Richtlijnen voor privacyvriendelijke blockchain

De Franse privacyautoriteit CNIL heeft richtlijnen uitgevaardigd voor een privacyvriendelijk gebruik van blockchaintechnologie. Daarmee wil de CNIL een eerste stap zetten richting rechtszekerheid voor alle organisaties en netwerken die blockchain willen aanwenden bij hun verwerking van persoonsgegeven.

Gegevensbescherming vormt een belangrijke uitdaging voor de uitbouw en het gebruik van blockchain-technologie. Zeker wanneer het gaat over een “public ledger”. Daar waren privacyspecialisten al behoorlijk snel uit. Bij het gebruik van – voornamelijk – een publiek register rijzen immers meteen enkele juridische vragen vanuit privacyoogpunt: aanduiden van de “verantwoordelijke(n)”, uitvoeren van verzoek tot verwijdering, toepassen van dataminimisatie en dergelijke meer.

De gegevensbeschermingsautoriteiten zijn bevoegd om een verwerking en daarbij gebruikte technologie te beoordelen op hun AVG-overeenstemming. Het was dus noodgedwongen wachten op de eerste richtlijnen van deze instanties – bij gebrek aan diepere regelgeving – voor een privacyvriendelijke toepassing van blockchaintechnologie. De Franse CNIL komt nu naar buiten met de eerste richtlijnen, waarin verschillende onzekerheden worden weggewerkt. We gaan hieronder kort in op de belangrijkste punten:

1. Verantwoordelijke:

Essentieel aan blockchain is de decentralisatie van gegevensverwerking. Verwerking vindt niet plaats bij één entiteit, maar wordt gedistribueerd over alle actieve deelnemers aan het blockchain-netwerk. Een eerste cruciale vraag – bij iedere verwerking overigens – is wie beschouwd moet worden als “verantwoordelijke voor de verwerking”.

In het geval van een blockchain zouden alle deelnemers met schrijfrechten beschouwd moeten worden als (mede-)verantwoordelijke van de verwerking van persoonsgegevens. Volgens de CNIL zou een natuurlijk persoon die deelneemt aan de blockchain voor persoonlijk gebruik niet als verantwoordelijke moeten worden beschouwd. Deze visie zorgt waarschijnlijk voor een onevenwichtige verantwoordelijkheidsverdeling. Want deelnemers met commercieel oogmerk zullen “hoofdelijk” aansprakelijk zijn, ook voor de daden en beslissingen van deelnemers aan dezelfde blockchain, doch met persoonlijk oogmerk.

Andermaal volgens de CNIL mag de groep één persoon aanduiden als “verantwoordelijke” om te vermijden dat de groep zou vallen onder de speciale aansprakelijkheidstoebedeling voor “gezamenlijk verantwoordelijken”. Dit is opmerkelijk te noemen, omdat in wezen de wetgeving bepaalt wie aansprakelijk gesteld kan worden voor inbreuken op de privacyrechten van betrokkenen, en niet de deelnemers aan een blockchain-systeem zelf.

Deelnemers die enkel verificatieberekeningen maken, de zgn. “miners”, moeten niet beschouwd worden als “verantwoordelijke”. Het is niet duidelijk welke status “miners” krijgen van de CNIL, al sluit deze niet uit dat een “miner” wel als verwerker kan optreden en dus het opstellen van een verwerkersovereenkomst verplicht maakt. In principe krijgen “miners” geen persoonsgegevens te zien – als deze al in de blockchain opgenomen werden – maar enkel een “hash”, die dan geverifieerd moet worden. De vraag is dan of de gegevens niet afdoende geanonimiseerd werden in het licht van de AVG?

Gebruikers van de blockchain, die enkel genieten van het blockchain-systeem, krijgen geen specifieke AVG-rol toebedeeld. Althans voor zover zij enkel voor persoonlijk gebruik deelnemen.

2. Bezint eer ge begint:

Na de eerste hype-golf van de blockchaintechnologie werd al gauw plaats geruimd voor realisme: blockchain is niet voor alle verwerkingen een ideaal medium. De CNIL treedt deze visie volledig bij. Volgens het “privacy by design” principe moet iedere organisatie goed overwegen of het opzetten van een blockchain wel de meest passende techniek is. “Privacy by default” vraagt dan weer van alle verantwoordelijken dat zij de meest privacyvriendelijke keuzes maken. De CNIL verwijst bij dit alles terecht naar de problematiek van grensoverschrijdende doorgiftes buiten de EU/EER, hetgeen bij blockchain regelmatig plaatsvindt.

De CNIL geeft ook aan hoe persoonsgegevens moeten worden weggeschreven in een blockchain en geeft de voorkeur aan “commits”, een “hash” van de oorspronkelijke inhoud of minstens een geëncrypteerde vorm van diezelfde inhoud. Er wordt dus sterk aanbevolen om niet de oorspronkelijke, door mensen leesbare en verstaanbare data in een blockchain weg te schrijven, maar enkel éénrichtingscode die het louter mogelijk maakt voor de leden van de blockchain om de integriteit van de oorspronkelijke data te verifiëren.

3. Rechten van betrokkenen:

Blockchain stelt weinig problemen voor een aantal rechten van de betrokkene, volgens de CNIL. Verantwoordelijken kunnen eenvoudig inzage geven in de wijze van verwerking. En de CNIL ziet weinig problemen in de uitvoeren van het recht op toegang en het recht op overdraagbaarheid van data.

Anders is het voor het recht op uitwissen of wijzigen van data. Dit was één van de grote bezorgdheden omtrent de overeenstemming van blockchain met de privacywetgeving. Het is immers eigen aan de blockchaintechnologie dat data wordt weggeschreven in de ketting, om er nooit meer te worden uitgehaald. Toch bestaat er voor de CNIL weinig gevaar voor de privacyrechten van het individu wanneer de persoonsgegevens afdoende gecommit of gehasht werden. Dit is meteen ook één van de redenen waarom de CNIL sterk aanbeveelt om geen zuivere, verstaanbare persoonsgegevens in een blockchain weg te schrijven, maar enkel voldoende gepseudonimiseerde of geanonimiseerde gegevens.

Met betrekking tot het recht op beperking van de verwerking en het recht om een menselijke tussenkomst te vragen bij geautomatiseerde beslissingen blijft de CNIL eerder vaag, maar stelt wel dat stroomopwaarts maatregelen te nemen zijn, bijvoorbeeld bij smart contracts, om ook deze rechten te eerbiedigen.

Besluit

Blockchain moet een serieuze privacydrempel over. De CNIL heeft met haar richtlijnen omtrent een verantwoord gebruik van blockchain voor de verwerking van persoonsgegevens een schuchtere stap gezet in het uitklaren van de vele vragen die rijzen bij het gebruik van de technologie. Toch laat de CNIL verschillende vraagstukken in het midden of geeft toe dat blockchain en AVG een moeilijk huwelijk zijn. Of ze dat blijven, zal de toekomst – en mogelijk de opinies van zusterautoriteiten van de CNIL – moeten uitwijzen.