"If you're not paying for the product, you are the product."
Waarom begin ik dit artikel met bovenstaand citaat? Omdat het duidelijk en accuraat de huidige internetomgeving beschrijft, waarin gewone internetgebruikers, vaak zonder het zelf te weten, zichzelf verkopen aan marketingbedrijven door gebruik te maken van platformen zoals Facebook en Google.
Waarom is dit onderzoek relevant? Misbruik van onze persoonsgegevens op het internet is brandend actueel. Cambridge Analytica misbruikte vorig jaar de gegevens van 81 miljoen facebookgebruikers en Google Home luistert ons af. Die privacyschendingen hebben me ertoe aangezet om een veiligere oplossing voor de bescherming van onze persoonsgegevens te zoeken in een al even actuele technologie, namelijk blockchain.
Ondertussen is de Algemene Verordening Gegevensbescherming, beter bekend als GDPR, in werking getreden. Getuige daarvan waren de talloze e-mails van internetdiensten in mei vorig jaar. Vaak wordt gesteld dat die wetgeving een domper zal vormen op de introductie van blockchaintechnologie in de EU. Blockchain is een veelzijdige technologie, met als bekendste voorbeeld cryptomunten, zoals Bitcoin. Maar het zou ook kunnen ingezet kunnen worden om internetdiensten zoals Facebook en Google onze grondrechten op privacy en gegevensbescherming, zoals deels neergelegd in de GDPR, volledig te laten respecteren. Dat zou ons, de gewone internetgebruiker, de controle moeten teruggeven over onze persoonsgegevens.
Wat is het doel van de masterscriptie? Controle over persoonsgegevens is van fundamenteel belang om effectief onze privacy te kunnen beschermen. De doelstelling van de masterscriptie is bijgevolg nagaan of blockchaintechnologie die controle kan verzekeren voor gewone internetgebruikers. Om realistisch te zijn, moet de technologie in overeenstemming zijn met de GDPR en zelfs kunnen faciliteren. We gaan dus na of het gebruik van blockchaintechnologie opportuun is in het Europese gegevensbeschermingssysteem.
Voor wie is het lezen van deze masterscriptie interessant? Deze masterscriptie kan interessant blijken voor iedereen die op het internet gebruikt en zich zorgen maakt over het gebruik van zijn persoonsgegevens, iedereen die geïnteresseerd is in hoe nieuwe technologie kan bijdragen tot een betere samenleving, blockchainontwikkelaars die persoonsgegevens verwerken of zullen verwerken, juristen die interesse tonen in de materie en graag een korte stand van zaken wensen en bovenal iedereen die interesse heeft in twee brandend actuele onderwerpen en niet akkoord gaan met de macht die centrale entiteiten zoals Google en Facebook op het internet uitoefenen.
Hoe ziet het onderzoek eruit? Het doel van de masterscriptie wordt in vijf stappen bereikt:
In het eerste deel zijn twee uitgangspunten van dit onderzoek beschreven, namelijk blockchaintechnologie en de GDPR. Dat deel wijst er ten eerste op dat blockchaintechnologie op veel verschillende manieren kan gebruikt worden, waaronder voor het beschermen van persoonsgegevens. De belangrijke begrippen en het juridische kader van de GDPR werden daarnaast ook verduidelijkt, met een nadruk op wat precies verwerking van en controle over persoonsgegevens inhoudt.
In deel twee zijn de mogelijkheden van blockchaintechnologie voor de gegevensbeschermingsproblematiek onderzocht. Eerst werd de raison d’être van een blockchainoplossing geformuleerd. Fundamenteel daar is de aard van de blockchain, die een aantal eigenschappen bevat om de macht bij de klassieke centrale entiteiten te kunnen wegnemen en aan de gewone internetgebruiker terug te geven. Daarna heb ik een technisch model voorgesteld voor zo’n specifieke oplossing, dat voldoende ruimte laat voor ontwikkelaars maar toch toegespitst is op de vereisten in de huidige en toekomstige samenleving. Ten slotte is op juridisch vlak nagegaan waarom we voor zo’n blockhainoplossing moeten kiezen. Daar werd het duidelijk dat de technologie drie rechten zonder veel moeite kan faciliteren, wat goed is voor de controle door de gewone internetgebruiker.
Vervolgens zijn de punten waar blockchain en de GDPR botsen besproken. Ten eerste is er het zogenaamde recht op gegevenswissing, dat in contrast staat met de eigenschap van onveranderlijkheid bij blockchain. Dat probleem kan echter worden opgelost op een blockchaintechnische manier. Ook het tweede probleem is niet onoverkomelijk, namelijk de rol van verwerkingsverantwoordelijke. Dat is een begrip uit ons gegevensbeschermingssysteem dat duidt op de persoon die eindverantwoordelijke is voor de verwerking en als aanspreekpunt dient voor de betrokkene wiens gegevens verwerkt worden. Die verantwoordelijke is moeilijk aan te duiden in een blockchaincontext omdat er geen centrale entiteit de leiding heeft. Toch is ook daar een oplossing voor te vinden, afhankelijk van het type blockchain dat gebruikt wordt.
De bedoeling van het vierde deel is het toetsen van de theoretische bevindingen aan de praktijk. Het Sovrin-project is specifiek gecreëerd om in de bescherming van persoonsgegevens te voorzien. Dat project wordt besproken en afgetoetst aan de theoretische bevindingen die eerder in de scriptie werden blootgelegd. De conclusie daar is dat de theorie en de praktijk nauw bij mekaar aansluiten. Het is zelfs mogelijk voor een blockchainoplossing om in nog sterkere gegevensbescherming te voorzien dan gedacht in de theoretische beschouwing.
Het laatste deel van de masterscriptie weegt de voor-en nadelen af van blockchaintechnologie voor de controle door de gewone internetgebruiker over diens persoonsgegevens. We zien daar dat de afweging positief is voor de technologie, maar ze nog te jong is om definitieve conclusies te trekken. Daarnaast geeft het laatste hoofdstuk een aantal best practices voor blockchainontwikkelaars bij de verwerking van persoonsgegevens.
Wat is het resultaat van het onderzoek? De masterscriptie toont aan dat het wel degelijk een goed idee is om blockchaintechnologie in te zetten om de gegevens van internetgebruikers beter te beschermen en de gebruikers zelf de controle over hun persoonsgegevens te geven. De technologie is uitermate geschikt om de gecentraliseerde aard van het internet rond grote platformen te veranderen, om zo monumentale privacy- en gegevensbeschermingsschendingen zoals bij Cambridge Analytica en Google Home in de toekomst te vermijden.
WETGEVING
Art. 8 EVRM.
Art. 8 Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens van 28 januari 1981, BS 30 december 1993, 29.024.
Art. 8 Handvest van de grondrechten van de europese unie, Pb. L. 26 oktober 2012, afl. 326, 391.
Art. 1, 11, lid 2 VEU.
Artt. 15, 16 VWEU.
Richtlijn 95/46/EG van het europees parlement en de raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb. L. 23 november 1995, afl. 281, p. 31.
Verordening (EU) 2016/679 van het europees parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), Pb. L. 27 april 2016, afl. 119, 1.
Aanbevelingen van de EDPS betreffende de opties van de EU voor hervorming van de gegevensbescherming, Pb. L. 12 september 2015, afl. 301, 1.
Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993.
Art. 280 Wet 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, BS 5 september 2018, 68616.
RECHTSPRAAK
EHRM 7 juli 1989, nr. 10454/83, ECLI:CE:ECHR:1989:0707JUD001045483, Gaskin/Verenigd Koninkrijk.
EHRM 13 februari 2003, nr. 42326/98, ECLI:CE:ECHR:2003:0213JUD004232698, Odièvre/Frankrijk.
EHRM 28 april 2009, nr. 32881/04, ECLI:CE:ECHR:2009:0428JUD003288104, K.H. e.a./Slovakije.
EHRM 25 september 2012, nr. 3783/09, ECLI:CE:ECHR:2012:0925JUD003378309, Godelli/Italië.
HvJ 6 november 2003, C-101/01, ECLI:EU:C:2003:596, Bodil Lindqvist.
HvJ 13 mei 2014, nr. C-131/12, ECLI:EU:C:2014:317, Google Spain.
RECHTSLEER
Boeken en dergelijken
BACON, MICHELS, J. D., MILLARD, C. en SINGH, J., Blockchain demistified, Londen, Queen Mary University of London, 2017, 53 p.
COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES, Premiers éléments d’analyse de la CNIL sur la blockchain, Parijs, Commission Nationale de l’Informatique et des Libertés, 2018, 11 p.
DRESCHER, D., Blockchain basics: a non-technical introduction in 25 Steps, Frankfurt am Main, Apress, 2017, 255 p.
