Blockchaintechnologie en controle over persoonsgegevens uit de GDPR (Monard Law)

Auteurs: Dylan Verhulst en Kristof Zadora (Monard Law)

De naleving van de bepalingen uit de Algemene Verordening Gegevensbescherming (GDPR) is van groot belang voor uw onderneming. Niet alleen kunnen er zware sancties worden opgelegd voor inbreuken op de bepalingen van de GDPR, ook zijn de imago- en reputatieschade die met die inbreuken gepaard kunnen gaan minstens even schadelijk voor uw onderneming. Dat bewijst het schandaal over de vermeende privacyschendingen van Facebook en Cambridge Analytica, waarbij de gegevens van 86 miljoen facebookgebruikers onrechtmatig verzameld zouden zijn. Het onderzoek naar de privacyschendingen ging zelfs zo ver dat Mark Zuckerberg, de CEO van Facebook, zich moest verantwoorden voor  het Amerikaanse Congres. 

Meteen is het belang voor de naleving van de GDPR voor uw onderneming duidelijk. Een van de aspecten in de naleving van de GDPR is uw interactie met betrokkenen. Zo dient u de betrokkene de mogelijkheid te geven om controle uit te oefenen over diens eigen persoonsgegevens. Privacyvriendelijkheid en de betrokkene faciliteren in de controle over de eigen persoonsgegevens vormen steeds vaker het uitgangspunt voor nieuwe technologieën en applicaties. Voorbeelden daarvan zijn de Brave browser en de DuckDuckGo zoekmachine.

In deze nieuwsbrief gaan we dieper in op hoe blockchaintechnologie u kan helpen om de betrokkene controle te geven over diens eigen persoonsgegevens, en uw interactie met betrokkenen en derde-partijen kan optimaliseren.

1. De GDPR en blockchaintechnologie

Op 25 mei 2018 trad de GDPR in werking. Deze regelgeving is rechtstreeks van toepassing binnen alle lidstaten van de Europese Unie en bracht aanzienlijke nieuwe verplichtingen met zich mee voor alle organisaties – zowel grote als kleine – die persoonsgegevens verwerken.

“Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben.” Een gevolg van deze belangrijke doelstelling uit de GDPR is een uitgebreidere formulering van de rechten van de betrokkene, die ze rechtstreeks tegenover ondernemingen kunnen uitoefenen. Het is dus aan u zelf om de betrokkene die controle te geven. Het teruggeven van controle aan de betrokkene kan echter een utopie lijken in een tijd waarin internetgiganten steeds meer macht krijgen over grote hoeveelheden aan persoonsgegevens. Deze macht vloeit voort uit het feit dat die internetgiganten persoonsgegevens centraliseren, waardoor ze hun machtspositie verder kunnen uitbouwen en bijgevolg nog meer persoonsgegevens ter beschikking krijgen, de zogenaamde ‘vendor lock-in’.

Hoewel internetgiganten en technologische ontwikkelingen een negatieve impact kunnen uitoefenen op de gegevensbeschermingsdoelstellingen, kunnen nieuwe technologieën ook gebruikt worden om de rechten van betrokkenen te versterken.

Blockchaintechnologie kent verschillende vormen en toepassingen, en kan best vergeleken worden met een digitaal en gedecentraliseerd grootboek. Een blockchain bestaat uit een netwerk van nodes (afzonderlijke deelnemers van het computernetwerk) dat handelt in de plaats van een centrale tussenpersoon, wat voor de decentralisatie moet zorgen. Elke zogenaamde ‘block’ van de blockchain bevat een reeks transacties, alsook een verwijzing (hash) naar alle voorgaande blocks. Doordat elke nieuwe block verwijst naar de voorgaande, ontstaat een keten of ‘chain’. Daar komt de benaming blockchain vandaan. De verwijzing naar voorgaande blocks moet de integriteit van blockchain garanderen wanneer een nieuwe block (en dus nieuwe transacties) aan blockchain worden toegevoegd.

Bijzonder aan blockchaintechnologie is dat de gegevens van transacties geëncrypteerd zijn. Dat heeft tot gevolg dat het niet onmiddellijk zichtbaar is welke gegevens in een bepaalde transactie vervat liggen. De encryptie  in het blockchainsysteem leidt dus tot pseudonimisatie van persoonsgegevens.

