Dit is een verslag van een tijdens Inzicht in bestuursrecht 2018 gegeven workshop.
Op 22 november 2018 vond het jaarlijkse congres ‘Inzicht in bestuursrecht’ van Pels Rijcken plaats. Het thema dit jaar was ‘Experimenteren’. Jeroen Naves en Nina Bontje hebben tijdens dit congres een workshop gegeven over de juridische aspecten van experimenten met blockchain. Tijdens deze workshop bespraken Jeroen en Nina wat blockchain is en hoe experimenten met blockchain in lijn kunnen worden gebracht met de Algemene Verordening Gegevensbescherming (AVG). In dit blog doen zij verslag van hun workshop.
Wat is blockchain?
Een blockchain wordt vaak omschreven als een digitaal grootboek met regels met informatie. Aan het grootboek kunnen in uitgangspunt alleen regels met informatie worden toegevoegd (net als in een papieren grootboek). Het is in uitgangspunt niet mogelijk om al toegevoegde informatie te wijzigen.
Dit digitale grootboek is verspreid over verschillende computers die met elkaar verbonden zijn en zo samen een netwerk vormen. Deze computers binnen het netwerk worden vaak aangeduid als nodes. Iedere node binnen het netwerk bevat een exemplaar van het digitale grootboek.
Er is niet één exemplaar van het digitale grootboek dat leidend is. Alle exemplaren van het digitale grootboek synchroniseren regelmatig met elkaar. Dit zorgt ervoor dat als er via een van de nodes een regel met informatie wordt toegevoegd aan de blockchain, deze regel met informatie ook aan alle exemplaren van het grootboek wordt toegevoegd.
De kracht van de blockchaintechnologie (of: distributed ledger technology) is dat als via een van de nodes al toegevoegde informatie gewijzigd wordt, de andere exemplaren van het grootboek deze wijzigingen zullen herkennen en een foutmelding zullen geven. Dit zorgt ervoor dat als er maar genoeg nodes deel uitmaken van een blockchainnetwerk, het niet mogelijk is om informatie in een blockchain te wijzigen.
Doordat het uitgangspunt is dat het niet mogelijk is om informatie die onderdeel uitmaakt van een blockchain te wijzigen, heeft die informatie een hoge betrouwbaarheidsfactor. Waar nu de betrouwbaarheid van informatie vaak wordt gebaseerd op de partij die de informatie verstrekt (zoals de bank of het Kadaster), zorgt bij de toepassing van blockchain de technologie voor de betrouwbaarheid. Dat is de reden dat vaak gezegd wordt dat de blockchaintechnologie dergelijke thrusted third parties zal vervangen.
Hoe verhoudt blockchain zich tot de AVG?
Voor de vraag hoe (experimenteren met) blockchain zich verhoudt tot de AVG, zijn grofweg drie aspecten relevant:
1) Worden er bij een blockchaintoepassing persoonsgegevens verwerkt?
2) Hoe kwalificeren de verschillende betrokken partijen? Als verwerkingsverantwoordelijke, verwerker, betrokkene en/of derde?
3) Hoe kan aan de materiële eisen van de AVG worden voldaan?
Verwerking van persoonsgegevens
Als persoonsgegevens worden gelogd in een blockchain is daarop de AVG van toepassing en moet dus aan de daarin gestelde regels worden voldaan. Om die reden wordt er soms voor gekozen om niet de persoonsgegevens zelf, maar een zogenaamde hash van persoonsgegevens in een blockchain te plaatsen. Een hashfunctie is simpel gezegd een wiskundige formule die tekst omzet in een cijferreeks en die als uniek kenmerk heeft dat vanaf de cijferreeks niet teruggerekend kan worden naar de tekst. Als we het hebben over een hash van persoonsgegevens hebben we het dus over de cijferreeks die ontstaat door de persoonsgegevens om te zetten met behulp van de wiskundige formule. Uit een advies van de Artikel 29-werkgroep (samenwerkingsorgaan van de Europese privacytoezichthouders; thans de European Data Protection Board) lijkt te volgen dat het hashen van persoonsgegevens niet leidt tot een situatie waarin gegevens niet meer herleidbaar zijn tot natuurlijke personen. Om die reden lijkt er vooralsnog van te moeten worden uitgegaan dat met hashen van persoonsgegevens de AVG niet buiten werking kan worden gesteld, al bestaat op het advies van de Artikel 29-werkgroep wel de nodige kritiek.
Zie: Advies 5/2014 van de Artikel 29-werkgroep over anonimiseringstechnieken.
De actoren
Alle deelnemers aan een blockchain waarbinnen persoonsgegevens worden uitgewisseld, kwalificeren in de regel als verwerkingsverantwoordelijke in de zin van de AVG. Wij kunnen ons voorstellen dat de partijen die alleen nodes draaien binnen een blockchainnetwerk kwalificeren als verwerkers. De primaire taak van deze partijen is immers het laten functioneren van de blockchain ten behoeve van alle verwerkingsverantwoordelijke deelnemers. Als de partijen die nodes draaien daadwerkelijk verwerkers zijn, dan zijn de verwerkingsverantwoordelijken verplicht om met deze verwerkers verwerkersovereenkomsten te sluiten (artikel 28 AVG). Hiervoor geldt dat dit binnen een blockchain waarin een zekere vorm van governance bestaat, is op te lossen door daarover tussen alle deelnemers en de partijen die de nodes draaien gezamenlijke afspraken te maken.
Materiële eisen van de AVG
De uitgangspunten en voordelen van blockchaintechnologie bijten in meer of mindere mate met de beginselen van gegevensbescherming uit de AVG. Zo is de kern van blockchaintechnologie dat sprake is van onveranderbare, niet verwijderbare data die staat opgeslagen op meerdere plekken. De materiële eisen van de AVG zijn daartegen gebaseerd op de beginselen van dataminimalisatie, juistheid van gegevens en opslagbeperking (zie artikel 5 AVG). Staat de AVG daarmee aan de weg aan de inzet van blockchain?
Volgens ons niet zonder meer, zeker niet wanneer gebruik wordt gemaakt van een (meer) gesloten blockchain. Een blockchain kan meer gesloten zijn, bijvoorbeeld doordat vastligt welke partijen de nodes beheren waaruit de blockchain bestaat, welke partijen toegang krijgen tot een blockchain of welke informatie partijen kunnen zien binnen een blockchain. Vaak wordt een gesloten blockchain beheerd door een organisatie. Dat doet af aan de oorspronkelijke bedoeling van blockchain om trusted third parties overbodig te maken, maar heeft voordelen in termen van gegevensbescherming.
Zo kan bij een (meer) gesloten blockchain, waarbij deelnemende partijen en partijen achter nodes bekend zijn, onder meer afspraken worden gemaakt over de omgang met de rechten van betrokkenen, zoals met verzoeken om gegevens te wissen en te rectificeren.
Bovendien biedt blockchain juist ook mooie kansen voor het uitoefenen van de rechten van betrokkenen en het geven van vrije, specifieke, geïnformeerde toestemming, doordat die rechten kunnen worden ingeregeld in de techniek.
Meer weten?
Zie onze Whitepaper Juridische aspecten van blockchain of neem contact op met Jeroen Naves of Nina Bontje.