Article

The CNIL about privacy issues related to blockchain

By
on
August 4, 2019

The Commission nationale de l'informatique et des libertés (CNIL) – the French Data Protection Authority – published guidelines on how the data protection rules should be applied to blockchain technology. Next to possible issues, the CNIL also provides pointers on how blockchains can be built in a privacy compliant manner. This article provides an overview of these pointers with some additions and critical notes. 

This article was initially published in the Dutch journal on internet law (Tijdschrift voor Internetrecht), No. 3-4 July 2019.

De CNIL over privacyaspecten bij blockchain

Blockchain is een relatief nieuwe techniek voor het opslaan en uitwisselen van gegevens. In plaats van dat partijen gegevens beschikbaar hebben en kunnen bijwerken ofwel (i) in één centrale database of via een derde partij die zij allemaal vertrouwen, ofwel (ii) door de gegevens elk afzonderlijk op te slaan en uit te wisselen, worden de gegevens via meerdere gesynchroniseerde databases gedeeld en tussen partijen uitgewisseld (zie figuur 1 hieronder). De uitwerking van blockchain verhoudt zich op diverse punten moeilijk tot de privacyregels zoals neergelegd in de Algemene Verordening Gegevensbescherming (AVG), zoals hierna zal blijken.[1] Om duidelijkheid te bieden over hoe de privacyregels daarbij moeten worden toegepast, heeft de privacytoezichthouder in Frankrijk, de Commission Nationale de l'Informatique et des Libertés (CNIL) op 24 september 2018 een stuk gepubliceerd.[2] De CNIL belooft in dat kader in de inleiding om partijen die blockchaintechniek willen toepassen van concrete oplossingen te voorzien.[3] Alhoewel het stuk zeker nuttige duiding biedt over hoe de privacyregels bij blockchaintechnologie dienen te worden toegepast, laat de praktische werkbaarheid van de adviezen van de CNIL op sommige punten te wensen over. Het stuk biedt aldus eerder “enige duiding” in plaats van “concrete oplossingen”, maar dat is nog altijd meer dan voorheen op dit gebied voorhanden was.

In het navolgende zullen de visie en adviezen van de CNIL worden weergegeven, gestructureerd naar onderwerp en voorzien van enig commentaar. Voor een goed begrip daarvan wordt eerst een korte introductie op het begrip “blockhchain” zelf gegeven.

Blockchaintechnologie kan op zeer uiteenlopende wijze worden ingezet. Voorbeelden van blockchaintoepassingen zijn: het bijhouden van of wordt voldaan aan fair-trade criteria in de productiecyclus van een product (bijv. chocola), het bijhouden van de allocatie van intellectuele eigendomsrechten (bijv. auteursrechten), en het bijhouden van financiële transacties en allocatie van financiële middelen (bijv. Bitcoin).[4] De manier waarop de gegevens binnen deze blockchaintoepassingen worden uitgewisseld verschilt, alhoewel er wel een aantal kenmerkende blockchain eigenschappen bestaat.

In een blockchain worden gegevens gedistribueerd opgeslagen en gedeeld via een gedecentraliseerd netwerk van knooppunten; de zogeheten “nodes”. In principe bevat elke node een eigen (deel)kopie van de blockchaingegevens.[5] Onder welke condities de informatie in de nodes wordt aangepast, hangt af van het validatiemechanisme.[6] Wanneer door een node een verzoek wordt gedaan om de blockchaingegevens aan te passen, checken de zogeheten “miners” of het verzoek aan de vereisten van het validatiemechanismen voldoet. Indien dat het geval is, wordt de transactie doorgevoerd en de informatie in de blockchain bijgewerkt.

Als een transactie op een blockchain wordt doorgevoerd, wordt niet de gehele gegevensset aangepast. In de nodes zijn de gegevens als het ware opgeslagen in de vorm van een blokkenschakel, waarbij elk blok met het voorgaande blok is verbonden door een “hash-code”.[7] Bij het doorvoeren van een transactie blijven alle bestaande blokken ongewijzigd.[8] Om de wijziging door te voeren wordt een nieuw blok toegevoegd, zoals hieronder versimpeld is weergegeven.

