Maatregelen ter waarborging van de privacy

7 Laten staan van persoonsgegevens op de blockchain 1 Interpretatie van de AVG

7.4 Maatregelen ter waarborging van de privacy

De vraag wat de redelijke en technische maatregelen zijn die de privacybelangen van de betrokkene op blockchains het best waarborgen valt buiten de kaders van dit onderzoek. De oplossingen die in de literatuur worden genoemd hebben vaak veel nadelen voor de functionaliteit van de blockchaintechnologie. Een voorbeeld is het onder begeleiding

verwijderen van de privésleutel. Persoonsgegevens staan dan nog in de blockchain maar deze zijn niet meer toegankelijk. Problematisch bij deze oplossing is dat er een derde partij nodig is die dit proces overziet. Daarnaast is het probleem van de publieke sleutels die dan nog in de blockchain staan met deze maatregel nog niet opgelost. Een andere voorbeeld van een oplossing is het buiten de blockchain opslaan van gegevens. Dit betekent dat

113_{Art. 17 lid 2 AVG.} 114

persoonsgegevens bij een derde partij worden opgeslagen. Dit vereist een vertrouwde derde partij en zorgt daardoor ook weer voor centralisatie van de blockchain. Deze oplossing zorgt daarnaast bovendien voor een groter risico op een datalek.115

Er bestaat nog veel onduidelijkheid over wat de beste maatregelen zijn ter waarborging van privacy op openbare blockchains. Technologische ontwikkeling zal er mogelijk voor zorgen dat er steeds betere oplossingen komen om de privacy van betrokkenen te waarborgen zonder dat persoonsgegevens van de blockchain verwijderd hoeven te worden. Wat de beste

maatregelen zijn voor blockchaindiensten om aan de vereiste redelijke en technische

maatregelen van de AVG te voldoen en een beroep op de vrijheid van meningsuiting verder te rechtvaardigen, is een interessante vraag voor een nader onderzoek.

7.5 Conclusie

De AVG biedt met de uitzondering van het recht op vrijheid van meningsuiting uit artikel 17 lid 3a de mogelijkheid om persoonlijke gegevens niet volledig te wissen. In de gevallen dat er geen rechtvaardiging is voor het laten staan van de persoonsgegevens op basis van deze exceptie moet de verantwoordelijke redelijke en technische maatregelen nemen waarbij rekening wordt gehouden met de beschikbare technologie en de uitvoeringskosten. Ook deze formulering biedt ruimte voor een interpretatie waarbij het laten staan van persoonsgegevens op de blockchain mogelijk is. Het opnieuw opbouwen van de blockchain voor een

verwijdering van gegevens kan disproportioneel zijn vergeleken met de privacybelangen van een betrokkene. Door te demonstreren dat redelijke en technische maatregelen zijn genomen om de privacybelangen van de betrokkene te waarborgen, kan de verantwoordelijke het laten staan van persoonsgegevens op de blockchain beter rechtvaardigen. Nader onderzoek moet uitwijzen wat de beste maatregelen zijn om de privacybelangen van de betrokkene te

beschermen zonder concessies te doen in de eigenschappen die blockchaintechnologie uniek maken.

115

8 Conclusie

Blockchaindiensten kunnen voldoen aan de Algemene Verordening Gegevensbescherming wanneer zij een verzoek tot verwijdering van persoonsgegevens krijgen. De AVG biedt aan blockchaindiensten in artikel 17 lid 3a de mogelijkheid om een beroep te doen op de

bescherming van de vrijheid van meningsuiting. In dit onderzoek is duidelijk geworden dat een beroep op deze exceptie om meerdere redenen een goede kans van slagen heeft.

De vrijheid van meningsuiting beschermt naast de directe communicatie op de blockchain ook de blockchaindienst zelf wanneer deze een bijdrage levert aan idealen gerelateerd aan de vrijheid van meningsuiting. Daarnaast moet ook met de vrijheid van meningsuiting van gebruikers van de dienst rekening worden gehouden. Omdat het verwijderen van

persoonsgegevens ervoor zorgt dat de technologie niet meer gebruikt kan worden gedurende een lange tijd, zorgt een verzoek tot verwijdering ervoor dat aan gebruikers de toegang tot de technologie wordt ontzegd. Aan deze gebruikers wordt daardoor ook het gebruik van de blockchaindienst als middel om informatie te delen en te ontvangen ontnomen. Omdat de vrijheid van meningsuiting ook de vrijheid om te kiezen waar informatie wordt gedeeld en met welk middel dit wordt gedaan beschermt, vormt een verzoek tot verwijdering bij blockchaindiensten op deze manier een inbreuk op de vrijheid van meningsuiting.

Op basis van deze argumentatie dient een afweging tussen het recht op privacy en het recht op vrijheid van meningsuiting anders uit te vallen dan hoe het Hof deze maakte in het Google Spain-arrest. Er dient een gelijkwaardige afweging gemaakt te worden tussen het recht op vrijheid van meningsuiting en de privacybelangen van de betrokkene. Aangezien het voldoen aan een verzoek tot verwijdering er door de eigenschappen van blockchaintechnologie voor zorgt dat er geen gebruik meer kan worden gemaakt van de blockchaindienst, wegen de economische belangen van de dienst en van haar gebruikers en de mogelijkheid om informatie te kunnen delen en vinden in veel gevallen zwaarder dan de belangen van de betrokkene.

Blockchaindiensten zullen om deze reden in veel gevallen aan de Algemene Verordening Gegevensbescherming kunnen voldoen. De AVG biedt ruimte voor een dergelijke

interpretatie. In artikel 17 lid 2 wordt gesproken van redelijke maatregelen die de verantwoordelijke moet nemen waarbij rekening dient te worden gehouden met de beschikbare technologie en de kosten van implementatie van een verzoek.

Een verantwoordelijke kan een beroep op de exceptie van artikel 17 lid 3a nader rechtvaardigen door redelijke maatregelen te nemen die de privacy van de betrokkene waarborgen. Ook wanneer de privacybelangen van de betrokkene in bepaalde gevallen toch zwaarder wegen dan de vrijheid van meningsuiting van de blockchaindienst en haar

gebruikers, valt te beargumenteren dat het laten staan van persoonsgegevens gerechtvaardigd is. De dienst moet dan demonstreren dat met oog op de beschikbare technologie redelijke proportionele maatregelen zijn genomen om de privacy van de betrokkene zo veel mogelijk te waarborgen. Of de genomen maatregelen voldoende zijn zal afhangen van de gevoeligheid van de gegevens en hoe groot de impact van het laten staan van deze gegevens op de

persoonlijke levenssfeer van de betrokkene heeft.

Wat deze redelijke maatregelen precies moeten zijn is het volgende puzzelstuk in de puzzel van blockchaincompliancy. Veel van de huidige privacy-oplossingen hebben tot gevolg dat er wordt ingeleverd op de eigenschappen waarvoor blockchain geprezen wordt. Met het oog op de ontwikkeling van blockchaintechnologie en de diensten die met de technologie worden ontwikkeld is het interessant om te onderzoeken welke privacy-oplossingen de minste gevolgen hebben voor de functionaliteit van blockchains maar wel zijn aan te merken als redelijke maatregelen onder de AVG.

9 Literatuurlijst

Literatuur

In document Blockchains en het recht om vergeten te worden : Een onderzoek naar de afweging van fundamentele rechten die gemaakt dient te worden bij de toepassing van het recht op verwijdering van persoonsgegevens op een technologi (pagina 42-46)