Wie is gegevensverantwoordelijke bij blockchain?
Vanuit het perspectief van de AVG is het belangrijk om allereerst het verschil aan te kaarten tussen een publieke en private blockchain. Een publieke blockchain, zoals Bitcoin of Ethereum, heeft geen eigenaar en is open en toegankelijk voor iedereen. Iedereen kan deelnemen, het systeem is transparant en controleerbaar.
Bij een private blockchain, zoals Hyperledger of Corda, kan daarentegen worden afgesproken dat enkel bepaalde partijen aan het netwerk mogen deelnemen. Zo kan er binnen een groep participanten informatie worden uitgewisseld via de blockchain. Dit onderscheid is op verschillende punten van belang wanneer het gaat om de compliance met de AVG.
De AVG maakt het onmogelijk dat er voor een gegevensverwerking geen verwerkingsverantwoordelijke is aan te wijzen. Binnen een private blockchain is het geen probleem om deze aan te wijzen, het is immers duidelijk wie er aan de blockchain deelnemen en waar deze voor dient. Bij een publieke blockchain is dit echter een lastig punt. Het gedecentraliseerde karakter van de publieke blockchain houdt in dat een derde partij overbodig is. Het mogelijk ontbreken van een verwerkingsverantwoordelijke kan in het kader van de AVG dus consequenties hebben voor de naleving van de kernbeginselen die gelden voor het verwerken van persoonsgegevens. Gegevens staan niet onder de zeggenschap van één partij en daaruit volgend is het een complexe aangelegenheid om te bepalen op wie de verantwoordelijkheid van de gegevensverwerking rust binnen de blockchain.
Vooral wanneer er sprake is van een publieke blockchain, blijft er veel onduidelijk. Wie is de verwerkingsverantwoordelijke? Wanneer een verwerkingsverantwoordelijke is gevestigd in de Europese Unie of zich richt op personen binnen de Europese Unie, dan is de AVG van toepassing. Maar aangezien de data binnen een publieke blockchain wereldwijd beschikbaar is, welke regelgeving dient dan te worden toegepast? Wie houdt er toezicht op de verwerking en waar kunnen betrokkenen aankloppen als zij hun privacyrechten willen uitoefenen?
Bij een private blockchain, zoals Hyperledger of Corda, kan daarentegen worden afgesproken dat enkel bepaalde partijen aan het netwerk mogen deelnemen. Zo kan er binnen een groep participanten informatie worden uitgewisseld via de blockchain. Dit onderscheid is op verschillende punten van belang wanneer het gaat om de compliance met de AVG.
De AVG maakt het onmogelijk dat er voor een gegevensverwerking geen verwerkingsverantwoordelijke is aan te wijzen. Binnen een private blockchain is het geen probleem om deze aan te wijzen, het is immers duidelijk wie er aan de blockchain deelnemen en waar deze voor dient. Bij een publieke blockchain is dit echter een lastig punt. Het gedecentraliseerde karakter van de publieke blockchain houdt in dat een derde partij overbodig is. Het mogelijk ontbreken van een verwerkingsverantwoordelijke kan in het kader van de AVG dus consequenties hebben voor de naleving van de kernbeginselen die gelden voor het verwerken van persoonsgegevens. Gegevens staan niet onder de zeggenschap van één partij en daaruit volgend is het een complexe aangelegenheid om te bepalen op wie de verantwoordelijkheid van de gegevensverwerking rust binnen de blockchain.
Vooral wanneer er sprake is van een publieke blockchain, blijft er veel onduidelijk. Wie is de verwerkingsverantwoordelijke? Wanneer een verwerkingsverantwoordelijke is gevestigd in de Europese Unie of zich richt op personen binnen de Europese Unie, dan is de AVG van toepassing. Maar aangezien de data binnen een publieke blockchain wereldwijd beschikbaar is, welke regelgeving dient dan te worden toegepast? Wie houdt er toezicht op de verwerking en waar kunnen betrokkenen aankloppen als zij hun privacyrechten willen uitoefenen?
Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.