Vorige week heeft de EU de Algemene Verordening Gegevensbescherming (AVG) in werking getreden – de grootste verandering in de wetgeving inzake gegevensbescherming in de afgelopen 20 jaar. Zelfs als u buiten de EU woont, is de kans groot dat uw inbox overspoeld is met berichten over wijzigingen in het privacybeleid van elk bedrijf waaraan u ooit uw e-mailadres hebt doorgegeven. Dataprivacy en blockchain lijken tot nu toe hand in hand te gaan.

Maar wat zal de impact zijn van de nieuwe EU-wetgeving op het gebruik van blockchain, aangezien de technologie al zo’n enorm potentieel heeft aangetoond op het gebied van datamanagement??

Doelstellingen van de AVG

De AVG is geïntroduceerd ingrijpende veranderingen aan de manier waarop bedrijven en websites de gegevens van hun gebruikers beheren en verwerken. Dit omvat expliciete rechten voor gebruikers om kopieën van hun persoonlijke gegevens op te vragen. Als ze dat willen, kunnen ze ook vragen om het te verwijderen.

Bovendien zijn bedrijven verplicht om elke overtreding te melden – en ze worden geconfronteerd met zware straffen voor een dergelijke overtreding. De AVG is niet alleen van toepassing op die gegevensverwerkers die in de EU actief zijn. Het is ook van toepassing op elk bedrijf of elke locatie met klanten of klanten die in de EU zijn gevestigd. Vandaar de universele overstroming van al onze inboxen.

De AVG-wetgeving is grotendeels tot stand gekomen als gevolg van Verontwaardiging van de EU over de spionage-activiteiten van de NSA, gelekt door Edward Snowden in 2013. Sindsdien hebben we verschillende spraakmakende schandalen gezien, het meest recent met Facebook en Cambridge Analytica. Dergelijke schandalen lijken de noodzaak van regulering te rechtvaardigen.

Facebook verwijderen?

Foto door Thought Catalog op Unsplash

Maar daarin schuilt het probleem om de privacy van gebruikers te beschermen als een kwestie van beleid. Regelgeving is achterwaarts gericht. De AVG kwam pas nadat enkele van de meest spraakmakende datalekken al hadden plaatsgevonden.

De EU en de regeringen van haar lidstaten kunnen niet kijken in de zwarte dozen met cyberbeveiligingsmaatregelen die worden gebruikt door Facebook of Google. Evenmin kunnen ze de uitgestrektheid van internet controleren om naleving van de AVG te garanderen.

Toezichthouders zullen klachten en inbreuken op de privacy van gegevens alleen behandelen als en wanneer ze worden gemeld, nadat het spreekwoordelijke paard al is vastgelopen.

Gegevensprivacy en Blockchain

Velen in de blockchain-gemeenschap gewezen dat het gebruik van blockchain had kunnen voorkomen dat het Facebook / Cambridge Analytica-schandaal überhaupt plaatsvond.

Gegevens die zijn opgeslagen op een blockchain die over meerdere knooppunten is verdeeld, zijn veel minder vatbaar voor hacking dan wanneer ze op gecentraliseerde servers zouden zijn opgeslagen.

Met privé-versleutelingssleutels kunnen gebruikers kiezen aan wie hun gegevens worden vrijgegeven, en slimme contracten kunnen bepalen hoe gegevens worden gebruikt. Hiermee worden gebruikers verzekerd tegen misbruik van gegevens door de partijen die toestemming hebben gekregen om deze te gebruiken.

De onveranderlijkheid van blockchain betekent ook dat niemand kan knoeien met gegevens nadat deze zijn vastgelegd. Dataprivacy en blockchain lijken zeker goed samen te werken.

De onverenigbaarheid van Blockchain met de AVG

De regelgevende focus op blockchain tot nu toe lag voornamelijk rond de financiële regulering van ICO’s en de handel in digitale valuta. Zoals de zaken er nu voorstaan, heeft de GDPR echter een soort paradox gecreëerd voor gegevensprivacy en blockchain.

De wetgeving is geschreven met het oog op online communicatie en cloudopslag. Daarom bevat het expliciete regels rond gebruikersrechten die moeten worden vergeten – door hun persoonlijke gegevens op verzoek te laten wissen. Dit vormt een probleem voor de inherente onveranderlijkheid van blockchain, omdat we niet terug in de tijd kunnen gaan en gegevens kunnen wissen zodra deze zijn vastgelegd.

