Hoofdstuk 11:
Juridische uitdagingen van blockchaintechnologie
en slimme contracten
1. Blockchain en de AVG
De AVG legt de basisregels vast waaraan iedereen die persoonlijke gegevens
verwerkt zich aan moet houden.
Er zijn ook nog andere Europese regels die specifiek van toepassing zijn op
bepaalde sectoren
Over de toepassing van de AVG bij het gebruik van blockchaintechnologie rijzen
nog heel wat vragen.
1.1. Toepassingsgebied van de AVG
Opdat de AVG van toepassing is, moet er sprake zijn van:
- Verwerking van persoonsgegevens
- Verwerkingsverantwoordelijke
1.1.1. Verwerking van persoonsgegevens
Verwerking
= art. 4(2) AVG
Verwerken is de bewerking met betrekking tot persoonsgegevens, al dan niet
uitgevoerd via geautomatiseerde procedés.
Verzamelen, vastleggen, ordenen, opslaan, bijwerken, wijzigen,
structureren,…
Persoonsgegevens
= art. 4(1) AVG
Persoonsgegevens zijn alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon
Identificeerbaar: natuurlijke persoon die direct of indirect kan worden
geïdentificeerd, aan de hand van een identificator (naam, locatiegegevens,
…) of elementen die kenmerkend zijn voor de fysieke, fysiologische,
genetische, psychische,… identiteit van die natuurlijke persoon
, De identificeerbaarheid van persoonsgegevens is een ruim begrip, dus enkel
anonimisatie volstaat om gegevens niet meer identificeerbaar te maken
(en dus buiten het toepassingsgebied te plaatsen).
De drempel voor anonimisatie is hoog -> het mag in geen enkel geval
mogelijk zijn om gegevens te herleiden tot natuurlijke personen
Gepseudonimiseerde gegevens vallen wel onder het
toepassingsgebied (zie definitie van pseudonimisering in art. 4(5) AVG)
In de blockchain zijn er 2 soorten data die mogelijk als persoonsgegevens kunnen
worden beschouwd:
1. Transactionele data
Opgeslagen in de blokken
Bevatten digitale identiteiten, financiële en medische gegevens
Versleutelde gegevens zijn ook persoonsgegevens, want
versleuteling = pseudonimisering en niet anonimisering
Onduidelijk of gehashte transactionele data als persoonsgegevens
kunnen beschouwd worden
Europees Comité voor Gegevensbescherming (EDPB) heeft
hierover nog geen standpunt ingenomen, maar wel al in
verschillende documenten verwezen naar de hashfunctie als
een vorm van pseudonimisering (omdat ze niet onomkeerbaar
zijn)
Voorganger (werkgroep 29) wel: hashfunctie pseudonimiseert,
maar anonimiseert niet
Een ervaren hacker kan de gegevens achterhalen, dus hashes
kunnen indirecte manieren bieden om persoonsgegevens te
identificeren -> categorie van persoonsgegevens
2. Publieke sleutels
Data die niet langer aan een specifieke persoon kan worden
toegeschreven, tenzij die gekoppeld wordt aan aanvullende
informatie
Lijkt niet geanonimiseerd te zijn: als de publieke sleutel gekoppeld
wordt aan die informatie, kunnen ze als een pseudonimisering
beschouwd worden
Koppeling van publieke sleutel met aanvullende informatie is op
verschillende manieren mogelijk
Academisch onderzoek: publieke sleutels kunnen worden herleid tot
IP-adressen en IP-adressen zijn persoonsgegevens
1.1.2. Verwerkingsverantwoordelijke
De AVG is gebaseerd op een gecentraliseerd model waarbij de
verwerkingsverantwoordelijke duidelijk aangewezen kan worden.
Verwerkingsverantwoordelijke = degene die het doel en de middelen van
verwerking bepaalt (art. 4.7 AVG)
Verwerker = degene die ten behoeve van de verwerkingsverantwoordelijke
de persoonsgegevens verwerkt (art. 4.8 AVG)
Juridische uitdagingen van blockchaintechnologie
en slimme contracten
1. Blockchain en de AVG
De AVG legt de basisregels vast waaraan iedereen die persoonlijke gegevens
verwerkt zich aan moet houden.
