Inleiding
In dit artikel wordt onderzocht in hoeverre het gebruik van blockchaintechnologie mogelijk conflicteert met de Algemene verordening gegevensbescherming (AVG) indien in de blockchain persoonsgegevens worden verwerkt.[1]
Blockchain
Het onderwerp blockchain staat in de belangstelling. In de media wordt veel over blockchaintechnologie en daarop gebaseerde toepassingen geschreven.[2] Kort gezegd is blockchain een gedistribueerde databasetechnologie die wordt ingezet in een netwerk van deelnemende computers, zogeheten nodes. Tussen de nodes vinden elektronische transacties plaats zoals de betaling met een digitale munt of het elektronisch plaatsen van een bestelling.
Elke transactie wordt in de vorm van een blok (‘block’) automatisch geregistreerd in een register (in de praktijk ook wel aangeduid met de administratieve term ‘grootboek’). Nadat een transactie is verwerkt in een block, en daarmee in het register, kan deze niet worden gewijzigd of ongedaan worden gemaakt. De veelheid aan transacties leidt ertoe dat in het register een ketting (chain’) van transacties – geregistreerd als blocks – ontstaat.
Verwerkingsverantwoordelijke
Vanuit het perspectief van de AVG is een interessante vraag wie kan worden aangemerkt als verwerkingsverantwoordelijke voor de blockchain. Bij de beantwoording van deze vraag moet het onderscheid tussen een public en private blockchain in ogenschouw worden genomen. Een public blockchain heeft geen ‘eigenaar’, en eenieder die dat wil kan deelnemen. Dit in tegenstelling tot een private blockchain waar deelnemers vooraf door het blockchainnetwerk zijn geïdentificeerd en goedgekeurd. Kijkend naar de definitie is een verwerkings-verantwoordelijke de natuurlijke persoon of organisatie die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.[3]
Indien er sprake is van een private blockchain, zal de natuurlijke persoon of organisatie die het doel en de middelen van die private blockchain vaststelt zijn aan te merken als verwerkingsverantwoordelijke. Dit wordt anders indien er sprake is van een public blockchain. Een public blockchain heeft geen eigenaar, en eenieder die in het bezit is van een computer kan toetreden tot die public blockchain. Een natuurlijke persoon of organisatie die het doel of de middelen vaststelt, en daarmee de verwerkingsverantwoordelijke is, lijkt bij een public blockchain te ontbreken. Er kan mogelijk betoogd worden dat alle deelnemers zijn te kwalificeren als gezamenlijke verwerkingsverantwoordelijken, aangezien iedere deelnemer een register – met daarin blocks met persoonsgegevens – heeft opgeslagen op zijn computer en in die zin verantwoordelijkheid draagt ten aanzien van die verwerking.[4]
Volgens Laan volgt uit het systeem van de wet dat het niet mogelijk is dat geen verwerkingsverantwoordelijke voor een persoonsgegevensverwerking bestaat, en stelt zij dat het ontbreken van een verwerkingsverantwoordelijke voor een blockchain onwenselijk is. Laan doet de aanbeveling dat blockchainpartijen de verantwoordelijkheden in kaart brengen, en dat gedifferentieerde verantwoordelijkheid voor veel partijen de meest logische keuze zal zijn omdat partijen in dat geval verantwoordelijk blijven voor hun eigen inbreng in de gegevensverwerking. [5]
Betrokkene