Uit voorgaande volgt dat blockchain kan worden gebruikt voor de uitwisseling van grote hoeveelheden (persoons)gegevens. Hoe verhoudt dit zich tot de privacyregels?

1. Persoonsgegevens op de blockchain

De AVG is van toepassing op de verwerking van persoonsgegevens. De AVG is dus alleen van toepassing op een blockchaintoepassing als daarmee persoonsgegevens worden verwerkt. Dit blijkt echter al snel het geval te zijn.

Op een blockchain kunnen verschillende soorten persoonsgegevens worden opgeslagen en bijgewerkt (oftewel: worden verwerkt). Daarbij zijn meerdere partijen betrokken. De CNIL maakt onderscheid tussen blockchaindeelnemers en miners enerzijds, en andere personen anderzijds. Uit de techniek van blockchain volgt dat alle blockchaindeelnemers en miners onder meer over een public key beschikken.[9] Dit is een identifier die bestaat uit een reeks alfanumerieke tekens. Het is inherent aan blockchaintechniek dat deze identifiers aan alle andere blockchaindeelnemers bekend zijn, en bij publieke blockchains daarmee potentieel aan de hele wereld bekend zijn. Wanneer desbetreffende blockchaindeelnemers en miners natuurlijke personen zijn, kan het hier om persoonsgegevens gaan.[10] Of dat zo is hangt af van in hoeverre de public keys door anderen daadwerkelijk tot een achterliggende persoon kunnen worden herleid. De CNIL specificeert niet wanneer public keys al dan niet als persoonsgegevens kwalificeren. Dat zal per blockchain beoordeeld moeten worden. Bij Bitcoin kan een public key bijvoorbeeld worden herleid wanneer bij een (web)winkel door iemand met Bitcoin wordt afgerekend, en de winkel ook beschikt over iemands huisadres voor aflevering van de aankoop.[11]

Naast de public keys van de blockchaindeelnemers en de miners in het kader van het functioneren van de blockchain (vergelijkbaar met metadata), kunnen de gegevens die anderszins worden verwerkt via de blockchain (de inhoud) ook persoonsgegevens bevatten. Bij de manier waarop deze gegevens worden opgeslagen kunnen diverse keuzes worden gemaakt, waarover hieronder meer. Nu bij blockchain al snel sprake zal zijn van persoonsgegevensverwerking, is de vervolgvraag: wat is daarbij de privacypositie van partijen? Dit bepaalt wie welke rechten en/of plichten heeft uit de AVG.

2. Privacypositie van partijen

Onder de AVG kennen wij (evenals daarvoor onder de Privacyrichtlijn[12]) enerzijds de verwerkingsverantwoordelijke en anderzijds de verwerker. De verwerkingsverantwoordelijke is een partij die – alleen of tezamen met anderen – de doeleinden en de middelen voor de verwerking bepaalt. De verwerker is een partij die persoonsgegevens in opdracht van één of meer verwerkingsverantwoordelijke(n) verwerkt, en in elk geval niet de verwerkingsdoeleinden bepaalt. Maar wie is nu wie bij een blockchain?[13] Bij een blockchain kunnen zeer veel partijen betrokken zijn, zeker wanneer het een publieke blockchain betreft zoals Bitcoin. Mede dit kan de analyse van de privacypositie van de betrokken partijen lastig maken.

De CNIL biedt voor het bepalen van de privacyposities van partijen bij blockchain de volgende handvatten. Naast de personen over wie gegevens via de blockchain worden verwerkt – de betrokkenen – onderscheidt CNIL de volgende partijen: (i) rechtspersonen, (ii) natuurlijke personen, (iii) ontwikkelaars en (iv) miners van algoritmes bij smart contracts. De CNIL geeft daarbij niet aan wat zij onder “smart contracts” verstaat. Simplistisch weergegeven gaat het bij smart contracts niet om “slimme contracten”, maar om geautomatiseerde uitvoering van eerder gemaakte afspraken tussen partijen, waarvoor blockchaintechnologie zich uitstekend leent.[14]

Rechtspersonen die deelnemen aan een blockchain kwalificeren volgens de CNIL in principe als verwerkingsverantwoordelijken. De CNIL beschouwt ook natuurlijke personen die deelnemen aan een blockchain als verwerkingsverantwoordelijke, wanneer zij niet onder de uitzondering voor persoonlijk en huishoudelijk gebruik vallen.[15]  De CNIL noemt daarbij als voorbeeld een natuurlijke persoon die Bitcoins koopt of verkoopt. Alleen als iemand dit doet in het kader van een professionele activiteit, ten behoeve van andere natuurlijke personen, kwalificeert de persoon hiervoor als verwerkingsverantwoordelijke, anders niet.

