Data controller: de uitvoering van de GDPR wetgeving binnen blockchains

door op met Geen reacties

Van blockchaintechnologie en andere opkomende geavanceerde decentrale gedistribueerde netwerken, wordt beweerd dat zij de online veiligheid en transparantie zullen vergroten, omdat alle vastgelegde informatie binnen deze digitale ecosystemen in principe onveranderbaar is. De technologische ontwikkelingen gaan snel en daarom neemt de Europese Unie een aantal stappen om de privacyrechten van EU burgers beter te gaan beschermen. Vanaf 25 mei 2018 geldt overal binnen de Europese lidstaten de zogenaamde General Data Protection Regulation (GDPR). In deze wet is bepaald hoe bedrijven, instellingen en verenigingen moeten omgaan met persoonlijke gegevens van klanten, leveranciers, medewerkers, leden en van alle andere personen van wie persoonlijke informatie wordt verwerkt binnen die systemen.

GDPR, social media, Iphone, social media, GDPR, data controller.

Gegevensverwerking moet beter aansluiten op technologische ontwikkelingen

Het begrip “persoonlijke gegevens” is erg breed en draait eigenlijk om alle informatie die gekoppeld is aan een identificeerbaar persoon. Ook persoonlijke data die is geëncrypteerd binnen een blockchain valt hier dus onder. De GDPR moet ervoor zorgen dat het verwerken van persoonlijk data beter aansluit op nieuwe technologische ontwikkelingen en inzicht geven in wie toegang heeft tot welke gevoelige informatie en wie niet. Uiteraard zal dat in de praktijk nog een hele lastige klus zijn. De nieuwe privacywet geeft burgers van de Europese Unie het recht om persoonlijke informatie te verwijderen, op het moment dat die gegevens niet meer nodig zijn voor het oorspronkelijke doel. Verzoeken van burgers tot verwijdering van persoonlijke gegevens, dienen dan ook direct te worden opgevolgd.

Databescherming, GDPR, data controller.

De data controller is verantwoordelijk voor de naleving van de GDPR

Daarnaast krijgen mensen het recht om een aanpassing van foutieve informatie te eisen als dat noodzakelijk blijkt. Ook kunnen EU burgers alle organisaties zoals bedrijven, overheden en verenigingen manen om de gegevensverwerking te beëindigen, wanneer de nauwkeurigheid van de persoonlijke data wordt betwist. Het organiseren van privacyrechten op decentrale gedistribueerde netwerken zal een stuk lastiger blijken dan dat dat bij “centrale” platformen het geval is. Blockchainnetwerken kunnen openbaar zijn zoals Bitcoin en Ethereum (iedereen kan gebruikmaken van deze grootboeken), maar er zijn ook gesloten blockchains waarbij sprake is van een data controller die verantwoordelijk is voor de naleving van de General Data Protection Regulation (GDPR). Bij een openbaar blockchainnetwerk is eigenlijk iedere individuele gebruiker of organisatie die persoonlijke data toevoegt aan de blockchain, zelf data controller en in principe dus ook zelf verantwoordelijk voor de naleving van de GDPR wetgeving.

Data protection

Header en geëncrypteerde inhoud

Evenzo fungeert iedere node binnen zowel openbare als gesloten (permissioned) blockchains op zijn minst als een data processor en kan ook de functie hebben van data controller. Blokken binnen een blockchain bestaan voornamelijk uit een “header” en geëncrypteerde inhoud. Bij een openbare blockchain kan iedereen de header bekijken. Bij gesloten blockchains kan dat anders geregeld zijn en kan vooraf zijn bepaald, wie welke onderdelen van een transactie mag bekijken en wie niet. De blockchain wordt aangeduid als een “bron van vertrouwen” omdat de blokken binnen de ketting eenvoudigweg niet kunnen worden veranderd of verwijderd. Dit roept ten aanzien van de invoering van de GDPR natuurlijk direct een aantal hele belangrijke vragen op. Want als een blok binnen het netwerk niet zomaar kan worden aangepast, hoe kunnen consumenten dan verzoeken tot een aanpassing of zelf verwijdering van hun persoonlijke gegevens?

Iphone key, GDPR, data controller.

 

Blockchaintechnologie en de GDPR met elkaar verzoenen

Het is dus erg lastig om blockchaintechnologie en de Europese GDPR met elkaar te verzoenen. De data controller is aansprakelijk voor het controleren van de toegangsrechten tot de netwerken en de verspreiding en juiste verwerking van persoonlijke informatie. Een juiste verwerking van persoonlijke data bij gesloten blockchains lijkt mij al zeer ingewikkeld, maar het lijkt me ten aanzien van openbare blockchainnetwerken bijna onhaalbaar. De data controller moet beschikken over een “geschreven” overeenkomst waarin de voorwaarden voor gegevensverwerking bepaald zijn. Dat betekent dat iedere eigenaar van iedere node binnen het blockchainnetwerk, over die overeenkomst moet beschikken.

Blockchain, GDPR, data contoller.

Off-chain opslag van persoonlijke gegevens

Als een consument, een leverancier, een medewerker of een clublid informatie binnen een blockchain zou willen aanpassen of zelfs volledig zou willen verwijderen dan zijn er een aantal mogelijke oplossingen. Bepaalde persoonlijke informatie zou buiten de blockchain kunnen worden opgeslagen (off-chain opslag van gegevens). In dat geval wordt data buiten het netwerk geplaatst en wordt er alleen een link naar die persoonlijke data binnen de blockchain geïntegreerd. Iedere gebruiker zou dan zijn of haar persoonlijke gegevens kunnen verwijderen zonder de blockchain te “breken”. Echter heeft deze aanpak wel gevolgen voor de vele voordelen die decentrale gedistribueerde netwerken met zich meebrengen, zoals bijvoorbeeld veiligheid.

ID, persoonlijke gegevens, GDPR.

Een zwarte lijst van persoonlijke data

Daarnaast zouden er processen kunnen worden ingebouwd die ervoor zorgen dat persoonlijke gegevens permanent ontoegankelijk kunnen worden gemaakt. Er wordt dan als het ware een zwarte lijst aangemaakt van persoonlijke data die voor niemand meer beschikbaar is. Of deze oplossingen in de praktijk ook echt toegepast kunnen worden, dat is nog maar moeilijk in te schatten. Echter zullen blockchainontwikkelaars rekening moeten houden met de strenge GDPR wetgeving, bij het creëren van hun decentrale gedistribueerde applicaties en dat zal niet gemakkelijk zijn!

 

Op de website van de Autoriteit Persoonsgegevens vind je alle informatie omtrent de nieuwe GDPR.

 

Op de hoogte blijven van de ontwikkelingen op het gebied van blockchaintechnologie? Meld je dan nu aan voor de blogpost!

 

Meld je aan voor de blogpost!
Ik ga ermee akkoord dat mijn naam en e-mailadres worden gedeeld met Mailchimp.
Met de blogpost van Uitleg Blockchain blijf je automatisch op de hoogte van de nieuwste ontwikkelingen omtrent de blockchain technologie.
We hebben een hekel aan spam. Uw e-mailadres zal niet worden verkocht of gedeeld met anderen (afgezien van het marketing automation platform dat wij gebruiken voor onze e-maillijst).

Laat een reactie achter