Blockchain en privacy

Het transparante karakter van open blockchainnetwerken lijkt enorm in strijd te zijn met onze Europese privacy wetgeving. Maar is dat eigenlijk wel zo? Vanaf 25 mei 2018 wordt overal binnen de Europese Unie de nieuwe Algemene verordening gegevensbescherming (AVG) ingevoerd. De zogenaamde General Data Protection Regulation (GDPR). Voor deze datum hebben alle lidstaten van de EU nog allemaal hun eigen nationale wetgeving, die gebaseerd is op de Europese privacyrichtlijn uit 1995. Bedrijven en andersoortige organisaties krijgen in mei 2018 meer verplichtingen op privacygebied. Iedere onderneming moet vanaf dat moment in principe altijd aantoonbaar kunnen maken, dat zij de wet ten aanzien van persoonsgegevens ook daadwerkelijk op de juiste manier naleven. Privacy is een basisrecht van iedere Europese burger en daarom moeten organisaties (zowel in de publieke als de private sector) exact op de hoogte zijn van de nieuwe privacyregels. Daarnaast moet iedere organisatie zich bewust zijn van de grondrechten van de mensen van wie zij de persoonsgegevens verwerken.

Het einde van de privacy?

Dataportabiliteit

Naast de al reeds bestaande rechten op het gebied van privacy, zoals het recht op inzage in persoonsgegevens en het recht op aanpassing of verwijdering van persoonlijke informatie, komen er ook een aantal belangrijke rechten bij. Eén van die nieuwe rechten is de zogenaamde “dataportabiliteit”, waarbij mensen hun persoonsgegevens eenvoudig kunnen opvragen en doorgeven aan andere organisaties wanneer dat gewenst is.

Blockchain data, IPFS.

Data Protection Impact Assement

Iedereen kan bij de Autoriteit Persoonsgegevens een klacht indienen als de privacy op een of andere manier niet wordt gerespecteerd en er op een onzorgvuldige manier mee wordt omgesprongen. Bedrijven moeten daarom precies in kaart brengen welke persoonlijke gegevens van mensen zij verwerken en waarom zij juist die specifieke informatie nodig hebben. Daarnaast moet duidelijk zijn hoe organisaties precies aan die gegevens komen en met wie deze informatie precies wordt gedeeld. Een andere verplichting voor organisaties is het vooraf bepalen wat de exacte risico’s zijn, van de verwerking van persoonsgegevens binnen hun bedrijven. In gevallen waar blijkt dat er een hoog risico is voor misbruik van de gegevens, moet er in veel gevallen een zogenaamde Data Protection Impact Assement (DPIA) worden uitgevoerd. Deze DPIA geeft inzicht in de risico’s en stelt organisaties in staat om de juiste maatregelen te treffen, om de risico’s van datamisbruik zo klein mogelijk te maken.

Oog, monitor, privacy.

Privacy by design

Met nieuwe opkomende technologieën zoals de blockchain onstaan er nieuwe vormen van data-overdracht van privacygevoelige informatie. “Privacy by design” betekent dat iedere organisatie al tijdens de ontwikkelingsfase van decentrale gedistribueerde netwerken, aandacht moet besteden aan de privacy van mensen. Dat wil zeggen nog vóórdat de producten of diensten op de markt komen. Ook moeten bedrijven zorgen voor dataminimalisatie, waarbij alleen die data wordt gebruikt die ook écht nodig is voor de bedrijfsvoering. Met privacy by design wordt een verantwoorde dataverwerking in principe technisch afgedwongen. Daarnaast mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk is.

Hacking, cyber security, privacy, diefstal van privacygevoelige data.