2. De rechten van de betrokkene

Een gevolg van de hogervermelde doelstelling is een uitgebreidere formulering van de rechten van de betrokkene, die dus moet leiden tot effectieve controle van de betrokkene over diens eigen persoonsgegevens. Hieronder geven we een korte beschrijving van die rechten, welke betrokkenen kunnen uitoefenen ten aanzien van uw onderneming wanneer u persoonsgegevens verwerkt:

(i)         Recht van inzage: Dit recht houdt in dat de betrokkene het recht heeft om informatie te ontvangen over het al dan niet verwerken van hem betreffende persoonsgegevens, alsook omtrent de verschillende aspecten van die verwerking (zoals bv. de verwerkingsdoeleinden, de betrokken persoonsgegevens, mogelijke internationale doorgiftes, etc.).  Dit recht houdt tevens in dat de betrokkene een kopie mag vragen van de persoonsgegevens die van hem/haar worden verwerkt.

(ii)        Recht op rectificatie: De betrokkene kan verbetering vragen van onjuiste persoonsgegevens, dan wel aanvulling vragen van onvolledige persoonsgegevens.  Belangrijk is dat eventuele correcties of aanvullingen ook steeds aan de verwerkers moeten worden doorgegeven.

(iii)       Recht op gegevenswissing (“recht op vergetelheid”): Ondernemingen zijn verplicht om, in bepaalde gevallen, zonder onredelijke vertraging, de persoonsgegevens van de betrokkene te wissen.  Dit zal onder meer het geval zijn: wanneer de persoonsgegevens niet langer nodig zijn voor de doeleinden van de verwerking; wanneer de betrokkene zijn toestemming heeft ingetrokken en er geen andere verwerkingsgrond bestaat; of wanneer de betrokkene bezwaar maakt tegen de verwerking.

(iv)       Recht op beperking van de verwerking: Dit houdt in dat de betrokkene, onder bepaalde omstandigheden, kan vragen dat de verwerking met betrekking tot persoonsgegevens waarvan bijvoorbeeld de juistheid wordt betwist of waarvan de verwerking beweerdelijk onrechtmatig is, gedurende een bepaalde periode kan worden beperkt.  In dergelijk geval kunnen de persoonsgegevens enkel nog worden opgeslagen, maar niet verder worden verwerkt zonder de toestemming van de betrokkene.

(v)        Recht op overdraagbaarheid van gegevens: Dit wil zeggen dat de betrokkene kan vragen dat zijn/haar persoonsgegevens hem/haar in een gestructureerde, gangbare en machine-leesbare vorm worden meegedeeld en/of dat deze gegevens aan een andere verwerkingsverantwoordelijke zouden worden meegedeeld.

(vi)       Recht van bezwaar: Dit houdt in dat de betrokkene te allen tijde het recht heeft om bezwaar te maken tegen de verwerking van hem/haar betreffende persoonsgegevens indien zijn/haar specifieke situatie dit verantwoordt.  In principe dient de verantwoordelijke dan onmiddellijk de gegevensverwerking te staken.  Een variant van dit recht van bezwaar bestaat tevens in het recht om te vragen niet langer te worden onderworpen aan uitsluitend op geautomatiseerde basis genomen individuele beslissingen.

De meeste van bovenstaande rechten zijn niet absoluut.  In sommige gevallen kan er bv. een uitzondering op de rechten van de betrokkenen worden gemaakt wanneer de uitoefening van het recht afbreuk zou doen aan de rechten en vrijheden van anderen; wanneer de verwerking berust op een wettelijke verplichting of kadert in de uitvoering van een taak van algemeen belang; of voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

3. De eigenschappen van blockchaintechnologie

De meest bekende toepassingen van blockchaintechnologie zijn cryptocurrencies, waaronder de Bitcoin. In de afgelopen jaren heeft blockchaintechnologie veel media-aandacht gekregen en werd het als een oplossing aangereikt voor allerlei problemen van ondernemingen en overheden. Hoewel het duidelijk is dat blockchaintechnologie vaak ‘gehypet’ is, beschikt het over een aantal interessante eigenschappen die de controle over persoonsgegevens voor de betrokkene kunnen faciliteren.

