In dit artikel wordt de Blockchaintechnologie algemeen uitgelegd voor personen zonder een technische achtergrond. Daarna verdiepen we ons in de verhouding tussen de Blockchaintechnologie en enkele aspecten van de Algemene Verordening Gegevensbescherming;
Identiteit in een decentrale omgeving, wie is de verwerkingsverantwoordelijke binnen een blockchainproject? Hoe kunnen de rechten van betrokkenen in een blockchain afdoende worden gewaarborgd en tot slot de impact van de bescherming persoonsgegevens op de voorgestelde Verordening markten in Crypto-assets (MiCA).
Jents Debruyne is advocate en data protection officer voor verschillende ondernemingen. Haar kantoor, opgericht sinds 2017 staat cliënten bij in de zoektocht naar juridische omkadering van databescherming en innovatieve projecten. Geregeld schrijft zij blogposts over ontwikkelingen in het IT- en privacyrecht op haar website www.advocaatdebruyne.be.
Wat is blockchain?
1.1. Verwerking van persoonsgegevens algemeen
Een onderneming verwerkt enorm veel persoonsgegevens; over haar klanten, welke aankopen zij deden, op welk moment dit gebeurt, hoe vaak zij terugkeerden. Als een onderneming haar data op een efficiënte manier wil gaan inzetten dan is het nodig dat de persoonsgegevens op een behoorlijke manier worden verwerkt en de beschikbare gegevens op een goede manier zijn gestructureerd.
Met een pragmatische oplijsting via excel komt een startende KMO vaak al heel ver. Naarmate een onderneming groeit is er al snel de noodzaak om over te schakelen naar een database die een grotere hoeveelheid data makkelijker kan hanteren. Een database is een georganiseerde verzameling gestructureerde informatie of data, die doorgaans elektronisch wordt opgeslagen in een computersysteem. De data kunnen vervolgens eenvoudig worden gebruikt, beheerd, gewijzigd, bijgewerkt, bewaakt en georganiseerd. De meeste databases gebruiken Structured Query Language (SQL) voor het schrijven en opvragen van data.[1] Databases worden op grote schaal gebruikt door ondernemingen, websites,…
1.2. Wat zijn ledgers?
Wanneer we data zo gaan vormgeven dat ze een geschiedenis aan data bevatten dan spreken we over een grootboek of ledger. De geschiedenis van voorbije transacties over een afgebakende periode worden hierin geregistreerd.
Een fictief voorbeeld bestaat er in dat de historische transacties worden opgelijst van een winkel voor een bepaalde periode:
– transactie 1 ‘Alice verkoopt een appel aan bob voor 1 euro’
– transactie 2 ‘ Alice koopt een appel van rick voor 0,5 euro’
– …
1.3. Wat zijn distributed ledgers
We spreken over Distributed ledgers wanneer deze ledgers worden gedeeld met verschillende partijen.
De meeste ondernemingen gebruiken vandaag een centrale database die op één locatie wordt beheerd. Een distributed ledger kan gebruikt worden om consensus te bereiken van de ene partij naar de andere zonder centrale tussenpersoon. Ledgers kunnen bepaalde gegevens verwerken, valideren of authentificeren zonder gebruik te maken van een tussenpersoon.
Stel dat één document moet worden getekend door meerdere partijen kan dit gedeeld worden met verschillende partijen die elk hun handtekening elektronisch plaatsen. Na ondertekening heeft elke partij een officiële versie van dit document opgenomen in de ledger. De technologie zorgt er dus voor dat je verifieerbare geschiedenis kan zien van de gegevens opgenomen in de ledger. De bewijswaarde van deze documenten in de blockchaintechnologie hangt af van de hoedanigheid van de partijen (particulier – ondernemer), de juridische kwalificatie van de opgenomen bestanden tussen de partijen (hoe kan een bepaalde rechtshandeling worden bewezen?: bijvoorbeeld bij aankoop van een onroerend goed dient er sprake te zijn van een authentieke akte, bij een gewone aankoop van een roerend goed kan een onderhandse akte volstaan, toepasselijke bewijswaarde) en passend certificaat van uw handtekening.
