GPDR
Het transparante karakter van open blockchainnetwerken lijkt enorm in strijd te zijn met onze Europese privacywetgeving. Maar is dat eigenlijk wel zo? In 2018 werd overal binnen de Europese Unie de nieuwe Algemene verordening gegevensbescherming (AVG) ingevoerd. De zogenaamde General Data Protection Regulation (GDPR). Voor deze datum hanteerde alle lidstaten van de EU nog allemaal hun eigen nationale privacywetgeving, die gebaseerd was op de Europese privacyrichtlijn uit 1995. Door de invoering van de GDPR kregen bedrijven en andersoortige organisaties meer verplichtingen om de privacy van Europese burgers te waarborgen. Iedere onderneming moest vanaf dat moment in principe altijd aantoonbaar kunnen maken, da de wet ten aanzien van persoonsgegevens ook daadwerkelijk op de juiste manier wordt nageleefd. Privacy is een basisrecht van iedere Europese burger en daarom moeten organisaties (zowel in de publieke als de private sector) exact op de hoogte zijn van de nieuwe privacyregels. Daarnaast moet iedere organisatie zich bewust zijn van de grondrechten, van de mensen van wie zij de persoonsgegevens verwerken.
Dataportabiliteit
Naast de al reeds bestaande rechten op het gebied van privacy, zoals het recht op inzage in persoonsgegevens en het recht op aanpassing of verwijdering van persoonlijke informatie, kwamen er ook een aantal belangrijke rechten bij. Eén van die nieuwe rechten is de zogenaamde “dataportabiliteit”, waarbij mensen hun persoonsgegevens eenvoudig kunnen opvragen en doorgeven aan andere organisaties wanneer dat gewenst is.
Data Protection Impact Assement
Iedereen kan bij de Autoriteit Persoonsgegevens een klacht indienen als de privacy op een of andere manier niet wordt gerespecteerd en er op een onzorgvuldige manier met persoonlijke gegevens wordt omgesprongen. Bedrijven moeten daarom precies in kaart brengen welke persoonlijke gegevens van mensen zij verwerken en waarom zij juist die specifieke informatie nodig hebben. Daarnaast moet duidelijk zijn hoe organisaties precies aan die gegevens komen en met wie deze informatie precies wordt gedeeld. Een andere verplichting voor organisaties is het vooraf bepalen wat de exacte risico’s zijn, van de verwerking van persoonsgegevens binnen hun bedrijven. In gevallen waar blijkt dat er een hoog risico is voor misbruik van de gegevens, moet er meestal een zogenaamde Data Protection Impact Assement (DPIA) worden uitgevoerd. Deze DPIA geeft inzicht in de risico’s en stelt organisaties in staat om de juiste maatregelen te treffen, om de risico’s van datamisbruik zo klein mogelijk te maken.

Privacy by design
Met nieuwe opkomende technologieën zoals de blockchain ontstaan er nieuwe vormen van data-overdracht van privacygevoelige informatie. “Privacy by design” betekent dat iedere organisatie al tijdens de ontwikkelingsfase van nieuwe technologieën – zoals blockchainnetwerken – voldoende rekening moet houden met de privacy van mensen. Dat wil zeggen: nog vóórdat de producten of diensten op de markt komen, moet de privacy kunnen worden gewaarborgd. Ook moeten bedrijven zorgen voor dataminimalisatie, waarbij alleen de data wordt gebruikt die ook écht nodig is voor de bedrijfsvoering. Met privacy by design wordt een verantwoorde dataverwerking in principe technisch afgedwongen. Daarnaast mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk is.
