Privacy en blockchain: wanneer is er voor wie privacywerk aan de winkel?

Auteur(s): Bron:
  • Tijdschrift voor Internetrecht, IR 2018, afl. 1, p. 4-11

Samenvatting

Blockchain is happening, zoveel is duidelijk.[1] In diverse media wordt aandacht besteed aan het onderwerp.[2] Ook in de juridische wereld begint het onderwerp te leven en hebben diverse auteurs juridische aspecten die spelen bij blockchain toepassingen beschreven.[3] Gezien de aard van blockchain zijn hier met name ook de privacyrechtelijke aspecten van belang. Blockchain is eigenlijk niet meer dan een nieuwe methode om gegevens met diverse partijen uit te wisselen, aan te passen en op te slaan. Wanneer het hier (ook) om persoonsgegevens gaat, is de privacycomponent evident. Maar wat houdt dat in? Wanneer moet welke partij dan voldoen aan de Europese privacyregels? Voor die beoordeling zijn twee kernaspecten van belang: of het verwerking van persoonsgegevens betreft, en wie daarvoor de verantwoordelijke is in de zin van de privacyregels. Als sprake is van verwerking van persoonsgegevens, en duidelijk is wie de relevante verantwoordelijke(n) is/zijn, kan worden bepaald welke privacyverplichtingen van toepassing zijn. Dit tweede aspect - verantwoordelijkheid - komt aan bod, nadat eerst een verdere omschrijving van blockchain is gegeven en kort is ingegaan op de toepasselijkheid van de Europese privacyregels.

1 Blockchain

‘Blockchain’ is momenteel dus een veelgebruikte term in de media. Maar wat houdt die term in? De term Googelen biedt weinig verheldering. Zo noemt een algemene bron (NOS) het een ‘openbaar online register van transacties, dat iedereen kan bekijken’.[4] Een wellicht meer specialistische bron (een site die speciaal aan blockchain is gewijd), legt uit dat het ‘een lijst met gegevens’ betreft ‘waarbij iedereen die meedoet een exacte kopie van die lijst krijgt en kan zien wat er in staat’.[5] Maar niet alle blockchains zijn publiek toegankelijk, en niet bij iedere blockchain beschikken alle deelnemers over ‘een kopie’ van alle gegevens.[6] Veiliger is dan om te stellen dat het een versleuteltechniek betreft die niet eens echt nieuw is, maar een samenraapsel van diverse reeds bestaande technologieën.[7] Ook dat schept echter weinig duidelijkheid. Verwarring over wat blockchain is, ontstaat met name wanneer bij een beschrijving hiervan niet duidelijk is of het karakteristieken van blockchain in het algemeen betreft, of van een bepaalde toepassing van blockchain. Om deze valkuil te vermijden zal ik eerst alleen het bekendste voorbeeld van een toepassing van blockchain kort omschrijven - BitCoin - en daarna aangegeven op welke punten andere blockchaintoepassingen kunnen afwijken.[8]

1.1 Bitcoin

Bitcoin is de naam van zowel een vorm van elektronisch geld, als van de achterliggende blockchain toepassing.[9] De Bitcoin blockchain wordt ook wel vergeleken met een virtueel grootboek waarin de Bitcoin transacties worden bijgehouden. Dit 'bijhouden' gebeurt via informatieblokken die aan de 'blokkenketting' worden toegevoegd (zie af beelding bovenaan deze pagina).

Iedere deelnemer aan het Bitcoin netwerk - elke node - beschikt over een eigen kopie van de in deze blockchain opgeslagen transactielijst. Het is een decentraal gedistribueerd netwerk. Doordat de gegevens niet op één punt onder de zeggenschap van één partij zijn opgeslagen, bestaat geen single point of faillure. Deelname aan het netwerk is vrij: iedereen kan via internet deelnemen; het is een publieke blockchain. Sterker nog, de integriteit van het systeem is onder meer juist gebaseerd op het concept dat iedereen kan meekijken en dat blocks alleen worden toegevoegd en niet verwijderd. Dit maakt het systeem transparant en controleerbaar. De basiscomponent die de integriteit waarborgt, is gebaseerd op de regels waaronder nieuwe blocks aan de blockchain worden toegevoegd. Dit gebeurt aan de hand van een rekenpuzzel, die door miners wordt opgelost (proof of work). Deze miners stellen rekenkracht ter beschikking voor het valideren van transacties met bestaande Bitcoins. In ruil daarvoor kunnen ze nieuwe Bitcoins krijgen. Op die manier is bij gegevensuitwisseling via blockchain niet altijd een trusted third party nodig. Blockchain kan het mogelijk maken to cut out the middleman. Zo is bij Bitcoin geen bank betrokken (zie afbeelding).

laan blockchain plaatje opslag

Maar waarom zijn dan juist de banken zo enthousiast over blockchain? Dit komt doordat de blockchain van Bitcoin op allerlei manieren kan worden aangepast, waarbij ook een trusted third party zoals een bank geherintroduceerd kan worden. Alhoewel blockchain kan worden gebruikt om een trus-ted third party ertussenuit te knippen, wordt dit voorkomen wanneer dergelijke trusted third parties blockchains ontwikkelen waarin zij zelf nog steeds als trusted third party deelnemen. De verwachting is dat dergelijke blockchains de meeste commerciële toepassingsvormen zullen domineren.[10] Naar aanleiding van Bitcoin zijn veel nieuwe blockchains ontwikkeld, die deels dezelfde eigenschappen vertonen, maar deels ook niet.[11] Om begripsverwarring te voorkomen, is het van belang om onderscheid te maken tussen karakteristieken van een bepaalde blockchain die kunnen variëren bij andere blockchain toepassingen (variabele eigenschappen blockchain) en karakteristieken van blockchain toepassingen in het algemeen (niet-variabele eigenschappen blockchain).