Over algoritme-ontwikkelaars bij smart contracts wordt door de CNIL gesteld dat zij zowel als verwerkingsverantwoordelijken als verwerkers kunnen optreden. Dit hangt af van hun rol bij het bepalen van de verwerkingsdoeleinden in het kader van het smart contract. Overigens is het opmerkelijk dat de CNIL dit niet stelt ten aanzien van blockchain developers in algemene zin, in plaats van alleen met betrekking tot algoritme-ontwikkelaars bij smart contracts.

Tot slot geeft de CNIL aan dat miners in sommige gevallen als verwerkers zullen optreden. De CNIL vermeldt niet wat de privacyrol van miners in andere gevallen is. Wel benoemt de CNIL dat het kwalificeren van miners als verwerkers tot praktische problemen kan leiden, aangezien alle blockchaindeelnemers die als verwerkingsverantwoordelijken optreden dan verwerkersovereenkomsten zouden moeten sluiten met alle miners die als verwerker acteren. Ten aanzien van dit punt geeft de CNIL daarom aan nog bezig te zijn met een diepgaande reflectie.[16] Vooralsnog worden bij een blockchain betrokken partijen door de CNIL aangemoedigd om gebruik te maken van innovatieve oplossingen om te waarborgen dat ook verwerkers aan hun privacyverplichtingen voldoen. Wat dit inhoudt, wordt niet nader gespecificeerd. Ik ben benieuwd waartoe dat gaat leiden. De AVG lijkt op dit punt glashelder: tussen verwerkingsverantwoordelijken en verwerkers moeten verwerkersovereenkomsten worden gesloten. Wel kan de manier waarop dat moet gebeuren worden vergemakkelijkt. Bijvoorbeeld door de ontwikkeling van standaardcontractbepalingen en suggesties voor hoe deze kunnen worden ingeregeld in het “on-boarding-proces” van een blockchain. Het digitaal aanvinken van een aankruisvakje voor akkoord met link naar het contract, voordat aan de blockchain kan worden deelgenomen, is bijvoorbeeld een optie. Ook zal de praktische uitvoerbaarheid van de verwerkersovereenkomsten goed moeten worden doorgedacht. Hoe zal bijvoorbeeld uitvoering worden gegeven aan auditbepalingen?[17] En hoe gaan in een blockchain met bijvoorbeeld 500+ verwerkers deze verwerkers in praktijk bijstand verlenen aan de verwerkingsverantwoordelijken, wanneer zij daartoe verplicht zijn?[18]

De analyse van de privacypositie van partijen betrokken bij een blockchain is hieronder opgenomen in het schema.

Voornoemde indicatie van de privacyposities van partijen bij een blockchain van de CNIL lijkt mij overigens wat kort door de bocht. De code bepaalt onder welke condities welke partijen gegevens mogen toevoegen aan de blockchain, en hoeveel vrijheid hen daarbij moet worden gelaten. De privacypositie van partijen zal mijns inziens daarom toch echt per blockchaintoepassing moeten worden bepaald. En om het nog complexer te maken: miners kunnen ook rechtspersonen zijn. Maar aangezien de complexiteit op dit vlak voor onduidelijkheid zorgt en juist deze onduidelijkheid tot non-compliance kan leiden, is het zeker verklaarbaar waarom de CNIL heeft gekozen voor een meer simplistische benadering.