EDPS ETHICS ADVISORY GROUP, Report 2018, Brussel, Edit Directorate, 2018, 36 p.
EU BLOCKCHAIN OBSERVATORY AND FORUM, Blockchain and the GDPR, Brussel, EU Blockchain Observatory and Forum, 2018, 36 p.
EU BLOCKCHAIN OBSERVATORY AND FORUM, Blockchain innovation in europe, Brussel, EU Blockchain Observatory and Forum, 2018, 25 p.
EUROPEAN DATA PROTECTION SUPERVISOR, Annual report 2016, Luxemburg, Publications Office of the European Union, 2017, 73 p.
EUROPEAN DATA PROTECTION SUPERVISOR, Annual report 2017, Luxemburg, Publications Office of the European Union, 2017, 84 p.
EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS, Handbook on european data protection law, Luxemburg, Publications Office of the European Union, 2018, 397 p.
IBÁÑEZ, D., O’HARA, K. en SIMPERL, E., On blockchains and the general data protection regulation, Southampton, University of Southampton, 2018, https://eprints.soton.ac.uk/422879/1/BLockchains_GDPR_4.pdf.
LIMA, C., “How decentralised blockchain internet will comply with GDPR data privacy”, X, juni 2018, laatst geraadpleegd op 21 maart 2019, https://blockchain.ieee.org/images/files/pdf/blockchain-gdpr-privacy-by-design.pdf.
LYNSKEY, O., The foundations of EU data protection law, New York, Oxford University Press, 2015, xxiv + 307 p.
MAXWELL, W. en SALMON, J., A guide to blockchain, Brussel, Hogan Lovells LLP, 2017, 24 p.
PISCINI, E., DALTON, D. en KEHOE, L., Blockchain & cybersecurity. Let’s discuss, Dublin, Deloitte, 2017, 14 p.
SAVIN, A., EU internet law, Cheltenham, Edward Elgar Publishing, 2017, 360 p.
SCHRIER, D., WU, W. en PENTLAND, A., Blockchain & infrastructure (identity, data security), Massachusetts, Massachusetts Institute of Technology, 2016, 19 p.
SIMAL, J., Blockchain en privacy: een onderzoek naar de verzoenbaarheid van blockchaintechnologie met de GDPR, onuitg. masterproef Rechten KU Leuven, vii + 58 p.
SOVRIN FOUNDATION, Sovrin: a protocol and token for self-sovereign identity and decentralised trust, Provo, Sovrin Foundation, 2018, 42 p.
SUSTRONCK, O., Praktijkboek internetrecht, Mechelen, Wolters Kluwer, 2017, 235 p.
TREIBLMAIER, H. en BECK, R., Business transformation through blockchain, II, Cham, Springer, 2019, xxviii + 362.
VANDERDONCKT, L., Decentralising the GDPR: an analysis of distributed ledger technology against ratio legis of the GDPR, onuitg. masterproef rechten KU Leuven, 2018, vi + 51 p.
WERKGROEP GEGEVENSBESCHERMING ART.29 (WP29), Guidelines on the implementation of the court of justice of the european union judgement on “Google Spain and INC v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” C-131/12, 26 november 2014, 14/EN WP 225, 20 p.
WERKGROEP GEGEVENSBESCHERMING ART.29 (WP29), Opinion 01/2010 on the concepts of “controller” and “processor”, 6 februari 2010, 00264/10/EN WP 169, 33 p.
WERKGROEP GEGEVENSBESCHERMING ART.29 (WP29), Opinion 05/2014 on anonymisation techniques, 10 april 2014, 0829/14/EN WP 216, 5.
WERKGROEP GEGEVENSBESCHERMING ART.29 (WP29), Richtsnoeren inzake transparantie overeenkomstig verordening 2016/679, 29 november 2017, 17/NL WP 260, 47 p.
WIRTH, C. en KOLAIN, M., Privacy by blockchain design: a blockchain-enabled GDPR-compliant approach for handling personal data, Amsterdam, European Society for Socially Embedded Technologies, 2018, 7 p.
XU, X., WEBER, I. en STAPLES, M., Architecture for blockchain applications, Cham, Springer, 2019, xxii + 305 p.
Tijdschriftartikels
ALBRECHT, J. P., “How the GDPR will change the world”, European Data Protection Law Review 2016, 287-289.
BERBERICH, M. en STEINER, M. “Blockchain technology and the GDPR – how to reconcile privacy and distributed ledgers”, European Union Data Protection Law Review 2016, 422-426.