Er zijn ook nog andere Europese regels die specifiek van toepassing zijn op
bepaalde sectoren
Over de toepassing van de AVG bij het gebruik van blockchaintechnologie rijzen
nog heel wat vragen.
1.1. Toepassingsgebied van de AVG
Opdat de AVG van toepassing is, moet er sprake zijn van:
- Verwerking van persoonsgegevens
- Verwerkingsverantwoordelijke
1.1.1. Verwerking van persoonsgegevens
Verwerking
= art. 4(2) AVG
Verwerken is de bewerking met betrekking tot persoonsgegevens, al dan niet
uitgevoerd via geautomatiseerde procedés.
Verzamelen, vastleggen, ordenen, opslaan, bijwerken, wijzigen,
structureren,…
Persoonsgegevens
= art. 4(1) AVG
Persoonsgegevens zijn alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon
Identificeerbaar: natuurlijke persoon die direct of indirect kan worden
geïdentificeerd, aan de hand van een identificator (naam, locatiegegevens,
…) of elementen die kenmerkend zijn voor de fysieke, fysiologische,
genetische, psychische,… identiteit van die natuurlijke persoon
, De identificeerbaarheid van persoonsgegevens is een ruim begrip, dus enkel
anonimisatie volstaat om gegevens niet meer identificeerbaar te maken
(en dus buiten het toepassingsgebied te plaatsen).
De drempel voor anonimisatie is hoog -> het mag in geen enkel geval
mogelijk zijn om gegevens te herleiden tot natuurlijke personen
Gepseudonimiseerde gegevens vallen wel onder het
toepassingsgebied (zie definitie van pseudonimisering in art. 4(5) AVG)
In de blockchain zijn er 2 soorten data die mogelijk als persoonsgegevens kunnen
worden beschouwd:
1. Transactionele data
Opgeslagen in de blokken
Bevatten digitale identiteiten, financiële en medische gegevens
Versleutelde gegevens zijn ook persoonsgegevens, want
versleuteling = pseudonimisering en niet anonimisering
Onduidelijk of gehashte transactionele data als persoonsgegevens
kunnen beschouwd worden
Europees Comité voor Gegevensbescherming (EDPB) heeft
hierover nog geen standpunt ingenomen, maar wel al in
verschillende documenten verwezen naar de hashfunctie als
een vorm van pseudonimisering (omdat ze niet onomkeerbaar
zijn)
Voorganger (werkgroep 29) wel: hashfunctie pseudonimiseert,
maar anonimiseert niet
Een ervaren hacker kan de gegevens achterhalen, dus hashes
kunnen indirecte manieren bieden om persoonsgegevens te
identificeren -> categorie van persoonsgegevens
2. Publieke sleutels
Data die niet langer aan een specifieke persoon kan worden
toegeschreven, tenzij die gekoppeld wordt aan aanvullende
informatie
Lijkt niet geanonimiseerd te zijn: als de publieke sleutel gekoppeld
wordt aan die informatie, kunnen ze als een pseudonimisering
beschouwd worden
Koppeling van publieke sleutel met aanvullende informatie is op
verschillende manieren mogelijk
Academisch onderzoek: publieke sleutels kunnen worden herleid tot
IP-adressen en IP-adressen zijn persoonsgegevens
1.1.2. Verwerkingsverantwoordelijke
De AVG is gebaseerd op een gecentraliseerd model waarbij de
verwerkingsverantwoordelijke duidelijk aangewezen kan worden.
Verwerkingsverantwoordelijke = degene die het doel en de middelen van
verwerking bepaalt (art. 4.7 AVG)
Verwerker = degene die ten behoeve van de verwerkingsverantwoordelijke
de persoonsgegevens verwerkt (art. 4.8 AVG)
