijk een ondoorbreekbare en controleerbare ketting die niet te manipuleren is, zou daarom wel eens strijdig kunnen zijn met de AVG wanneer er persoonsgegevens in de blockchain worden gebracht.
De CNIL, de Franse toezichthouder, heeft op 6 november een artikel uitgebracht over de blockchain in relatie tot persoonsgegevens[1]. Ze presenteert daarin concrete oplossingen voor partijen die de blockchain als onderdeel van hun dataverwerking willen inzetten.
De blockchain is onomkeerbaar en leent zich daarmee perfect voor het aantonen van bijvoorbeeld toestemming. Daarbij kan het inzicht geven in verwerkingen van persoonsgegevens en deze verwerkingen vastleggen. Het leent zich daarmee perfect voor de ontwikkeling van oplossingen die toestemming kunnen aantonen of een verwerkingsregister bijhouden.
Verder kan gedacht worden aan vastlegging van het incidentenregister en versiebeheer van cookie- en privacy statements. Met behulp van die laatste kan er altijd aangetoond en gecontroleerd worden met welke versie van het statement de consument akkoord is gegaan. Dit zou een goed mechanisme zijn voor onder andere de toezichthouder, maar ook voor de accountant.
Er zijn echter ook gebieden van de blockchain technologie die extra aandacht behoeven. Denk aan internationale doorgifte van data. Een blockchain is niet plaatsgebonden, waardoor het extra moeilijk is om de blockchain te beperken tot doorgifte binnen de EU of om aanvullende afspraken te maken. Een tweede moeilijkheid kan liggen in het ‘right to be forgotten’. Het is niet mogelijk persoonsgegevens van de blockchain te verwijderen. Dit recht kan onmogelijk worden ingeroepen door een betrokkene.
De CNIL geeft daarom aan dat iedere partij die blockchain technologie wil inzetten voor verwerkingen, privacy by design toe dient te passen. Er moet gekeken worden of de blockchain toepassing noodzakelijk is, of dat er wellicht een andere, minder indringende oplossing voorhanden is. Ook dient daarin meegenomen te worden welk type blockchain wordt gebruikt: een publieke blockchain heeft een grotere impact op de bescherming van persoonsgegevens dan een besloten blockchain[2]. Of de blockchain technologie strijdig is met de AVG wordt volledig bepaald door de mogelijke risico’s op de rechten en vrijheden van het individu. En is daarmee afhankelijk van verschillende factoren zoals het type blockchain dat gebruikt wordt, welke data er wordt opgeslagen en welke partijen deze allemaal kunnen inzien. De algemene noot die de CNIL maakt is dat het belangrijk is geen persoonsgegevens in ‘clear text’ op een blockchain op te slaan.
Op het moment dat er persoonsgegevens op de (publieke) blockchain worden gezet, lijkt deze vanaf dat moment strijdig met de AVG te zijn. Dit komt omdat bepaalde rechten die het data subject op grond van de AVG heeft, niet nagekomen kunnen worden. Omdat data op de blockchain niet te veranderen is, is een beroep op het recht op rectificatie uitgesloten. Althans, niet zonder dat de eerdere data verdwijnt. Omdat de data op de blockchain niet te verwijderen is, wordt ook een beroep het recht op vergetelheid een onbegonnen zaak.
Afhankelijk van de toepassing van de blockchain kan deze technologie echter ook ingezet worden ten behoeve van accountability. De technologie kan gebruikt worden om incidenten bij te houden, accuraat versiebeheer van privacy- en cookiestatements, het aantonen van toestemming en zo zijn er meer toepassingen waar je de blockchain kunt gebruiken voor compliance doeleinden, zonder het verwerken van persoonsgegevens op de blockchain.
[1] CNIL. (2018). The blockchain in the context of personal data. Geraadpleegd van https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data
[2] Een derde variant van de blockchain is de ‘permissioned blockchain’. In een permissioned blockchain zijn de regels vastgelegd met betrekking tot wie er mogen deelnemen aan het validatieproces, wie er transacties mogen registreren etc.
Dit artikel is ook te vinden in het dossier AVG