1.2 Niet-variabele eigenschappen blockchain

Een niet-variabele eigenschap is in de eerste plaats het kenmerk dat gegevens in een blockchain via nodes gedistribueerd worden opgeslagen. In de tweede plaats gebeurt het veranderen van informatie in de blockchain altijd via nieuwe blocks die via het ‘append-only’-mechanisme worden toegevoegd.[12] Dit houdt in dat een block alleen aan het einde van een ‘blockenketting’ kan worden toegevoegd. Het veranderen van informatie is in die zin slechts beperkt mogelijk: in principe blijven de oudere blocks altijd de vroegere status quo bevatten.[13] Wanneer abusievelijk een verkeerde transactie is uitgevoerd, kan deze in principe niet letterlijk ongedaan worden gemaakt door desbetreffend block te wissen, maar kunnen de gevolgen hiervan via een nieuwe block wel ongedaan worden gemaakt.

1.3 Variabele eigenschappen blockchain

Van veel van de andere karakteristieken van de Bitcoin blockchain kan wel worden afgeweken, waarvan enkele voorbeelden volgen.[14] Zo is het in de eerste plaats niet noodzakelijk dat het netwerk publiek is. Afgesproken kan worden dat alleen bepaalde partijen aan het netwerk mogen deelnemen (public vs. private blockchain). In de tweede plaats kan worden bepaald dat niet elke deelnemer dezelfde rechten heeft (permissioned vs. non-permissioned). Aan bepaalde partijen, zoals een deelnemende bank, kunnen dan extra rechten worden toegekend. Dit kan samenhangen met het validatiemechanisme voor toevoegen van nieuwe blocks dat kan variëren. Denk hier onder meer aan het gebruik maken van proof of work in combinatie met proof of stake.[15]

Verder staat niet vast dat de gegevensuitwisseling via een blockchain netwerk over het internet, dus een openbaar netwerk, hoeft te verlopen. Bij een private blockchain kan een niet-openbaar netwerk, meer voor de hand liggen. Daarnaast kan ook of, en de manier waarop de gegevens worden versleuteld variëren, en op welke wijze wat voor gegevens via de blockchain worden verwerkt. Via versleuteling kunnen bepaalde gegevens alleen voor bepaalde personen toegankelijk - in de zin van 'ontsleutelbaar' - worden gemaakt. Dit kan noodzakelijk zijn vanuit privacyperspectief.[16] En dat is van belang, want privacy kan één van de grootste uitdagingen vormen bij het waarborgen van compliance bij blokchain toepassingen.[17] De principes van transparantie en incorruptibility - waaronder het aspect dat alle wijzigingen in de blockchain worden vastgelegd en zijn terug te zien en dat in principe geen wijzigingen mogelijk zijn - maken privacy een punt van zorg.[18]

2 Europese privacyregels

Partijen die betrokken zijn bij een blockchain, dienen zich bewust te zijn van het privacyrechtelijk kader. Daarbij geldt dat als de blockchain zich (onder meer) richt op Nederland en/of een andere lidstaat, de Europese privacyregels al snel van toepassing zullen zijn. Onder richtlijn 95/46/EU (in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (hierna: Wbp)) komt dit - voor verantwoordelijken met een vestiging in Europa - doordat het verrichten van verwerkingshandelingen in het kader van de activiteiten van een vestiging op het grondgebied van een lidstaat, ruim moet worden geïnterpreteerd. Zij moeten reeds voldoen aan de privacyregels van desbetreffende lidstaat wanneer de activiteiten in deze lidstaat onlosmakelijk verbonden zijn met de persoonsgegevensverwerking die zij verrichten.[19] Waar de persoonsgegevensverwerking zelf plaatsvindt, maakt daarbij niet uit. Voor verantwoordelijken zonder vestiging in de EU, komt dit doordat het gebruikmaken van middelen in een lidstaat ook ruim moet worden geïnterpreteerd.[20]

laan blockchain plaatje stroomschema

Per 25 mei 2018 wordt richtlijn 95/46/EU vervangen door de Algemene Verordening Gegevensbescherming (hierna: AVG), die dan direct van toepassing is. Alhoewel de jurisdictieregels in de AVG anders zijn verwoord, lijkt het in elk geval niet de bedoeling te zijn geweest om het territoriaal toepassingsgebied te beperken.[21] Hier zal onder meer het criterium van ‘aanbieden van goederen en diensten aan betrokkenen in de EU’ ertoe leiden dat bij blockchains die zich (mede) richten op landen binnen de EU, in principe aan de Europese privacyregels moet worden voldaan.[22] 

Om te bepalen of de Europese privacyregels inderdaad gelden, zijn bovenstaande vragen uit het stroomschema van belang. Twee van de kernbegrippen die daarbij een rol spelen zijn (i) persoonsgegevens en (ii) de verwerkingsverantwoordelijke (hierna kortweg: verantwoordelijke) en de mate van diens verantwoordelijkheid. In navolgende zal de betekenis van dit tweede begrip - verantwoordelijke - voor blockchaintoepassingen worden uitgediept.

