“To blockchain or not to blockchain?” Het gebruik van blockchaintechnologie in de strijd tegen onrechtmatig gebruik van onze persoonsgegevens
"If you're not paying for the product, you are the product."
Waarom begin ik dit artikel met bovenstaand citaat? Omdat het duidelijk en accuraat de huidige internetomgeving beschrijft, waarin gewone internetgebruikers, vaak zonder het zelf te weten, zichzelf verkopen aan marketingbedrijven door gebruik te maken van platformen zoals Facebook en Google.
Waarom is dit onderzoek relevant? Misbruik van onze persoonsgegevens op het internet is brandend actueel. Cambridge Analytica misbruikte vorig jaar de gegevens van 81 miljoen facebookgebruikers en Google Home luistert ons af. Die privacyschendingen hebben me ertoe aangezet om een veiligere oplossing voor de bescherming van onze persoonsgegevens te zoeken in een al even actuele technologie, namelijk blockchain.
Ondertussen is de Algemene Verordening Gegevensbescherming, beter bekend als GDPR, in werking getreden. Getuige daarvan waren de talloze e-mails van internetdiensten in mei vorig jaar. Vaak wordt gesteld dat die wetgeving een domper zal vormen op de introductie van blockchaintechnologie in de EU. Blockchain is een veelzijdige technologie, met als bekendste voorbeeld cryptomunten, zoals Bitcoin. Maar het zou ook kunnen ingezet kunnen worden om internetdiensten zoals Facebook en Google onze grondrechten op privacy en gegevensbescherming, zoals deels neergelegd in de GDPR, volledig te laten respecteren. Dat zou ons, de gewone internetgebruiker, de controle moeten teruggeven over onze persoonsgegevens.
Wat is het doel van de masterscriptie? Controle over persoonsgegevens is van fundamenteel belang om effectief onze privacy te kunnen beschermen. De doelstelling van de masterscriptie is bijgevolg nagaan of blockchaintechnologie die controle kan verzekeren voor gewone internetgebruikers. Om realistisch te zijn, moet de technologie in overeenstemming zijn met de GDPR en zelfs kunnen faciliteren. We gaan dus na of het gebruik van blockchaintechnologie opportuun is in het Europese gegevensbeschermingssysteem.
Voor wie is het lezen van deze masterscriptie interessant? Deze masterscriptie kan interessant blijken voor iedereen die op het internet gebruikt en zich zorgen maakt over het gebruik van zijn persoonsgegevens, iedereen die geïnteresseerd is in hoe nieuwe technologie kan bijdragen tot een betere samenleving, blockchainontwikkelaars die persoonsgegevens verwerken of zullen verwerken, juristen die interesse tonen in de materie en graag een korte stand van zaken wensen en bovenal iedereen die interesse heeft in twee brandend actuele onderwerpen en niet akkoord gaan met de macht die centrale entiteiten zoals Google en Facebook op het internet uitoefenen.
Hoe ziet het onderzoek eruit? Het doel van de masterscriptie wordt in vijf stappen bereikt:
In het eerste deel zijn twee uitgangspunten van dit onderzoek beschreven, namelijk blockchaintechnologie en de GDPR. Dat deel wijst er ten eerste op dat blockchaintechnologie op veel verschillende manieren kan gebruikt worden, waaronder voor het beschermen van persoonsgegevens. De belangrijke begrippen en het juridische kader van de GDPR werden daarnaast ook verduidelijkt, met een nadruk op wat precies verwerking van en controle over persoonsgegevens inhoudt.
In deel twee zijn de mogelijkheden van blockchaintechnologie voor de gegevensbeschermingsproblematiek onderzocht. Eerst werd de raison d’être van een blockchainoplossing geformuleerd. Fundamenteel daar is de aard van de blockchain, die een aantal eigenschappen bevat om de macht bij de klassieke centrale entiteiten te kunnen wegnemen en aan de gewone internetgebruiker terug te geven. Daarna heb ik een technisch model voorgesteld voor zo’n specifieke oplossing, dat voldoende ruimte laat voor ontwikkelaars maar toch toegespitst is op de vereisten in de huidige en toekomstige samenleving. Ten slotte is op juridisch vlak nagegaan waarom we voor zo’n blockhainoplossing moeten kiezen. Daar werd het duidelijk dat de technologie drie rechten zonder veel moeite kan faciliteren, wat goed is voor de controle door de gewone internetgebruiker.
Vervolgens zijn de punten waar blockchain en de GDPR botsen besproken. Ten eerste is er het zogenaamde recht op gegevenswissing, dat in contrast staat met de eigenschap van onveranderlijkheid bij blockchain. Dat probleem kan echter worden opgelost op een blockchaintechnische manier. Ook het tweede probleem is niet onoverkomelijk, namelijk de rol van verwerkingsverantwoordelijke. Dat is een begrip uit ons gegevensbeschermingssysteem dat duidt op de persoon die eindverantwoordelijke is voor de verwerking en als aanspreekpunt dient voor de betrokkene wiens gegevens verwerkt worden. Die verantwoordelijke is moeilijk aan te duiden in een blockchaincontext omdat er geen centrale entiteit de leiding heeft. Toch is ook daar een oplossing voor te vinden, afhankelijk van het type blockchain dat gebruikt wordt.
De bedoeling van het vierde deel is het toetsen van de theoretische bevindingen aan de praktijk. Het Sovrin-project is specifiek gecreëerd om in de bescherming van persoonsgegevens te voorzien. Dat project wordt besproken en afgetoetst aan de theoretische bevindingen die eerder in de scriptie werden blootgelegd. De conclusie daar is dat de theorie en de praktijk nauw bij mekaar aansluiten. Het is zelfs mogelijk voor een blockchainoplossing om in nog sterkere gegevensbescherming te voorzien dan gedacht in de theoretische beschouwing.
Het laatste deel van de masterscriptie weegt de voor-en nadelen af van blockchaintechnologie voor de controle door de gewone internetgebruiker over diens persoonsgegevens. We zien daar dat de afweging positief is voor de technologie, maar ze nog te jong is om definitieve conclusies te trekken. Daarnaast geeft het laatste hoofdstuk een aantal best practices voor blockchainontwikkelaars bij de verwerking van persoonsgegevens.
Wat is het resultaat van het onderzoek? De masterscriptie toont aan dat het wel degelijk een goed idee is om blockchaintechnologie in te zetten om de gegevens van internetgebruikers beter te beschermen en de gebruikers zelf de controle over hun persoonsgegevens te geven. De technologie is uitermate geschikt om de gecentraliseerde aard van het internet rond grote platformen te veranderen, om zo monumentale privacy- en gegevensbeschermingsschendingen zoals bij Cambridge Analytica en Google Home in de toekomst te vermijden.