1.4. De blockchain: Een type distributed ledger
De blockchain is een opslag van ledgers in blokken op geëncrypteerde wijze waarbij steeds nieuwe blokken worden toegevoegd aan de bestaande keten van reeds geregistreerde datablokken. Deze blokken vormen een ketting; een ‘blockchain’ genaamd. Deze ledgers worden geregistreerd en kunnen niet meer worden gewijzigd. Een aanrader is de demo van Anders Brownworth, die legt op een bevattelijke en visuele manier de blockchain uit. (https://andersbrownworth.com/blockchain/ )[2]
Via nodes wordt de blockchain geverifieerd (validating node) en bijgehouden (participating node). Een node (software) zorgt ervoor dat de blockchain op een correcte manier blijft opereren volgens een protocol. Bitcoinhouders hebben er bijvoorbeeld belang bij dat er veel nodes zijn in het netwerk om het netwerk decentraal te houden (een decentrale digitale munt is hun doelstelling). Er is in het bitcoin netwerk geen monetaire vergoeding voor het opzetten van een node. Heb je bijvoorbeeld veel bitcoin, dan kan je er als houder belang bij hebben dat het netwerk robuust en integer blijft. Een Bitcoinnode zal opereren via bitcoin-protocol-software en een kopie van de gehele chain opslaan in de node. Elke node kan in principe zijn eigen regels bepalen voor de geldigheid van een transactie, maar alleen als de rest van het netwerk dezelfde regels hanteert zal een transactie ook door de rest van het netwerk als geldig gezien worden.
Leuk weetje: in 2019 werd door de onderneming Space Chain in samenwerking met nanoracks en spaceX de installatie van de eerste hardware module voor blockchain multisignature authentificatie-diensten op de ISS aangemaakt waar een full node op draait en werd deze ingezet voor het ondertekenen van een transactie. De eerste node vanuit de ruimte is dus al aangemaakt. Hun doel is het aanmaken van een globaal open source operating system met gebruik van satellieten als nodes voor decentrale blockchaintechnologie. Zo zullen gebruikers applicaties kunnen hosten vanuit de ruimte op een veilige, onveranderlijke en decentrale manier. [3]
1.5. Soorten blockchain
1.5.1. Met toestemming of zonder toestemming
In een blockchain zonder toestemming (permissionless) kan iedere gebruiker als validating node handelen en participeren aan de infrastructuur van die blockchain, zonder dat daarvoor toestemming moet gegeven worden.
Bij een blockchain met toestemming zijn enkel een aantal toegelaten gebruikers in overeenstemming met een consensus mechanism toegelaten om validating nodes te kunnen hanteren. Enkel die nodes zullen dan transacties goedkeuren en nieuwe blocks aan die blockchain toevoegen.
1.5.2. Publiek, privaat of hybride
Publieke blockchains zijn toegankelijk voor iedereen, waar private blockchains enkel toegankelijk zijn voor een bepaalde groep participating nodes.
In het kader van harmonisatie van de IT-standaarden tracht men standaarden af te stemmen aan wat de blockchaintechnologie en uberhaupt elke technologie minimaal moet voldoen. Overeenstemming met de principes van de algemene verordening gegevensbescherming wordt steeds vooropgesteld.
Tot slot is er ook sprake van hybride blockchaintechnologie waarin een mix wordt gemaakt tussen private en publieke blockchains.
Blockchain kent verschillende toepassingen waaronder het uitbrengen van verschillende crypto-activa, tokenization van bepaalde sectoren, decentraal beheer van data voor bepaalde sectoren (bijvoorbeeld het blockchainnetwerk voor de Europese universiteiten waar elke student een token krijgt met zijn of haar dossier en dat dit kan gebruikt worden bij partneruniversiteiten).
