De European Data Protection Board (EDPB) heeft nieuwe richtlijnen gepubliceerd voor het gebruik van blockchaintechnologie. Daarin kunnen (overheids)organisaties zien hoe ze persoonsgegevens kunnen beschermen als ze blockchains willen gebruiken.
Veilige uitwisseling
De richtlijnen geven onder meer inzicht in hoe blockchains werken, een oordeel over de verschillende manieren om een blockchain te ontwerpen en informatie over de gevolgen wanneer je gebruikmaakt van persoonsgegevens in een blockchain, schrijft de EDBP op de eigen site. In de EDPB zijn alle EU-privacytoezichthouders, waaronder dus ook de Autoriteit Persoonsgegevens, vertegenwoordigd.
Blockchaintechnologie zorgt voor een veilige en efficiënte uitwisseling van digitale gegevens tussen partijen die elkaar niet noodzakelijkerwijs hoeven te kennen, waarbij een (vertrouwde) tussenpersoon overbodig is. Blockchain is de datastructuur die onder meer achter de bitcoin zit. De technologie neemt taken van mensen over via geautomatiseerde algoritmen. Gebruikmaken van blockchain kan handig zijn bijvoorbeeld voor overheden die met elkaar gegevens willen uitwisselen over bijvoorbeeld de afwikkeling van de Toeslagenaffaire. De betrokken partijen hebben toegang tot dezelfde, onveranderde en ongefilterde informatie. Manipulatie van gegevens komt dan heel wat minder voor.
Voldoen aan AVG
Maar dat betekent niet dat er geen privacyrisico’s zijn. Bij het delen van (zeer) gevoelige gegevens moet alsnog aan privacywetgeving als de AVG worden voldaan. ‘Omdat blockchain werkt met ingewikkelde technologie, brengt het de nodige onzekerheid en uitdagingen met zich mee, vooral als het gaat om de omgang met en de verwerking van persoonsgegevens,’ schrijft het EDPB.
Uitvoeren van een DPIA
De koepelorganisatie gaat er in de richtlijnen verder op in. Organisaties moeten een data protection impact assessment (DPIA) uitvoeren voordat ze persoonsgegevens via blockchaintechnologieën verwerken, zeker als de verwerking vermoedelijk leidt tot een hoog risico voor de rechten en vrijheden van mensen. Ook is privacy by design erg belangrijk: al vanaf het ontwerp van de technologie, dus aan de ‘voorkant’, moet de ontwikkelaar rekenschap geven van een zorgvuldige omgang met persoonsgegevens. En organisaties moeten zoveel als mogelijk aan dataminimalisatie doen wanneer ze persoonsgegevens willen verwerken in een blockchain.
Inzage
Onder de AVG is ook het recht op inzage geregeld. Het moet dus mogelijk zijn om gebruik te maken van je privacyrechten als jouw persoonsgegevens in de blockchain terecht zijn gekomen. Als dit voor organisaties technologisch niet mogelijk is – vaak is blockchain dus complex van aard – adviseert de EDPB aan om vóór de verwerking te kijken naar andere manieren om gegevens te beschermen. In sommige gevallen kan dat betekenen dat er van een andere tool gebruik moet worden gemaakt.
De richtlijnen zijn overigens nog niet definitief. Er volgt eerst een internetconsultatie en daarna stelt de EDPB de definitieve guidelines vast.
Stil rond blockchain
In 2016 zette de VNG een pilotprogramma op waarbij zo’n dertig gemeenten aan de slag gingen met blockchainexperimenten. Zo paste de gemeente Zuidhorn een jaar later blockchaintechnologie toe bij het registeren van regelingen van het Kindpakket. Emmen kwam in 2022 met een nieuwe app, gebaseerd op blockchaintechnologie, om 49.000 huishoudens energie te laten besparen.
Maar nadien bleef het wat stil rond blockchain en gemeenten. Onder anderen hoogleraar computerbeveiliging en privacy Bart Jacobs fulmineerde tegen wat eens door de VNG ‘als een passende handschoen in de huidige samenleving’ werd genoemd, en door anderen weer ‘een revolutie’. Jacobs vond het een onbewezen gehypete technologie die ‘onzinnig veel energie kost’. Laten we stoppen erin te investeren, stelde hij voor.
Lees ook:
