Blockchain en GDPR, de Europese privacywetgeving die vandaag van kracht gaat, zijn inherent incompatibel met elkaar. Is blockchaintechnologie vanaf nu per definitie onbruikbaar om persoonsgegevens te verwerken? Niet noodzakelijk, zolang je de juridische obstakels maar goed weet te omzeilen. Techzine ging ten rade bij de experts.
“Het uitgangspunt van GDPR is achterhaald door de komst van blockchain”, zegt Bart Van den Brande, advocaat bij Sirius Legal. “GDPR wil een ‘gepast niveau van veiligheid’ voorzien voor data die ergens concreet opgeslagen wordt. Het hele uitgangspunt van blockchain is precies dat data niet op één locatie opgeslagen wordt. Data staat overal, bij alle gebruikers op hetzelfde ogenblik.”
Heel wat begrippen uit de GDPR werken volgens Van den Brande niet bij blockchain. Om dat goed te begrijpen, overlopen we enkele rechten die de GDPR verleent aan personen waar gegevens (al dan niet versleuteld) van worden verwerkt, en hoe blockchain daarmee botst:
- Recht op informatie (Art. 13): De databeheerder moet de betrokkene op het moment dat de persoonsgegevens verzameld worden onder meer kunnen informeren over de identiteit van de beheerder en eventuele andere ontvangers van de data. Bij blockchain staan de gegevens evenwel bewaard bij alle gebruikers. Hun identiteit is niet noodzakelijk bekend.
- Recht op rectificatie (Art.16): De betrokkene heeft volgens de GDPR het recht om persoonsgegevens te laten aanpassen. Van zodra een nieuwe ‘transactie’ aan een blockchain wordt toegevoegd, is die evenwel onveranderlijk. De foutieve of onvolledige informatie kan niet meer worden gewijzigd zonder de ketting te breken.
- Recht om gewist te worden (Art. 17): Het zogenaamde ‘vergeetrecht’. Een betrokkene moet kunnen vragen aan een databeheerder om al zijn persoonsgegevens te verwijderen. Opnieuw geldt hier dat alle informatie in een blockchain onveranderlijk is. Je kan geen data verwijderen zonder de ketting te breken.
- Recht op beperking van verwerking (Art. 18): De betrokkene heeft het recht om de verwerking van zijn gegevens te beperken als die niet langer kloppen, de verwerking niet langer noodzakelijk is of de betrokkene bezwaar aantekent. Het mag ondertussen duidelijk zijn dat ook dit moeilijk te rijmen valt met de blockchain.
De rechten die de GDPR stipuleert, zijn begrijpelijk in de context van een gecentraliseerde database. Blockchain steunt op het principe van een gedistribueerd grootboek. Alle data staat gedecentraliseerd opgeslagen bij alle gebruikers en is onveranderlijk. Het is daarbij nagenoeg onhaalbaar om een volledig overzicht te hebben van waar de data allemaal terechtkomt en helemaal onmogelijk om gegevens te verwijderen.
Publiek vs. privaat
“De GDPR dwingt ons om bepaalde aspecten van blockchain en distributed ledger-technologie te heroverwegen”, zegt ook Frederik De Breuck. Frederik is Presales Director bij Fujitsu en als blockchainexpert nauw betrokken bij het recent opgestarte Blockchain Innovation Center in Brussel. “Dat geldt zeker voor persoonsgegevens die in publieke blockchains bewaard worden, maar eigenlijk ook voor private blockchains.”
“De GDPR dwingt ons om bepaalde aspecten van blockchain te heroverwegen”
Een publieke blockchain laat iedereen toe om deel te nemen. “De transacties worden gevalideerd en verwerkt door middel van stemmen. Een stem hoeft op geen enkele manier te worden geïdentificeerd binnen het grootboek en er wordt ook geen bestaand vertrouwen verondersteld tussen deelnemende nodes in het netwerk”, legt De Breuck uit. Wellicht het bekendste voorbeeld van een publieke blockchain is bitcoin.
Bij een private blockchain wordt wel beperkt wie toegang heeft. De Breuck verduidelijkt: “Private blockchains beperken de toegang in termen van wie verschillende acties op de blockchain kan uitvoeren. De transacties worden gevalideerd en verwerkt door degenen die al bekend zijn in het grootboek. Er wordt een bepaald niveau van vertrouwen verondersteld en aangetoond.”