Verhouding tussen distributed ledgers en de Algemene Verordening Gegevensbescherming de zoektocht naar technische oplossingen voor proportionele afwegingen en uitoefening van de rechten van betrokkenen
2.1. Een betrokkene identificeren: authenticatie via blockchain?
Identiteit is steeds een moeilijk probleem in een digitale omgeving. Hoe kan een betrokkene aangeven dat hij zeker deze persoon is, zonder daarbij te veel informatie vrij te geven. Enerzijds is het niet aangewezen voor een betrokkene om bijvoorbeeld een identiteitskaart te delen met een softwareleverancier of onderneming, anderzijds moet een partij van een transactie wel degelijk weten dat zij met de juiste persoon communiceren en taken/diensten of opdrachten uitvoeren voor de juiste persoon. Phishing en spoofing worden in de huidige geconnecteerde wereld een steeds groter probleem.
Vandaag wordt dit probleem aangepakt met afdoende authenticatie en digitale ondertekening. Met je pincode kan je een digitale handtekening plaatsen en je officiële identiteit verbinden aan een overeenkomst met een andere partij. In deze situatie is er echter steeds het risico dat de data bij het centraal beheer niet veilig wordt bewaard of dat er securityproblemen optreden. Authenticatie in een decentrale omgeving zou ervoor moeten zorgen dat betrokkenen rechtstreeks handelen met de andere partij zonder daarbij te veel persoonsgegevens uit te wisselen. In die mate kan het aan de betrokkene de opportuniteit geven om enkel persoonsgegevens te delen die noodzakelijk zijn via een geëncrypteerd afgeschermd systeem, bijvoorbeeld via een walletsysteem.
De realiteit is natuurlijk dat momenteel de bestaande publieke platformen waarbij gebruik wordt gemaakt van blockchain echter alles behalve privacyvriendelijk zijn. Zo kan je bij ethereum en bitcoin elke transactie openbaar volgen eenmaal je ergens één indicatie hebt van de public key die wordt verbonden aan een persoon. Natuurlijk heb je de mogelijkheden om meerdere wallets aan te maken, maar te veel hindernissen voor betrokken personen verhinderen natuurlijk het steeds opnieuw aanmaken van een nieuwe wallet, noch kan het niet steeds de bedoeling zijn om elke transactie van een persoon openbaar te volgen. Het gebruik van een publieke blockchain is in principe moeilijk in overeenstemming te brengen met de principes van de GDPR.
Het is tevens niet ondenkbaar dat betrokkenen voor het aanleveren van data steeds meer beloond zullen worden in het licht van het prijsgeven van hun data. Voor het commercieel gebruik van persoonsgegevens is in principe binnen europa nog steeds toestemming van de betrokken nodig en moet men zich houden aan dataminimalisatie. In dat opzicht zouden ook betrokkenen veel meer belang hebben om hun data niet zomaar vrij te geven zonder na te denken, wat tot gevolg heeft dat zij beter zullen beschermd zijn op het internet.
Hierin liggen opportuniteiten voor ondernemingen en overheden om dit beter hanteerbaar te maken voor de burger met afdoende waarborgen voor hun vrijheden wanneer zij digitale activa zouden willen aankopen.
De kracht van nieuwe ontwikkelingen in web 3.0 blijkt te zijn dat ook mensen die bijdragen aan de community worden beloond en niet enkel de centrale entiteit. De meerwaarde van sociale platformen wordt nu centraal vooral geoogst door techgiganten. In dit opzicht versterkt de nood aan meer databescherming voor betrokkenen de meerwaardecreatie door het individu.
Vooral in het licht van Internet of Things (‘IOT’) kan blockchain ervoor zorgen dat vrijheden en privacy van gebruikers gewaarborgd wordt en niet te veel data worden uitgewisseld. Zo kan een combinatie gemaakt worden van een interface in combinatie met blockchain om een anoniemere werking van de apparaten mogelijk te maken en zo vertrouwen te winnen van de gebruikers.[4]
Het uitwerken van deze ontwikkelingen in de technologie zullen een samenspel zijn van verschillende technologieën waarbij databescherming prioritair op de agenda moet staan van elke ontwikkelaar, niet enkel uit privacyoverweging, maar ook met het oog op duurzaamheid van de ontwikkelde apparaten en software.
