Privacy en blockchain (3)

In september 2018 publiceerde de Franse privacywaakhond, CNIL, als eerste Europese privacy toezichthouder een analyse van de relatie tussen privacy en blockchain. Het rapport is interessant vanwege de concrete suggesties die de toezichthouder doet. Ook is het rapport interessant omdat daaruit is af te leiden dat de toezichthouder bereid is zich creatief op te stellen.

In het rapport onderkent CNIL dat de beginselen van het privacyrecht in feite zijn bedoeld voor centrale spelers bij de verwerking van persoonsgegevens. Toepassing van deze beginselen op een gedistribueerd netwerk is dus een complexe aangelegenheid. CNIL wijst onder meer op het feit dat eenmaal op de blockchain opgeslagen data in beginsel niet meer gewijzigd kunnen worden.

CNIL kiest voor een creatieve inslag. Zo stelt zij dat data op een blockchain mogelijk dusdanig versleuteld zouden kunnen zijn, dat deze, na het vernietigen van de sleutel, als ‘quasi-verwijderd’ in de zin van de privacywetgeving kunnen gelden.

Ook doet de toezichthouder concrete suggesties voor de verdeling van rollen en verantwoordelijkheden op de blockchain. Zo zou een gebruiker die een transactie voorstelt aan een blockchain netwerk moeten worden beschouwd als verwerkingsverantwoordelijke. Deze bepaalt immers het doel van en de middelen voor de transactie. Een uitzondering zou gelden voor een natuurlijk persoon die niet handelt voor professionele of commerciële doeleinden, aangezien deze zich zou kunnen beroepen op de uitzondering voor zuiver persoonlijke of huishoudelijke activiteiten.

Miners zouden onder omstandigheden moeten worden aangemerkt als verwerker, maar in ieder geval niet als verwerkingsverantwoordelijke, aangezien hun taak beperkt is tot het valideren van transacties, zonder het doel of de middelen voor die transacties te bepalen.

In het geval van een private blockchain raadt CNIL aan een specifieke verwerkingsverantwoordelijke aan te wijzen, bijvoorbeeld in de vorm van een gezamenlijk op te richten rechtspersoon. Gebeurt dat niet, dan is sprake van gezamenlijke verantwoordelijkheid en moeten partijen, overeenkomstig art. 26 AVG, op transparante wijze hun respectievelijke verantwoordelijkheden vastleggen.

In oktober 2018 publiceerde het European Union Blockchain Observatory and Forum een rapport over blockchain en de AVG. In het rapport tref je dezelfde houding aan als CNIL aanneemt, namelijk enerzijds het onderkennen van bepaalde knelpunten en anderzijds de bereidheid de flexibiliteit van de privacywetgeving te benutten. Waar het CNIL rapport verder concrete suggesties doet, wijst het forum er vooral op dat het niet mogelijk is in algemene zin te wijzen op een blockchaintechniek die AVG-compliant is. Steeds zal op een case-by-case basis moeten worden bekeken of een blockchain-toepassing voldoet aan de AVG.

Die genuanceerde positie volgt in belangrijke mate uit het feit dat blockchains op uiteenlopende manieren geïmplementeerd kunnen worden (om die reden is het feitelijk ook lastig om over ‘de blockchain’ te spreken). Bij een private en/of permissioned blockchain bestaan mogelijkheden om verschillende rechten toe te kennen aan gebruikers. Algemeen wordt onderkend dat hiermee eenvoudiger aan de AVG kan worden voldaan. Een andere mogelijkheid is het opslaan van persoonsgegevens off-chain, waarbij de persoonsgegevens buiten de blockchain worden opgeslagen en de blockchain zelf alleen een verwijzing naar (het bestaan van) de data bevat.

Verder is het belangrijk op te merken dat de ontwikkeling van blockchains nog volop gaande is. Zo bestaan er in de markt initiatieven voor een private blockchain waarbij het wél mogelijk is de inhoud van de blokken aan te passen. Een collectief onder de naam Zerocash werkt aan een privacy-vriendelijke blockchain voor een cryptomunt waarbij met behulp van zero-knowledge proofs herkomst, bestemming en het bedrag van een transactie kunnen worden afgeschermd. Recent berichtten twee Nederlandse bedrijven over het realiseren van een off-chain blockchaintoepassing.

De eerste analyses bevestigen het beeld dat blockchain en privacy moeizaam samen gaan. Dat betekent echter niet dat de toepassing van (publieke) blockchains door de AVG de nek om wordt gedraaid, zoals wel is beweerd. Enerzijds is blockchaintechniek nog volop in ontwikkeling en wordt op allerlei manieren gewerkt aan privacy-vriendelijker toepassingen. Anderzijds kent de AVG de nodige flexibiliteit. De eerste signalen zijn daar dat toezichthouders bereid zijn om die flexibiliteit te benutten. Ontwikkelaars van (publieke) blockchain-applicaties zullen wel hun best moeten doen. Zij zullen zorgvuldig moeten nadenken over hun applicaties en zij zullen moeten kunnen beargumenteren waarom hun oplossingen vanuit privacy-perspectief effectiever zijn dat de beschikbare alternatieven.

Heeft u nog vragen, neemt u dan contact op met Jeroen van Helden, Advocaat IT, Privacy & Cybersecurity