Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Privacy en blockchain (2)

Jeroen van Helden

28 januari 2019 - 2 minuten leestijd

In een vorig blog over privacy en blockchain schreef ik over de (ogenschijnlijke) knelpunten tussen beginselen van het privacyrecht en gedistribueerde databasetechniek. Cruciaal voor iedere discussie over privacy en blockchain is de mate waarin gegevens op een blockchain afgeschermd kunnen worden voor andere gebruikers. In dit blog besteed ik daarom aandacht aan het anonimiseren van persoonsgegevens.

Anonieme gegevens

De AVG is niet van toepassing op anonieme gegevens, dat wil zeggen gegevens die niet te herleiden zijn tot een geïdentificeerde of identificeerbare natuurlijke persoon. In theorie kan een database enerzijds volkomen transparant zijn, want voor iedereen inzichtelijk, en anderzijds volledig privacy-proof, omdat geen van de gegevens te herleiden is tot een natuurlijke persoon. De AVG zou op zo’n database niet van toepassing zijn.

Van werkelijk anonieme, dus niet tot een persoon te herleiden, gegevens is volgens het privacyrecht echter niet snel sprake. Persoonsgegevens worden pas anoniem wanneer deze (nagenoeg) onomkeerbaar zijn geanonimiseerd. Daarbij is van belang dat de gegevens niet meer te herleiden zijn tot de originele dataset en dat er ook anderszins geen ‘individualiseerbaar’ patroon meer te ontdekken valt in de data.

Pseudonieme gegevens

Iedere techniek die deze hoge standaard niet haalt, resulteert niet in anonieme gegevens maar in ‘pseudonieme’ gegevens. In de AVG is pseudonimisering als nieuwe definitie opgenomen in artikel 4 lid 5. Onder pseudonimisering wordt verstaan het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens alleen aan een specifieke betrokkene gekoppeld kunnen worden door gebruik te maken van aanvullende gegevens welke apart en beveiligd worden bewaard. Op pseudonieme gegevens is de AVG gewoon van toepassing.

Asymmetrische encryptie en hashing

Blockchain-toepassingen maken gebruik van verschillende technieken om gegevens af te schermen voor andere gebruikers, zoals asymmetrische encryptie en hashing. De gezamenlijke privacy-waakhonden schaarden deze methoden in een opinie uit 2014 onder de noemer ‘pseudonimiseringstechnieken’. In het geval van asymmetrische encryptie staat dit standpunt niet ter discussie. Met de private sleutel is het immers bij uitstek mogelijk de gegevens te de-crypten. Over hashing bestaat wel discussie. Volgens de gezamenlijke toezichthouders zijn veel hash-functies kwetsbaar voor een brute force attack, terwijl anderen menen dat deze technieken daartegen goed bestand kunnen zijn.

Duidelijk mag zijn dat er niet snel vanuit gegaan mag worden dat data anoniem zijn geworden. In een recent door het Europees Parlement aangenomen resolutie over gedistribueerde database-technologieën, stelt het Parlement zelfs onomwonden: “data in a public ledger are pseudonymous and not anonymous” .

Kort en goed. Het versleutelen van persoonsgegevens op een blockchain kan een belangrijke maatregel zijn om de persoonsgegevens passend te beveiligen. In de regel zullen deze maatregelen echter niet tot gevolg hebben dat de gegevens geanonimiseerd zijn. Het blijven persoonsgegevens en de privacywetgeving blijft van toepassing.

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?