De duistere kant van NFTs: begrijp de privacy implicaties!

20 april 2023 | Blockchain, IT-recht, Privacy

Data is gegeerd. Data is kostbaar. Data is overal. Maar data valt soms moeilijk af te schermen, en dat blijkt nu ook bij NFT’s. Nochtans is ook bij nieuwe technologische innovaties de GDPR een factor om rekening mee te houden.

Nadat we het al hebben gehad over het NFT-fenomeen, de intellectuele eigendom en e-commerce, is het deze week de beurt aan gegevensbescherming. Deze blog is het vierde en laatste deel in onze reeks over NFT’s. Laat het feit dat deze blog meer vragen dan antwoorden bevat, je niet tegen houden om verder te lezen!

GDPR en technologie

De GDPR-wetgeving is technologisch neutraal. Daarmee bedoelen we: ongeacht hoe en via welke technologie data wordt verwerkt, van zodra er een persoonsgegeven aan te pas komt, is de GDPR de te volgen standaard.

Het verbaast je waarschijnlijk niet, maar toen de GDPR het levenslicht zag, was er in de verste verte nog geen sprake van NFT’s. De GDPR werd niet geschreven met blockchain of web 3.0 in het achterhoofd, maar moet er nu wel op toegepast worden.

Blockchain zorgt dus voor wat spanning met de gegevensbeschermingswetgeving. Misschien zelfs een conflict? Die moeilijke verhouding illustreren we verder nog met een aantal voorbeeldjes. We geven je alvast mee: GDPR en NFT’s, het geeft stof tot nadenken!

Gegevensverwerkingen?

In eerdere blogs wisten we al te vertellen dat NFT’s een set van data zijn, en dat die NFT’s worden opgeslagen in een wallet. Die set van data kan persoonsgegevens bevatten. De verwerking van persoonsgegevens moet gebeuren met respect voor de principes uit de GDPR.

In het NFT verhaal zijn er een aantal mogelijke gegevensverwerkingen denkbaar. Enerzijds zijn er de verwerkingen die verband houden met de NFT zelf. Daarnaast kunnen er ook verwerkingen plaatsvinden bij de eigenlijke verhandeling, bijvoorbeeld via een NFT marketplace.

De data gekoppeld aan de NFT, die terug te vinden is in het smart contract, kan bijvoorbeeld de identiteit van de maker bevatten. Of de verkoper. Of de koper. De blockchain slaat ook alle transactiedetails op: tussen welke wallets de NFT’s is verhandeld, aan welke prijs en op welk tijdstip. Locatiedata kan ook opgeslagen worden, namelijk wanneer de NFT wordt gebruikt als een aanwezigheidsbewijs. Wanneer zo’n bewijs in jouw wallet zit, ‘onthult’ dit dat jij op een bepaald tijdstip op een bepaalde plaats was.

Een combinatie van al deze data kan leiden tot een identificatie. Je kan het vergelijken met een spoor van digitale broodkruimels, dat mogelijks regelrecht (of via een omweg) naar jou terug te traceren is.

Wanneer een marketplace wordt gebruikt, zullen zowel gegevens van koper als verkoper door de marketplace verwerkt worden. Wanneer je via je eigen webshop NFT’s aanbiedt, verwerk je sowieso de klassieke gegevens vanuit een e-commerce standpunt.

Daarnaast worden specifiek voor NFT’s ook de gegevens van de wallet verwerkt. Zo kan je met enig zoekwerk zelfs achterhalen op welk moment een specifieke wallet is aangemaakt. Je mag ook niet vergeten dat de inhoud van een wallet publiek zichtbaar is.

De wallet kan anoniem zijn. Dat belet echter niet dat door de inhoud van de wallet, wel een identificatie mogelijk is. Denk daarbij bijvoorbeeld aan een NFT die gekocht wordt en daarna als profielfoto op sociale media wordt gebruikt. De wallet waarnaar de NFT werd overgedragen, kan dan wel anoniem geweest zijn, maar door het gebruik van de NFT is duidelijk wie de uiteindelijke koper is.

Het gebruik van ENS (Ethereum Naming Service) kan ook meteen tot een identificatie leiden, mocht dat ENS adres jouw naam bevatten.

Struikelblokken

We stipten het hierboven al aan, de GDPR moet evenzeer toegepast worden op gegevensverwerkingen via nieuwe technologie, ook al leent de wetgeving zich daar niet helemaal toe.

We kunnen meerdere struikelblokken identificeren, waarbij de theorie van de GDPR botst met de feitelijke situatie. Hoe de twee zich met elkaar zullen verzoenen, is een vraag waarop we het antwoord nog zoeken…

Verantwoordelijke?

Een eerste horde die opgeworpen wordt door de GDPR en de verplichtingen die daaruit voortvloeien, is de kwalificatie van de partijen. Als je gegevens verwerkt, kan je het petje dragen van een verwerkingsverantwoordelijke of van een verwerker.

