Onderzoek naar welke gegevens worden opgeslagen op een public permissionless blockchain en of deze gegevens kwalificeren als persoonsgegevens volgens artikel 4(1) AVG.
Blockchaintechnologie is de afgelopen jaren uitgegroeid tot een van de meest revolutionaire uitvindingen van het digitale tijdperk.(1) Zijn vermogen om open en ondoordringbare netwerken te bouwen heeft de ontwikkeling van talloze nieuwe use cases op verschillende gebieden aangewakkerd, waaronder supply chain management,(2) stemsystemen,(3) bankieren,(4) en de gezondheidszorg.(5)
Door de snelle opkomst en brede toepasbaarheid is blockchaintechnologie echter onderhevig aan veel juridische onzekerheden. Dit artikel richt zich specifiek op de Algemene Verordening Gegevensbescherming (AVG).(6)
Er bestaat geen officiële juridische definitie voor blockchain.(7) Deze bestaat echter wel voor Distributed Ledger Technology (DLT), die bekend staat als de moedertechnologie van blockchain.(8) DLT betekent "een technologie die de exploitatie en het gebruik van distributed ledgers mogelijk maakt".(9) Blockchain is een specifiek soort DLT dat algoritmische en cryptografische technieken gebruikt om een continu uitbreidende, append-only datastructuur op te bouwen en te verifiëren die lijkt op een keten van zogenaamde ‘transactieblokken’ en dient als een distributed ledger.(10) Een distributed ledger is "een informatieopslagplaats waar transacties worden geregistreerd die wordt gedeeld over en gesynchroniseerd tussen een reeks DLT-netwerkknooppunten door middel van een consensusmechanisme".(11)
Er zijn veel verschillende soorten blockchains. De technologische en functionele opzet, evenals de interne bestuurssystemen, van blockchains lopen sterk uiteen.(12) Blockchain is dus eerder "een klasse van technologieën" dan "één enkele technologie" met een reeks vooraf bepaalde kwaliteiten.(13) Blockchains worden doorgaans in twee categorieën onderverdeeld: "openbaar en permissievrij" (hierna: public en permissionless) en "privé en met toestemming" (hierna: private en permissioned).(14)
Private en permissioned vs. public en permissionless
Private permissioned blockchains draaien op een privénetwerk en alleen nodes(15) die vooraf geregistreerd zijn kunnen transacties valideren.(16) Permissioned blockchains zijn vaak ontworpen voor een specifiek doel en deze systemen zijn daarom niet open voor iedereen om zich bij aan te sluiten en te gebruiken.(17)
In public permissionless blockchains,(18) kunnen alle nodes transacties valideren; er is geen toestemming nodig.(19) Aangezien iedereen de volledige ledger kan downloaden en transactiegegevens kan bekijken in deze systemen, is transparantie ook een van de belangrijkste kenmerken.(20)
Omdat ze sterk gedistribueerd zijn, leveren public permissionless blockchains grote nalevingsproblemen op met de AVG.(21) Dit artikel concentreert zich daarom op het analyseren van persoonsgegevens op public permissionless blockchains.
De AVG biedt een uitgebreid wettelijk kader dat gegevensbescherming in de hele Europese Unie harmoniseert.