Bovendien vereist de AVG dat organisaties een gegevensbeheerder hebben om dergelijke gebruikersverzoeken af ​​te handelen. Als gedecentraliseerde database heeft blockchain niet één persoon die controle heeft over de gegevens. Aan wie zou een gebruiker zelfs zo’n verzoek kunnen richten?

De paradox oplossen

Er zijn een paar punten die hier gemaakt moeten worden. Ten eerste heeft de GDPR jaren geduurd om tot bloei te komen, waarin zich snel voortschrijdende ontwikkelingen in blockchain hebben voorgedaan. Campagnegroepen zijn er al lobbyen om Bitcoin uit te sluiten van de reikwijdte van de AVG.

Het is mogelijk dat EU-wetgevers uiteindelijk op dergelijke campagnes reageren door specifieke voorzieningen te treffen voor blockchain-technologie. Als dit toch gebeurt, kan het, gezien hoe lang het duurt voordat de bestaande wetgeving in werking treedt, een langzaam proces zijn.

Brussel, België

Brussel, de zetel van de EU. Foto door Marius Badstuber op Unsplash

Ten tweede is de blockchain-gemeenschap dat al speculeren over de vraag of de vernietiging van een privésleutel in feite hetzelfde kan zijn als ‘vergeten worden’.

Het verlies van een privésleutel van Bitcoin komt immers neer op het doorspoelen van digitale valuta door het toilet. Als gebruikers hun privésleutel kunnen vernietigen zodat niemand meer toegang heeft tot hun blockchain-gegevens, kan dit uiteindelijk misschien voldoen aan de voorwaarden van het recht van de AVG om te worden vergeten. Het moet nog worden getest.

Gegevensprivacy en Blockchain-bedrijven

Van geen enkele blockchain is nog bewezen dat deze AVG-compliant is of anderszins. Maar een aantal blockchain-bedrijven heeft al direct te maken met gebruikersgegevens en privacy. Het is mogelijk of zelfs waarschijnlijk dat sommige blockchain-projecten hun aanbod moeten aanpassen om compliant te blijven, na de AVG.

Parity ICO Services bieden KYC-services aan ICO’s en slaan achtergrondcontroles op de blockchain op. Ze kondigden op 18 mei aan dat ze helaas zouden sluiten vanwege de aanzienlijke middelen die nodig zijn om de AVG-naleving te waarborgen.

Off-chain oplossingen

Civic is een bedrijf dat ID-verificatiediensten aanbiedt. Hun benadering van gegevensprivacy en blockchain is mogelijk een model dat beter voldoet aan de AVG. In plaats van persoonlijke gegevens op de blockchain op te slaan, verifieert de Civic-tool de identiteit van de gebruiker buiten de keten.

Een eenvoudig bewijs van de waarheidsgetrouwheid van de gegevens wordt in een keten opgeslagen – de gegevens zelf zijn dat niet. Persoonlijke gegevens worden daadwerkelijk door de gebruiker opgeslagen in het telefoongeheugen met behulp van de Civic-app.

Partijen die hun identiteit willen verifiëren, kunnen het blockchain-attest afnemen of aanvullende gegevens opvragen via de app. De gebruiker kan beslissen of hij deze gegevens wil delen door de toegang via de app te regelen.

Het op deze manier buiten de keten opslaan van persoonsgegevens kan een compatibele oplossing zijn, en wordt momenteel aanbevolen door IBM in de Papier van maart 2018 ze hebben vrijgegeven over het onderwerp GDPR en blockchain. IBM werkt ook samen met SecureKey om een ​​toolkit voor digitale identiteit op te zetten met een vergelijkbare off-chain-oplossing als degene die door Civic is geïmplementeerd.

Dergelijke off-chain-oplossingen missen natuurlijk de kans om de beveiligingsvoordelen van het opslaan van gegevens op de blockchain te benutten.

Andere blockchain-oplossingen die te maken hebben met bepalingen die rechtstreeks onder de AVG vallen, zijn onder meer oplossingen voor bestands- of cloudopslag. AI-startups die Big Data en crowd sentimenten gebruiken om voorspellingen te doen, kunnen ook worden beïnvloed.

Ons interview met David Sønstebø, medeoprichter van IOTA, gaat in op zijn opvattingen over de introductie van de AVG. Uiteindelijk zullen we moeten afwachten hoe de GDPR de vele blockchain-bedrijven zal beïnvloeden die door data worden aangedreven.