Blockchain bruikbaar voor persoonsgegevens?

Blockchaintechnologie wint snel aan populariteit. Vooral het feit dat mensen geen veranderingen meer kunnen aanbrengen in transacties spreekt organisaties aan. Data die in een blockchain staan, zijn niet aan te passen of te verwijderen. 1-0 in de strijd tegen fraude en cybercrime. Maar hoe ga je dan om met bijvoorbeeld een verzoek tot verwijdering van data?

De Algemene verordening gegevensbescherming (AVG) kent betrokkenen meerdere rechten toe, waaronder het recht op ‘vergetelheid’ en het recht op rectificatie van gegevens. Een burger, klant of patiënt kan een verwerker onder bepaalde voorwaarden dwingen tot het aanpassen of verwijderen van persoonsgegevens.

Blockchain vergeet niets

Deze rechten uit de AVG staan helaas op gespannen voet met blockchaintechnologie. Onder andere de Raad van State waarschuwde hier vorig jaar al voor in een advies over de Uitvoeringswet AVG. 'De vraag rijst in hoeverre het recht op vergetelheid en, meer in het algemeen, het recht op vernietiging van persoonsgegevens zouden moeten worden geëffectueerd in een systeem dat juist ontworpen is om niets te vergeten.'

Ook wijst het adviesorgaan van de regering erop dat een verwerkingsverantwoordelijke lastig is aan te wijzen als alle deelnemers aan een blockchain anoniem zijn. Een publieke blockchain heeft geen ‘eigenaar’, en iedereen kan deelnemen. Wie draagt dan de verantwoordelijkheid voor een rechtmatige verwerking? Bijkomend probleem is dat het voor de Autoriteit Persoonsgegevens(AP) lastig is om toezicht te houden als de computers in een blockchain overal ter wereld (kunnen) staan.

Sluiproute

Sinds 25 mei 2018 zijn organisaties gebonden aan de regels uit de AVG, ook als persoonsgegevens in een blockchain staan. Wordt bijvoorbeeld een verzoek tot verwijdering niet ingewilligd, dan kan de klant of burger een klacht indienen bij de AP. Gelukkig zijn er wel manieren om blockchain en de AVG met elkaar te verenigen.

Een mogelijkheid is om persoonsgegevens buiten de blockchain te houden. De verwijzing naar deze gegevens komt dan samen met een hash en andere metadata op de blockchain te staan. Vraagt iemand persoonsgegevens op, dan wordt op de blockchain gecontroleerd of de aanvrager daar de juiste rechten voor heeft. Is dat het geval, dan krijgt die persoon de hash en een link naar de persoonsgegevens.

Bijvoorbeeld het aanpassen of verwijderen van gegevens kan dan ‘off-chain’ gebeuren. Deze ‘sluiproute’ voegt wel de nodigde complexiteit toe. Ook haalt het een belangrijk voordeel van blockchaintechnologie onderuit: de gegevens zijn niet meer in beton gegoten. Ook is het nog maar de vraag of de toezichthouder vindt dat gegevens echt zijn verwijderd als de verwijzingen nog in de blockchain staan.

Terughoudendheid

In de praktijk moet nog blijken of het daadwerkelijk komt tot een clash tussen blockchain en de AVG. Ook de Europese privacywaakhonden moeten hun positie nog bepalen. Het is bovendien niet ongebruikelijk dat wetgeving wordt aangepast aan nieuwe, opkomende technologie.

Toen de oorspronkelijke wettekst van de AVG, ofwel General Data Protection Regulation (GDPR), werd geschreven, speelde blockchain nauwelijks een rol van betekenis. De mogelijkheden om blockchain te gebruiken binnen de wettelijke kaders van de AVG, zijn nu pas onderwerp van onderzoek. Totdat de resultaten daarvan bekend zijn, is bij de opslag van PII op de blockchain terughoudendheid op zijn plaats.