3 De verantwoordelijke

De verantwoordelijke is de partij die het doel van en de middelen voor een verwerking vaststelt. De Artikel 29 Werkgroep heeft daarbij verduidelijkt dat ‘de middelen’ hier niet te beperkt moet worden uitgelegd en niet alleen ziet op de technische middelen voor de verwerking.23 Ook het ‘hoe’ van de verwerking valt hieronder, zoals bepaling van wat voor soort persoonsgegevens worden verwerkt, en wie daartoe toegang heeft. Bij blockchain zijn daarbij in het blockchainnetwerk meerdere partijen betrokken, alhoewel niet altijd elke partij evenveel te zeggen heeft. Zo zal bij een private blockchain van een bank de verantwoordelijkheid anders zijn verdeeld dan het geval is voor de publieke Bitcoin. De mogelijkheid van meervoudige verantwoordelijkheid is in dit kader relevant, en de diverse varianten die we daarbinnen onderscheiden.

3.1 Soorten verantwoordelijkheid

De Artikel 29 Werkgroep geeft aan dat er talloze vormen van meervoudige verantwoordelijkheid denkbaar zijn, en dat het daarom niet mogelijk is een limitatieve lijst hiervan te geven.24 Wel geeft zij aan de hand van voorbeelden enkele weergaven van verschillende soorten verdeling van verantwoordelijkheid.

De Nederlandse wetgever stond hier indertijd iets slagvaardiger in. In Nederland kennen we drie (hoofd)vormen van meervoudige verantwoordelijkheid.[25] Bij de eerste variant wordt een gemeenschappelijke verantwoordelijke aangewezen uit de groep verantwoordelijken. Deze gemeenschappelijke verantwoordelijke is voor externe partijen het enige aanspreekpunt. In de interne relatie tussen de groep verantwoordelijken behoudt iedere partij echter haar eigen verantwoordelijkheid, bijvoorbeeld wat betreft de juistheid van de door hem/haar aangeleverde gegevens. De Artikel 29 Werkgroep noemt deze mogelijkheid niet. Wel geeft zij aan dat de situatie kan bestaan dat een verantwoordelijke niet zelf aan diens verplichtingen kan voldoen en dat in dat geval deze verplichtingen mogelijk in de praktijk kunnen worden vervuld door een andere partij die soms dichter bij de betrokkenen staat.[26] Wellicht raakt dit aan wat wij in Nederland kennen als de vorm van een ‘gemeenschappelijke verantwoordelijke’. Voor blockchain zou dat praktisch zijn, aangezien deze variant - zoals later aan de orde komt - in deze context veel voordelen biedt. Wel maakt de Artikel 29 Werkgroep nog duidelijk dat het niet mogelijk is om zomaar iemand aan te wijzen. De aanstelling van een verantwoordelijke is nietig als deze partij geen enkele juridische of feitelijke invloed heeft op de verwerking.[27]

De tweede Nederlandse vorm wordt door Thole e.a. ook wel geduid als gedifferentieerde verantwoordelijkheid.[28] Bij deze vorm blijven de diverse verantwoordelijken ook extern elk aansprakelijk voor hun eigen (deel)verwerkingen. Dit doet denken aan een onderscheid dat de Artikel 29 Werkgroep maakt. Zij onderscheidt differentiatie in verantwoordelijkheid bij aaneengeschakelde fases van persoonsgegevensverwerking (Pietje is verantwoordelijke voor fase 1; Puck voor fase 2) en de herkomst gebaseerde benadering waarbij iedere partij verantwoordelijk is voor de door haar ingebrachte gegevens.[29] Ook deze vorm kan voor blockchaintoepassingen relevant zijn. Bijvoorbeeld voor het geval waarbij in een private blockchain niet alle participanten (onversleuteld) toegang krijgen tot de gehele blockchain. Dan lijkt het niet redelijk dat zij ook voor dit deel verantwoordelijk worden gehouden. De derde Nederlandse vorm betreft de vorm van gezamenlijke verantwoordelijkheid. Deze benaming kan verwarrend zijn, aangezien de Artikel 29 Werkgroep alle vormen van meervoudige verantwoordelijkheid aanduidt als gezamenlijke verantwoordelijkheid.[30] In deze publicatie wordt als overkoepelende term daarom ‘meervoudige verantwoordelijkheid’ gebruikt. In Nederland betreft gezamenlijke verantwoordelijkheid de situatie waarbij de gegevensverwerking van de diverse betrokken verantwoordelijken dermate geintegreerd is, dat niet langer van gedifferentieerde verantwoordelijkheid kan worden gesproken. Bij afwezigheid van een gemeenschappelijke verantwoordelijke, is dan sprake van gezamenlijke verantwoordelijkheid, waarbij iedereen aansprakelijk is voor het geheel van gegevensverwerkingen. Dit is (vergelijkbaar met) wat de Artikel 29 Werkgroep volledige gezamenlijke verantwoordelijkheid noemt.[31] Deze vorm van verantwoordelijkheid is relevant voor blockchaintoepassingen waarbij de verwerkingshandelingen dermate geïntegreerd zijn dat geen sprake is van gedifferentieerde verantwoordelijkheid, en waarbij geen gemeenschappelijke verantwoordelijke is aangewezen.

