033 200 30 83
Nieuwe richtlijnen EDPB over het gebruik van de Blockchain
Dat het gebruik van blockchain technologieën in de context van privacy- en gegevensbescherming niet zonder risico’s is, is algeheel bekend. Door de gedecentraliseerde aard en de technische complexiteit van blockchain is het extra belangrijk om zorgvuldig om te gaan met de verwerking van persoonsgegevens.
Om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties bij het gebruik van blockchaintechnologie goed nadenken over de risico’s voor de rechten en vrijheden van betrokkenen. Sommige risico’s zijn vooraf technisch te beperken, maar andere vragen om een zorgvuldige afweging en kunnen lastiger op te lossen zijn. Specifieke eigenschappen van de blockchain, voornamelijk de ‘permanente’ opslag van gegevens, kunnen botsen met de rechten van betrokkenen, zoals het recht op correctie of verwijdering van gegevens. Daarom is het essentieel om ‘privacy by design’ vanaf het begin toe te passen: privacy moet vanaf de start van het project ingebouwd zijn in het ontwerp en toepassing van de technologie.
In de gepubliceerde richtlijnen doet de EDPB de volgende aanbevelingen voor het gebruik van blockchain-technologieën:
1. Zorg voor goede documentatie omtrent de architectuur van de blockchain.
2. Waar mogelijk, zorg dat persoonsgegevens niet in de blockchain worden opgeslagen.
3. Informeer betrokkenen met gebruik van duidelijke termen.
4. Zorg ervoor dat er niet meer persoonsgegevens worden verwerkt dan noodzakelijk is voor het doel van de verwerking.
5. Zorg voor ingebouwde mechanismen, waardoor voldoende vertrouwen bestaat tussen de software en de identiteit van de verschillende nodes.
6. Indien het gebruik van blockchain-technologie wordt verplicht vanuit een wettelijke verplichting, moeten wetgevers bepalingen opnemen met betrekking tot het aanvaardbare niveau van publiciteit en elke inbreuk op de vertrouwelijkheid ontmoedigen.
7. Het EDPB raadt aan om technische en organisatorische zwakke punten te benadrukken bij de betrokkenen en om documentatie gereed te hebben bij noodgevallen.
8. Het beheer omtrent het uitvoeren van transacties en het valideren van nieuwe blokken moeten goed worden gedocumenteerd. In dat kader moeten er ook goede organisatorische en technische processen worden ingericht.
9. Ingeval toestemming als grondslag van de verwerking wordt gebruikt, is het van belang om rekening te houden dat deze toestemming ook moet kunnen worden ingetrokken en gewijzigd.
10. Houdt vanaf het begin rekening met privacy-by-design en privacy-by-default.
11. Bewaartermijnen moeten zo worden ingericht dat rekening wordt gehouden met het recht op gegevenswissing artikel 17 AVG en privacy-by-design en privacy-by-default zoals is uitgeschreven in artikel 25 lid 1 AVG.
12. Voer periodieke evaluaties uit van de beveiliging van de blockchain.
13. Limiteer de gevolgen van de impact indien het algoritme uitvalt.
14. Het beheer en ontwikkeling van de software zal goed moeten worden gedocumenteerd.
15. Indien het niet noodzakelijk is voor de verwerking, zal de toegang tot de identiteit van de personen achter de blockchain moeten worden beschermd, gedocumenteerd en periodiek worden geëvalueerd.
16. Technische en organisatorische maatregelen moeten er worden genomen om de rechten van betrokkenen te kunnen behartigen.
Een belangrijke aanbeveling van de EDPB is daarnaast dat moet worden vermeden dat persoonsgegevens worden opgeslagen op de blockchain, tenzij het echt niet anders kan. Gebruik dan altijd geavanceerde technieken en passende organisatorische maatregelen om risico’s te beperken.
Wil jouw organisatie ook blockchain op een verantwoorde wijze inzetten? Neem dan deze richtlijnen als uitgangspunt en zorg dat de principes van privacy-by-design vanaf het ontwerp worden meegenomen.
Vergeet dan vooral ook niet om een DPIA uit te voeren voorafgaand aan de verwerking van persoonsgegevens!