Blockchain en privacy: kunnen persoonsgegevens veilig worden opgeslagen en verwerkt in een blockchain?

Justine
Simal

Tijdens een interview in 2014 aan The Washington Post zei Marc Andreessen, ondernemer en software-ingenieur, best bekend als co-auteur van Mosaic, de eerste veel gebruikte webbrowser, dat hij “er alle vertrouwen in heeft dat we het over 20 jaar hebben over blockchaintechnologie zoals we vandaag over het internet praten.”

Blockchaintechnologie is veelbelovend en dit niet enkel binnen de financiële wereld: ook ver daarbuiten wordt verwacht dat blockchaintechnologie een grote impact zal hebben. Blockchaintechnologie biedt een ongezien potentieel: de toepassingen zijn eindeloos en ondernemingen en overheden zijn volop aan het onderzoeken wat blockchaintechnologie voor hen kan betekenen. 

Op het eerste zich lijken blockchains niks dan voordelen te bieden. Toch is waakzaamheid geboden, en dan in het bijzonder op het vlak van privacy. Blockchains kunnen een grote hoeveelheid persoonsgegevens verwerken. Hier dient logischerwijs zorgvuldig mee te worden omgesprongen én op een manier die conform is aan de Europese regelgeving omtrent de bescherming van persoonsgegevens, beter bekend als de GDPR. De vraag die centraal staat in dit onderzoek is of dit laatste mogelijk is: zijn blockchaintechnologie en de GDPR verzoenbaar?  Zo nee, waar wringt het schoentje?

Het ontstaan van blockchaintechnologie

Blockchaintechnologie is de technologie achter de digitale munt Bitcoin en werd in het jaar 2008 ontwikkeld door Satoshi Nakamoto. De bedoeling van Nakamoto was om een“purely peer-to-peer version of electronic cash”te ontwikkelen “[which] would allow online payments to be sent directly from one party to another without going through a financial institution”.

Het doel van blockchaintechnologie is om de nood aan een tussenpersoon uit te schakelen en partijen rechtstreeks met elkaar te laten communiceren en handelen zonder dat er een derde partij aan te pas moet komen. Het creëren van vertrouwen zonder dat je een tussenpersoon nodig hebt, is het basisidee achter blockchaintechnologie.  

Bitcoin

Ontwikkeld als de technologie achter Bitcoin, wordt vaak gedacht dat blockchaintechnologie zich louter situeert in de wereld van de fintech. Niets is echter minder waar. De blockchain achter Bitcoin legt inderdaad geldtransacties vast, maar er bestaan nog tal van andere blockchains waarin gegevens worden bewaard. Zo gebruikt winkelketen Walmart blockchaintechnologie om de voedselveiligheid van hun voedingswaren te kunnen opvolgen en waarborgen, en testen India en Zweden of blockchaintechnologie kan worden gebruikt om eigendomsregisters te bewaren.

De building blocks van blockchaintechnologie 

Wanneer we kijken naar de opbouw en de kenmerken van een blockchain, leren we dat een blockchain een gedecentraliseerde en gedistribueerde database is van gegevens die permanent worden opgeslagen, waarbij het geheel wordt beveiligd door asymmetrische encryptie. Een blockchain bestaat uit een grote hoeveelheid blokken die door minersaan elkaar worden gekoppeld zodat ze een ketting vormen. Wanneer de blokken gekoppeld zijn, kunnen de gegevens in het blok bijna onmogelijk worden gewijzigd. Een permanente versie van de blockchain die continu geüpdatet wordt, bevindt zich nu op elke computer van de deelnemers aan het netwerk, ook wel nodesgenoemd.