Wanneer iets wordt opgeladen op de blockchain, komt het terecht in een decentraal netwerk. Dit decentrale karakter betekent dan ook dat dit netwerk moeilijk een rol zal kunnen opnemen als verwerkingsverantwoordelijke of als verwerker.

GDPR hoekstenen

In de blog over e-commerce en NFT’s wezen we al op het belang van transparante informatie. Ook de GDPR kent deze verplichting. In duidelijke en eenvoudige taal moet je laten weten welke gegevens je verzamelt, voor welke doeleinden en wat er verder mee gebeurt. Dit houdt dus ook in dat je de beperkingen die voortvloeien uit het gebruik van de blockchain moet vermelden!

Verder bestaat er het principe van dataminimalisatie. Het beginsel van de minimale gegevensverwerking houdt in dat de verwerking beperkt moet zijn tot wat noodzakelijk is. Je mag dus niet méér persoonsgegevens verzamelen dan wat noodzakelijk is voor de specifieke verwerking. Gelet op het feit dat de verzamelde data zo lang bewaard blijft, is het belangrijk om de verwerkte data zoveel mogelijk beperkt te houden tot een minimum.

Op het vlak van opslagbeperking zien we ook een heikel punt. Opslagbeperking houdt in dat je persoonsgegevens niet langer mag bijhouden dan noodzakelijk. Wanneer een NFT transactie plaatsvindt, zullen de data die daaraan gekoppeld zijn permanent en publiek toegankelijk blijven, want deze liggen voor eeuwig en altijd vast op de blockchain. We zien hier dus een groot contrast tussen theorie en praktijk, dat op dit moment moeilijk overbrugbaar is.

Rechten van betrokkenen

Bij de uitoefening van rechten van betrokkenen zijn er ook een aantal grote uitdagingen.

Zo bestaat er het recht op datawissing, ook wel het recht om vergeten te worden genoemd. Dit houdt in dat in bepaalde omstandigheden iemand een verzoek kan indienen om de persoonsgegevens die je over hem/haar hebt, te verwijderen uit je database. Dat de blockchain en een NFT die data onherroepelijk vastleggen, verhindert dus de concrete uitoefening van dit recht.

Ook het recht op correctie, waarbij gevraagd kan worden om onjuiste persoonsgegevens te corrigeren, is geen optie. We verwijzen hiervoor opnieuw naar de aard van de blockchain. Net zoals bij de andere principes, is de theorie en praktijk van de rechten van betrokkenen dus moeilijk verzoenbaar.

Cybersecurity

Tot slot is er nog een probleem dat niet per se wordt opgeworpen door de GDPR, maar dat minstens evenveel aandacht verdient en er nauw mee samenhangt: cyberbedreigingen. NFT’s kunnen een torenhoge waarde hebben, waardoor ze een zeer gegeerd item zijn onder cybercriminelen en dieven. Phishing attacks, met als gevolg diefstal van NFT’s of verlies van controle over de wallet, zijn een reëel risico.

Wat kan je doen?

Natuurlijk moet je nu niet bedeesd aan de zijlijn blijven zitten. Het is niet omdat de GDPR en technologie op bepaalde vlakken nog diametraal tegenover elkaar lijken te staan, dat je niets kan ondernemen.

Een belangrijke aspect waar je als aanbieder van NFT’s wel invloed op hebt, is privacy by design. De uiteindelijke oplossing zal hiervoor vaak gevonden moeten worden binnen het hele blockchain gebeuren, maar waar je alvast wel een invloed op kan hebben, zijn o.a. de principes van transparantie en dataminimalisatie. Alle kleine beetjes helpen!

Verkoop je via je eigen webshop NFT’s, dan is een goede privacyverklaring natuurlijk een must. Een privacyverklaring is namelijk de eerste stap in het informatieproces. Daarmee wek je vertrouwen op bij jouw klanten.

Ook tegen cyberbedreigingen kan je zelf maatregelen treffen. Zorg ervoor dat je wallet voldoende afgeschermd en beveiligd is. Ben je de uitbater van een marketplace of webshop, dan rust op jou ook de verantwoordelijkheid om hier de juiste veiligheids- en beschermingsmaatregelen te nemen.

Conclusie

Zoals bleek uit de voorgaande blogs, kunnen NFT’s een waardevol instrument zijn voor jouw bedrijf, maar zoals nu blijkt, gaan ze ook gepaard met verschillende privacyproblemen die moeten worden aangepakt.

Om de privacy van de betrokkenen te beschermen, en de GDPR na te leven, moet je een aantal maatregelen nemen. Bescherm de persoonsgegevens, beperk de verwerkte informatie tot een minimum, zorg voor een goede privacyverklaring en waarborg de veiligheid van de verhandelde NFT’s.

Heb je na het lezen van deze blogreeks interesse om iets te doen met NFT’s, maar twijfel je nog over de correcte juridische omkadering? Bij vragen hierover kan je ons steeds contacteren via hallo@dejuristen.be.

Geschreven door Chloë Vanderstraeten, Legal Adviser deJuristen, en Kris Seyen, Partner deJuristen

Onze diensten

Information Technology

Intellectuele Eigendom

Privacy

e-Compliance