3.2 Soorten verantwoordelijkheid bij blockchain partijen

Voor service platforms voor het hosten van gegevens die via verschillende apparaten worden verzameld, teneinde het beheer hiervan te centraliseren en vergemakkelijken, heeft de Artikel 29 Werkgroep bepaald dat een dergelijk platform zelf als verantwoordelijke kan worden aangemerkt.[32] Wat daar de praktische implicaties van zijn laat zij echter in het midden. In het kader van blockchain en de diverse partijen die daar betrokken zijn bij de gegevensverwerking, lijkt het mij daarom in het algemeen zinvoller voor elk van deze partijen te bepalen of en - zo ja - in hoeverre zij verantwoordelijke in de zin van de privacyregels zijn.

De gepaste vorm van meervoudige verantwoordelijkheid zal, zoals gezegd, af hangen van de toepassingsvorm van een blockchain. Daarbij kan bijvoorbeeld worden aangehaakt bij Service Level Agreements en conventionele vergelijkbare gevallen.[33] Zo kan het zijn dat de verdeling van verantwoordelijkheid voor een private blockchain in de financiële sector, niet veel verschilt van de verdeling van verantwoordelijkheid bij een vergelijkbare software-as-a-service (SaaS) system. Wel kan ook iets in algemene zin worden gezegd over verdeling van verantwoordelijkheid bij blockchain en over de ‘pijnpunten’ bij meervoudige verantwoordelijkheid voor vier hoofdspelers bij blockchain: de blockchain ontwikkelaars, de blockchain aanbieders, de geprivilegieerde deelnemers aan een blockchain netwerk en de blockchain betrokkenen. Overigens zullen niet alle blockchains met alle vier deze partijen te maken hebben, en kan tussen deze partijen onderling overlap bestaan.

In haar opinie over betrouwbare computerplatforms, stelt de Artikel 29 Werkgroep dat de partijen die de technische specificaties ontwerpen en degenen die toepassingen of besturingssystemen ontwikkelen en toepassen, verantwoordelijk zijn voor de aspecten van de gegevensbescherming, zij het op verschillende niveaus.[34] Daarbij geldt dat de oorspronkelijke verantwoordelijke enige verantwoordelijkheid kan behouden wanneer een nieuwe verwerking kan plaatsvinden als gevolg van ontoereikende beveiligingsmaatregelen.[35] Onder omstandigheden zouden blockchain ontwikkelaars aldus aansprakelijk kunnen worden gehouden voor bijvoorbeeld beveiligingsincidenten die mede het gevolg zijn van initiële ontoereikende beveiligingsmaatregelen. Of dat in de praktijk zo'n vaart zal lopen voor blockchain ontwikkelaars die niets van doen hebben met de implementatie van een blockchain, en zodoende ook niet met de persoonsgegevensverwerking in dat kader, valt nog te bezien. Zo koppelt de Artikel 29 Werkgroep de verantwoordelijkheid voor ontwikkelaars van een gegevensverwerkingstoepassing in een ander advies weer heel duidelijk aan het vereiste dat een dergelijke partij ook toegang heeft tot de persoonsgegevens.[36]

De partij die een toepassing waarmee persoonsgegevens worden verwerkt in de handel brengt en exploiteert is eveneens in zekere mate verantwoordelijk.[37] Voor zover een blockchain als een dergelijke toepassing kan worden gezien, komt ook de blockchain aanbieder daarmee een zekere verantwoordelijkheid toe.

De personen die deelnemen aan een blockchain maar over wie ook persoonsgegevens worden verwerkt, vallen onder de uitzondering voor huishoudens van Richtlijn 95/46/EU als zij de gegevens uitsluitend verwerken voor persoonlijke of huishoudelijke doeleinden. In de praktijk dient deze uitzondering echter beperkt te worden opgevat, en zullen blockchain betrokkenen zich hier niet snel op kunnen beroepen. Dit volgt in de eerste plaats uit rechtspraak van het Europese Hof van Justitie op dit vlak.[38] Wanneer persoonsgegevens worden doorgegeven aan een onbepaald aantal personen, valt dit niet onder de uitzondering. Ook de Artikel 29 Werkgroep lijkt deze lijn aan te houden. In het kader van social media beperkt de Artikel 29 Werkgroep zich eerst nog tot stating the obvious: ‘De vrijstelling geldt niet wanneer een gebruiker van sociale netwerkdiensten namens een bedrijf of organisatie optreedt of de diensten gebruikt voor commerciële, politieke of charitatieve doeleinden.’[39] Een paar zinnen verderop geeft zij echter wel aan dat een groot aantal contactpersonen al een indicator kan zijn dat de vrijstelling niet van toepassing is. En sterker nog, als iemand ‘er weloverwogen voor kiest’ toegang te verlenen aan personen buiten de kring van zelfgekozen 'vrienden', is deze persoon ook verantwoordelijke.[40] Maar hoe werkt dat in een blockchain? In een blockchain waarbij iedereen toegang heeft tot de volledige chain, lijken ook de betrokkenen zelf daarmee verantwoordelijken. In hoeverre dit anders is in private blockchains met differentiatie in (onversleutelde) toegang, is de vraag. Dat de betrokkenen niet per definitie home free zijn (met andere woorden dat zij niet per definitie onder de uitzondering van persoonsgegevensverwerking voor persoonlijke of huishoudelijke doeleinden vallen), lijkt te volgen uit de opinie over the Internet of Things. Daarin heeft de Artikel 29 Werkgroep aangegeven dat deze uitzondering slechts beperkt bruikbaar zal zijn voor de betrokkenen, nu de gegevens vaak worden doorgegeven aan meerdere partijen en daarmee niet louter voor persoonlijke of huishoudelijke doeleinden worden gebruikt.[41] Dit zal naar analogie ook vaak gelden voor de gegevensuitwisseling binnen een blockchainnetwerk.

