25 mei 2018 was het zover. De langverwachte nieuwe Europese privacywet werd met veel bombarie van kracht. De GDPR (in het Nederlands: AVG) moest de diverse Europese privacywetgeving niet alleen harmoniseren maar bovenal moderniseren. Met als doel een versterkte bescherming van persoonsgegevens. Maar steeds meer bekruipt mij het gevoel dat deze nieuwe wet achter technologische ontwikkelingen zoals blockchain aanloopt en daardoor reeds bij invoering verouderd is.

Wie denkt aan blockchain ziet vaak een eindeloze reeks technische mogelijkheden om bestaande processen ingrijpend te wijzigen en te moderniseren. Denk bijvoorbeeld aan de bitcoin. Ook smart contracts zijn een veelbelovende toepassing binnen blockchain. Waarbij overigens de kanttekening moet worden gemaakt dat deze smart contracts juist niet ‘smart’ zijn. Het betreft doorgaans simpele rechttoe-rechtaan juridische afspraken. Voor meer ingewikkelde overeenkomsten is een volautomatische uitvoering in de praktijk niet haalbaar.

Whitepapers en andere studies naar blockchain schrijven vol enthousiasme over de nieuwe mogelijkheden, maar met betrekking tot privacybescherming wordt vaak aangegeven dat “hier nog meer onderzoek naar moet worden verricht”. Dat is eufemistisch taalgebruik voor een probleem dat vooralsnog niet is opgelost: veel blockchain-toepassingen staan op gespannen voet met de GDPR. Concreet gaat het onder meer om de volgende drie privacy-issues, die roet in het eten gooien van menige blockchain:

Verwerkingsverantwoordelijke

Ten eerste is, zeker bij public blockchains, vaak onduidelijk wie de ‘verwerkingsverantwoordelijke’ is voor een blockchain. Oftewel, wie het doel en middelen bepaalt van de blockchain. Bij private blockchain, bijvoorbeeld een blockchain tussen een bank en zijn klanten, is het vaak duidelijk dat het de bank is die het doel en de middelen bepaalt van de verwerking van persoonsgegevens van de klanten.

Maar bij een public blockchain, waarbij alle deelnemers min of meer ‘gelijk’ kunnen optreden, ontbreekt vaak een aan te wijzen partij die het doel en de middelen bepaalt. Dit is belangrijk, omdat de GDPR ervan uitgaat dat het naleven van rechten van betrokkenen op bescherming van persoonsgegevens moet worden uitgevoerd door de verwerkingsverantwoordelijke. Als deze er überhaupt niet is, komt de bescherming van persoonsgegevens op losse schroeven te staan binnen een blockchain. Er is immers niemand verantwoordelijk voor naleving van de GDPR.

Een bijkomende complicatie kan zijn dat niet steeds op voorhand duidelijk is welk recht van toepassing is op een public blockchain. Deze kent vaak geen territoriale beperking en geldt in principe wereldwijd. Daarmee is niet steeds duidelijk of de GDPR überhaupt van toepassing is.

Gegevens voor altijd vast

Een tweede complicatie is dat blockchain in strijd kan komen met de rechten van de betrokkenen (de personen van wie persoonsgegevens worden verwerkt) onder de GDPR. Een belangrijk kenmerk van blockchain is dat alle transactiegegevens (welke persoonsgegevens kunnen bevatten) permanent worden opgeslagen in een block. Ieder block bouwt vervolgens voort op eerdere blocks. Hierdoor overschrijven de nieuwe blocks niet de oudere.

Deze techniek staat op gespannen voet met enkele van de belangrijkste verworvenheden van de GDPR, namelijk de versterkte rechten op aanpassing van persoonsgegevens, verwijdering van persoonsgegevens en dataminimalisatie. Blockchain is in de kern niet bedoeld om aan dergelijke verzoeken van betrokkenen te voldoen, zelfs als een verwerkingsverantwoordelijke bekend is. Men ziet in de praktijk dat er, afhankelijk van waar men blockchain voor wil gebruiken, verschillende mogelijkheden worden onderzocht en benut om dit probleem op te lossen. Ik noem er vier.

  1. In een aantal gevallen wordt ervoor gekozen om de persoonsgegevens buiten de blockchain zelf te plaatsen in een afzonderlijke blockchain. Deze afgezonderde blockchain is dan makkelijker te beheren. Bovendien is dan in de regel duidelijk wie er de verwerkingsverantwoordelijke voor is.
  2. Een andere mogelijkheid is om persoonsgegevens geheel te anonimiseren. Dit is uiteraard niet bij elke blockchain-toepassing aantrekkelijk.
  3. Een derde variant betreft het in een ‘digitale kluis’ (self sovereign identity) plaatsen van de persoonsgegevens, waarbij alleen de betrokkene zelf deze er weer uit kan halen.
  4. Een vierde variant is het (periodiek) een nieuwe blockchain starten, waardoor kan worden voldaan aan het verzoek van de betrokkenen om reeds opgeslagen persoonsgegevens te verwijderen. Ook dit is een variant met valkuilen, aangezien iedere betrokkene op ieder willekeurig moment een verzoek tot verwijdering of wijziging kan doen.

Meer kwetsbaarheden

Een derde probleem vormen de boetes op datalekken. Naarmate meer partijen in een public blockchain deelnemen, ontstaan er mogelijk meer kwetsbaarheden in de beveiliging.

Alles overziend is het duidelijk dat we privacy-issues bij het ontwerpen en toepassen van blockchain niet kunnen negeren. Maar gezien de complexiteit van de hier genoemde problemen, kan het niet aan de markt worden overgelaten om deze op te lossen. Duidelijk is dat bij het opstellen van de GDPR onvoldoende rekening is/kon worden gehouden met blockchain. Zo blijft in een aantal gevallen onduidelijk wie de betrokkene kan aanspreken op naleving van de GDPR. Hiermee dreigt naleving van de GDPR in sommige gevallen een wassen neus te worden.

Je zou verwachten dat zowel op Europees niveau (de EDPB) als op bijvoorbeeld Nederlands niveau (de Autoriteit Persoonsgegevens) inmiddels de nodige duidelijkheid is verschaft middels richtsnoeren of andere aanwijzingen over hoe om te gaan met de GDPR en blockchain. Helaas, het is overwegend oorverdovend stil. Daarom hierbij een oproep aan zowel de EDPB als de AP om duidelijkheid te verschaffen omtrent privacybescherming en blockchain.

Anja Dekhuijzen is partner bij Whitebridge Advocatuur en gespecialiseerd in IT, outsourcing en privacy. Whitebridge is uitgeroepen tot Privacy Law Firm of the Year 2018.