DALMACIO POSADAS, V., “The internet of things: the GDPR and the blockchain may be incompatible”, Journal of Internet Law 2017-18, afl. 11, 21-29.
DE JONGHE, D. en LAAN, V. I., “Blockchain in de realiteit”, Computerrecht 2017, 251-260.
FINCK, M., “Blockchains and data protection in the european union”, European Data Protection Law Review 2017, 17-35.
FINCK, M., “Blockchains: regulating the unknown”, German Law Journal 2018, 665-686.
HERIAN, R., “Regulating disruption: blockchain, GDPR, and questions of data sovereignty” Journal of Internet Law 2018-19, afl. 2, 7-16.
HRISTOV, P. en DIMITROV, W., “The blockchain as a backbone of GDPR compliant frameworks”, Quality-access to success 2019, 305-310.
JO PESCH, P. en SILLABER, S., “Distributed ledger, joint control? – Blockchain and the GDPR’s transparency requirements” Computer Law Review International 2017, 166-172.
KROEKS-DE RAAIJ, C.C.M., WESTERDIJK, R.J.J., en ZWENNE, G.J., “De algemene verordening gegevensbescherming”, Tijdschrift voor Internetrecht 2016, 50-58.
LAAN, V. I. en RUTJES, A., “Privacy-issues bij blockchain: hoe voorkom of minimaliseer je die?”, Computerrecht 2017, 253-263.
MARIËN, S., “Blockchain en GDPR op ramkoers?”, datanews 2018, 32-35.
MILLARD, C., “Blockchain and law: incompatible codes?”, Computer Law & Security Review 2018, 843-846.
MOEREL, L., “Blockchain & data protection … and why they are not on a collision course, European Review of Private Law 2019, 825-851.
NOFER, M., GOMBER, P., HINZ, O. en SCHIERECK, D., “Blockchain”, Business & Information Systems Engineering 2017, 183-187.
OLLY, J., “Is it possible to comply with GDPR using blockchain?” International Financial Law Review 2 mei 2018, 1-2
POULLET, Y. en JACQUEMIN, H., “Blockchain: une révolution pour le droit?” JT 2018, (801) 808-809.
VAN DE MEULEBROUCKE, A., “De algemene verordening gegevensbescherming”, RW 2015, 1562.
VERHELST, E. W., “Blockchain aan de ketting van de algemene verordening gegevensbescherming?”, Privacy & informatie 2017, 17-23.
ZETZSCHE, D., BUCKLEY, R., en ARNER, D., “The distributed liability of distributed ledgers: legal risks of blockchain”, University of Illinois Law Review 2018, 1361-1406.
ZYSKIND, G., NATHAN, O. en PENTLAND, A., “Decentralising privacy: using blockchain to protect personal data”, Security and Privacy Workshops 2015, 180-184.
Internetartikels en blogs
ARCHER SOFT, “The right to be forgotten (GDPR) vs blockchain technology, New York, 7 juni 2018, laatst geraadpleegd op 26 november 2018, http://www.archer-soft.com/en/blog/right-be-forgotten-gdpr-vs-blockchain-technology.
AUTORITEIT PERSOONSGEGEVENS, “Controle over je data”, Den Haag, 2018, laatst geraadpleegd op 1 november 2018, https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/controle-over-je-data.
BLOCKCHAINHUB, “Identity as a bottleneck for blockchain, Berlijn, 17 oktober 2017, laatst geraadpleegd op 2 november 2018, https://blockchainhub.net/blog/blog/decentralized-identity-blockchain/.
BURCHETT, C., “How to fight the coming quantum decryption threat”, San Diego, 12 juli 2018, laatst geraadpleegd op 9 april 2019, https://www.enterprisetech.com/2018/07/12/how-to-fight-the-coming-quantum-data-decryption-threat/.
CALLAHAN, M. A., “How blockchain can be used to secure sensitive data storage”, State City, 7 november 2017, laatst geraadpleegd op 30 oktober 2018, http://www.dataversity.net/blockchain-can-used-secure-sensitive-data-storage/.
COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER, “Duiding bij de privacywet”, Brussel, 2018, laatst geraadpleegd op 27 maart 2018, https://www.privacycommission.be/nl/duiding-bij-de-privacywet.
CZARNECKI, J., “Blockchain and personal data protection regulations explained”, New York, 26 april 2017, laatst geraadpleegd op 22 november 2018, https://www.coindesk.com/blockchains-personal-data-protection-regulations-explained.