3. Doorgifte, dataminimalisatie en bewaartermijnen

De CNIL geeft aan dat de karakteristieken van blockchain op gespannen voet kunnen staan met de privacyvereisten. In dat kader noemt de CNIL onder meer het vereiste dat doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte gelegitimeerd moet worden.[19] Dit is bij uitstek lastig bij publieke blockchains, waaraan iedereen wereldwijd deel kan nemen. Er kan dan niet van tevoren worden beperkt vanuit welke jurisdicties partijen mogen deelnemen aan de blockchain. De CNIL noemt daarbij niet dat het punt van de doorgifte van persoonsgegevens mogelijk kan worden ondervangen door een partij voordat deze mag deelnemen aan de blockchain online een passende en vooraf ingevulde gegevensdoorgifteovereenkomst te laten ondertekenen, waarvan – voor zover noodzakelijk – ook de relevante Standard Contractual Clauses zoals goedgekeurd door de Europese Commissie deel uitmaken.

Andere privacy-issues die de CNIL niet noemt in dit kader kunnen overigens niet zo makkelijk contractueel worden ondervangen. Door de manier van gegevensopslag: het steeds maar toevoegen van blokken informatie en het delen van de informatie met andere blockchaindeelnemers, ontstaat er een overvloed aan gegevens. Dit zal niet altijd in overeenstemming zijn te brengen met het vereiste van dataminimalisatie.[20] Daarbij blijven alle gegevens opgeslagen voor de levensduur van de blockchain, hetgeen in de weg kan staan aan het uitvoering geven aan het beginsel van opslagbeperking.[21]

4. Toepassen van blockchaintechnologie

Uit voorgaande blijkt dat het toepassen van blockchaintechnologie problematisch kan zijn vanuit privacyperspectief. Om de (mogelijke) privacy-issues zoveel mogelijk te beperken, doet de CNIL samengevat de volgende aanbevelingen:

  • Geen blockchain als niet nodig. Blockchaintechniek dient niet te worden gebruikt wanneer de typische blockchainkarakteristieken niet vereist zijn voor de verwerkingsdoeleinden. Dus geen gebruik van blockchaintechniek “om het gebruik”, maar alleen wanneer de situatie de inzet van blockchaintechnologie het meest passend maakt. Gezien de eigenschappen van blockchain kan de techniek met name goed worden ingezet als het gaat om een gegevensset die moet worden gedeeld met en bijgewerkt door meerdere partijen, waarbij de gegevens continue aan verandering onderhevig zijn, en de blockchaindeelnemers niet zomaar durven te vertrouwen op aanpassingen van andere deelnemers of een derde partij. (Zie figuur 5 hieronder ter bepaling van of überhaupt nodig is of niet.[22])
    Deze aanbeveling lijkt mij niet alleen nuttig vanuit privacyperspectief maar ook vanuit bijvoorbeeld commercieel perspectief: het toepassen van blockchaintechnologie wanneer dat niet van toegevoegde waarde is leidt tot onnodig hoge kosten. Dat neemt niet weg dat sommige bedrijven graag willen experimenteren met blockchain om ervaring op te doen. Een nuttigere tip lijkt mij dan: werk met dummy data of met zo min mogelijk persoonsgegevens, die zo min mogelijk gevoelig zijn. Zet in je eerste testproject bijvoorbeeld niet de BSN’s van al je klanten in de blockchain (nog ongeacht de rechtmatigheid daarvan überhaupt).
  • Liever permissioned dan public blockchains. Als gebruik wordt gemaakt van blockchaintechnologie, verdienen private permissioned blockchains de voorkeur boven public permissionless blockchains. Bij private permissioned blockchains kan vooraf worden bepaald wie mag deelnemen aan de blockchain en kan onderscheid worden gemaakt naar wie onder welke voorwaarden gegevens mag toevoegen aan de blockchain. Daardoor kan meer controle worden uitgeoefend en kan de privacy compliance beter worden gewaarborgd dan bij public permissionless blockchains het geval is.[23] Vanuit privacyperspectief is dit zeker een nuttige tip. Wel is het de vraag in hoeverre het concept van private permissioned blockchains nog in overeenstemming kan worden gebracht met de oorspronkelijke gedachte achter public permissionless blockchains.[24]
  • Versleutelde gegevensopslag. De CNIL geeft aan dat het gebruik en delen van public keys onderdeel uitmaakt van het functioneren van een blockchain, en dat dit niet beperkt kan worden. Ten aanzien van (andere) persoonsgegevens raadt de CNIL aan om deze ofwel (i) buiten de blockchain op te slaan en op de blockchain alleen te verwijzingen naar de persoonsgegevens op te nemen, ofwel om (ii) bepaalde versleutelingstechnieken te gebruiken.[25] Op die manier kan onder meer beter tegemoet worden gekomen aan de vereisten van data protection by design and by default, en dataminimalisatie. Door de versleutelde opslag wordt zoveel mogelijk voorkomen dat onbevoegden de persoonsgegevens kunnen herleiden, en wanneer bepaalde persoonsgegevens überhaupt niet langer herleidbaar dienen te zijn (bijv. in het kader van rechten van betrokkenen; zie hieronder), kan desbetreffende sleutel worden gewist. Alhoewel niet genoemd door de CNIL in dit kader volgt uit deze rationale dat dit ook kan bijdragen aan het toepassen van de regels inzake bewaartermijnen.
    Alleen indien toepassing van de voorgaande opties niet mogelijk is, mogen de persoonsgegevens onder omstandigheden in cleartext of middels unkeyed hashing worden opgeslagen. Vereist is dan dat deze minder privacyvriendelijke gegevensopslag wordt gerechtvaardigd door de verwerkingsdoeleinden. Mede ter beoordeling daarvan dient een Data Protection Impact Assessment te zijn uitgevoerd, met als uitkomst dat het restrisico acceptabel is.[26]
    De input van de CNIL op de wijze van gegevensopslag lijkt mij vanuit privacyperspectief zeer valide. Daarbij laat de CNIL ruimte voor de uitkomst dat bijvoorbeeld vanwege het doel van een blockchain van het optimaliseren van de transparantie, toch voor een minder privacyvriendelijke manier van gegevensopslag wordt gekozen.
  • Aanwijzen verwerkingsverantwoordelijken. Wanneer meerdere blockchaindeelnemers voor een gezamenlijk doel persoonsgegevens via de blockchain verwerken, kwalificeren zij waarschijnlijk allemaal als gezamenlijke verwerkingsverantwoordelijken. Omdat dit tot onduidelijkheid en een minder praktisch werkbare situatie kan leiden, raadt de CNIL aan om in dat geval de verwerkingsverantwoordelijkheid te alloceren. Twee opties worden in dat kader genoemd: de verwerkingsverantwoordelijkheid kan bij één van de verwerkingsverantwoordelijken worden belegd, of de blockchainpartijen kunnen samen een rechtspersoon oprichten en deze als verwerkingsverantwoordelijke aanwijzen. Er zijn daarbij geen indicaties dat de CNIL hier bedoelt dat de aangewezen verwerkingsverantwoordelijke alleen naar de buitenwereld als duidelijk contactpunt fungeert, maar dat partijen in feite nog altijd als gezamenlijke verwerkingsverantwoordelijken kwalificeren. Het lijkt daarom alsof de CNIL hier zegt dat partijen zelf contractueel kunnen bepalen wie de verwerkingsverantwoordelijke is. Dat is opmerkelijk, aangezien het standpunt van de Europese privacytoezichthouders altijd is dat bij het in kaart brengen van de verwerkingsverantwoordelijkheid, niet de contractuele bevoegdheden maar daadwerkelijke handelingen van partijen bepalend zijn: een functionele benadering.[27] Wel geven de Europese toezichthouders in de opinie over dit onderwerp aan dat het juist in complexe situaties van belang is dat rollen en verantwoordelijkheden eenvoudig kunnen worden toegewezen.[28] Daarmee lijken de aanbevelingen van de CNIL in dit kader mijn inziens alleen toepasbaar voor zover zij stroken met de praktijk. Wanneer blockchaindeelnemers een nieuwe entiteit oprichten en als verwerkingsverantwoordelijke aanwijzen zal dit vermoedelijk alleen stand houden wanneer deze nieuwe entiteit niet louter als “stroman” fungeert maar ook daadwerkelijk een leidende rol vervult bij het bepalen van de verwerkingsdoeleinden (en middelen).  
  • Passende beveiligingsmaatregelen. Tot slot geeft de CNIL aan dat ook passende beveiligingsmaatregelen moeten worden getroffen. Zo moet vooraf het minimumaantal blockchaindeelnemers en miners worden bepaald om te voorkomen dat collusie optreedt. Daarbij spant een aantal blockchaindeelnemers of miners samen om in strijd met het validatiemechanisme gegevens aan de blockchain toe te voegen.[29] Ook dienen technische en organisatorische procedures te worden ontwikkeld om de impact van een mogelijk gebrek aan het algoritme te beperken. Daarbij moet onder meer een noodplan worden ontwikkeld voor als wijzigingen aan het algoritme dienen te worden doorgevoerd.[30] Allebei terechte tips maar een beetje open deuren: het betreft risico’s waarvan inmiddels mag worden verwacht dat iedere blockchain developer zich ervan bewust is.