Persoonsgegevens
Volgens artikel 2, lid 1, AVG is de AVG van toepassing "op de verwerking van persoonsgegevens (...)". De beginselen, rechten en plichten inzake gegevensbescherming zijn alleen van toepassing wanneer persoonsgegevens worden verwerkt.(22) Volgens artikel 4, lid 1, AVG wordt onder persoonsgegevens verstaan "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon". Identificeerbaarheid is de cruciale factor om te bepalen of gegevens persoonsgegevens zijn.(23)
Het tegenovergestelde van persoonsgegevens zijn anonieme gegevens en verwijst naar "gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of naar persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is".(24) Anonieme gegevens vallen daarom niet binnen het toepassingsgebied van de AVG. Pseudonieme gegevens blijven echter informatie over een identificeerbare persoon bevatten en vallen daarom onder de AVG.(25)
Gegevens op een public permissionless blockchain
Aan de oppervlakte lijkt een public permissionless blockchain zich uitsluitend bezig te houden met hashes en encryptie in plaats van met namen, adressen of e-mail ID's. Daarom zijn gegevens op een blockchain flexibel en aanpasbaar aan de technologische context. Hierdoor worden blockchaingegevens vaak ‘anoniem’ genoemd, vooral in niet-juridische discussies.(26) Blockchain zal in deze zin dan buiten de reikwijdte van de gegevensbeschermingswetgeving vallen, aangezien anonieme gegevens niet onder de AVG vallen. Juridisch ligt het echter iets ingewikkelder. Er zijn entiteiten die in staat zijn om gegevens te combineren en een persoon te identificeren achter hashes en encryptie.(27) Als gevolg hiervan zijn veel blockchain use cases voorbeelden van pseudonimiteit - in juridische termen - in plaats van anonimiteit.(28) Aangezien pseudonieme gegevens nog steeds als persoonsgegevens worden beschouwd, zullen verschillende public permissionless blockchains binnen de reikwijdte van de AVG vallen.(29)
AVG-compliance gaat dus niet over de technologie, maar over de manier waarop de technologie wordt gebruikt.(30) Er bestaat niet zoiets als een AVG-conforme blockchaintechnologie; er zijn eerder AVG-conforme use cases en toepassingen, zij het dat de compliance in de loop van de tijd kan veranderen.(31)
Het overkoepelende probleem
Een van de hoofddoelen van de AVG is mensen meer controle geven over hun persoonlijke gegevens.(32) Zoals gezegd zijn er rechten op het gebied van gegevensbescherming van toepassing wanneer persoonlijke gegevens worden verwerkt.(33) Onder die rechten vallen bijvoorbeeld het recht op toegang, het recht om gegevens te laten wissen en het recht op gegevensportabiliteit.(34)
Overweging 26 van de AVG maakt het mogelijk dat het begrip persoonsgegevens wordt gebruikt om een op maat gemaakte en contextspecifieke analyse uit te voeren om te bepalen of er persoonsgegevens aanwezig zijn.(35) Hierdoor kan een gegeven dat ooit anoniem was later - door het enkele bestaan - persoonlijk worden door vooruitgang in de technologie of door het combineren van nieuwe gegevens die leiden tot de identificatie van een persoon.(36)
Dit roept de kernvragen van dit artikel op: Hoe kunnen de rechtszekerheid en gegevensbeschermingsrechten van burgers worden gegarandeerd als er onzekerheid bestaat over de grenzen van persoonsgegevens op public permissionless blockchains? En nog belangrijker, moet de AVG, de blockchaintechnologie of beide veranderen om dit probleem op te lossen?
Blockchaintechnologie heeft zich ontpopt als een gamechanger op verschillende gebieden, maar de brede toepasbaarheid ervan heeft geleid tot tal van juridische onzekerheden, met name op het gebied van gegevensbescherming. Ondanks de aanvankelijke indruk van anonimiteit, kunnen blockchaingegevens vaak worden herleid tot een identificeerbare persoon, waardoor ze pseudoniem zijn en dus onder de AVG vallen. Naleving van de AVG gaat dus niet over de technologie, maar eerder over de manier waarop deze omgaat met persoonsgegevens. Door deze onzekere aard van blockchaintechnologie is het nog belangrijker om de bescherming van de persoonsgegevens van individuen in het blockchainecosysteem te waarborgen.
1. Panwar, A., & Bhatnagar, V. (februari 2020). Distributed ledger technology (DLT): the beginning of a technological revolution for blockchain. In 2nd International Conference on Data, Engineering and Applications (IDEA), p. 1-5. IEEE. (Hierna: Panwar & Bhatnagar (2020)).
2. Zie bijv. Chang, S. E., & Chen, Y. (2020). When blockchain meets supply chain: A systematic literature review on current development and potential applications. Ieee Access, 8, 62478-62494.
3. Zie bijv. Huang, J., He, D., Obaidat, M. S., Vijayakumar, P., Luo, M., & Choo, K. K. R. (2021). The application of the blockchain technology in voting systems: A review. ACM Computing Surveys (CSUR), 54(3), 1-28.
4. Zie bijv. Chowdhury, M. U., Suchana, K., Alam, S. M. E., & Khan, M. M. (2021). Blockchain application in banking system. Journal of Software Engineering and Applications, 14(7), 298-311.
5. Zie bijv. Zhang, P., Schmidt, D. C., White, J., & Lenz, G. (2018). Blockchain technology use cases in healthcare. In Advances in computers (Vol. 111, pp. 1-41). Elsevier.
6. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verorderning gegevensbescherming).
7. De technologie was als eerst beschreven – ondanks dat het nog geen ‘blockchaini’ heette in Nakamoto, S. (2008). Bitcoin: A peer-to-peer electronic cash system. Decentralized business review, 21260.