EUR-LEX, “Document 32016R0679”, Brussel, s.d., laatst geraadpleegd op 6 februari 2019, https://eur-lex.europa.eu/legal-content/NL/HIS/?uri=celex:32016R0679.
GEGEVENSBESCHERMINGSAUTORITEIT, “Behoud de controle over jouw gegevens!”, Brussel, 2018, laatst geraadpleegd op 21 november 2018, https://www.gegevensbeschermingsautoriteit.be/algemene-verordening-gegevensbescherming-burger.
JENSEN, G., “Reconciling GDPR rightbs to erasure and rectification of personal data to blockchain”, Californië, 16 juli 2018, laatst geraadpleegd op 17 november 2018, https://blogs.oracle.com/cloudsecurity/reconciling-gdpr-rights-to-erasure-and-rectification-of-personal-data-with-blockchain.
MEYER, D. “Blockchain technology is on a collision course with EU privacy law, Porthsmouth, 27 februari 2018, laatst geraadpleegd op 11 november 2018, https://iapp.org/news/a/blockchain-technology-is-on-a-collision-course-with-eu-privacy-law/.
Andere
DUTCH LAW ENCYCLOPEDIC DICTIONARY, “Encryptie”, X, 2018, laatst geraadpleegd op 9 april 2019, https://www.juridischwoordenboek.nl/zoek/encryptie.
EUROPESE COMMISSIE, “Blockchain technologies”, Brussel, 2018, laatst geraadpleegd op 11 maart 2019, https://ec.europa.eu/digital-single-market/en/blockchain-technologies.
FRANKENFIELD, J., “Off-chain transactions (cryptocurrency)”, New York City, 10 april 2018, laatst geraadpleegd op 9 april 2019, https://www.investopedia.com/terms/o/offchain-transactions-cryptocurrency.asp.
HUYGHEBAERT, P., “Groot Facebooklek: bedrijf van bannon maakte gegevens van 50 miljoen mensen buit”, Brussel, 17 maart 2018, laatst geraadpleegd op 24 maart 2018, https://www.vrt.be/vrtnws/nl/2018/03/17/facebook--schorst--bedrijf-cambridge-analytica-dat-voor-trump-ca/.
LEE, T.B., “Facebook’s cambridge analytica scandal, explained”, Californië, 20 maart 2018, laatst geraadpleegd op 22 maart 2018, https://arstechnica.com/tech-policy/2018/03/facebooks-cambridge-analytica-scandal-explained/.
MARR, B., “30+ real examples of blockchain technology in practice”, Jersey City, 14 mei 2018, laatst geraadpleegd op 17 maart 2019, https://www.forbes.com/sites/gradsoflife/2019/03/04/to-end-the-ever-growing-skills-gap-employers-must-change-their-outdated-hiring-practices/#44329de62d16
MEYER, R. “My facebook was breached by cambridge analytica. Was yours?”, Washington D.C., 10 april 2018, laatst geraadpleegd op 30 april 2018, https://www.theatlantic.com/technology/archive/2018/04/facebook-cambridge-analytica-victims/557648/.
SOVRIN FOUNDATION, “Sovrin governance framework V2 master document”, Provo, 31 oktober 2018, laatst geraadpleegd op 15 maart 2019, https://docs.google.com/document/d/1WqUOqdTBc3JACIlRviJoWJRcJHTNTNzk9_As9v-jwrY/edit.
SOVRIN FOUNDATION, Sovrin: a protocol and token for self-sovereign identity and decentralised trust, Provo, Sovrin Foundation, 2018, 42 p.
SOVRIN FOUNDATION, The technical foundations of sovrin, Provo, Sovrin Foundation, 2016, 25 p.
SOVRIN FOUNDATION, Sovrin: what goes on the ledger, Provo, Sovrin Foundation, 2018, 11 p.
VAN DALE UITGEVERS, “Controle”, Utrecht, 2018, laatst geraadpleegd op 1 november 2018, https://www.vandale.nl/gratis-woordenboek/nederlands/betekenis/controle#.W9sXI5NKhPY.
WINDLEY, P., “How sovrin works”, 3 oktober 2016, laatst geraadpleegd op 15 maart 2019, http://www.windley.com/archives/2016/10/how_sovrin_works.shtml.
ZYSKIND, G., “2018: When privacy and decentralization collided”, New York, 8 januari 2019, laatst geraadpleegd op 17 maart 2019, https://www.coindesk.com/2018-when-privacy-and-decentralization-collided.