5. Rechten van betrokkenen

De eigenschappen van blockchaintechnologie verhouden zich ook lastig tot diverse privacyrechten van betrokkenen. In dat kader noemt de CNIL in de eerste plaats het recht op rectificatie, het recht op gegevenswissing, en het recht van bezwaar.[31] Bij het succesvol uitoefenen van het recht op gegevenswissing en het recht van bezwaar dienen de persoonsgegevens uit de blockchain te worden verwijderd. Gezien de techniek van het alleen maar toevoegen en nooit verwijderen van blokken informatie, is dit in principe onmogelijk. Bij het succesvol uitoefenen van het recht op correctie kan weliswaar via een nieuw blok de gewijzigde informatie worden doorgevoerd, maar de oude informatie blijft wel staan in de eerdere blokken.

Als opties om zoveel mogelijk tegemoet te komen aan dit compliance probleem, noemt de CNIL diverse cryptografische technieken die kunnen worden gebruikt bij het opslaan van gegevens op of via de blockchain. Versimpeld weergegeven: de informatie wordt in sterk versleutelde vorm opgeslagen en als de gegevens moeten worden verwijderd of aangepast, wordt de sleutel van de (verouderde) gegevens weggegooid, waardoor de gegevens praktisch niet meer herleidbaar zijn.[32]

Ook wordt aandacht besteed aan het recht op beperking van de verwerking. Onder omstandigheden kunnen betrokkenen verlangen dat hun persoonsgegevens niet worden verwerkt, behoudens uitzonderingssituaties.[33] Bij geautomatiseerde bestanden moet de beperking in principe technisch worden doorgevoerd, in die zin dat de persoonsgegevens niet verder kunnen worden verwerkt en niet kunnen worden gewijzigd.[34] Hierover beveelt de CNIL aan dat dit moet worden meegewogen bij het ontwerpen van de blockchain. Datzelfde geldt voor het recht van betrokkenen in relatie tot geautomatiseerde besluitvorming. Daarbij gaat het om het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit, met rechtsgevolgen voor de betrokkene of vergelijkbare gevolgen.[35] Dit zou bijvoorbeeld kunnen spelen wanneer blockchaintechnologie zou worden toegepast bij het automatisch afhandelen van een verzoek tot een lening. De CNIL stelt hier in de eerste plaats dat vaak een uitzondering op dit recht van toepassing zal zijn omdat het gezien de aard van een smart contract voor de uitvoering daarvan noodzakelijk is dat e.e.a. – waaronder ook de besluitvorming – geautomatiseerd plaatsvindt.[36] Dan dienen betrokkenen echter wel tenminste het recht te hebben: (i) op alsnog menselijke tussenkomst, (ii) om hun standpunt kenbaar te maken en (iii) om het besluit aan te vechten. Ook hiermee dient aldus rekening te worden gehouden in de ontwerpfase van een blockchain. Het idee van een smart contract dat nu juist geen menselijke interventie plaatsvindt, dient aldus wel te worden doorbroken. De inzet van zogeheten ‘oracles’ of een vergelijkbaar mechanisme om alsnog wel menselijke tussenkomst mogelijk te maken, lijkt daarmee met het oog op privacy compliance onontkoombaar.[37] Deze vanuit privacyperspectief valide aanbevelingen zullen zich daarom naar mijn mening niet altijd goed verhouden tot het doel van een blockchain.