Het wilde westen van cryptomunten die blockchain introduceerden zullen langzamerhand verdwijnen en worden geïncorporeerd in bedrijfs- en overheidscultuur waarbij de blockchain kan worden aangewend voor goede of slechte oplossingen. Er valt echter op te merken dat voorlopig in vele gevallen een database een afdoende en pragmatische oplossing zal blijven die meer compliant is dan blockchaintechnologie in afweging met de complexiteit en schaalbaarheid van het doel van de beoogde innovatie.
2.2. Wie is verwerkingsverantwoordelijke bij blockchain?
De verwerkingsverantwoordelijke bepaalt het doel en de middelen voor de verwerking van persoonsgegevens.
Bij private permissioned blockchains stelt zich het probleem niet gezien het centraal beheer van de toegelaten deelnemers aan de blockchain het doel en de middelen van de verwerking bepalen. Deze wordt dan aangeduid als verwerkingsverantwoordelijke.
De CNIL merkt op dat de deelnemers, die het recht hebben om op de keten te schrijven en die beslissen om gegevens ter validatie door de miners te verzenden, als verantwoordelijken voor de verwerking kunnen worden beschouwd.[5] De deelnemers aan de blockchain bepalen immers de doeleinden (met de verwerking nagestreefde doelstellingen) en de middelen (gegevensformaat, gebruik van de blockchaintechnologie, enz.) van de verwerking.
Meer bepaald is de CNIL van mening dat de deelnemer een voor de verwerking verantwoordelijke is;
– wanneer deze deelnemer een natuurlijke persoon is en de verwerking van persoonsgegevens verband houdt met een professionele of commerciële activiteit (d.w.z. wanneer de activiteit niet strikt persoonlijk is);
– wanneer deze deelnemer een rechtspersoon is en persoonsgegevens in een blockchain registreert.
Als een bank de persoonsgegevens van een klant op een blockchain plaatst is deze uiteraard verwerkingsverantwoordelijke.
Bij public permissionless blockchains is het moeilijker om een verwerkingsverantwoordelijke aan te duiden.
Er zijn verschillende visies, sommige stellen dat de betrokkene zelf verwerkingsverantwoordelijke zijn gezien de nodes enkel de niet-essentiële elementen van de middelen van de verwerking bepalen en de gebruiker van de blockchain directe link heeft met de blockchainverwerking. De CNIL overweegt hier het professionele en commerciële doeleinde-criterium waarbij de doeleinden de kwalificatie als verwerkingsverantwoordelijke bepaalt of niet. [6]
Een andere visie is het geheel aan nodes als een gezamenlijke verwerkingsverantwoordelijke beschouwen. Anderen opteren resoluut voor de optie om de persoonsgegevens off-chain te bewaren, diegene die dan in bewaring voorziet is dan de verwerkingsverantwoordelijke voor de verwerking van de persoonsgegevens.
2.3. Rechten van betrokkene?
Het onveranderlijk karakter van de blockchain staat vaak in fel contrast met de rechten die betrokkenen hebben in de lijn van de AVG. Zo hebben betrokkenen het recht om gegevens te wijzigen, te wissen, informatie te verkrijgen of hun data over te dragen.
Dit kan in vele gevallen technisch worden opgelost door het hanteren van offchain opslag van de persoonsgegevens met een koppeling die wordt gehasht. In de context van een vraag tot wissing van de persoonsgegevens (artikel 17 AVG) kan het verwijderen van de off-chain opgeslagen gegevens ertoe leiden dat het recht op een juiste manier door de verantwoordelijke wordt uitgeoefend.
In het kader van het recht op wissing van de gegevens wordt de vraag gesteld of het verwijderen van de key in principe afdoende is om de gegevens te wissen.
Rekening houdend met de huidige stand van technologie kan dit mijn inziens als een proportionele tegemoetkoming naar de betrokkene toe worden beschouwd. Een kanttekening moet echter gemaakt worden van zodra quantumtechnologie zou verbeteren. In principe zou dat het ontcijferen van de cryptografische sleutels mogelijk maken waardoor de informatie opnieuw kan worden achterhaald.
