Blockchain en de verwerking van persoonsgegevens: een moeilijke zaak?

Nooit eerder werden mailboxen zo veelvuldig overstelpt met mailtjes die begonnen met “wij vinden jouw privacy belangrijk”. Ons bracht het echter tot een ander vraagstuk: hoe zit het eigenlijk met de openbare blockchain en hun verhouding tot het privacyrecht? Het blijken niet de beste vriendjes te zijn, zoveel is alvast duidelijk.

Is de AVG van toepassing op de blockchain?

Een eerste vraag die we ons stellen: is de AVG wel van toepassing op de blockchain? Dat is immers enkel het geval indien er sprake is van de zogenaamde “verwerking van persoonsgegevens”. Diezelfde verordening heeft het hierbij over een “geïdentificeerde of identificeerbare natuurlijke persoon”. Opdat sprake zou zijn van zogenaamde “persoonsgegevens”, moet de blockchain dus gegevens bevatten die ervoor zorgen dat we een bepaalde persoon kunnen identificeren. Het gaat hierbij lang niet alleen om een naam of een adres, maar ook locatiegegevens of zelfs IP-adressen kunnen volstaan. Slechts uitzonderlijk is een blockchain volledig geanonimiseerd, waardoor er wel meestal gewoon sprake is van persoonsgegevens.

Bovendien moet het ook gaan om de verwerking van die persoonsgegevens. De AVG omschrijft het begrip “verwerken” heel ruim: het ordenen, structureren en opslaan ervan is bijvoorbeeld al voldoende. Aangezien de “persoonsgegevens” worden gelogd in de blockchain, is automatisch voldaan aan die verwerkingsvereiste.

Tot slot moeten de verwerkingen ook plaatsvinden via een vestiging van één van de verantwoordelijken in de Europese Unie. Later halen we aan dat volgens talloze juristen alle deelnemers aan een niet-geanonimiseerde blockchain verantwoordelijken zijn, waardoor de AVG al snel van toepassing zal zijn. Natuurlijk bestaan er zeker uitzonderingen. Zo zijn er bijvoorbeeld cryptomunten die enkel op zeer lokaal niveau gebruikt worden.

Opgelet: sommige blockchains bevatten niet rechtstreeks de persoonsgegevens maar herbergen louter een link naar die gegevens. Toch doet dat geen afbreuk aan het feit dat zij nog steeds onderhevig zijn aan de AVG.

De problematiek van de verwerkingsverantwoordelijke en de verwerker

Het privacyrecht spreekt over een verwerker en een verwerkingsverantwoordelijke. Het is op de verantwoordelijke dat alle wettelijke verplichtingen rusten, hoewel die vaak verwerkingsovereenkomsten afsluit waardoor verschillende taken op de verwerker rusten. Er is dan een duidelijk hiërarchisch verband tussen die twee personen: de verwerker mag enkel verwerken in de mate dat de verwerkingsovereenkomst dat toelaat. Vooral in het aansprakelijkheidsrecht is die constructie heel belangrijk.

Wie is echter de verwerkingsverantwoordelijke en wie is de verwerker bij de verwerking van persoonsgegevens in de blockchain? Er zijn immers verschillende gebruikers die informatie in de blockchain plaatsen. Zij lijken dan wel verwerkers te zijn, toch hebben zij nooit een verwerkingsovereenkomst afgesloten met een verwerkingsverantwoordelijke. Vaak zijn er ook nergens andere afspraken terug te vinden. Vanuit juridisch oogpunt wordt iedere deelnemer dan ook als verwerkingsverantwoordelijke aanzien, daar zijn de meeste juristen het over eens. Op hen rust dan ook een groot aantal verplichtingen. Zo moet de verantwoordelijke “bijdragen aan de beveiliging van de blockchain”, “ingrijpen bij een datalek” of kan de verantwoordelijke ook aangesproken worden bij schade.

In de praktijk zorgt dat voor heel wat juridische vraagstukken. Toch zijn er ook oplossingen mogelijk. Zo zouden alle verwerkingsverantwoordelijken één verantwoordelijke kunnen aanstellen die namens hen dan belast is met de uitvoering van de wettelijke verplichtingen. Zoiets komt in de praktijk maar zelden voor en ook Whitepapers blijken daar geen aandacht aan te schenken.

Mag men de persoonsgegevens in de blockchain wel verwerken?

Om persoonsgegevens in de blockchain te mogen verwerken, moet de verwerkingsverantwoordelijke over een wettelijke grondslag beschikken. Die grondslagen worden in de AVG opgesomd. De eenvoudigste manier om dat te organiseren is door iedere natuurlijke persoon de toestemming te vragen om zijn persoonsgegevens te laten verwerken. In dat geval moet de natuurlijke persoon wel de mogelijkheid hebben om die toestemming opnieuw in te trekken. Vooral dat laatste lijkt problematisch te zijn voor een blockchain.

Beperking en verwijderen van persoonsgegevens in de blockchain

Zelfs indien de persoonsgegevens mogen verwerkt worden, heeft de verwerkingsverantwoordelijke wel de verplichting om niet meer persoonsgegevens te verwerken dan strikt noodzakelijk is voor het doel. Alle niet relevante informatie zou hoe dan ook uit de openbare logs moeten verdwijnen. Dat is problematisch voor het bestaan van de blockchain.

Dat laatste brengt ons opnieuw tot een ander probleem: persoonsgegevens die niet (langer) nodig zijn, moeten dus in principe verdwijnen. Ook de natuurlijke personen kunnen vragen om hun persoonsgegevens te laten verwijderen. Dat bokst zowel met het principe van de hele blockchain (onveranderbare informatie) als met de praktijk. In theorie moet het echter mogelijk zijn om een systeem uit te dokteren waarbij een meerderheid van de nodes in staat is om dat verzoek te beoordelen en goed te keuren, maar zo ver lijkt de technologie nog lang niet te staan.

Tot slot is er nog een laatste vraagstuk. De natuurlijke personen hebben immers ook het recht om de correctie van hun persoonsgegevens te vragen. Ook hier komen we voor gelijkaardige problemen te staan. Sommigen opperen echter wel de mogelijkheid om gewoon een nieuwe log te koppelen aan de vroegere gegevens, net zoals een wetswijziging eigenlijk een nieuw document is die een vorig document aanpast. Volgens hen zou dat het wijzigingsrecht in ere houden terwijl de blockchain nog steeds hun onveranderlijk karakter behoudt. Of dat ook juridisch sluitend is, zal de toekomst moeten uitwijzen.

Het conflict tussen de blockchain en de AVG

De blockchain staat bijna altijd gelijk aan het verwerken van persoonsgegevens. Bovendien is ook de AVG meestal gewoon van toepassing. Toch vormt het een ongelofelijke uitdaging om die twee met elkaar te verzoenen. Zo’n verzoening druist immers volledig in tegen het bestaansprincipe van diezelfde blockchain.

Hoewel op sommige niveaus maatregelen mogelijk zijn, blijven Whitepapers er toch maar lauwtjes over. De vraag is natuurlijk ook wie het aandurft om in te grijpen. Een boete impliceert immers al snel een aansprakelijke. De vraag is echter wie de verwerkingsverantwoordelijke is en of het wel geschikt is om hen zo’n grote sancties op te leggen? De praktijk zal het moeten uitwijzen.