6. Evaluatie

De publicatie van de CNIL biedt niet zoals haar inleiding belooft concrete oplossingen om de techniek privacy compliant toe te passen. Wel biedt zij diverse concrete handvatten voor het rekening houden met de privacyaspecten bij blockchaintechnologie. En dat werd ook hoog tijd: de Bitcoin – de eerste blockchainimplementatie – bestaat inmiddels alweer ruim 10 jaar. Gezien de enorme opkomst van deze techniek en onduidelijkheid over hoe de privacyregels daarbij moeten worden toegepast, is het daarom eerder verwonderlijk dat Europese privacytoezichthouders hierover niet eerder met nadere uitleg zijn gekomen. Op de website van de Autoriteit Persoonsgegevens wordt nog altijd met geen woord gerept over blockchain. Maar daar gaat wellicht verandering in komen. Mogelijk komen de Europese privacytoezichthouders – zoals nu verenigd in de European Data Protection Board – op korte termijn gezamenlijk nog met nadere uitleg hierover. Blockchain is opgenomen op het programma van de European Data Protection Board voor 2019-2020 als één van de 13 onderwerpen waarop mogelijk nader wordt ingegaan.[38] Blockchain stond verder als onderwerp vermeld op de agenda van 14 mei 2019, maar kwam vervolgens niet terug in de terugkoppeling daarover.[39] Nog even afwachten dus maar…


[1] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

[2] Blockchain: Premiers éléments d’analyse de la CNIL, CNIL: september 2018. Op 8 november 2018 volgde de Engelse vertaling hiervan. Blockchain: Solutions for a responsible use of the blockchain in the context of personal data, CNIL: november 2018.

[3] Blockchain: Premiers éléments d’analyse de la CNIL, CNIL: september 2018, p. 2: “C’est pourquoi la CNIL s’est saisie de ce sujet et propose des solutions concrètes aux acteurs qui souhaitent l’utiliser dans le contexte d’un traitement de données personnelles.”.

[4] Zie voor een nadere uitwerking van blockchainvoorbeelden: D. De Jonghe en V.I. Laan, “Blockchain in de realiteit”, Computerrecht: 2017, Nr. 6, p. 347-354.

[5] Zie bijvoorbeeld over het onderscheid tussen zogeheten full nodes en lighweightt nodes deze webpagina: https://en.bitcoin.it/wiki/Full_node.

[6] Vaak wordt daarbij gebruik gemaakt van proof-of-work of proof-of-stake mechanismen. Zie daarover bijvoorbeeld: https://blockgeeks.com/guides/proof-of-work-vs-proof-of-stake/.

[7] Blockchain and the GDPR, the European Blockchain Observatory and Forum: oktober 2018, p. 20-21.

[8] Op sommige blockchains – alhoewel het discutabel is in hoeverre je dit nog blockchains mag noemen – kunnen de bestaande blokken toch worden aangepast, bijvoorbeeld in geval van typfouten. Zie hierover bijvoorbeeld M. Arnold, ‘Accenture to unveil blockchain editing technique ‘, Financial Times 19 september 2016.

[9] Public keys worden in combinatie met private keys gebruikt. Zie daarover bijvoorbeeld: https://bitcademy.nl/wat-zijn-private-keys-en-public-keys/.

[10] Zie Premiers éléments d’analyse de la CNIL, CNIL: september 2018, p. 6 e.v.

[11] A. Narayanan e.a., Bitcoin and Cryptocurrency Technologies, Princeton University Press: concept versie 9 februari 2016, p. 170-177.

[12] Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

[13] Zie daarover uitgebreid, ook in relatie tot de opinie over van de Europese privacytoezichthouders verwerkingsverantwoordelijken en verwerkers (Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010): V.I. Laan, 'Privacy en blockchain: Wanneer is er voor wie privacywerk aan de winkel?', Tijdschrift voor Internetrecht 2017, Nr. 1, p. 4-11.

