Privacy, de AVG en blockchain, een combinatie die werkt?
Je kunt geen krant meer openslaan, of op BNR of Tegenlicht afstemmen, of het gaat over privacy. En dan in het bijzonder de aankomende Algemene Verordening Gegevensbescherming (AVG). Voor de verandering gaat deze blog daar niet over. Ik zou graag de connectie maken van privacy naar de blockchaintechnologie…zo’n andere ‘hype’.
Blockchain is meer dan bitcoin, etherium, neo of andere crypto currencies. “Het is de toekomst!”, althans als je de gemiddelde innovatie goeroe mag geloven. Een blockchain is een soort grootboek, waarin alle transacties zijn opgenomen in ‘blocks’. Alle deelnemers beschikken allemaal over eenzelfde kopie van het grootboek. Elke keer dat een nieuwe transactie in de blockchain plaatsvindt, wordt deze geverifieerd door te controleren of de transactie juist is en terug te herleiden is tot de eerste transactie (‘block’). De data die in de blockchain zijn ingevoerd kunnen niet meer worden veranderd, althans niet zonder de instemming van alle deelnemers in de keten. Het voordeel hiervan is dat de authenticiteit is gewaarborgd. Dit betekent overigens niet dat alle data (binnen de transactie) zichtbaar zijn, het gaat vooral om de transactie en niet zozeer de inhoud daarvan.
Dat er hele mooie projecten rondom persoonsgegevens met blockchain kunnen worden gerealiseerd, bewijst Tykn. Zij hebben het project ZINC (Zero INvicible Children) gelanceerd met als doel om kinderen in vluchtelingenkampen waar ook ter wereld een identiteit te geven. Door het ‘geboortecertificaat’ op de blockchain te laten zetten, zijn er geen omslachtige registratieprocedures nodig, kunnen bombardementen geen officiële documenten vernietigen en hebben deze kinderen nooit als geboorteplaats ‘onbekend’ in hun paspoort staan, zoals het geval is bij de founder van Tykn.
Een meer commerciële toepassing heeft Faktor, een andere Nederlandse startup. Via hun toepassing kun je een profiel met naam, geslacht, e-mailadres en leeftijd opslaan op de blockchain. Het profiel wordt vervolgens enkel gedeeld met adverteerders waarvoor jij toestemming hebt gegeven. Deze data kan niet onjuist zijn, want je bent zelf degene die de data invoert/aanlevert en tevens degene die bepaalt welke data wordt doorgegeven en aan wie. Wanneer je dit breder trekt, zou je hiermee ook paspoortaanvragen kunnen doen of een ziekenhuis toestemming kunnen geven jouw medisch dossier in te zien.
Klinkt goed in eerste instantie. Echter, de transparante, onomkeerbare en gedecentraliseerde karaktertrekken van blockchain werpen ook de vraag op of deze technologie niet in strijd is met privacy wet- en regelgeving? Voor de duidelijkheid, de omstandigheid dat de gegevens versleuteld zijn, betekent nog niet dat daarmee de AVG niet meer toepasselijk is. Pas wanneer sprake is van anonieme data (de betrokkene niet of niet meer te identificeren is), is de privacywetgeving niet meer van toepassing. Versleuteling is namelijk een vorm van pseudonimisering en volgens de AVG is pseudonimiseren niet hetzelfde als anonimiseren.
De achterliggende gedachte van de AVG is de consument de controle op zijn of haar persoonsgegevens (terug) te geven. De geïnformeerde en ondubbelzinnige toestemming, de verantwoordingsplicht van de verwerkingsverantwoordelijke, rekening houden met de rechten van betrokkenen, zoals het recht op inzage, correctie en verwijdering, maar ook het recht op gegevensoverdraagbaarheid. Het zijn slechts een paar beginselen uit de AVG en in relatie tot blockchain roepen ze al direct een aantal praktische vragen op:
- Wat als mijn e-mailadres wijzigt, of ik mijn toestemming (deels) wil intrekken?
- Hoe verhoudt zich dat tot het onomkeerbare karakter van blockchain?
- Hoe weet de blockchain dat ik ben wie ik zeg dat ik ben en dat ik geautoriseerd ben om mijn profiel te delen? Immers, je moet nog steeds via de oude (en inbreukgevoelige) methode inloggen, met een naam en wachtwoord.
- Welke partij moet worden aangemerkt als ‘verwerkingsverantwoordelijke’ zonder het bestaan van een centrale organisatie?
Het lastige bij gecompliceerde wetgeving, zoals ook de AVG, is dag deze veelal al achterhaald is voor inwerkingtreding. De snelheid van nieuwe geavanceerde technologieën is enorm hoog en bij de Europese Commissie (EC) zitten natuurlijk ook niet alleen maar ‘techies’. Persoonlijk heb ik meer het beeld van het Amerikaanse Senaatslid voor me die Facebook oprichter, Mark Zuckerberg – na het data incident met Cambridge Analytics – vroeg, ‘how do you sustain a business model in which users don’t pay for your service?
Kortom, het vinden van een juiste balans tussen privacy en blockchain, zal ongetwijfeld een van de grootste uitdagingen zijn van de komende jaren. In alle eerlijkheid geloof ik niet dat blockchain het antwoord heeft of is op het privacy probleem, in ieder geval niet in de huidige vorm. Als blockchain inderdaad de volgende revolutie sinds het Internet is, dan ontkomt de wetgever er bijna niet aan om hier nieuwe, aanvullende regels voor op te gaan stellen, of ontkomen wij er niet aan om – net als voor het gebruik van het Internet – toch een stukje privacy in te leveren.
Het laatste woord is hier nog niet over gezegd. Ben je zelf actief op het gebied van blockchain en/of persoonsgegevens en wil je eens vrijblijvend met ons van gedachten wisselen? Aarzel dan niet om mij te contacten!
Chantal Bakermans is gespecialiseerd op het gebied van privacy, IT en intellectuele eigendom en bereikbaar per email (c.bakermans@penrose.law) of telefonisch via: 020-240 0710.