GPDR
Het transparante karakter van open blockchainnetwerken lijkt enorm in strijd te zijn met onze Europese privacywetgeving. Maar is dat eigenlijk wel zo? In 2018 werd overal binnen de Europese Unie de nieuwe Algemene verordening gegevensbescherming (AVG) ingevoerd. De zogenaamde General Data Protection Regulation (GDPR). Voor deze datum hanteerde alle lidstaten van de EU nog allemaal hun eigen nationale privacywetgeving, die gebaseerd was op de Europese privacyrichtlijn uit 1995. Door de invoering van de GDPR kregen bedrijven en andersoortige organisaties meer verplichtingen om de privacy van Europese burgers te waarborgen. Iedere onderneming moest vanaf dat moment in principe altijd aantoonbaar kunnen maken, da de wet ten aanzien van persoonsgegevens ook daadwerkelijk op de juiste manier wordt nageleefd. Privacy is een basisrecht van iedere Europese burger en daarom moeten organisaties (zowel in de publieke als de private sector) exact op de hoogte zijn van de nieuwe privacyregels. Daarnaast moet iedere organisatie zich bewust zijn van de grondrechten, van de mensen van wie zij de persoonsgegevens verwerken.
Dataportabiliteit
Naast de al reeds bestaande rechten op het gebied van privacy, zoals het recht op inzage in persoonsgegevens en het recht op aanpassing of verwijdering van persoonlijke informatie, kwamen er ook een aantal belangrijke rechten bij. Eén van die nieuwe rechten is de zogenaamde “dataportabiliteit”, waarbij mensen hun persoonsgegevens eenvoudig kunnen opvragen en doorgeven aan andere organisaties wanneer dat gewenst is.
Data Protection Impact Assement
Iedereen kan bij de Autoriteit Persoonsgegevens een klacht indienen als de privacy op een of andere manier niet wordt gerespecteerd en er op een onzorgvuldige manier met persoonlijke gegevens wordt omgesprongen. Bedrijven moeten daarom precies in kaart brengen welke persoonlijke gegevens van mensen zij verwerken en waarom zij juist die specifieke informatie nodig hebben. Daarnaast moet duidelijk zijn hoe organisaties precies aan die gegevens komen en met wie deze informatie precies wordt gedeeld. Een andere verplichting voor organisaties is het vooraf bepalen wat de exacte risico’s zijn, van de verwerking van persoonsgegevens binnen hun bedrijven. In gevallen waar blijkt dat er een hoog risico is voor misbruik van de gegevens, moet er meestal een zogenaamde Data Protection Impact Assement (DPIA) worden uitgevoerd. Deze DPIA geeft inzicht in de risico’s en stelt organisaties in staat om de juiste maatregelen te treffen, om de risico’s van datamisbruik zo klein mogelijk te maken.
Privacy by design
Met nieuwe opkomende technologieën zoals de blockchain ontstaan er nieuwe vormen van data-overdracht van privacygevoelige informatie. “Privacy by design” betekent dat iedere organisatie al tijdens de ontwikkelingsfase van nieuwe technologieën – zoals blockchainnetwerken – voldoende rekening moet houden met de privacy van mensen. Dat wil zeggen: nog vóórdat de producten of diensten op de markt komen, moet de privacy kunnen worden gewaarborgd. Ook moeten bedrijven zorgen voor dataminimalisatie, waarbij alleen de data wordt gebruikt die ook écht nodig is voor de bedrijfsvoering. Met privacy by design wordt een verantwoorde dataverwerking in principe technisch afgedwongen. Daarnaast mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk is.