Wel kan het zijn dat de verantwoordelijkheid van de betrokkenen in een blockchainnetwerk zeer beperkt is. Bijvoorbeeld omdat zij in vergelijking tot andere geprivilegieerde blockchain deelnemers aan het netwerk, zeer beperkte rechten en mogelijkheden hebben. Denk hier bijvoorbeeld aan een private blockchain die is opgezet door één of meerdere verzekeraars waaraan ook de verzekerden zelf deelnemen. Het ligt hier voor de hand dat de rechten en mogelijkheden van de verzekerden door de verzekeraar(s) dermate zijn beknot, dat zij niet of nauwelijks nog als verantwoordelijken kwalificeren (voor zover dat anderszins wel het geval was).

3.3 Mogelijkheid van geen verantwoordelijke

In algemene zin rijst in het kader van blokchain nog weleens de vraag of het mogelijk is dat géén partij verantwoordelijk is voor de verwerkingen in het blockchain netwerk.[42] Deze vraag speelt met name in het kader van publieke netwerken, waaraan iedereen kan deelnemen en zonder dat aan bepaalde deelnemers een geprivilegieerde positie wordt toegekend. Als hier geen gemeenschappelijke verantwoordelijke is aangewezen, lijkt sprake van gezamenlijke verantwoordelijkheid. Eén participant op zich kan in dat geval het systeem niet veranderen. Het lijkt daarom wellicht irreëel om in dat geval elk van de bijvoorbeeld 10.000 deelnemers verantwoordelijk te houden voor het geheel. Toch heeft dat - of een andere wijze van allocatie van verantwoordelijkheid - in mijn ogen de voorkeur boven de 'optie' dat geen partij verantwoordelijk is. Volgens mij volgt uit het systeem van de wet dat het niet mogelijk is dat geen verantwoordelijke voor de persoonsgegevensverwerking bestaat. Voor Nederland heeft de wetgever dit duidelijk bepaald. Als de juridische zeggenschap onduidelijk is, of als er geen regeling is op grond waarvan een bepaalde persoon verantwoordelijk kan worden gehouden, moet middels een functionele invulling van het begrip verantwoordelijke worden voorkomen dat burgers hiervan de dupe worden.[43] De verwerking dient in dat geval te worden toegerekend aan de hand van ‘in het maatschappelijk verkeer geldende maatstaven’. Dit geeft misschien weinig richting, maar het maakt wel duidelijk dat een interpretatie van de wet waarbij geen verantwoordelijke bestaat voor een persoonsgegevensverwerking moet worden voorkomen.

De Artikel 29 Werkgroep lijkt dezelfde lijn te volgen, maar is daarin minder duidelijk. Enerzijds stelt zij dat het risico bestaat dat de privacyregelgeving een dode letter blijft ‘bijvoorbeeld wanneer niemand verantwoordelijk is of er juist heel veel mogelijke verantwoordelijken zijn’. Hieruit lijkt te volgen dat de mogelijkheid bestaat dat geen partij verantwoordelijk is voor een gegevensverwerking. Ook het feit dat de Werkgroep een risico op lacunes ontwaart bij complexe gegevensverwerkingsomgevingen waarbij meerdere verantwoordelijken zijn betrokken, duidt erop dat het niet goed regelen van de privacyrollen bij een blockchain in het voordeel van de verantwoordelijken (en nadeel van de relevante betrokkenen) uit kan pakken.[44] Maar dit kan ook alleen duiden op het praktisch effect van dat in die situaties geen partij duidelijk als verantwoordelijke fungeert, waardoor betrokkenen de facto hun rechten minder goed kunnen uitoefenen. Deze laatste interpretatie is in lijn met dat de werkgroep stelt dat het feit dat een partij niet rechtstreeks alle verplichtingen van verantwoordelijke kan nakomen niet uitsluit dat deze partij toch als verantwoordelijke kwalificeert. Daarbij lijkt zij te stellen dat wanneer geen differentiatie/duidelijke belegging van verantwoordelijkheid is aangebracht, sprake is van (volledige) gemeenschappelijke verantwoordelijkheid.[45] Deze interpretatie is ook meer in lijn met de algemene strekking van de opinie van de Artikel 29 Werkgroep, dat verantwoordelijkheden op dusdanige wijze moeten worden belegd dat naleving van de privacyregels in de praktijk voldoende is gewaarborgd.[46] Wanneer de betrokken partijen de verantwoordelijkheden niet duidelijk of effectief hebben belegd, kan dit erin resulteren dat gezamenlijke en hoofdelijke aansprakelijkheid voor alle betrokken partijen moet worden aangenomen.[47]

Om onwelkome verassingen ten aanzien van de verdeling der verantwoordelijkheid te voorkomen, kunnen blockchain partijen dus beter (vooraf) helder de verdeling van verantwoordelijkheden in kaart brengen. Gedifferentieerde verantwoordelijkheid zal dan voor veel partijen de meest logische keuze lijken, omdat partijen daarbij simpelweg verantwoordelijk blijven voor hun eigen inbreng in de gegevensverwerking. Toch zal dit bij blockchain niet altijd een reële keuzemogelijkheid zijn, omdat moet worden gewaarborgd dat voor betrokkenen duidelijk is bij wie zij terecht kunnen. Wanneer dit niet meer het geval is wegens een groot aantal betrokken verantwoordelijken, kan dit erin resulteren dat de volledige verwerking onrechtmatig is vanwege een gebrek aan transparantie waarmee inbreuk wordt gemaakt op het beginsel van eerlijke verwerking.[48] Wanneer te veel van de bij een blockchain betrokken partijen als verantwoordelijke kwalificeren - bijvoorbeeld in geval van een publieke blockchain - zal daarom wellicht een gemeenschappelijke verantwoordelijke moeten worden aangewezen.

4 Afsluiting

Uit voorgaande volgt dat de verdeling en bepaling van verantwoordelijkheid bij een blockchain, een complexe aangelegenheid kan zijn. Toch is dit geen reden om aan te nemen dat de regels daarom maar zouden moeten worden aangepast. In de discussie daarover in het kader van big data en of de privacyregels de innovatie op dit gebied zouden belemmeren, heeft de Artikel 29 Werkgroep bepaald dat de privacyregels onverkort van toepassing zijn en dat zij geen aanleiding ziet voor aanpassing daarvan.[49]

Wat betreft problemen voor privacy compliance bij blockchain zal dit standpunt waarschijnlijk niet anders zijn. Vraag is wel in hoeverre een en ander nog geldt per 25 mei 2018 onder de AVG.

Onder de AVG zullen de opinies van de Artikel 29 Werkgroep over verantwoordelijkheid vermoedelijk relevant blijven, nu de definities van verantwoordelijke onder richtlijn 95/46/EU en de AVG niet veel van elkaar verschillen.[50] Daarbij wordt ook in de AVG het belang benadrukt om de verantwoordelijkheden duidelijk te beleggen.[51] Voor zover het onder het huidig recht voor de verantwoordelijke zou kunnen 'lonen' om de verantwoordelijkheid voor een persoonsgegevensverwerking niet duidelijk te beleggen, is dit met de AVG per definitie niet meer het geval. Onder de AVG geldt een omkering van de bewijslast wat betreft de aansprakelijkheid van een verantwoordelijke voor een gegevensverwerking. Zij is slechts vrijgesteld van aansprakelijkheid als zij bewijst dat zij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.[52] In aanvulling daarop geldt ook nog dat de verantwoordelijke voor de gehele schade aansprakelijk kan worden gehouden - dus ook schade die mogelijkerwijs door andere betrokken partijen is veroorzaakt - om te waarborgen dat de betrokkene diens schade vergoed krijgt.[53] Dit is in lijn met het eerder geformuleerde standpunt van de Artikel 29 Werkgroep.[54] Wel kan deze verantwoordelijke of bewerker vervolgens eventueel regresvorderingen instellen jegens deze andere betrokken partijen.[55] Aldus wordt het onder de AVG voor de (mogelijk) verantwoordelijken voor een blockchain nóg belangrijker om de verantwoordelijkheden vooraf goed te beleggen.

5 Eindnoten

1. Vonne Laan is advocaat bij Van Doorne en maakt daar deel uit van het Privacy en het Blockchain team. Met dank aan Elisabeth Thole (partner privacyrecht bij Van Doorne) en Olivier Rikken (Manager Digital Disruption, Blockchain en BPM bij AXVECO) voor hun commentaar op een eerdere versie van dit artikel.

2. Zie bijvoorbeeld K. Broekhuizen, ‘Blockchain gaat doorbreken in 2017’ , FD 27 oktober 2016; W. van Noort, ‘Blockchain: vertrouwen via een app’, NRC Handelsblad 2 april 2016; en L. Verhagen, ‘Met blockchain de administratieve moerassen uit’, Volkskrant 18 februari 2017.

3. Zie onder meer J. Linnemann, ‘Juridische aspecten van (toepassingen van) blockchain’, Computerrecht 2016/218; en E. Tjong Tjin Tai, ‘Smart contracts en het recht’, NJB 2017/146 en E.W. Verhelst, ‘Blockchain aan de ketting van de Algemene Verordening Gegegevensbescherming?’, Privacy & Informat ie 2017/1. Zie ook mijn eerdere meer algemene publicatie over privacy-aspecten bij blockchain: ‘Privacy, security and blockchain: What privacy aspects should you take into regard when applying blockchain technology?’, Van Doorne 25 oktober 2016, beschikbaar via: www. vandoorne.com/kennisdeling/Publicaties/2016_q4/ privacy-security-and-blockchain/.