Een blockchain verkrijgt zijn permanente karakter via cryptografische hashfuncties, de wiskundige berekeningen waar het bij blockchain allemaal rond draait. Daarnaast is blockchaintechnologie is een vorm van distributed ledger technology: technologie waarbij een gedistribueerd grootboek, een soort van database, verspreid wordt over alle computers die deelnemen aan het netwerk en waarbij er geen centraal beheer is. Tot slot wordt er bij blockchaintechnologie gebruik gemaakt van asymmetrische encryptie. Deze techniek zorgt ervoor dat elke actie die wordt ondernomen, op pseudonieme wijze plaatsvindt. Hieruit kunnen de belangrijkste vormende elementen van blockchaintechnologie worden afgeleid: een blockchain is gedecentraliseerd en gedistribueerd, permanent en versleuteld. 

Blockchain

En hoe zit dat nu met die GDPR?

In dit onderzoek worden de vormende elementen van blockchaintechnologie, namelijk het versleutelde, gedecentraliseerde, gedistribueerde en permanente karakter, afgetoetst aan de vereisten die worden gesteld door de GDPR. Hierbij kwamen enkele knelpunten aan het licht. 

Het versleutelde karakter van blockchaintechnologie stelt geen problemen en is integendeel zelfs een kenmerk van de technologie dat ten zeerste in lijn is met de geest en de bepalingen van de GDPR, die pseudonimisering aanmoedigt. Het is daarentegen wel belangrijk om te onthouden dat de ontwikkelaar van de blockchain steeds zelf beslist hoe sterk de mate van versleuteling is die hij implementeert. 

Het gedecentraliseerde en gedistribueerde karakter van de blockchain, geeft wel aanleiding tot enkele moeilijkheden. De grootste uitdaging stelt zich op het vlak van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is diegene die toezicht houdt en verantwoordelijkheid heeft over het correct verwerken van persoonsgegevens. Het blijkt onhaalbaar om een verwerkingsverantwoordelijke aan te wijzen in het geval van een open en publieke blockchain. Dit leidt ertoe dat het waarborgen van verschillende rechten onder druk komt te staan. 

Het derde en laatste vormend element dat wordt besproken is het permanente karakter van blockchaintechnologie. Deze eigenschap van blockchaintechnologie leidt ertoe dat het onhaalbaar is om gegevens te wijzigen in een blockchain en zorgt voor de meeste moeilijkheden. Het leidt ertoe dat verschillende rechten niet kunnen worden gewaarborgd. Daarnaast is het ook in strijd enkele algemene beginselen en principes van gegevensverwerking. Het permanent bewaren van persoonsgegevens, ook wanneer deze voor geen enkel doeleinde nog noodzakelijk blijken, valt niet te verzoenen met de geest en de bepalingen van de GDPR. 

Conclusie

Dat het niet helemaal duidelijk is of blockchaintechnologie verzoenbaar is met de vereisten die worden gesteld door de GDPR, zorgt voor wettelijke onzekerheid. Wat daarentegen wel helemaal duidelijk is, is dat de GDPR niet werd ontworpen met gedecentraliseerde platformen in het achterhoofd. Men zou dus eigenlijk kunnen stellen dat de wetgeving op sommige punten reeds verouderd was alvorens ze effectief werd geïmplementeerd.

Een beslissing tot onverenigbaarheid van blockchaintechnologie met de GDPR door de Europese wetgever, zou echter een stap achteruit zijn. Het aannemen van en lex specialis,een specifieke wet die voorrang heeft op de algemene wetgeving, omtrent distributed ledger technologieën en blockchaintechnologie die de GDPR aanvult en op sommige punten soepeler interpreteert en waarmee dezelfde objectieven worden nagestreefd, zou er daarentegen toe kunnen leiden dat blockchains kunnen worden ontwikkeld zonder dat er twijfel dient te bestaan omtrent de legaliteit ervan. 

Download scriptie (800.51 KB)
Universiteit of Hogeschool
KU Leuven
Thesis jaar
2018
Promotor(en)
Prof. Dr. Peggy Valcke
Thema('s)
Rechten, notariaat en criminologische wetenschappen
Kernwoorden
Blockchain, blockchaintechnologie, general data protection regulation, GDPR, algemene verordening gegevensbescherming, AVG