Privacyschending door Facebook en Cambridge Analytica
In onze huidige samenleving wordt vaak zeer onverantwoord omgegaan met persoonsgegevens. Niet alleen door commerciële bedrijven, maar ook overheidsorganisaties gaan vaak de fout in. De komende jaren zal de hoeveelheid privacygevoelige data in rap tempo toenemen en daarom is een veilige datadistributie noodzakelijk, om de privacy van mensen te kunnen waarborgen. Dat bedrijven het niet altijd zo nauw nemen met het privacy-grondrecht dat zagen we in maart 2018, toen bleek dat de gegevens van meer dan 50 miljoen Facebook-gebruikers waren gestolen door Cambridge Analytica, een Amerikaanse dochterorganisatie van een Britse onderneming, die zich voornamelijk bezighield met allerlei vormen van data-analyses en het ontwikkelen van marketingstrategieën. De wijze waarop Cambridge Analytica met privacy omging is in de EU streng verboden. De persoonsgegevens van deze 50 miljoen Facebook-gebruikers werden naar verluidt gebruikt om de Amerikaanse verkiezingen in 2016, op allerlei manieren te beïnvloeden. De persoonlijke data werd dus gebruikt om het democratische proces op een zeer inventieve manier te verstoren.
Blockchain en de EU privacywetgeving
Wat sociale media zoals Facebook, Twitter, Instagram en Tik Tok precies met de persoonlijke data van personen doen is erg onduidelijk. Gebruikers van deze platformen hebben geen enkele controle over wat er met hun persoonlijke informatie gebeurt. De komende jaren zal die dataverzameling alleen nog maar verder toenemen. Daarom is het belangrijk dat er veel zorgvuldiger met privacygevoelige informatie wordt omgegaan. De ontwikkeling van blockchaintoepassingen staat nog maar in de kinderschoenen, maar deze decentrale gedistribueerde netwerken gaan straks misschien wel op grote schaal eigendommen, landregistraties en identiteitstoepassingen vastleggen. Dat werpt de vraag op: botst dat dan niet met de Europese privacy wetgeving?
Ingebouwd vertrouwen
Een blockchain is in wezen een gedeeld grootboek, waarin alle voorgaande transacties zijn opgenomen. Alle transacties worden door computernodes binnen het netwerk gesynchroniseerd. Deze computers beschikken allemaal over eenzelfde kopie van die informatie. Alle data die in de blockchain wordt vastgelegd kan niet meer worden veranderd. De transactie-informatie is permanent in het netwerk opgenomen. Dat houdt automatisch in dat ook foutieve persoonlijke informatie niet meer kan worden gewijzigd. De onveranderbaarheid van de transacties is het unieke element, dat van de blockchain een veilige digitale infrastructuur maakt en zorgt voor het ingebouwde vertrouwen, ten aanzien van iedere activiteit binnen het netwerk. Echter kan deze foutieve permanente opslag van gegevens ook zorgen voor ernstige problemen. Volgens de Algemene verordening gegevensbescherming, moet er dan ook altijd een mogelijkheid zijn om persoonlijke gegevens en andere data, altijd te kunnen aanpassen of te verwijderen wanneer dat gewenst is.
3 soorten blockchains
Er zijn 3 soorten blockchainnetwerken. In de eerste plaatst de zogenaamde open blockchains waaraan iedereen zijn of haar bijdrage kan leveren. Voorbeelden hiervan zijn Bitcoin, Ethereum en Hyperledger. Bij deze ‘permissionless‘ blockchains heeft niemand de controle. Daarnaast kennen we de ‘permissioned‘ blockchainnetwerken, die ook wel worden aangeduid als private blockchains. De Corda blockchain en Ripple zijn daar voorbeelden van. Deze private blockchains richten zich voornamelijk op financiële toepassingen. Private blockchains staan onder controle van een beperkte groep gebruikers. Daarmee zijn permissioned blockchains minder gedecentraliseerd, dan permissionless blockchainnetwerken. De derde soort blockchain is een hybride vorm tussen open en private blockchains.
De uitvoering van een hard fork is controversieel
Technisch gezien is het mogelijk om data op een blockchain te herschrijven. Dat kan door het uitvoeren van een zogenaamde ‘hard fork‘. Bij een hard fork wordt ingegrepen in het digitale ecosysteem en ontstaat er een nieuwe versie van die desbetreffende blockchain. Een versie waarin de aangebrachte veranderingen zijn doorgevoerd. Het uitvoeren van een hard fork op een private permissioned blockchain, is eenvoudiger dan het uitvoeren van een hard fork op een open permissionless blockchainnetwerk. De uitvoering van een hard fork is zeer omstreden, omdat ingrijpen in een decentraal gedistribueerd grootboek in principe niet de bedoeling is.
