Blog

Is blockchain de oplossing voor privacybescherming?

Een start-up zou de oplossing hebben tegen privacyproblemen: de blockchain. Dit las ik op Emerce. Een opmerkelijke stelling, aangezien blockchain nu niet echt bekend staat als privacyvriendelijk medium. Voor mij genoeg reden om een blog te schrijven over de blockchain, identiteitsbeheer, smart contracts en privacy. Heeft iedereen de #hypebingokaarten gereed liggen?

Het privacyprobleem

Het probleem zou volgens de start-up liggen bij de General Data Protection Regulation (GDPR, Algemene Verordening Gegevensbescherming, AVG). Deze Europees overkoepelende wet zou volgens hun eisen dat consumenten dan de baas over hun data moeten zijn. Uitgevers zouden data moeten overdragen, verwijderen of corrigeren als daarom gevraagd worden.

De vermeende oplossing van Faktor

Start-up Faktor licht op Emerce toe dat ze denken een oplossing te hebben gevonden om controle over persoonsgegevens bij de consument te leggen: de consument bepaalt welke van zijn profielgegevens hij deelt met welk bedrijf. Daarvoor zou de start-up de onderliggende gedistribueerde data-infrastructuur bouwen.

De consument legt zijn naam, e-mailadres, leeftijd en geslacht vast in zijn gebruikersprofiel op de website – dat vervolgens aan de achterkant versleuteld zou worden opgeslagen in de blockchain. Deze informatie zou dan ook elders gebruikt kunnen worden, als de gebruiker daarvoor toestemming geeft.

Wanneer je als consument toegang wil tot content van nieuwsuitgevers, zou je de data kunnen overdragen via een blockchain. Faktor zou een inlogsysteem met API hebben bedacht, en zou dan de overdracht van data via een gecontroleerd en veilig proces kunnen laten verlopen via de blockchain – waarschijnlijk Ethereum. Via een voorkeurenmanager zou de consument kunnen bepalen of Uitgever A of adverteerder B meer mag weten dan uitgever C of adverteerder D. Advertenties zouden daarmee relevanter kunnen worden, of je zou toegang verkrijgen tot meer premium content.

Is dat wel zo?

De blockchain staat nu niet per se bekend als een privacyvriendelijk medium. Ik vraag me daarom af of deze start-up wel een daadwerkelijke, juridisch juiste, oplossing heeft bedacht. Graag licht ik dit toe door eerst uit te leggen wat de blockchain is, wat smart contracts zijn, hoe identiteitsbeheer via de blockchain werkt, en wat blockchain voor privacy kan betekenen. Daarna kom ik terug op de oplossing van Faktor.

Daarbij merk ik op dat ik in deze blog niet inga op het bedrijfsmodel van Faktor. Het is immers ook nog maar de vraag, bijvoorbeeld, wat er precies met de data gaat gebeuren. De gebruiker heeft namelijk het recht om niet te worden onderworpen aan een uitsluitend op basis van geautomatiseerde verwerking van persoonsgegevens (waaronder profilering) gebaseerd besluit waaraan voor hem rechtsgevolgen (“toegang tot premium content”) zijn verbonden, of dat hem anderzins in aanmerkelijke mate treft.

Daarnaast lijkt het me bijzonder lastig voor verantwoordelijken om ontvangers van persoonsgegevens (dat, naar ik begrijp onder controle van de gebruiker komt te liggen), in kennis te stellen van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking daarvan.

Wat is de blockchain?

blockchain
“Blockchain & Smart Contracts – slimme zet of domme hype?” presentatie van Wouter Dammers op PLEIT 2016

Blockchain is een gedistribueerd onveranderlijk digitaal registratiesysteem van data, waarvoor tussenkomst van een vertrouwde derde partij (trusted third party) (heeft iemand al bingo?) niet is vereist. Blockchain is vooral bekend als de technologie achter bitcoin. Bitcoin is een cryptografische munteenheid die niet wordt aangestuurd door banken of de overheid. Bitcoin is een interessante eerste toepassing van blockchain, maar in potentie zijn de mogelijkheden van blockchain veel groter. In dit registratiesysteem kunnen immers niet enkel bitcointransacties worden opgenomen, maar in principe kunnen alle soorten data worden geregistreerd en worden overgedragen in een blockchain.

Een blockchain is als het ware één gedistribueerd en gedeeld digitaal grootboek, waarin iedere transactie vanaf het allereerste begin van de desbetreffende blockchain (het zogenaamde genesis block) staat geregistreerd. Iedere gebruiker van die blockchain heeft een persoonlijke kopie van het digitale grootboek op zijn computer. Elke keer dat een transactie in de blockchain plaatsvindt, wordt deze allereerst geverifieerd. De verificatie vindt plaats doordat alle aangesloten computers controleren of de informatie van de transactie in de blockchain juist is – en terug te herleiden is tot het genesis block. De transacties in blockchain zijn dus openbaar, zodat ze gecontroleerd kunnen worden, maar dit betekent niet per definitie dat de inhoud van de transacties ook openbaar is. De data in blockchain worden immers opgeslagen in pakketjes die “blocks” worden genoemd.