Privacyschending door Facebook en Cambridge Analytica
In onze huidige samenleving wordt vaak zeer onverantwoord omgegaan met persoonsgegevens. Niet alleen door commerciële bedrijven, maar ook overheidsorganisaties gaan vaak de fout in. De komende jaren zal de hoeveelheid privacygevoelige data in rap tempo toenemen en daarom is een veilige datadistributie noodzakelijk, om de privacy van mensen te kunnen waarborgen. Dat bedrijven het niet altijd zo nauw nemen met het privacy-grondrecht dat zagen we in maart 2018, toen bleek dat de gegevens van meer dan 50 miljoen Facebook-gebruikers waren gestolen door Cambridge Analytica, een Amerikaanse dochterorganisatie van een Britse onderneming, die zich voornamelijk bezighield met allerlei vormen van data-analyses en het ontwikkelen van marketingstrategieën. De wijze waarop Cambridge Analytica met privacy omging is in de EU streng verboden. De persoonsgegevens van deze 50 miljoen Facebook-gebruikers werden naar verluidt gebruikt om de Amerikaanse verkiezingen in 2016, op allerlei manieren te beïnvloeden. De persoonlijke data werd dus gebruikt om het democratische proces op een zeer inventieve manier te verstoren.
Blockchain en de EU privacywetgeving
Wat sociale media zoals Facebook, Twitter, Instagram en Tik Tok precies met de persoonlijke data van personen doen is erg onduidelijk. Gebruikers van deze platformen hebben geen enkele controle over wat er met hun persoonlijke informatie gebeurt. De komende jaren zal die dataverzameling alleen nog maar verder toenemen. Daarom is het belangrijk dat er veel zorgvuldiger met privacygevoelige informatie wordt omgegaan. De ontwikkeling van blockchaintoepassingen staat nog maar in de kinderschoenen, maar deze decentrale gedistribueerde netwerken gaan straks misschien wel op grote schaal eigendommen, landregistraties en identiteitstoepassingen vastleggen. Dat werpt de vraag op: botst dat dan niet met de Europese privacy wetgeving?
Ingebouwd vertrouwen
Een blockchain is in wezen een gedeeld grootboek, waarin alle voorgaande transacties zijn opgenomen. Alle transacties worden door computernodes binnen het netwerk gesynchroniseerd. Deze computers beschikken allemaal over eenzelfde kopie van die informatie. Alle data die in de blockchain wordt vastgelegd kan niet meer worden veranderd. De transactie-informatie is permanent in het netwerk opgenomen. Dat houdt automatisch in dat ook foutieve persoonlijke informatie niet meer kan worden gewijzigd. De onveranderbaarheid van de transacties is het unieke element, dat van de blockchain een veilige digitale infrastructuur maakt en zorgt voor het ingebouwde vertrouwen, ten aanzien van iedere activiteit binnen het netwerk. Echter kan deze foutieve permanente opslag van gegevens ook zorgen voor ernstige problemen. Volgens de Algemene verordening gegevensbescherming, moet er dan ook altijd een mogelijkheid zijn om persoonlijke gegevens en andere data, altijd te kunnen aanpassen of te verwijderen wanneer dat gewenst is.
3 soorten blockchains
Er zijn 3 soorten blockchainnetwerken. In de eerste plaatst de zogenaamde open blockchains waaraan iedereen zijn of haar bijdrage kan leveren. Voorbeelden hiervan zijn Bitcoin, Ethereum en Hyperledger. Bij deze ‘permissionless‘ blockchains heeft niemand de controle. Daarnaast kennen we de ‘permissioned‘ blockchainnetwerken, die ook wel worden aangeduid als private blockchains. De Corda blockchain en Ripple zijn daar voorbeelden van. Deze private blockchains richten zich voornamelijk op financiële toepassingen. Private blockchains staan onder controle van een beperkte groep gebruikers. Daarmee zijn permissioned blockchains minder gedecentraliseerd, dan permissionless blockchainnetwerken. De derde soort blockchain is een hybride vorm tussen open en private blockchains.