De nieuwe Europese wet is nu al achterhaald
Sommige blockchainontwikkelaars stellen dat de nieuwe Europese wet op de privacy nu al achterhaald is. De wet- en regelgeving omtrent privacy worden snel ingehaald, door nieuwe geavanceerde technologieën. De AVG is eigenlijk ontworpen om toegepast te worden op ‘centrale’ organisaties en ‘centrale’ bedrijfsprocessen, waarbij ‘centrale’ diensten de controle houden over de toegang tot privacygevoelige gegevens. Die gang van zaken is natuurlijk precies het tegenovergestelde van een open, publieke, grensoverschrijdende, gedecentraliseerde blockchains. Voor Europese wetsontwerpers liggen er op het gebied van privacy dan ook een aantal grote uitdagingen.
De juiste balans tussen privacyregels en technologische vooruitgang
De strenge Europese privacywetgeving ten opzichte van de Amerikaanse privacyrichtlijnen, kan ervoor zorgen dat landen in de Europese Unie straks snel achterop raken, bij de ontwikkeling van nieuwe complexe grensoverschrijdende technologische hoogstandjes. De Verenigde Staten hebben geen specifieke regelgeving voor gegevensbescherming, zoals de Europese GDPR. In plaats daarvan wordt de online privacy van Amerikaanse burgers beschermd door de federale wetten en de wetgeving van de afzonderlijke staten. De grensoverschrijdende gegevensstromen worden door de VS niet structureel beperkt. Dit in tegenstelling tot de Europese Unie, die privacy van communicatie en de bescherming van persoonsgegevens beschouwt als grondrechten, die zijn vastgelegd in het EU-recht. Dat kan ertoe leiden dat landen buiten de EU straks de beschikking hebben over meer geavanceerde technologieën en dat Europese lidstaten waaronder Nederland dan het nakijken hebben. Het zoeken naar de juiste balans tussen privacyregels en technologische vooruitgang, zal ongetwijfeld één van de grootste uitdagingen zijn van de komende jaren.
Bestand tegen cencuur
Een belangrijke vraag is dan ook: wie is er verantwoordelijk voor de bescherming van de privacy binnen een blockchainnetwerk? Die vraag is niet eenduidig te beantwoorden. Eén van de grootste voordelen van de blockchain is dat deze netwerken in principe bestand zijn tegen iedere vorm van censuur en niet worden gedomineerd door een centrale organisatie, zoals bijvoorbeeld Facebook. De blockchain-gebruikers en de nodes vormen in principe samen het wereldwijde decentrale gedistribueerde netwerk. Bij een private blockchain zou je nog kunnen stellen dat de eigenaar van het blockchainnetwerk (de organisatie die de permissioned blockchain exploiteert), verantwoordelijk is voor een juiste verwerking van persoonsgegevens. Maar bij publieke blockchaintoepassingen ligt de verantwoordelijkheid wellicht automatisch bij iedere individuele gebruiker, die zelf privacygevoelige informatie aanlevert aan het blockchainplatform. Dit conflict tussen technologie en privacy zorgt ervoor dat bedrijven nog niet massaal met blockchainnetwerken aan de slag willen. De onduidelijkheid is te groot en staat een mainstream adoptie in de weg.
Privacy-coins
Het beschermen van onze privacy wordt de komende jaren steeds moeilijker. Met steeds meer gegevens die online worden opgeslagen, is de bescherming van onze privacy dan ook een prangende kwestie geworden. Blockchaintechnologie biedt een oplossing doordat het een gedecentraliseerd en onveranderlijk (permanent) grootboek creëert, dat alle transacties veilig vastlegt. Echter zijn de meeste blockchainnetwerken transparant en openbaar, wat betekent dat in principe iedereen toegang heeft tot de transactiegegevens. Daarom kunnen zogenaamde ‘privacy-coins’ uitkomst bieden. Privacy-coins zijn specifiek ontworpen om de identiteit van gebruikers en de details van transacties af te schermen. Deze cryptocurrency’s zorgen ervoor dat financiële informatie privé blijft en bieden gebruikers de vrijheid om discreet te handelen.