Bij een private blockchain is de organisatie die de blockchain opzet de databeheerder en dus verantwoordelijk om in overeenstemming te zijn met de GDPR. Bij een publieke blockchain kan in principe elk individu of elke organisatie die Europese persoonsgegevens aan de blockchain toevoegt als een databeheerder worden aanzien en dus verantwoordelijkheid dragen.
Wie geen problemen wil met de GDPR stopt dus beter geen persoonsgegevens in een publieke blockchain, waarschuwt advocaat Bart Van den Brande. “Je hebt geen controle over wie de andere deelnemers zijn. In een private blockchain zou het eventueel wel kunnen op voorwaarde dat er zeer goede gebruiksvoorwaarden worden uitgewerkt en je aan zeer goede access control doet, zodat je precies weet wie de deelnemers zijn en waar de data zit”, zegt Van den Brande.
Off-chain
Het probleem dat je geen data uit de blockchain kan verwijderen zonder de ketting te breken, blijft ook in een private blockchain bestaan. Een mogelijke oplossing daarvoor zou zijn om de encryptiesleutels te vernietigen, zodat je de eigenlijke gegevens niet meer kan ontcijferen. Het is evenwel niet duidelijk of dat voldoende is. Nergens in de 261 pagina’s tellende GDPR-tekst wordt exact gedefinieerd wat de auteurs verstaan onder ‘gegevens verwijderen’. De meningen zijn dan ook verdeeld of het simpelweg ontoegankelijk maken van de gegevens wel volstaat.
“Je reduceert je blockchain tot een eenvoudige opzoektabel en gooit daardoor veel voordelen weg”
Een populaire workaround die wel helemaal in overeenstemming is met de GDPR, is om de persoonsgegevens buiten de blockchain te bewaren. “Je bewaart dan een digitale vingerafdruk van de gegevens in de blockchain en de eigenlijke data off-chain, op geëncrypteerde opslag”, legt De Breuck uit. “Op het moment dat een verzoek tot verwijderen wordt ingeroepen, kan een smart contract of andere methode worden gebruikt om de gegevens te verwijderen. De digitale vingerafdruk blijft nog altijd in het grootboek bestaan, maar de afwezigheid van de data maakt die nietig en ongeldig.”
Die workaround komt evenwel met zijn eigen nadelen, schrijft Andries Van Humbeeck, blockchainconsultant bij TheLedger.be, in een blogpost:
- Minder transparantie: Door je gegevens buiten de keten op te slaan, weet je niet meer zeker wie zich toegang heeft verschaft tot je gegevens. Eens iemand de link heeft naar je data, hoeft die niet meer langs de blockchain te gaan.
- Data-eigendom: Als je gegevens buiten de keten staan, van wie zijn ze dan? Zijn ze van jou of van de eigenaar van de database waarin ze geparkeerd staan? Bij blockchain heeft de data-eigenaar de volledige controle over zijn gegevens.
- Minder veilig: Elke bedrijf dat toegang krijgt tot de gegevens heeft zijn eigen infrastructuur en applicaties. Door de persoonlijke gegevens over deze verschillende bedrijven te verspreiden, neemt het risico op een inbreuk toe.
“Je reduceert je blockchain tot een eenvoudige opzoektabel en gooit daardoor veel voordelen weg die met deze technologie samenhangen”, besluit Van Humbeeck.
Paradox
Van Humbeeck ziet daarin een paradox. De GDPR werd opgesteld om EU-burgers opnieuw meer controle te geven over hun data, door strenge regels op te stellen voor degenen die deze data verwerken. Blockchain biedt gebruikers eveneens de mogelijkheid om de controle over hun data in eigen handen te nemen, maar wordt gehinderd door de vereisten van de GDPR. Die leiden ertoe dat persoonsgegevens onmogelijk in een blockchain kunnen worden bewaard. In plaats daarvan blijven ze in ouderwetse databases zitten, waar de gebruiker er alsnog geen controle over heeft.
Volgens Bart Van den Brande is er maar één definitieve oplossing, en dat is een aangepaste wetgeving. Al is de advocaat daar weinig optimistisch over. “Het heeft zeven jaar geduurd voor de GDPR er was. Over blockchain is nog geen enkel wetgevend initiatief genomen, nog geen debat gestart, nog geen voorstellen geformuleerd. Het gaat dus nog jaren duren voor er eventueel specifieke wetgeving is, maar daar is weldegelijk nood aan”, besluit de advocaat.