8. Panwar & Bhatnagar (2020).
9. Artikel 2(1) Verordening (EU) 2022/858 van het Europees Parlement en de Raad van 30 May 2022 betreffende een proefregeling voor marktinfrastructuren op basis van distributed ledger-technologie, en tot wijziging van Verordeningen (EU) nr. 600/2014 en (EU) nr. 909/2014 en Richtlijn 2014/65/EU; Panwar, A., & Bhatnagar, V. (2020, February). Distributed ledger technology (DLT): the beginning of a technological revolution for blockchain. In 2nd International Conference on Data, Engineering and Applications (IDEA), p. 1-5. IEEE. (Hierna: Panwar & Bhatnagar (2020)).
10. Natarajan, H., Krause, S., & Gradstein, H. (2017). Distributed ledger technology and blockchain, p. 1. (Hierna: Natarajan et al (2017)); Panwar & Bhatnagar (2020).
11. Article 2(2) DLT Pilot Regulation.
12. Panel for the Future of Science and Technology (STOA). (2019). Blockchain and the General Data Protectie Regulation: Can distributed ledgers be squared with European data protection law? European Parliament. Retrieved 28 March 2023, from https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf, p. 4-5. (Hierna: STOA (2019)).
13. Beck, R., Müller-Bloch, C., & King, J. L. (2018). Governance in the blockchain economy: A framework and research agenda. Journal of the Association for Information Systems, 19(10), 1, p. 3.
14. STOA (2019), p 4-5; The European Union Blockchain Observatory and Forum. (2018). Blockchain and the GDPR. Geraadpleegd op 28 maart 2023, van https://www.eublockchainforum.eu/sites/default/files/reports/20181016_report_gdpr.pdf, p. 14. (Hierna: EU Blockchain Forum (2018)).
15. Nodes worden meestal de computers genoemd die een lokale versie van het gedistributeerde grootboek opslaan; STOA (2019), p. 3.
16. STOA (2019), p 4-5; Peters, G. W., & Panayi, E. (2016). Understanding modern banking ledgers through blockchain technologies: Future of transaction processing and smart contracts on the internet of money, p. 239-278. Springer International Publishing.
17. STOA (2019), p 4-5.
18. De public permissionless blockchain was uitgevonden om bitcoin aan te drijven.
19. Peters, G. W., & Panayi, E. (2016). Understanding modern banking ledgers through blockchain technologies: Future of transaction processing and smart contracts on the internet of money, p. 239-278. Springer International Publishing; STOA (2019), p 4-5.
20. EU Blockchain Forum (2018), p. 15; STOA (2019), p 4-5.
21. EU Blockchain Forum (2018), p. 16.
22. Purtova, N. (2018). The law of everything. Broad concept of personal data and future of EU data protection law. Law, Innovation and Technology, 10(1). Retrieved 29 March 2023, from https://doi.org/10.1080/17579961.2018.1452176, p. 43-44. (Hierna: Purtova (2018)).
23. STOA (2019), p. 19.
24. Overweging 26 AVG.
25. Overweging 26 and artikel 4(5) AVG.
26. Wirth, C., & Kolain, M. (2018). Privacy by blockchain design: a blockchain-enabled GDPR-compliant approach for handling personal data. In Proceedings of 1st ERCIM Blockchain Workshop 2018. European Society for Socially Embedded Technologies (EUSSET), p. 7-8. (Hierna: Wirth & Kolain (2018)).
27. Article 29 Working Party, Opinion 05/2014 on Anonymisation Techniques (WP 216) 0829/14/EN, 20; Article 29 Working Party, Opinion 05/2012 on Cloud Computing (WP 196) 01037/12/EN; STOA (2019), p. 31. Examples of such entities are Chainalysis and Elliptic.
28. Wirth & Kolain (2018), p. 7-8.
29. Ibid.
30. EU Blockchain Forum (2018), p. 4.
31. Ibid.
32. Giessen, D. (2019). Blockchain and the GDPR's right to erasure (Bachelor's thesis, University of Twente), p. 2.
33. Purtova (2018), p. 43-44.
34. Articles 15, 17, and 20 AVG.
35. Schwartz, P. M., & Solove, D. J. (2014). Reconciling personal information in the United States and European Union. Calif. L. Rev., 102, p. 886; Purtova (2018), p. 65.
36. Purtova (2018), p. 44.
