Data minimalisatie en het recht op vergetelheid

Volgens art. 5(1)(c ) AVG moeten persoonsgegevens ‘toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt’. Dit is het principe van de minimale gegevensverwerking. Volgens overweging 39 AVG betekent dit vooreerst dat de

opslagperiode van persoonsgegevens tot het minimum wordt beperkt.

Ten aanzien van blockchains roept dit de vraag op wanneer gegevens ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt in een blockchain. Voorts is de vraag hoe de opslagperiode van gegevens beperkt kan worden in een blockchain. Het recht op vergetelheid is onder de gelding van de gegevensbescherming richtlijn erkend in de Google-Spain zaak. In de AVG, is het recht gecodificeerd en bij die gelegenheid ook versterkt.283 Op grond van art. 17(1) AVG, heeft de betrokkenen het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen in een aantal genoemde omstandigheden. Deze omstandigheden omvatten onder andere de situatie dat de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of

anderszins verwerkt, en in bepaalde gevallen van het intrekken van toestemming voor de verwerking.

De vraag is ook hier onder welke omstandigheden een recht op wissing bestaat met betrekking tot in een blockchain opgeslagen gegevens en hoe in een blockchain voldaan kan worden aan een plicht tot wissing.

De tegenstelling is niet zo scherp als het lijkt

Zijn er omstandigheden waarin de opslagperiode van gegevens in een blockchain niet beperkt hoeft te worden, c.q., waarin gegevens niet gewist hoeven te worden?

Data minimalisatie

De Franse CNIL maakt voor data minimalisatie onderscheid tussen identificerende data en transactiedata.284 Voor identificerende data, blijft de publieke sleutel nodig zolang de blockchain bestaat. Data minimalisatie vergt hier niet het wissen van persoonsgegevens.285 Transactiedata – die persoonsgegevens zijn - moeten volgens de CNIL versleuteld of met behulp van een

versleutelde hash opgeslagen worden.286 Alleen, als uit een Privacy Impact Assessment blijkt dat de risico’s voor betrokkenen gering zijn is eventueel ook open opslag mogelijk.287

Recht op wissing

Art. 23 AVG geeft de mogelijkheid om rechten van betrokkenen te beperken. Het recht op wissing kan beperkt worden door lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de

grondrechten en fundamentele vrijheden onverlet laat. Bovendien moet de beperking in een

283 EU HvJ 13 mei 2014, zaak C‑131/12, Google Spain SL en Google Inc. tegen Agencia Española de Protección de Datos (AEPD) en Mario Costeja González.

284 Laatstgenoemde noemt de CNIL ‘données complémentaires (ou « la charge utile »)’.

285 CNIL 2018, p.7 en Bohme & Pesch 2017, p. 480.

286 CNIL 2018, p.7.

71

democratische samenleving een noodzakelijke en evenredige maatregel zijn ter waarborging van belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid.288 In overweging 73 AVG, wordt het houden van openbare registers die nodig zijn om redenen van algemeen belang als voorbeeld genoemd. Dit kan een relevante uitzonderingsmogelijkheid vormen voor blockchains die openbare registers bevatten.289 In dit verband, zij ook gewezen op de Manni-zaak van het HvJ van de EU (nog beslist onder de gegevensbeschermingsrichtlijn 95/46/EU).290

Manni vroeg om schrapping, anonimisering of afscherming van hem betreffende gegevens uit het Italiaanse bedrijvenregister waarin hij genoemd wordt in verband met een oud

faillissement. Een gegevens- en ratingbureau had deze gegevens uit het register betrokken. Het Hof woog de bescherming van belangen van derden ten aanzien van vennootschappen, de rechtszekerheid, de eerlijkheid van handelstransacties en het goede functioneren van de interne markt af tegen het fundamentele recht op gegevensbescherming.291 Het kwam tot de conclusie dat er geen sprake was van een onevenredige inbreuk op het recht op

eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens als neergelegd in de artikelen 7 en 8 van het Handvest, met name omdat slechts een beperkt aantal persoonsgegevens openbaar worden gemaakt.292

Blockchains die publieke registers bevatten zouden onder de AVG kunnen profiteren van een lidstaatrechtelijke bepaling als bedoeld in art. 23 AVG. Op basis van de Manni zaak is aan te nemen dat de wezenlijke inhoud van grondrechten en fundamentele vrijheden (als genoemd in art. 23 aanhef AVG) inderdaad onverlet kan blijven bij een lidstaatrechtelijke beperking van het recht op wissing ten behoeve van openbare registers, mits de openbaar te maken persoonsgegevens beperkt blijven.293

Er zijn situaties waarin persoonsgegevens nodig blijven en niet gewist hoeven te worden. Dit kan zich voordoen ten aanzien van persoonsgegevens in openbare registers.

Hoe te voldoen aan een plicht tot wissing?

De relativeringen beschreven in de vorige paragraaf kunnen niet wegnemen dat er gevallen zijn waarin wel degelijk persoonsgegevens verwijderd of tenminste ontoegankelijk gemaakt zouden moet worden.

Daarbij doen zich met name in permissionless blockchains twee problemen voor.