Privacyschending door Facebook en Cambridge Analytica

In onze huidige samenleving wordt vaak zeer onverantwoord omgegaan met persoonsgegevens. Niet alleen door commerciële bedrijven, maar ook al te vaak door overheidsorganisaties. De komende jaren zal de hoeveelheid privacygevoelige data in rap tempo toenemen en daarom is een veilige data distributie noodzakelijk, om de privacy van mensen te kunnen waarborgen. Dat bedrijven het niet zo nauw nemen met het privacy grondrecht dat hebben we in maart 2018 weer gezien, toen bleek dat de gegevens van meer dan 50 miljoen Facebook gebruikers waren gestolen door Cambridge Analytica, een Amerikaanse dochterorganisatie van een Britse onderneming die zich voornamelijk bezighoudt met allerlei vormen van data-analyses en het ontwikkelen van marketingstrategieën. De wijze waarop Cambridge Analytica omgaat met privacy is in de EU streng verboden. De persoonsgegevens van deze 50 miljoen gebruikers werden naar verluidt gebruikt om de Amerikaanse verkiezingen in 2016, op allerlei manieren te beïnvloeden. De persoonlijke data werd dus gebruikt om het democratische proces op een zeer inventieve manier te beïnvloeden.

Privacy please

De transparantie van een open blockchain botst met de Europese privacy wetgeving

Wat sociale media zoals Facebook en Twitter precies met persoonlijke data van personen doen dat weten maar heel weinig mensen, maar dat deze data gebruikt wordt voor schimmige zaken, dat is inmiddels wel duidelijk. In de nabije toekomst zal er met al die toenemende data, dan ook veel zorgvuldiger moeten worden omgegaan. Maar kan blockchaintechnologie met zijn transparantie hier wel aan bijdragen? De ontwikkeling van blockchaintoepassingen staat nog maar in de kinderschoenen, maar deze decentrale gedistribueerde netwerken gaan straks wel zaken zoals landregistraties, smart contracts en zelfs blockchaintoepassingen voor identiteitsmanagement vastleggen op een transparant netwerk. En dat bots natuurlijk met de Europese privacy wetgeving.

Nodes, blockchainnetwerk.

Ingebouwd vertrouwen

Een blockchain is in wezen een gedeeld grootboek, waarin alle voorgaande transacties zijn opgenomen. Alle transacties en andere data worden door de nodes in het netwerk verspreidt en deze computers beschikken allemaal over eenzelfde kopie van die informatie. Alle data die in de blockhain is ingevoerd kan niet meer worden veranderd. Dat houdt dan ook automatisch in dat foutieve persoonlijke informatie niet meer kan worden gewijzigd. Deze onveranderbaarheid is namelijk nou net dat unieke element, dat van de blockchain een veilige digitale infrastructuur maakt en zorgt voor het ingebouwde vertrouwen, ten aanzien van iedere activiteit binnen het netwerk. Echter kan deze foutieve permanente opslag van gegevens ook zorgen voor ernstige problemen. Volgens de Algemene verordening gegevensbescherming moet er dan ook altijd een manier zijn om persoonlijke gegevens en andere data, te allen tijde te kunnen aanpassen of te verwijderen wanneer dat gewenst is.

Data bescherming, privacy.

 

Teamleader, bescherming van persoonsgegevens, CRM-tool die GDPR-proof is, veilige data.

 

3 soorten blockchains

Er zijn 3 soorten blockchainnetwerken. In de eerste plaatst de zogenaamde open blockchains waaraan iedereen zijn of haar bijdrage kan leveren. Voorbeelden hiervan zijn Bitcoin, Ethereum en Hyperledger. Bij deze “permissionless blockchains” heeft niemand de controle. Daarnaast kennen we de “permissioned blockchainnetwerken”, die ook wel worden aangeduid als private blockchains. De Corda blockchain en Ripple zijn zulke private platformen en richten zich voornamelijk op financiële toepassingen. Deze blockchains staan onder controle van een beperkte groep gebruikers. De derde soort is een hybride vorm tussen de open en private blockchains.

Twee richtingen. Hard Fork en blockchaintechnologie.

De uitvoering van een fork is controversieel

Technisch gezien is het mogelijk om data op een blockchain te herschrijven, maar in dat geval moeten de meeste nodes binnen het netwerk akkoord gaan (consensus bereiken) over een zogenaamde “fork”, een nieuwe versie van die desbetreffende blockchain. Een versie waarin de aangebrachte veranderingen in de persoonlijke gegevens of andere data zijn opgenomen. Hierna moet vervolgens met de nieuwe blockchainversie worden verdergegaan en niet met de originele blockchain. Het uitvoeren van een fork op een private permissioned blockchain is gemakkelijker dan het uitvoeren van een fork op een open permissionless blockchainnetwerk. De uitvoering van een fork op een open blockchain is een zeer controversiële gebeurtenis, omdat ingrijpen in een decentraal gedistribueerd grootboek in principe niet de bedoeling is.