Een deelnemer van de blockchain kan worden gekwalificeerd als betrokkene indien zijn persoonsgegevens binnen de blockchain worden verwerkt.[6] Ingeval er sprake is van een public blockchain roept dit vragen op over wie en de wijze waarop er jegens een deelnemer moet worden voldaan aan de informatieplicht.[7] En bij wie moet een deelnemer aankloppen indien hij op grond van zijn recht op inzage wil weten welke andere deelnemers zijn persoonsgegevens hebben ontvangen?[8]
Het mogelijk ontbreken van een verwerkingsverantwoordelijke in de public blockchain heeft derhalve consequenties voor de naleving van de kernbeginselen die gelden voor verwerkingen van persoonsgegevens. Anders gezegd, wie draagt de verantwoordelijkheid dat verwerkingen van persoonsgegevens binnen de public blockchain rechtmatig, behoorlijk en transparant zijn?[9] Een wie bepaalt voor welk doel persoonsgegevens worden verzameld en verwerkt? [10]
Toezicht
In het verlengde van de verantwoordelijkheid voor de blockchain ligt de vraag welke autoriteit toezicht houdt op de wijze waarop persoonsgegevens binnen de blockchaintoepassing worden verwerkt. De deelnemers van zowel een private als een publieke blockchain kunnen binnen of buiten de Europese Unie verspreid zijn. Welke toezichthouder(s) is of zijn dan bevoegd?[11] In geval van een private blockchain biedt het kader uit artikel 56 AVG (leidende toezichthoudende autoriteit) voldoende aanknopingspunten.[12]
Het wordt ingewikkelder als er sprake is van een publieke blockchain omdat daar een verwerkingsverantwoordelijke lijkt te ontbreken, dan wel dat alle deelnemers mogelijk gekwalificeerd kunnen worden als gezamenlijke verwerkingsverantwoordelijken. Een leidende toezichthoudende autoriteit zal niet aan de orde zijn, omdat er niet sprake is van een hoofdvestiging of enige vestiging van de verwerkingsverantwoordelijke. Dit kan ertoe leiden dat iedere toezichthouder uit een lidstaat zich gaat bemoeien met dezelfde publieke blockchain. Interessant is dan te bezien welk standpunt iedere toezichthouder gaat innemen ten aanzien van een – vermoedelijke – verwerkingsverantwoordelijke.
Permanente opslag van persoonsgegevens
Een kenmerk van blockchain is dat alle transactiegegevens permanent worden opgeslagen in een block. Dit komt doordat elk block voortbouwt op de gegevens uit de voorliggende blocks. Persoonsgegevens blijven derhalve permanent opgeslagen in de blockchain, hetgeen knelt met diverse kernbeginselen uit de AVG.[13] Zo moet op grond van de AVG de verwerking van persoonsgegevens worden beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.[14] Een kenmerk van blockchain is echter dat de ketting van blocks (met daarin persoonsgegevens) alleen maar groter wordt. Het blijven bewaren van persoonsgegevens in de blockchain is een resultaat van de toegepaste techniek, maar zal veelal niet ter zake dienend zijn voor de doeleinden van de verwerking.[15] Daarnaast bepaalt de AVG dat persoonsgegevens moeten worden gewist of gerectificeerd indien deze onjuist zijn.[16] Dit beginsel wordt als een recht van de betrokkene geëxpliciteerd in artikel 16 AVG (recht op rectificatie) en artikel 17 AVG (recht op gegevenswissing). Voorts geeft artikel 18 AVG de betrokkene het recht de verwerking van zijn persoonsgegevens te beperken.