4. http://nos.nl/nieuwsuur/ar tikel/2119126 -blockchain-technologie-is-grootste-innovatie-sinds-internet.html.

5. http://www.watisblockchain.nl/wat_is_blockchain. php.

6. Zie bijvoorbeeld over het onderscheid tussen zogeheten full nodes en lighweightt nodes deze webpagina: https://en.bitcoin.it/wiki/Full_node.

7. https://fd.nl/ondernemen/1185995/populariteitswedstrijd-voor-start-ups-in-blockchain.

8. Zie voor een uitgebreidere omschrijving van blockchain onder meer J. Linnemann, ‘Juridische aspecten van (toepassingen van) blockchain’, Computerrecht 2016/218; en E. Tjong Tjin Tai, ‘Smart contracts en het recht’, NJB 2017/146.

9. Zie voor meer uitleg over Bitcoin bijvoorbeeld: A. Narayanan e.a., Bitcoin and Cryptocurrency Technologies, Princeton University Press: augustus 2016 (concept versie gratis beschikbaar); P. Prypto, Bitcoin for dummies, John Wiley & Sons Inc: april 2016; www. bitcoin-wiki.nl; en de originele white paper: S. Nakamoto, Bitcoin: A Peer-to-Peer Electronic Cash System.

10. Goldman Sachs, Blockchain: Putt ing Theory into Pract ice, 24 mei 2016, p. 10.

11. Zie voor een overzicht hiervan bijvoorbeeld UK Government Chief Scientific Adviser, Distributed Ledger Technology: beyond block chain, december 2015.

12. Overigens is het discutabel in hoeverre het ‘append only’-mechanisme een niet variabele eigenschap is/ blijft. Accenture ontwikkelt een blockchain waarbij bestaande blokken toch kunnen worden aangepast, bijvoorbeeld in geval van typfouten. Zie hierover bijvoorbeeld M. Arnold, ‘Accenture to unveil blockchain editing technique ‘, Financial Times 19 september 2016.

13. Een kritiek punt is in hoeverre een blockchain echt incorrupt ible is. Het idee is dat alleen blocks kunnen worden toegevoegd, maar dit kan anders lopen wanneer in een consensus-meerderheidsmodel, de meerderheid van de deelnemers toch wijzigingen ‘met terugwerkende kracht’ wil aanbrengen. In dat geval kan een zogeheten hard fork plaatsvinden, waarbij een deel van het netwerk afsplitst (er ontstaat een fork) en doorgaat met een aangepaste blockchain, en een deel niet. Zie hierover bijvoorbeeld: https:// tweakers.net/reviews/4437/5/the-dao-blockchainsen-ethereum-waarom-veranderden-ze-de-code-danniet.html. Zie voor andere voorbeelden hiervan Open Data Institute, Applying blockchain technology in global data infrastructure, 2016.

14. Hoewel het discutabel is in hoeverre bij bepaalde aanpassingen nog gesproken kan worden van een blockchain, zal ik hier ook al deze varianten blockchains noemen.

15. Zie over proof of work en proof of stake en het onderscheid daartussen bijvoorbeeld: https://en.bitcoin.it/wiki/Proof_of_work en https://en.bitcoin.it/wiki/ Proof_of_Stake.

16. European Securities and Markets Authority, The Distributed Ledger Technology Applied to Securit ies Markets, 2 juni 2016, p. 16.

17. Goldman Sachs, Blockchain: Putt ing Theory into Pract ice, 24 mei 2016, p. 23.

18. Open Data Institute, Applying blockchain technology in global data infrastructure, 2016, p. 16.

19. Richtlijn 1995/46/EU, art. 4, lid 1, sub a; Artikel 29 Werkgroep, Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain (WP 179), goedgekeurd op 16 december 2015, p. 7; HvJ EU 13 mei 2014, C-131/12 (Google Spain), r.o. 54-55.

20. Richtlijn 1995/46/EU, art. 1, sub c; Artikel 29 Werkgroep, Advies 8/2010 over toepasselijk recht (WP 179), goedgekeurd op 16 december 2010, p. 23-26.

21. Zie voor een meer algemene benadering van de implicaties van de AVG voor blockchain onder meer: M. Bolt, ‘Nieuw tijdperk met blockchain, Overheidsdocumentat ie 2016(8); en E.W. Verhelst, ‘Blockchain aan de ketting van de Algemene Verordening Gegegevensbescherming?’, Privacy & Informat ie 2017/1.

22. Verordening (EU) 2016/679, art. 3, lid 2, sub a en considerans 23.

23. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 16.

24. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 21.

25. Kamerstukken II 1997/98, 25892, nr. 3 p. 58 (MvT).

26. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 25.

27. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 14.

28. E.P.M. Thole, F.C. van der Jagt, & H.W. Roerdink, 50 vragen over privacy, Deventer: Kluwer 2010, p. 35.

29. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 23-25 e.v.

30. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 21.

31. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 25.

