Blockchain mogelijk in strijd met AVG

De ingrijpende, nieuwe Europese wet die de bescherming van (persoons)gegevens moet waarborgen, is onduidelijk over de gevolgen voor het digitale kasboek in blockchains. Om die reden stelt een Oracle-onderzoeker een systeem voor waarmee bedrijven op verzoek persoonlijke gegevens kunnen versleutelen en verwijderen.

De Algemene verordening gegevensbescherming (AVG) trad dit voorjaar in werking en legt het opslaan en verzamelen van persoonlijke informatie door bedrijven aan banden. De AVG geeft individuen het recht om te eisen dat bedrijven persoonlijke informatie in hun archief verwijderen of aanpassen. Wie zich hier niet aan houdt, riskeert een hoge boete.

Blockchains en de AVG

De nieuwe regels leiden tot een discussie over de vraag hoe hun beperkingen zich verhouden tot de opkomst van blockchains; een nieuw cryptografisch systeem dat snel terrein wint binnen bedrijven. Met blockchains kunnen bedrijven goederen en transacties volgen. En in verschillende sectoren, zoals de bankwereld en de transport- en pharmabranche, ook de contracten. Bovendien zetten bedrijven blockchains in om informatie te delen met alle betrokken partijen. Omdat er al data in de blockchain staat, zijn nieuwe gegevens cryptografisch gerelateerd aan eerder opgeslagen informatie, waardoor het extreem moeilijk is om data te verwijderen.

Experts vragen zich af of zakelijke blockchains waarin (deels) gecodeerde persoonlijke informatie is opgeslagen, wel mogen bestaan nu de AVG het recht op verwijdering van gegevens waarborgt. “Terwijl de Europese wetgevers aan het debatteren waren en de laatste hand legden aan de AVG, stond blockchain niet op de planning”, schrijft Anne Toth, hoofd data policy voor het World Economic Forum en voormalig leidinggevende bij Slack en Yahoo, in een recent artikel. “Dit is opnieuw een voorbeeld van hoe de politiek een probleem in de achteruitkijkspiegel aanpakt in plaats van vooruit te kijken.”

Strengere privacywetgeving is een erg gevoelig onderwerp in Europa. Het kent een lange geschiedenis van privacybescherming en maakt zich sterk tegen misbruik van persoonlijke gegevens op sociale media. De roep om striktere regelgeving rondom persoonlijke gegevens waait ook over naar Noord-Amerika. Zo heeft Californië afgelopen juni een wet aangenomen die bewoners meer controle geeft over de gegevens die bedrijven over hen verzamelen.

Softwareoplossing voor conflict met de AVG

Patrick McLaughlin, een Oracle-fellow in Dublin die gespecialiseerd is in informatiebeveiliging, legt uit hoe privacyreglementen kunnen conflicteren met blockchain-mogelijkheden. “Mijn observatie is dat de hash van persoonlijke data, beschermde persoonlijke gegevens zijn. En dat is problematisch”, zegt McLaughlin. “De meest geavanceerde oplossing zou een klein stukje software zijn dat keywords herkent en gehashte data in de blockchain automatisch detecteert en versleutelt. En wanneer ontwikkelaars gegevens markeren als persoonlijk, de data in een speciale opslagruimte met een extra slot wordt gezet.”

Als een persoon de verwijdering van gegevens eist en het verzoek terecht is, heeft niet alleen de blockchain-operator toegang tot de sleutel. Er zijn meerdere keyholders om de ‘doos’ te ontgrendelen, zegt McLaughlin. Het toevoegen van sleutelbeheer aan blockchains kan volgens hem het eenvoudiger maken om persoonlijke gegevens in een later stadium te vinden en te verwijderen.

In een whitepaper uit mei, geüpdatet in juli, schetst McLaughlin hoe bedrijven die zijn geclassificeerd als ‘gegevenscontrollers’ onder de AVG – inclusief de klanten van Oracle en andere technologieproviders – een belangrijke rol kunnen spelen. Zij kunnen blockchains ontwerpen die de moeilijkheid van het verwijderen en corrigeren van verwijzingen naar persoonlijke gegevens aanpakt. Iemand kan bijvoorbeeld eisen dat informatie over dat hij of zij op een bepaalde datum in een bepaald hotel verbleef of bepaalde medicijnen kocht, wordt verwijderd. “Het eenvoudigweg wegschrijven van gehashte, persoonlijke gegevens die niet kunnen worden overschreven of verwijderd naar de blockchain, is niet compatibel met de eis van de AVG van het recht op verwijdering,” schrijft McLaughlin.

Een alternatief

Blockchains slaan gegevens op in zogenoemde hash tables, die complexe wiskundige formules toepassen om tekst om te zetten in cijferreeksen die later gemakkelijker doorzoekbaar zijn.

Als alternatief beschrijft McLaughlin een softwarefunctionaliteit die bepaalde gegevenspunten automatisch als ‘persoonlijk’ herkent en bestempelt en vervolgens een coderingssleutel genereert om gegevens te beveiligen voordat deze worden opgeslagen. Dat proces kan plaatsvinden zonder dat een programmeur iets hoeft te doen.

Door de sleutels toe te kennen aan de datacontroller en de persoon van wie de gegevens zijn opgeslagen (een bestaande techniek), kunnen bedrijven de versleuteling opheffen door dezelfde programmeerfunctie te gebruiken zodra een verwijderopdracht is geaccepteerd. “Een goede oplossing zou zijn om versleutelde en gehashte persoonlijke gegevens in blockchains alleen op te slaan. Als een dataverwijderingsverzoek wordt geaccepteerd, gooi je de encryptiesleutel weg om de gegevens anoniem en onherstelbaar te maken,” schrijft McLaughlin. “Dit is momenteel de enige manier om zo dicht mogelijk bij volledig verwijdering te komen.”

Vrijgesteld van verwijderingsverzoek

Niet alle persoonlijke gegevens kunnen uit zakelijke- en overheidssystemen volgens de AVG worden verwijderd. Fiscale gegevens, juridische stappen en geanonimiseerde gegevens die niet aan een persoon gekoppeld kunnen worden, mogen worden vrijgesteld van verwijderingsverzoeken.

Hoewel de methode die McLaughlin beschrijft niet is goedgekeurd door de European Data Protection Board (EDPB), zou het een oplossing zijn hoe blockchains aan verwijderings- en correctieverzoeken volgens de AVG kunnen voldoen.

“Deze methode is niet hetzelfde als gegevens verwijderen, maar in mijn ogen is dit het enige wat op het moment mogelijk is”, aldus McLaughlin. “Uiteindelijk is het aan de Europese autoriteiten of ze deze methode accepteren.”

Dit is een ingezonden bijdrage van Jaap-Jan Wever, Vice President Cloud Platform bij Oracle. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.