Hiervoor is gesteld dat een deelnemer van een blockchain ook kan worden aangemerkt als betrokkene. Indien een deelnemer in die hoedanigheid zijn voornoemde rechten wil uitoefenen, bijvoorbeeld omdat hij geen gebruik meer wil maken van de blockchaintoepassing, ontstaat een ingewikkelde situatie. Ten eerste zal het – in geval van een public blockchain – niet eenvoudig zijn te achterhalen wie de verwerkingsverantwoordelijke is (als die er überhaupt is). Vanuit technische optiek leidt de uitoefening van voornoemde rechten tot problemen. De persoonsgegevens van de deelnemer kunnen nagenoeg niet uit de blockchain worden verwijderd, en een eventuele wijziging heeft technische en operationele consequenties. Een mogelijke oplossing is het opslaan van persoonsgegevens in (een) database(s) buiten de blockchain, en dat in de blockchain een technische verwijzing naar die database(s) wordt opgenomen. Bij self-sovereign identity-oplossingen op basis van blockchain wordt deze mogelijkheid nadrukkelijk onderzocht.[17]
Afronding
Het thema blockchain en op deze technologie gebaseerde toepassingen staan in de belangstelling, maar de technologie zelf is nog in ontwikkeling. Op welke wijze blockchaintechnologie in de praktijk zal worden ingezet is afhankelijk van de beoogde toepassing. Te maken keuzes voor het type blockchain – private, public of een afgeleide dan wel een combinatie daarvan – in samenhang met encryptietechnieken maakt dat het niet eenvoudig is het geheel (technologie en toepassing) te overzien of te doorgronden. Vanuit het oogpunt van de bescherming van persoonsgegevens laat het voorgaande zien dat het verwerken van persoonsgegevens in de blockchain de nodige uitdagingen kent.
Voetnoten
[1] De tekst van dit artikel is grotendeels overgenomen uit een artikel dat ik eerder publiceerde over het onderwerp blockchain. E.W. Verhelst, ‘Blockchain aan de ketting van de AVG?’, Privacy & Informatie 2017/1.
[2] Zie bijvoorbeeld B. Kaptijn, Blockchain (ICTU Whitepaper), Den Haag: ICTU 23 september 2016; Klaas Broekhuizen, ‘Blockchain gaat doorbreken’, Financieel Dagblad, https://fd.nl/blogs/1173116/blockchain-gaat-doorbreken-in-2017; Mark van Rijmenam, ‘What is the Blockchain – part 2 – and Why It Will Change Our World’, 26 september 2016, datafloq.com/read/what-is-the-blockchain-part-2-change-our-world/2329; James Smith e.a., ‘Report Applying blockchain technology in global data infrastructure’, Open Data Institute 2016, theodi.org/technical-report-blockchain-technology-in-global-data-infrastructure.
[3] Artikel 4 lid 7 AVG.
[4] Matthias Berberich & Malgorzata Steiner, ‘Blockchain Technology and the GDPR – How to Reconcile Privacy and Distributed Ledgers?’, European Data Protection Law Review 2016, afl. 3.
[5] V. Laan, ‘Privacy en blockchain: wanneer is er voor wie privacywerk aan de winkel?’, Tijdschrift voor Internetrecht, 2017/1, p. 10.
[6] Artikel 4 lid 1 AVG.
[7] Artikel 13 en 14 AVG
[8] Artikel 15 lid 1 punt c AVG.
[9] Artikel 5 lid 1 punt a AVG.
[10] Artikel 5 lid 1 punt b AVG.
[11] Alistair Maughan, ‘Blockchain – Legal and regulatory issues around distributed ledger technology’, 20 april 2016, www.cio.co.uk/opinion/legal-briefing/blockchain-legal-regulatory-issues-around-blockchain-3638814/ (hierna: Maughan 2016).
[12] Article 29 Data Protection Working Party, ‘Guidelines for identifying a controller or processor’s lead supervisory authority’, 13 december 2016, WP 244.
[13] Simon Halberstam & Raoul Lumb, ‘Blockchain – The Concept and the Law’, www.weblaw.co.uk/ebooks/eGuide_BlockchainTheConceptandtheLaw.pdf, p. 7.
[14] Artikel 5 lid 1 punt c AVG.
[15] Artikel 5 lid 1 punt c AVG.
[16] Artikel 5 lid 1 punt d AVG.
[17] Guy Zyskind, Oz Nathan & Alex ‘Sandy’ Pentland, ‘Decentralizing Privacy: Using Blockchain to Protect Personal Data’, Security and Privacy Workshops (SPW), 2015 IEEE, web.media.mit.edu/~guyzys/data/ZNP15.pdf .