Welke rol speelt privacy in de blockchain?
De blockchain en privacy gaan moeilijk door één deur. De meest voornaamste eigenschappen van de blockchain (transparant, decentraal en onomkeerbaar) schreeuwen niet bepaald privacy. Transparant, want alle transacties zijn openbaar. Decentraal, waardoor iedere node in het blockchain netwerk een volledige kopie bevat van alle transacties. Onomkeerbaarheid, omdat een eenmaal gedane transactie (feitelijk) niet meer kan worden aangepast. De onomkeerbaarheid en transparantie zorgen dus voor een audit trail, waarin alle transacties altijd verifieerbaar zijn voor iedereen. De audit trail heeft niet alleen betrekking op transacties in geld (cryptocurrencies), maar ook op vele andere (nog te bedenken) toepassingen. Deze eigenschappen zorgen ervoor dat privacy (voor een goede reden) geen prominente plek inneemt. In deze blog ga ik in op welke rol privacy wél speelt.
Met bovengenoemde eigenschappen van de blockchain wordt dus ingeboet op privacy. Wil je echter wel meer privacy op de blockchain? Dan zal dat ten koste gaan van transparantie, één van de belangrijkste kwaliteiten van de blockchain. Toch speelt privacy een rol in de blockchain, aangezien er vaak grote hoeveelheden gegevens worden opgeslagen en uitgewisseld. Vaak gaat het hierbij om gegevens die tot personen te herleiden zijn, oftewel persoonsgegevens. Op bijvoorbeeld de Bitcoin zouden, als een pseudoniem succesvol is gekoppeld aan een identiteit, alle financiële transacties zichtbaar zijn. Het is daarom aan te raden meerdere adressen aan te maken om transacties te verrichten en geen transacties te verrichten tussen deze adressen. Een alternatief op de Bitcoin die wel gericht is op privacy is Z-cash.
De Wbp, privacyverordening en de blockchain
Hoe zit het met de toepasselijkheid van de Wet bescherming persoonsgegevens (Wbp) op de blockchain? De Wbp is van toepassing als persoonsgegevens worden verwerkt. Om weer het voorbeeld van de Bitcoin te gebruiken, op deze blockchain applicatie ben je alleen bekend via een pseudoniem. Pseudoniemen zijn, anders dan anonieme identiteiten, volgens de Wbp nog steeds persoonsgegevens. Persoonsgegevens die ‘slechts’ versleuteld zijn kunnen ook worden beschouwd als persoonsgegevens.
Een ander vraagstuk is het bepalen wie de verantwoordelijke en wie bewerker is. Gezien de hoeveelheid betrokken partijen op de blockchain is het belangrijk om na te gaan welke rol een partij speelt en in hoeverre ze zeggenschap hebben over de doelen waarvoor de persoonsgegevens worden gebruikt. Onder de nieuwe privacyverordening worden veel verplichtingen ook opgelegd aan de bewerker, zodat het voor deze partij nog belangrijker wordt om na te gaan welke rol hij speelt bij een blockchain applicatie.
Onder de privacyverordening worden deze vragen dus nog dringender. De verordening verplicht immers niet alleen meer maatregelen te nemen op het gebied van beveiliging en privacy, maar zorgt er ook voor dat individuen meer controle en zeggenschap krijgen over hun persoonsgegevens en identiteiten. Denk aan het recht om vergeten te worden, recht op dataportabiliteit en er wordt zelfs gesproken over ‘a right to an explanation’. Een stap verder zou zijn het toepassen van de blockchain technologie om personen meer controle te geven over hun persoonsgegevens. Zo zou de blockchain kunnen worden gebruikt om (het intrekken van) toestemming te registeren. ShoCard houdt zich bijvoorbeeld bezig met het verbinden van onze fysieke identiteiten aan de blockchain.
To the moon
De blockchain staat nog maar in de kinderschoenen en nu al zijn er potentieel revolutionaire toepassingen bedacht. Toepassingen, met ook een privacy component, zijn bijvoorbeeld gedistribueerde opslag in de cloud, een register voor landeigenaren of als notaris door de timestamp functionaliteit van de blockchain. Een brede belangstelling ervoor neemt als maar toe en de Europese Unie zal voorlopig in ieder geval hun handen van deze technologie houden. Waar we naar toe gaan is giswerk, maar er zijn mogelijkheden te over.
Next stop, the moon.