Veel orga­ni­sa­ties gebrui­ken publie­ke block­chains om, bewust of onbe­wust, per­soons­ge­ge­vens te ver­wer­ken; dit kan ech­ter pro­ble­men ople­ve­ren met betrek­king tot de AVG (en daar­mee moge­lijk boe­tes tot EUR 20 mil­joen), als de miners op deze block­chains kwa­li­fi­ce­ren als ver­wer­kers onder de AVG.

In een vol­gen­de blog post zul­len wij de aard van deze pro­ble­ma­tiek ver­der bespre­ken, het is ech­ter eerst belang­rijk om te bepa­len wan­neer miners als ver­wer­kers kwa­li­fi­ce­ren. Zodra een orga­ni­sa­tie heeft vast­ge­steld dat een miner waar­schijn­lijk kwa­li­fi­ceert als ver­wer­ker, is het vaak nodig om de aan­pak ten aan­zien van de ver­wer­king te ver­an­de­ren, bij­voor­beeld door over te stap­pen op een pri­va­te block­chain of door de ver­wer­king van per­soons­ge­ge­vens in zijn geheel te sta­ken.

Om als ver­wer­ker te wor­den aan­ge­merkt, moe­ten miners per­soons­ge­ge­vens ver­wer­ken vol­gens de AVG (i.e. alle infor­ma­tie met betrek­king tot een geï­den­ti­fi­ceer­de of iden­ti­fi­ceer­ba­re natuur­lij­ke per­soon), namens de ver­wer­kings­ver­ant­woor­de­lij­ke.[1]* Over het alge­meen wor­den per­soons­ge­ge­vens alleen in gepseu­do­ni­mi­seer­de vorm on-chain ver­werkt. Gepseu­do­ni­mi­seer­de gege­vens kun­nen ech­ter als­nog als per­soons­ge­ge­vens aan­ge­merkt wor­den. Dit kan zelfs het geval zijn als de der­de ont­van­ger (in dit geval, de miner) niet over de ver­eis­te infor­ma­tie beschikt om de betrok­ke­nen te (her-)identificeren. Deze bena­de­ring volgt uit het arrest Breyer/Duitsland van het HvJEU, waar­in het HvJEU stel­de dat gepseu­do­ni­mi­seer­de gege­vens per­soons­ge­ge­vens zijn als er mid­de­len bestaan, zoals wet­te­lij­ke kana­len, die rede­lij­ker­wijs kun­nen wor­den gebruikt om betrok­ke­nen opnieuw te iden­ti­fi­ce­ren. Het is hier­bij ook van belang of een der­ge­lij­ke her-iden­ti­fi­ca­tie bij wet ver­bo­den of prak­tisch onmo­ge­lijk is.

Een aan­tal toe­zicht­hou­ders op het gebied van gege­vens­be­scher­ming heb­ben gerui­me tijd aan­ge­no­men dat dit bete­kent dat gepseu­do­ni­mi­seer­de gege­vens auto­ma­tisch per­soons­ge­ge­vens zijn. Zij zijn (of waren) van mening dat dit zelfs het geval is in de han­den van een der­de par­tij die niet over de ver­eis­te infor­ma­tie beschikt om de pseu­do­ni­mi­se­ring onge­daan te maken, zolang de ver­wer­kings­ver­ant­woor­de­lij­ke (of een der­de) nog steeds over deze infor­ma­tie beschikt.

Door de recen­te HvJEU-zaak SRB t. EDPS kan dit stand­punt ech­ter meer genu­an­ceerd wor­den. In deze zaak was de EDPS van mening dat de SRB per­soons­ge­ge­vens had gedeeld met Deloit­te, hoe­wel Deloit­te niet beschik­te over de infor­ma­tie die nodig was om betrok­ke­nen te iden­ti­fi­ce­ren. Het Gerecht van het HvJEU heeft het besluit van de EDPS ech­ter ver­nie­tigd op grond van een strik­te­re inter­pre­ta­tie van het arrest Breyer/Duitsland: van­uit het per­spec­tief van de ont­van­ger moet wor­den beoor­deeld of deze over (juri­di­sche) mid­de­len beschikt waar­mee hij in de prak­tijk toe­gang kan krij­gen tot de aan­vul­len­de infor­ma­tie die nodig is om betrok­ke­nen opnieuw te iden­ti­fi­ce­ren.

Prak­tisch gezien bete­kent dit voor block­chain dat een ana­ly­se per geval van de wet­te­lij­ke rech­ten van miners nodig is om defi­ni­tief vast te stel­len of miners ver­wer­kers zijn of sim­pel­weg ont­van­gers van effec­tief ano­nie­me gege­vens. Dit heeft mis­schien niet direct gevol­gen voor orga­ni­sa­ties die publie­ke block­chains gebrui­ken, aan­ge­zien een der­ge­lij­ke ana­ly­se (prak­tisch) onmo­ge­lijk is bij gro­te publie­ke per­mis­sie­lo­ze block­chains en aan­ge­zien veel rechts­ge­bie­den juri­di­sche mid­de­len beschik­baar heb­ben (bij­voor­beeld via het straf­recht). De Euro­pean Data Pro­tec­ti­on Board kan er ech­ter wel reke­ning mee hou­den in hun aan­ko­men­de Gui­de­li­nes on Block­chain. Als zoda­nig zou­den we ein­de­lijk een meer prak­ti­sche bena­de­ring kun­nen zien van de rela­tie tus­sen de ver­wer­kings­ver­ant­woor­de­lij­ke en de miner op een block­chain. Als u meer wilt weten over de pri­va­cy­rech­te­lij­ke aspec­ten van block­chain en dis­tri­bu­ted led­ger tech­no­lo­gy, neem dan gerust con­tact op met het Block­chain team van HVG Law.

[1] * In deze blog zul­len wij alleen bespre­ken wan­neer miners per­soons­ge­ge­vens ver­wer­ken. Hoe­wel ande­re ver­eis­ten ook van toe­pas­sing moe­ten zijn op miners om aan deze kwa­li­fi­ca­tie te vol­doen, zul­len miners hier (over het alge­meen) al snel aan vol­doen vol­gens bestaan­de richt­snoe­ren van toe­zicht­hou­ders.