De inhoud van deze blocks wordt cryptografisch gehashed (gepseudonimiseerd naar een versleutelde code) en opgenomen in de keten. Het is juist met deze gehashte code dat de verificatie plaatsvindt.Pas wanneer een meerderheid van de kopieën aangeeft dat de informatie van de transactie juist is, slaagt de verificatie. Deze verificatie is mogelijk doordat iedere gebruiker een kopie van het grootboek op zijn computer heeft. Indien de verificatie slaagt wordt de transactie ook opgenomen in de blockchain, en dus bij iedereen in het gedeelde grootboek bijgeschreven. De blockchain wordt dus na elke transactie steeds langer.

Vanwege het feit dat de code in elk block aansluit op de code uit het vorige block in de keten, kunnen de data in de keten niet worden gewijzigd en zijn deze onveranderlijk. Dat de data in de keten niet kunnen worden gewijzigd en dat er verificatie van de transacties plaatsvindt, maken blockchain in beginsel een veilige en betrouwbare technologie.

Kortom, algemene eigenschap van een blockchain (er zijn uitzonderingen) is dat dit een transparant, decentraal en onomkeerbaar netwerk is. Alle transacties op de blockchain zijn openbaar; iedereen in het netwerk heeft een volledige kopie van alle transacties; en eenmaal gedane transacties kunnen feitelijk niet meer worden aangepast. Juist daardoor zijn alle transacties voor iedereen te controleren.

Het lijkt erop dat Faktor twee mogelijkheden die de blockchain biedt wil combineren: smart contracts en identiteitsbeheer:

Smart contracts via de blockchain

Blockchain maakt het mogelijk dat twee bij elkaar onbekende partijen, zonder tussenkomst van een derde partij, een slim contract (smart contract) kunnen afsluiten. Een slim contract is een computerprogramma dat automatisch uitvoering geeft aan een contract. Een slim contract krijgt de controle over een bepaalde transactie-eenheid (zoals geld, of data, in de vorm van “tokens”). Het slimme contract controleert aan de hand van zijn programmering of de prestatie is geleverd, en zo ja, aan wie er moet worden betaald. De prestatie is wel of niet geleverd en daar verbindt het slimme contract dan één van de geprogrammeerde gevolgen aan.

Dit wordt “code as law” genoemd. Juridische taal maakt bij code as law plaats voor programmeertaal. Vanwege het feit dat de mogelijke uitkomsten zijn voorgeprogrammeerd, zal er bij partijen achteraf weinig tot geen verwarring ontstaan over wie het geld hoort te krijgen. Aangezien een computerprogramma en niet een persoon de controle krijgt over (de uitvoering van) het contract en data in de blockchain niet kunnen worden gewijzigd, is een slim contract betrouwbaar. De schuldenaar kan immers niet ineens besluiten om niet te betalen, terwijl door de andere partij wel is gepresteerd.

Slimme contracten staan echter op gespannen voet met hoe overeenkomsten in het handelsverkeer worden geëffectueerd. Zo wordt er bijvoorbeeld geen rekening gehouden met enige wet- en regelgeving: dwingend recht wordt buiten spel gezet, uitleg van contracten volgens de Haviltex-norm kan niet tot nauwelijks plaatsvinden, en een toetsing aan redelijkheid en billijkheid blijft buiten toepassing. Ook kunnen ‘normale’ rechtsgevolgen zoals “vernietiging”, waarbij een rechtshandeling nooit geacht te hebben plaatsgevonden, heel lastig feitelijk worden ingekleurd met slimme contracten (immers: niets is onherroepelijk). Bovendien kan men vraagtekens zetten bij de (ethische) wenselijkheid van de oncontroleerbaarheid van slimme contracten.

Juist gezien die onomkeerbaarheid kunnen er ook privacyrechtelijk vraagtekens worden gezet bij gebruik van de blockchain. Daarover zodadelijk meer.