MICA en AVG
De definitieve tekst van de Markten in Crypto-activa (MiCA) werd gepubliceerd op 4 oktober 2022. Daarbij werd op het vlak van gegevensbescherming het volgende advies gegeven door de EDPS:
Bij het uitgeven van crypto-assets moet men dit doen op een GDPR-conforme wijze en is men accountable als verwerkingsverantwoordelijke. De EDPS beschouwd dat uitgevers van crypto-assets verwerkingsverantwoordelijken zijn onder de AVG rekening houdend dat het project natuurlijk persoonsgegevens verwerkt. om juridische zekerheid te verhogen adviseerde het EDPS om uitdrukkelijk de uitgevers van crypto aan te duiden als verantwoordelijken in Mica.
In de definitieve tekst wordt gegevensbescherming benadrukt in artikel 88.
Uitgevers van crypto-assets moeten systemen en procedures opstellen die adequaat genoeg zijn om de veiligheid, integriteit en confidentialiteit van de informatie in overeenstemming te brengen met de principes van de AVG. Deze systemen moeten de relevante data en informatie opnemen en bewaren gedurende de activiteiten van deze uitgevers. Deze standaarden moeten ook gehaald worden door derde partijen bij uitbesteding. In dat geval moet ook steeds aan de voorwaarden van deze verordening worden voldaan door het gebruik van AVG-conforme policies, het sluiten van overeenkomsten met afdoende bescherming en uitdrukkelijke bepalingen over de beëindiging wanneer niet wordt voldaan aan de overeengekomen verplichtingen. [7]
Conclusie
De principes van databescherming zorgen ervoor dat rechten en vrijheden van personen worden beschermd. De AVG geeft op dit moment nog vaak technische problemen in verhouding tot innovatieve technologieën zoals de blockchain, echter kunnen vaak oplossingen worden gevonden en heeft iedereen belang bij een langetermijnvisie op het vlak van gegevensbescherming.
Ook wanneer een systeem op decentrale wijze wordt georganiseerd verdient een betrokkene afdoende bescherming in het handelen met een andere partij. Het doel waarvoor de technologie wordt aangewend en de afweging van belangen spelen steeds een belangrijke rol ten aanzien van de gebruikers die op hun beurt steeds bewuster zullen zijn van het privacy-element bij platformen.
Het is op heden nog aangewezen om een permissioned blockchain te gebruiken wanneer het de bedoeling is om persoonsgegevens te verwerken. Dat zorgt voor duidelijke rollen waarbij de centrale entiteit verwerkingsverantwoordelijke is en als aanspreekpunt voor de betrokkene kan dienen voor de uitoefening van zijn of haar rechten.
Vooraf nadenken over toepasbare policies, protocollen en off chain- opslag van persoonsgegevens zodat aan de compliance-vereisten van de AVG kan worden voldaan wanneer binnen het toepassingsgebied van de AVG wordt geopereerd is een must. Ook in het kader van de verordening markten in crypto-activa zal men de bescherming van persoonsgegevens dienen te garanderen wil men operationeel blijven op de Europese markt.
[1] Definitie Databases Oracle 2022, IBM [2] Hierbij valt op te merken dat een public key als een persoonsgegeven kan worden beschouwd wanneer hierdoor een betrokkene identificeerbaar wordt [3] https://youtu.be/PMwdHT-Lb7I [4] MarkoŠarac, NikolaPavlovićaNebojsaBacaninaFadiAl-TurjmanbSašaAdamović, Increasing privacy and security by integrating a Blockchain Secure Interface into an IoT Device Security Gateway Architecture, https://www.sciencedirect.com/science/article/pii/S2352484721005448 [5] Solutions for a responsible use of the blockchain in the context of personal data, CNIL, september 2018, https://www.cnil.fr/sites/default/files/atoms/files/blockchain_en.pdf [6] M. BERBERICH en M. STEINER, “Blockchain technology and the GDPR – how to reconcile privacy and distributed ledgers”, European Union Data Protection Law Review 2016, (422) 424; M. FINCK, “Blockchains and data protection in the european union”, European Data Protection Law Review 2017, (17) 26-27; [7]https://data.consilium.europa.eu/doc/document/ST-13198-2022-INIT/en/pdf