De uitvoering van een hard fork is controversieel
Technisch gezien is het mogelijk om data op een blockchain te herschrijven. Dat kan door het uitvoeren van een zogenaamde ‘hard fork‘. Bij een hard fork wordt ingegrepen in het digitale ecosysteem en ontstaat er een nieuwe versie van die desbetreffende blockchain. Een versie waarin de aangebrachte veranderingen zijn doorgevoerd. Het uitvoeren van een hard fork op een private permissioned blockchain, is eenvoudiger dan het uitvoeren van een hard fork op een open permissionless blockchainnetwerk. De uitvoering van een hard fork is zeer omstreden, omdat ingrijpen in een decentraal gedistribueerd grootboek in principe niet de bedoeling is.
De nieuwe Europese wet is nu al achterhaald
Sommige blockchainontwikkelaars stellen dat de nieuwe Europese wet op de privacy nu al achterhaald is. De wet- en regelgeving omtrent privacy worden snel ingehaald, door nieuwe geavanceerde technologieën. De AVG is eigenlijk ontworpen om toegepast te worden op ‘centrale’ organisaties en ‘centrale’ bedrijfsprocessen, waarbij ‘centrale’ diensten de controle houden over de toegang tot privacygevoelige gegevens. Die gang van zaken is natuurlijk precies het tegenovergestelde van een open, publieke, grensoverschrijdende, gedecentraliseerde blockchains. Voor Europese wetsontwerpers liggen er op het gebied van privacy dan ook een aantal grote uitdagingen.
De juiste balans tussen privacyregels en technologische vooruitgang
De strenge Europese privacywetgeving ten opzichte van de Amerikaanse privacyrichtlijnen, kan ervoor zorgen dat landen in de Europese Unie straks snel achterop raken, bij de ontwikkeling van nieuwe complexe grensoverschrijdende technologische hoogstandjes. De Verenigde Staten hebben geen specifieke regelgeving voor gegevensbescherming, zoals de Europese GDPR. In plaats daarvan wordt de online privacy van Amerikaanse burgers beschermd door de federale wetten en de wetgeving van de afzonderlijke staten. De grensoverschrijdende gegevensstromen worden door de VS niet structureel beperkt. Dit in tegenstelling tot de Europese Unie, die privacy van communicatie en de bescherming van persoonsgegevens beschouwt als grondrechten, die zijn vastgelegd in het EU-recht. Dat kan ertoe leiden dat landen buiten de EU straks de beschikking hebben over meer geavanceerde technologieën en dat Europese lidstaten waaronder Nederland dan het nakijken hebben. Het zoeken naar de juiste balans tussen privacyregels en technologische vooruitgang, zal ongetwijfeld één van de grootste uitdagingen zijn van de komende jaren.
Bestand tegen cencuur
Een belangrijke vraag is dan ook: wie is er verantwoordelijk voor de bescherming van de privacy binnen een blockchainnetwerk? Die vraag is niet eenduidig te beantwoorden. Eén van de grootste voordelen van de blockchain is dat deze netwerken in principe bestand zijn tegen iedere vorm van censuur en niet worden gedomineerd door een centrale organisatie, zoals bijvoorbeeld Facebook. De blockchain-gebruikers en de nodes vormen in principe samen het wereldwijde decentrale gedistribueerde netwerk. Bij een private blockchain zou je nog kunnen stellen dat de eigenaar van het blockchainnetwerk (de organisatie die de permissioned blockchain exploiteert), verantwoordelijk is voor een juiste verwerking van persoonsgegevens. Maar bij publieke blockchaintoepassingen ligt de verantwoordelijkheid wellicht automatisch bij iedere individuele gebruiker, die zelf privacygevoelige informatie aanlevert aan het blockchainplatform. Dit conflict tussen technologie en privacy zorgt ervoor dat bedrijven nog niet massaal met blockchainnetwerken aan de slag willen. De onduidelijkheid is te groot en staat een mainstream adoptie in de weg.
Op de hoogte blijven van de ontwikkelingen op het gebied van blockchaintechnologie? Meld je dan nu aan voor de blogpost.
Laat een reactie achter