Blogchain: het advies van CNIL over blockchain

13 december 2018 | GDPR, IT-recht

13/12/2018

GDPR en Blockchain; twee buzzwords die samen meermaals het onderwerp vormden van opinies, blogs en andere schriftelijke werken de laatste maanden. Ondanks het veelvuldig gebruik van pen en keyboard, is er geen eenduidige conclusie over te vormen. Gelukkig boog ook de CNIL zich hierover om in haar hoedanigheid van gegevensbeschermingautoriteit het een en ander uit te klaren.

De CNIL (Commission Nationale de l’Informatique et des Libertés) is de Franse Gegevensbeschermingsautoriteit en mag een voorbeeld zijn voor haar Belgische tegenhanger. De CNIL heeft een advies uitgevaardigd over het gebruik van blockchain en de bescherming van persoonsgegevens die daarmee gepaard zou moeten gaan.

Blockchain en GDPR: it’s a match?!

De eerste vraag die gesteld moet worden, is of blockchain onder de GDPR valt. De CNIL stelt kort en bondig: als een blockchain persoonsgegevens bevat, dan is de GDPR van toepassing.

Aangezien iedereen vrij is om informatie toe te voegen aan blockchain, kunnen er persoonsgegevens worden opgeslagen.

De volgende vraag is: kan iemand geïdentificeerd worden aan de hand van de gegevens opgeslagen in een blockchain? Wie blockchain kent, weet dat gegevens onder een hash worden opgeslagen waardoor ze niet meer herkenbaar of bereikbaar zijn. Praktisch is het onmogelijk om nog bij die gegevens te geraken, maar theoretisch is het wel mogelijk, hetgeen in de toekomst zelfs waarschijnlijk zal worden. De persoonsgegevens zijn aldus verborgen, maar ze zijn wel aanwezig en dat is volgens de CNIL de essentie.

Volgens de CNIL kan de GDPR dus van toepassing zijn op blockchain indien deze persoonsgegevens bevat, hetgeen wij volledig kunnen bijtreden.

Persoonsgegevens in blockchain

Blockchain kan twee soorten persoongegevens bevatten: gegevens van de participants en miners langs de ene kant, en aanvullende gegevens over de transactie langs de andere kant.

Een heikel punt in deze situatie is de aanduiding en kwalificatie van de verwerkingsverantwoordelijke. CNIL beschouwt iedere participant (dit is een persoon die het recht heeft om op de blockchain te schrijven) die een natuurlijke en/of rechtspersoon is en persoonsgegevens verzamelt voor commerciële of professionele doeleinden als verwerkingsverantwoordelijke.

Natuurlijke personen die voor strikt persoonlijke redenen persoonsgegevens aan een blockchain toevoegen, vallen buiten de werkingssfeer van de GDPR. De GDPR is namelijk niet van toepassing wanneer persoonsgegevens verwerkt worden voor zuiver persoonlijke of huishoudelijke activiteiten.

Miners worden niet beschouwd als verwerkingsverantwoordelijken, aangezien zij niet betrokken zijn bij de kern van de transactie. Ze kunnen echter wel in sommige gevallen beschouwd worden als een verwerker. Dat is het geval wanneer ze een transactie bevestigen die persoonsgegevens bevat. Ook de ontwikkelaars van smart contracts kunnen volgens de CNIL beschouwd worden als verwerkers.

Blockchain vergeet niets

 De GDPR verleent aan alle betrokkenen het recht gewist te worden. Dit komt er op neer dat iedereen aan de verwerkingsverantwoordelijke kan vragen om zijn persoonsgegevens te wissen in de gevallen opgesomd in de GDPR.

In het geval van blockchain is het praktisch onmogelijk om informatie te wissen. De CNIL is verrassend mild voor deze tekortkoming. Ze raadt datasubjecten aan om geen persoonsgegevens op blockchain te bewaren of om één van de cryptografische methoden te gebruiken.

Wat betreft het recht op rectificatie, is het al niet veel beter. Een block kan onmogelijk aangepast worden de aangepaste informatie zal in een nieuwe block zitten, terwijl de oude (onjuiste) informatie in een andere blok blijft voortbestaan.

Blockchain vergeet niets, en dat strookt niet met de bescherming van persoonsgegevens die we dankzij de GDPR verkregen hebben. Bepaalde rechten, zoals het recht op rectificatie of het recht gewist te worden, maar ook het recht op informatie, kunnen niet worden uitgeoefend in het geval van blockchain. Blockchain en de GDPR botsen.

Wat de houdbaarheid is van het advies van de CNIL, zal in de toekomst blijken. Nu is het nog afwachten in welke richting blockchain evolueert. Wij blijven alleszins de evolutie verder opvolgen.

Voor meer vragen omtrent de verwerking van persoonsgegevens of het gebruik van Blockchain kan u bij ons terecht via contact@dejuristen.be.

Geschreven door Johanna Coppens

Onze diensten

Information Technology

Intellectuele Eigendom

Privacy

e-Compliance