[14] Overigens is de definiëring van de term “smart contracts” zeker niet onbetwist. Zie daarover bijvoorbeeld nader: Smart contracts als specifieke toepassing van de blockchain-technologie, Smart Contract Werkgroep van de Dutch Blockchain Coalition: 23 november 2017; ‘Juridische aspecten van (toepassingen van) blockchain’, Computerrecht 2016/218; en E. Tjong Tjin Tai, ‘Smart contracts en het recht’, NJB 2017/146.

[15] Zie artikel 2, tweede lid, sub c en considerans 18 van de AVG.

[16] Premiers éléments d’analyse de la CNIL, CNIL: september 2018, p. 5: “Consciente de certaines difficultés pratiques que peut engendrer la qualification de mineurs en tant que sous-traitant dans la Blockchain publique (notamment en ce qui concerne l’obligation de contractualiser les relations avec le responsable de traitement), la CNIL mène actuellement une réflexion approfondie sur cette question.”.

[17] Zie artikel 28, derde lid, sub h van de AVG.

[18] Zie artikel 28, derde lid, sub e en f  van de AVG.

[19] Zie hoofdstuk V van de AVG over doorgifte van persoonsgegevens aan derde landen of internationale organisaties.

[20] Zie artikel 5, eerste lid, sub c van de AVG.

[21] Zie artikel 5, eerste lid, sub e van de AVG.

[22] Zie: https://steemit.com/cryptocurrency/@cryptodivision/do-you-really-need-a-blockchain. NB: Niet zeker of dit de oorspronkelijke bron is van het stroomschema.

[23] De CNIL spreekt overigens alleen van permissioned blockchains, en niet van private blockchains, maar lijkt gezien de uitleg op permissioned private blockchains te doelen. Zie voor nadere uitleg over private versus public en permissioned versus permssionless bijvoorbeeld: Blockchain and the GDPR, the European Blockchain Observatory and Forum: oktober 2018, p. 4-5.

[24] Zie daarover bijvoorbeeld: https://www.bitcoinspot.nl/de-misvatting-van-de-private-blockchain/.

[25] Het betreft hier de versleutelingstechnieken van: commitment, keyed hashing, en ciphertext, genoemd op volgorde van voorkeur. Zie Premiers éléments d’analyse de la CNIL, CNIL: september 2018, p. 6-7.

[26] Zie artikel 35 van de AVG.

[27] Zie Advies 1/2010 over de begrippen “voor de verwerking verantwoordelijke” en “verwerker”, Artikel 29-werkgroep: februari 2010 (WP 169), p. 21.

[28] Idem.

[29] Zie hierover verder bijvoorbeeld: https://bitcoinmagazine.nl/2019/01/crypto-101-51-attack-hoe-werkt-dat/.

[30] Deze aanbeveling lijkt te zijn geïnspireerd op de DAO-hack in 2016, waarbij iemand gebruik maakte van een fout in de code en zo ether (het digitale geld van den DAO) wegsluisde dat net via crowfunding was ingezameld. Zie daarover nader: https://tweakers.net/reviews/4437/all/the-dao-blockchains-en-ethereum.html.

[31] Zie resp. artikel 16, 17 en 21 van de AVG.

[32] Zie voor een toelichting op de cryptografische technieken: Premiers éléments d’analyse de la CNIL, CNIL: september 2018, p. 6-7; met daarin nog een doorverwijzing naar nadere cryptografische literatuur.

[33] Zie artikel 18 van de AVG.

[34] Zie considerans 67 van de AVG.

[35] Zie artikel 22, eerste lid van de AVG.

[36] Zie artikel 22, tweede lid, sub a van de AVG.

[37] Het begrip ‘oracles’ in relatie tot smart contracts is een mens of een instantie die een bepaald feit gezaghebbend kan vaststellen. Zie bijv. T. van der Linden, ‘Smart contracts op de blockchain – hoe het zit en waarom ze juridisch interessant zijn’, TvI: 2018, p. 197.

[38] Zie EDPB Work Program 2019/2020, p. 3.

[39] Zie: Agenda 10th EDPB meeting 14 May 2019, p.2 en het bericht ‘Tenth Plenary session: Election of a new Deputy Chair, response to MEP In ‘t Veld, third annual Privacy Shield Review’ zoals vermeld op de nieuwspagina op de website edpb.europa.eu.