Zoals we hierboven beschreven, vormt de centrale verzameling en opslag van persoonsgegevens een groot obstakel voor de controle over persoonsgegevens en de uitoefening van de rechten van de betrokkene. Blockchaintechnologie kan daaraan remediëren door enkele eigenschappen die inherent zijn aan de technologie.

Een eerste belangrijke eigenschap voor de controle over persoonsgegevens, is de gedecentraliseerde aard van blockchaintechnologie. Een blockchain bestaat uit een netwerk van computers of ‘nodes’ die elk afzonderlijk geen invloed hebben op de blockchain zelf.  Dat in tegenstelling tot een gecentraliseerd systeem, waarbij één centrale entiteit macht uitoefent over de (persoons)gegevens.

Een tweede eigenschap van blockchaintechnologie is vertrouwen door consensus. Het netwerk van nodes moet via onderlinge consensus beslissen over de toevoeging van een nieuwe block.  Die eigenschap en de daarmee gepaard gaande keuze voor de betrokkene om gegevens toe te vertrouwen aan de (verschillende nodes in de) blockchain of niet, draagt bij aan de controle door betrokkenen over hun persoonsgegevens.  De keuze vloeit voort uit het feit dat het geen centrale entiteit is die autonoom kan bepalen om de gegevens te verwerken, maar de nodes die enkel transacties in een block toevoegen als de betrokkene zijn persoonsgegevens daaraan toevertrouwt. Het is dus de betrokkene die bepaalt wat er gebeurt met zijn persoonsgegevens. Op die manier zou de technologie de vermelde doelstelling kunnen helpen verwezenlijken.

Een derde belangrijke eigenschap van de technologie is de onveranderbaarheid en integriteit van gegevens op de blockchain. Het is de bedoeling om de verandering van de gegevens in de blocks duidelijk zichtbaar te maken via de verwijzing of ‘hash’. Door de duidelijke zichtbaarheid kunnen de nodes beslissen om onrechtmatige veranderingen af te wijzen en zo misbruik te voorkomen, wat ook dient om het vertrouwen in de technologie te verzekeren. De gegevens op de blockchain zijn, afhankelijk van de vorm van de blockchain, leesbaar voor iedereen of voor de bestemmelingen. Eens een nieuwe block door de nodes aan de blockchain is toegevoegd liggen de gegevens die in de block vervat liggen vast en zijn ze in principe niet wijzigbaar. De combinatie van decentralisatie en de ketens van de blockchain die aan elkaar verbonden zijn door middel van hashes, zorgen dus voor de onveranderbaarheid en integriteit van persoonsgegevens op de blockchain.

4. De opportuniteit van blockchaintechnologie voor uw onderneming

Uit deze bijdrage blijkt dat blockchaintechnologie u kan bijstaan om te voldoen aan de doelstellingen van de GDPR, namelijk de betrokkene de controle over diens persoonsgegevens geven. Ook het EU BLOCKCHAIN OBSERVATORY AND FORUM, een onderzoekscentrum van de Europese Unie, identificeert blockchaintechnologie als mogelijkheid om die doelstelling van de GDPR te verwezenlijken.

De praktische implementatie van een blockchainoplossing voor uw onderneming is veelal terug te vinden in applicaties die gekoppeld zijn aan blockchaintechnologie. U kan op die manier deelnemen aan de blockchain en met de betrokkene in contact staan. Er zijn vandaag verschillende aanbieders van zulke applicaties, zoals Sovrin en Enigma.

Echter levert blockchaintechnologie niet alleen mogelijkheden om de betrokkene controle over diens persoonsgegevens te geven en zo de interactie met betrokkenen te optimaliseren, maar het laat u ook toe om op een geëncrypteerde, betrouwbare en gedecentraliseerde manier documenten uit te wisselen met derden, zoals andere ondernemingen. Zo kan u documenten uitwisselen zonder vertrouwelijke informatie bloot te geven. Dit kan zeker nuttig zijn bij onderhandelingen en due diligence onderzoeken. Ook is het mogelijk om de betrouwbaarheid van documenten te verzekeren. Zo kan blockchaintechnologie worden ingeschakeld om de efficiëntie van uw onderneming verhogen. Tenslotte kan deze technologie ingezet worden om producten en andere assets te inventariseren, te loggen en te tracken met het oog op supply chain management.

Bron: Monard Law