32. Artikel 29 Werkgroep, Advies 8/2014 over de recente ontwikkelingen op het gebied van het internet van de dingen (WP 223), goedgekeurd op 16 september 2014, p. 15.

33. The UK Government Chief Scientific Adviser, Distributed Ledger Technology: beyond block chain, december 2015, p. 44.

34. Artikel 29 Werkgroep, Werkdocument over betrouwbare computerplatforms (trusted computing platforms) en met name over de activiteiten van de Trusted Computing Group (TCG) (WP 86), Goedgekeurd op 23 januari 2004, p. 5.

35. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 19.

36. Artikel 29 Werkgroep, Advies 8/2014 over de recente ontwikkelingen op het gebied van het internet van de dingen (WP 223), goedgekeurd op 16 september 2014, p. 13-14.

37. Artikel 29 Werkgroep, Werkdocument over betrouwbare computerplatforms (trusted comput ing platforms) en met name over de act iviteiten van de Trusted Comput ing Group (TCG) (WP 86), goedgekeurd op 23 januari 2004, p. 5.

38. HvJ EU 16 december 2008, C73/07 (Satamedia) r.o. 44 en HvJ EU 6 november 2003, C-101/01 (Lindqvist), r.o. 47.

39. Artikel 29 Werkgroep, Advies 5/2009 over online sociale netwerken (WP 163), goedgekeurd op 12 juni 2009, p. 6.

40. Artikel 29 Werkgroep, Advies 5/2009 over online sociale netwerken (WP 163), goedgekeurd op 12 juni 2009, p. 7.

41. Artikel 29 Werkgroep, Advies 8/2014 over de recente ontwikkelingen op het gebied van het internet van de dingen (WP 223), goedgekeurd op 16 september 2014, p. 15.

42. Zie in die zin bijvoorbeeld E.W. Verhelst, ‘Blockchain aan de ketting van de Algemene Verordening Gegegevensbescherming?’, Privacy & Informat ie 2017/1, p. 20.

43. Kamerstukken II 1997/98, 25892, nr. 3 p. 57 (MvT).

44. Artikel 29 Werkgroep, Advies 05/2012 over cloud comput ing (WP 196), goedgekeurd op 1 juli 2012, p. 10. Zie in die zin ook Artikel 29 Werkgroep, Opinion 02/2015 on C-SIG Code of Conduct on Cloud Comput ing (WP 232), goedgekeurd op 22 September 2015, p. 8.

45. Zie Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 26: ‘Zoals echter reeds aangegeven kan ‘tezamen met’ diverse vormen van gezamenlijk handelen inhouden, dus ‘samen met’. Onder bepaalde omstandigheden kan dit leiden tot een gezamenlijke en hoofdelijke aansprakelijkheid, maar dit is geen ijzeren regel: in veel gevallen kunnen de diverse voor de verwerking verantwoordelijken verantwoordelijk – en dus aansprakelijk – zijn voor de verwerking van persoonsgegevens in diverse fasen en in verschillende mate.’ en iets verder op p. 28: ‘[…] dat gezamenlijke en hoofdelijke aansprakelijkheid voor alle betrokken part ijen zou moeten worden beschouwd als een manier om onduidelijkheid weg te nemen, en dat daar derhalve alleen vanuit kan worden gegaan wanneer de betrokken part ijen verplicht ingen en verantwoordelijkheden niet duidelijk en even effect ief hebben belegd of dit niet duidelijk uit de feitelijke omstandigheden blijkt.’.

46. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 1.

47. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 28.

48. Artikel 29 Werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (WP 169), goedgekeurd op 16 februari 2010, p. 28

49. Artikel 29 Werkgroep, Statement on Statement of the WP29 on the impact of the development of big data on the protect ion of individuals with regard to the processing of their personal data in the EU (WP 221), goedgekeurd op 16 September 2014, p. 2.

50. Vergelijk Verordening (EU) 2016/679, art. 4, lid 7; en Richtlijn 1995/46/EU, art. 2, sub d.

51. Verordening (EU) 2016/679, considerans 74 en 79.

52. Verordening (EU) 2016/679, art. 82, lid 2 en 3.

53. Verordening (EU) 2016/679, art. 82, lid 5. Als meerdere (verwerkings)verantwoordelijken of be-/verwerkers in dezelfde procedure zijn betrokken, kunnen zij wel naar rato aansprakelijk worden gesteld, zolang de betrokkenen diens daadwerkelijk geleden schade maar volledig krijgt vergoed. Zie Verordening (EU) 2016/679, considerans 146 en art. 82 lid 5.

54. Artikel 29 Werkgroep, Advies 05/2012 over cloud comput ing (WP 196), goedgekeurd op 1 juli 2012, p. 9-10; en Artikel 29 Werkgroep, Opinion 02/2015 on C-SIG Code of Conduct on Cloud Comput ing (WP 232), goedgekeurd op 22 September 2015, p. 9.

55. Verordening (EU) 2016/679, considerans 146.

Titel, auteur en bron

Titel

Privacy en blockchain: wanneer is er voor wie privacywerk aan de winkel?

Auteur(s)

Vonne Laan

Bron

Tijdschrift voor Internetrecht, IR 2018, afl. 1, p. 4-11

Permanente link

Huidige versie

https://www.openrecht.nl?jcdi=JCDI:ALT153:1