Geavanceerde cryptografische technieken
Privacy-coins maken gebruik van geavanceerde cryptografische technieken om de privacy en anonimiteit van gebruikers te waarborgen. Wanneer een transacties wordt uitgevoerd, worden de gegevens versleuteld, waardoor het vrijwel onmogelijk is om de afzender, de ontvanger en het transactiebedrag te achterhalen, zonder de juiste sleutels. Een van de meest bekende privacy-coins is Monero (XMR). Met zijn unieke ‘ring signature-technologie’ verbergt XMR de oorsprong van de transactie te midden van andere willekeurige transacties, waardoor het praktisch onmogelijk is om de afzender te identificeren.
dApps
Deze geavanceerde anonimiteit trekt privacybewuste gebruikers aan, die hun financiële gegevens niet willen blootstellen aan nieuwsgierige blikken. Het belang van privacy-coins reikt verder dan enkel financiële transacties. Ze spelen namelijk ook een belangrijke rol bij het beschermen van gebruikersgegevens in allerlei gedecentraliseerde applicaties (dApps). Door het gebruik van privacy-coins binnen deze dApps, kunnen gebruikers gebruikmaken van de blockchain zonder zich zorgen te hoeven maken over hun persoonlijke informatie.
Illegale activiteiten
Privacy-coins bieden gebruikers privacy en anonimiteit bij het uitvoeren van transacties, maar deze cryptocurrency’s hebben ook een keerzijde. Ze zijn namelijk zeer in trek bij criminelen, die de coins kunnen gebruiken voor illegale activiteiten. Privacy-coins bieden criminelen de mogelijkheid om transacties te doen, zonder dat hun identiteit wordt onthuld. Dit kan aantrekkelijk zijn voor criminelen die illegale goederen en diensten willen verhandelen (zoals drugs, wapens of gestolen persoonlijke informatie). Door het hoge niveau van privacy en het moeilijk te traceren karakter van privacy-coins, kunnen criminelen geld witwassen dat afkomstig is van illegale activiteiten. Met andere woorden: ze kunnen de privacy-coins gebruiken om illegaal verkregen geld om te zetten in schijnbaar legitieme middelen.
Losgeld
Bovendien kunnen privacy-coins het voor wetshandhavingsdiensten enorm lastig maken om financiële transacties te traceren en de betrokken partijen te identificeren. Dit kan criminelen in staat stellen om regelgeving te ontduiken en hun malafide activiteiten verborgen te houden. Tevens kunnen criminelen privacy-coins gebruiken om losgeld te eisen bij ransomware-aanvallen. Ze kunnen slachtoffers dan dwingen om betalingen te doen met privacy-coins, om de anonimiteit van de transacties te waarborgen. Hierdoor wordt het zeer moeilijk om de daders van deze aanvallen te achterhalen. Daarnaast worden privacy-coins vaak gebruikt op darkweb-marktplaatsen, waar allerlei illegale goederen en diensten worden verhandeld. Door de anonimiteit van de transacties kunnen deze markten functioneren, zonder dat de identiteit van de betrokken partijen wordt onthuld.
Financiële vrijheid
Echter maakt het misbruik van privacy-coins door criminelen slechts een klein deel uit van het totale gebruik van deze cryptomunten. Net zoals bij traditionele financiële systemen kunnen privacy-coins ook worden gebruikt voor legitieme doeleinden, zoals het beschermen van de privacy van gewone gebruikers, en het bevorderen van financiële vrijheid. Privacy is een fundamenteel recht. Daarom is het essentieel om een balans te vinden tussen privacy en transparantie. In een wereld waar gegevens continu worden verzameld, gedeeld en gebruikt, bieden privacy-coins een mogelijkheid om onze persoonlijke informatie te beschermen. Ze geven ons de controle over onze financiële gegevens, terwijl ze tegelijkertijd een veilige en verantwoorde manier bieden om te participeren in de nieuwe wereld van blockchaintechnologie en cryptocurrency’s.
Op de hoogte blijven van de ontwikkelingen op het gebied van blockchaintechnologie? Meld je dan nu aan voor de blogpost.
Laat een reactie achter