Ten eerste is het vanuit het perspectief van een adequate bescherming van persoonsgegevens niet voldoende dat slechts een full node de betreffende persoonsgegevens van zijn versie van de blockchain wist. De persoonsgegevens zouden dan nog via de overige full nodes beschikbaar zijn. In beginsel zouden alle full nodes daarom de gegevens moeten wissen. Vooral in permissionless blockchains ontbreekt het vaak aan een manier om alle beheerders van full nodes te bereiken.294 In de tweede plaats, zijn er blockchains die op basis van een crypto-economisch protocol werken. Dit protocol is erop uitgelegd om wijzigingen tegen te werken en hen duur en omslachtig te maken, als men binnen de regels van het protocol wil blijven opereren. Men zou in de bitcoin blockchain een aantal miners mee moeten krijgen dat tenminste de helft van de rekenkracht in het netwerk

representeert.295 Dan zou het nog een behoorlijke investering vergen van de miners. Theoretisch zou men ook buiten het protocol om kunnen gaan als alle beheerders van nodes het daarover eens

288 Art. 23(1) aanhef & sub e. AVG.

289 Martini & Weinzierl 2017

290 HvJ 9 maart 2017, zaak C‑398/15, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce tegen Salvatore Manni.

291 C-398/15, r.o. 60.

292 C-398/15, r.o. 57, 58.

293 Vergelijk ook Moerel 2019, p. 846, Kunze et al.

294 Martini & Weinzierl 2017, p.

72

zijn (of tenminste zoveel als een eventueel aanwezige governance structuur zou vergen). Zo’n overeenstemming zal wel in de praktijk van een permissionless blockchain met ‘overtuigde’ beheerders van nodes niet zo gauw bereikt worden, omdat de integriteit van de blockchain dan in wezen komt te berusten op ‘normale’ afspraken tussen de beheerders van nodes en de

(theoretische?) meerwaarde van de blockchain als een systeem dat uitsluitend bouwt op crypto-economische prikkels en onwijzigbaar is zo goed als wegvalt.

Bij meer praktisch ingestelde beheerders kan echter het inzicht postvatten dat een systeem dat wijzigingen tegenwerkt, veel praktische bezwaren heeft (zoals onder andere het voldoen aan een plicht tot wissing van persoonsgegevens). Een permissioned blockchain met normale afspraken tussen beheerders over de integriteit van opgeslagen gegevens werkt dan beter.

Oplossingsrichtingen

Gegeven dat er permissionless blockchains zijn die aan onwijzigbaarheid in hiervoor omschreven zin vasthouden, beveelt de Franse CNIL aan om niet persoonsgegevens onversleuteld of alleen gehasht op een blockchain op te slaan.296 Het idee is dat dit de risico’s voor de betrokkenen

minimaliseert, ook als niet volledig gevolg gegeven kan worden aan rechten van betrokkenen, zoals het recht op wissing. Er zijn wel technieken die compliance met de eisen van de AVG dichterbij brengen, maar het behoeft nog nader onderzoek of de technische oplossingen daadwerkelijk aan de AVG voldoen.297 Als technische benaderingen kunnen onder andere de volgende worden genoemd: Off chain opslag

Een mogelijkheid is dat transactiegegevens off chain worden opgeslagen en dat in de blockchain een hash staat van de off chain opgeslagen gegevens.298 De off chain opgeslagen gegevens kunnen dan gewist worden. De on-chain hash zou gewoon in de blockchain blijven staan maar zijn betekenis verliezen omdat datgene waarnaar hij verwijst niet meer bestaat. Een bezwaar hiertegen is dat allicht uit een hash de verwezen (persoons)gegevens weer herleid kunnen worden, vooral indien de verwezen data klein in omvang zijn. Dat risico kan weer verkleind worden door de hash te versleutelen. De Franse CNIL ziet dit als een aanbevolen oplossing in het licht van de eisen van privacy-by-design, privacy-by-default en data minimalisatie.299

Full nodes en pruning

Een full node slaat de gehele blockchain op. Echter niet iedere node hoeft een full node te zijn. Als slechts een beperkt aantal nodes full nodes zijn dan leidt dit tot een zekere minimale

gegevensverwerking. Een beperking is uiteraard dat er doorgaans wel een aantal full nodes nodig zal blijven. Pruning is een mogelijkheid voor miners om hun validatie werk te doen zonder over een volledige kopie van de blockchain te hoeven beschikken. Een miner zou slechts over de laatste honderden blokken hoeven te beschikken. Dit bespaart niet alleen opslagruimte maar draagt ook bij aan data minimalisatie.

Zero-Knowledge bewijzen en homomorfe encryptie

Het uitvoeren van code in een blockchain vergt doorgaans dat de input data onversleuteld

beschikbaar zijn voor de nodes die de code uitvoeren. Met zero-knowledge proofs en homomorphic encryption bestaan er mogelijkheden om bewerkingen uit te voeren zonder dat het

computersysteem waarop de bewerking wordt uitgevoerd deze data te weten komt. Uiteraard vertraagt dit berekeningen en vergroot het de complexiteit.

Editable blockchain

Accenture heeft een techniek ontwikkeld om een blockchain editable te maken.300 Dit schept uiteraard een achterdeur in de blockchain. Er zullen daarom goede afspraken gemaakt moeten

296 CNIL 2018, p. 10.

297 CNIL 2018, p. 11.

298 Finck 2018, p. 107.

299 CNIL, Premiers elements d’ analyse de la CNIL. Blockchain, Septembre 2018, p. 8.

73

worden over de procedure voor het aanbrengen van edits en hoe transparantie over de edits

betracht kan worden. Nadere technische analyse zou moeten uitwijzen of wat overblijft nog wel meer is dan alleen een blockchain in naam.

Er zijn wel technieken die compliance met de eisen van de AVG rond wissing dichterbij brengen, maar het is onduidelijk of zij daadwerkelijk aan de AVG voldoen.