Identiteitsbeheer via de blockchain

De blockchain technologie kan namelijk ook bijdragen aan het efficiënt en veilig bewaren en beheren van gegevens met betrekking tot digitale identiteiten. Zo kan blockchaintechnologie het risico op hacks van databases en het lekken van accountgegevens beperken door iemand zijn/haar identiteit te verifiëren in een onveranderlijk systeem. De systemen die gebruik maken van blockchain controleren de digitale identiteit niet met behulp van gebruikersnamen en wachtwoorden, wat momenteel vaak het geval is, maar maken gebruik van digitale handtekeningen op basis van “public key cryptografie”. Bij public key cryptografie (ook wel asymmetrische cryptografie genoemd) wordt bij de versleuteling van gegevens gebruikgemaakt van twee soorten sleutels. Eén van deze sleutels wordt gebruikt om de gegevens te coderen (de “public key”), terwijl de andere sleutel nodig is om de gegevens weer te decoderen (de “private key”). Deze techniek maakt het mogelijk dat personen versleutelde berichten kunnen sturen naar elkaar door middel van de (openbare) public key die bij de desbetreffende persoon hoort. De enige die deze berichten vervolgens kan ontsleutelen, is degene die beschikt over de private key. Door de van blockchain gebruikmakende systemen wordt gecontroleerd of de transactie werd ondertekend door de juiste private key. Er wordt van het vermoeden uitgegaan dat degene die toegang heeft tot deze private key, de eigenaar is. De exacte identiteit van de eigenaar is bij deze systemen niet relevant. Deze vorm van identificatie is met name interessant voor partijen die digitale diensten aanbieden en te maken hebben met (gevoelige) persoonsgegevens, zoals banken, de gezondheidszorg, het onderwijs en de overheid (DigiD, eHerkenning).

Privacy, blockchain en …. meer!

Privacy blijft echter een heet hangijzer: alle persoonsgegevens worden gepubliceerd in een publieke database, die kan worden gelezen zonder enige beperking. Bovendien is de database onomkeerbaar: gegevens die eenmaal in de blockchain staan, kunnen er in principe niet uit.

Het eerstgenoemde probleem – de transparantie van de blockchain – kan beperkt worden aangepakt. Immers, transacties (en de inhoud daarvan) kunnen versleuteld worden. Er bestaan diverse technieken om de privacy dan te waarborgen. Denk hierbij aan technieken als obfuscated smart contracts, secure multi-party computations, zero-knowledge proofs, succint arguments of knowledge, one-time accounts, state channels en (linkable) ring signatures.

Het idee dat gebruikers weer de controle hebben over hun eigen data door de blockchain is echter onterecht. Blockchains lossen geen privacy problemen op. Blockchain is slechts een middel voor het authenticeren van gebruikers. Persoonsgegevens in platte tekst op de blockchain opslaan is bijvoorbeeld gewoon een slecht idee. Het gaat dus om de techniek die daarnaast wordt gebruikt die wel privacybescherming biedt, om een volledige oplossing te bieden.

Versleuteling is dan de meest voor de hand liggende oplossing. Bestanden die op de blockchain staan opgeslagen kunnen versleuteld worden. Alleen degene die de private key bezit kan dan het bestand ontsleutelen. Wil je iemand beperkte toegang geven tot bepaalde opgeslagen data, dan kan dat ook door gebruik te maken van bijvoorbeeld een zogenaamde deterministic wallet. Er kan dan een aparte sleutel voor ieder aparte toegang worden gegeven. Het lijkt erop dat Faktor daarvan gebruik gaat maken.

Blockchain en versleuteling als “maatregel” voor bescherming van de privacy

De AVG stelt verplicht dat zowel de verantwoordelijke voor de verwerking van persoonsgegevens als de verwerker passende technische en organisatorische maatregelen neemt om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder – waar passend – de pseudonimisering en versleuteling van persoonsgegevens. Door persoonsgegevens te pseudonimiseren en te versleutelen worden ze veel minder bruikbaar in het geval van onrechtmatige toegang. Pseudonimisering houdt in dat de gegevens zonder aanvullende gegevens niet herleidbaar zijn (denk aan het vervangen van klantnamen door nummers). Versleutelen is hiervoor al uitgelegd.

Door te versleutelen wordt dus voldaan aan één van de waarborgen die verlangd kan worden om technische en organisatorische maatregelen om een adequaat beveiligingsniveau te waarborgen.

Het betekent echter niet dat daarmee voldoende maatregelen zijn genomen. Om dat te bepalen moet rekening worden gehouden met “de stand van de techniek, uitvoeringskosten en de aard, omvang, context, verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen”. Waar passend omvatten deze maatregelen niet alleen versleuteling en pseudonimisering, maar ook

  • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen te garanderen;
  • het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking;

Daarbij wordt rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

Dit alles toepassend op een blockchain leidt in zijn algemeenheid (NB: blockchains kunnen ook zelf ontwikkeld worden, hetgeen tot andere resultaten kan leiden) tot de volgende beoordeling:

  • versleuteling en pseudonimisering: wat betreft de persoonsgegevens in de transactie zelf, lijkt hieraan te zijn voldaan. Een risico is echter wel dat de metadata van een transactie vaak wel voor iedereen zichtbaar is: Door statistische analyses kan men bijna altijd wel iets uitvinden, zoals patronen of wanneer een transactie plaatsvindt, en vaak kan aan de hand van het e.e.a. worden gespecificeerd welke individuen wat hebben gedaan, en wie met wie interacteert. Dit kan alsnog privacygevoelige informatie betreffen. Bovendien zie ik nog wel een risico bij het verlies van private keys, of het in verkeerde handen vallen daarvan: Persoonsgegevens raken dan in feite ontoegankelijk en zijn dan verloren. En dat is dan onomkeerbaar.
  • vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht: de blockchain is niet afhankelijk van een computer, maar betreft een heel netwerk van computers: beschikbaarheid en veerkracht lijken vooralsnog geen probleem (hoewel er soms stemmen opgaan dat netwerken tegen het eind van hun kunnen oplopen, wat weer een ingrijpen vereist); blockchain is verder juist bedoeld om vertrouwelijkheid en integriteit te waarborgen. Het is gelijk ook het zwaktepunt: als iets in de blockchain staat, dan is het zo. Wat als gegevens aangepast moeten worden, terwijl “computer says no”?
  • herstelmogelijkheid: als er een incident plaatsvindt moet ervoor gezorgd worden dat persoonsgegevens niet permanent verloren gaan. Ik vraag me af in hoeverre de blockchain hierop gebouwd is. In feite is alles op de blockchain onomkeerbaar: maar wat als een private key verloren gaat? Wat als er een “fork” plaatsvindt, zoals recent bij Ethereum gebeurde? Op dit punt zie ik de nodige risico’s;
  • mogelijkheid tot testen, beoordelen en evalueren van de maatregelen: De Autoriteit Persoonsgegevens heeft in 2013 beleidsregels gepubliceerd over de Beveiliging van Persoonsgegevens. Daarin adviseert zij gebruik te maken van een plan-do-check-act-cyclus. Dit kan uiteraard worden gebruikt, hoewel het mij onmogelijk lijkt om aan het “act”-aspect gehoor te geven: de blockchain is niet zomaar aan te passen (zoals recent bij Ethereum aan de hand was in het kader van TheDAO-hack).

Sterker nog: de nadruk moet bij deze beoordeling liggen op de verwerkingsrisico’s: wat kan er misgaan, en hoe kan daartegen worden gewapend?

Juist de onomkeerbaarheid van de blockchain lijkt me in dat kader een groot risico: stel dat gegevens vernietigd worden, in de verkeerde handen vallen, of gegevens aangepast worden. Op grond van de AVG dient daarmee rekening te worden gehouden. In feite kan dit niet wanneer handelingen onomkeerbaar zijn: de persoonsgegevens zijn dan vernietigd, zijn dan in de verkeerde handen gevallen of zijn dan aangepast.

Maar ook juist een verzoek om gegevens aan te passen of te vernietigen is bijzonder lastig, of zelfs onmogelijk: hoe de (onjuiste) gegevens eerst in de blockchain stonden opgeslagen, zal daar altijd te vinden blijven. Versleuteld wellicht, maar geen enkele versleuteling is bestand tegen de tijd…

Conclusie

Kortom: de blockchain is absoluut geen hosanna voor privacy. Hoewel er zeker ook voordelen aan, zitten juist aan die voordelen ook de nodige risico’s. De technieken die op de blockchain worden gebruikt kunnen privacyvriendelijk zijn, en dat is uiteraard alleen maar aan te moedigen, maar ik vraag me dan af: heb je daarbij de blockchain nodig? Of kan het ook zonder? Sterker nog: kan je überhaupt de onomkeerbare blockchain wel gebruiken als je moet voldoen aan andere privacyrechtelijke verplichtingen, zoals het staken van de verwerking van persoonsgegevens zodra de betrokkene bezwaar maakt? Verwijderen of corrigeren van data lijkt mij bijzonder lastig in de blockchain…

Meer weten over privacy en de blockchain? Lees dan ook dit interessante artikel van Ethereum-oprichter Vitalik Buterin: http://blog.ethereum.org/2016/01/15/privacy-on-the-blockchain/ en ons artikel “Blockchain technologie: een “block” aan het been van de jurist?” in het tijdschrift ICTRecht in de praktijk: http://ictrecht.nl/content/uploads/2017/03/ICTRecht-in-de-praktijk-januari-2017-digi-.pdf  of de volgende gerelateerde blogs:

Nederlandse dj kiest voor de blockchain!

Blockchain en Smart Contracts op PLEIT2016

Australische “bitcoin uitvinder” doet octrooiaanvraag voor technologie

PSD2 en FinTech: Een conflict tussen efficiëntie en veiligheid en privacy?

Gerelateerde berichten

Leave a comment