Wetboeken, privacy en de wet.

De nieuwe Europese wet is nu al achterhaald

Sommige blockchainontwikkelaars stellen dat de nieuwe Europese wet op de privacy nu al achterhaald is. De wet- en regelgeving omtrent de privacy worden snel ingehaald door de nieuwe geavanceerde technologieën. De AVG is eigenlijk ontworpen om toegepast te worden op “centrale” organisaties en “centrale” bedrijfsprocessen, waarbij centrale diensten de controle houden over de toegang tot privacygevoelige gegevens. Die gang van zaken is natuurlijk precies het tegenovergestelde van een open en publieke blockchain. De Europese wetsontwerpers zullen dan ook beter naar de Algemene verordening gegevensbescherming moeten kijken, anders lopen zij waarschijnlijk snel achter de feiten aan. De techniek staat niet stil en zal in komende jaren alleen nog maar versnellen. Wellicht wordt het op een gegeven moment zelfs onmogelijk om ten aanzien van technologische ontwikkelingen nog privacywetgeving te ontwikkelen.

Een wereldwijd blockchain netwerk.

De juiste balans tussen privacyregels en technologische vooruitgang

De strenge Europese privacywetgeving ten opzichte van de Amerikaanse privacyrichtlijnen, kan ervoor zorgen dat landen in de Europese Unie al snel achterop raken bij de ontwikkeling van nieuwe technologische hoogstandjes. Dat kan ertoe leiden dat landen buiten de EU straks de beschikking hebben over geavanceerde technologie en dat Europese lidstaten waaronder Nederland dan het nakijken hebben. Het zoeken naar de juiste balans tussen privacyregels en technologische vooruitgang, zal ongetwijfeld één van de grootste uitdagingen zijn van de komende jaren. Er zullen blockchaintoepassingen worden ontworpen die wél voldoen aan alle andere gestelde algemene wet- en regelgeving, maar niet gebruikt mogen worden voor het managen van persoonlijke gegevens.

The worst thing about censorship is.

Bestand tegen cencuur

De grote vraag is dus: wie is er verantwoordelijk voor de bescherming van de privacy binnen een blockchainnetwerk? Die vraag is niet helder te beantwoorden. Eén van de grootste voordelen van een blockchain is dat dergelijke netwerken bestand zijn tegen iedere vorm van censuur en niet worden gedomineerd door een centrale organisatie, zoals bijvoorbeeld Facebook. De gebruikers en de nodes vormen in principe samen het wereldwijde decentrale gedistribueerde netwerk. Bij een private blockchain zou je nog kunnen stellen dat de eigenaar van het blockchainnetwerk (de organisatie die de permissioned blockchain exploiteert) verantwoordelijk is voor een juiste verwerking van persoonsgegegevens, maar bij publieke blockchaintoepassingen ligt de verantwoordelijkheid wellicht automatisch bij iedere individuele gebruiker, die zelf privacygevoelige informatie aanlevert aan het blockchainplatform. Dit conflict tussen technologie en privacy zorgt ervoor dat veel bedrijven nog niet met blockchainnetwerken aan de slag willen. De onduidelijkheid is te groot en staat een mainstream adoptie in de weg!

Blockchain

 

Op de hoogte blijven van de ontwikkelingen op het gebied van de blockchaintechnologie? Meld je dan nu aan voor onze blogpost!

 

Meld je aan voor de blogpost!
I agree to have my personal information transfered to MailChimp ( more information )
Met de blogpost van Uitleg Blockchain blijf je automatisch op de hoogte van de nieuwste ontwikkelingen omtrent de blockchain technologie.
We hebben een hekel aan spam. Uw e-mailadres zal niet worden verkocht of gedeeld met anderen.

 

Leave a Reply