Blockchain en Privacy

De bescherming van de privacy wordt erg belangrijk gevonden in Nederland. Maar liefst 94% van de Nederlanders maakt zich zorgen over de bescherming van zijn persoonsgegevens volgens een recent onderzoek van de autoriteit persoonsgegevens. Hebben we wel grip op de persoonsgegevens?

De enorme data-explosie die de afgelopen jaren heeft plaatsgevonden, en nog steeds plaatsvindt, zal er niet in resulteren dat die zorg direct zal afnemen. En hoewel als gevolg van de invoering van de AVG er meer regulering is en de burger meer zeggenschap heeft over zijn persoonsgegevens, is hij daarmee echter nog niet in control als het gaat om zijn persoonsgegevens en de verspreiding daarvan.

Het lijkt er ook op dat onderzoekers zijn gestopt met tellen in hoeveel systemen persoonsgegevens van iemand staan. Het laatste onderzoek wat ik tijdens een korte Google-actie kon vinden, sprak over 250 tot 500 systemen. En dat was 2009… oftewel 10 jaar terug. Het kan niet anders dan dat dit aantal fors is gestegen.

Zorgt blockchain voor verdere inboeting op privacy?

Een interessante vraag is wat blockchain-technologie hier voor een impact op gaat hebben? Een  eerste blik voorspelt niet veel goeds: blockchain is immers een decentrale database waarbij diverse partijen (nodes) een kopie van de database hebben. Dat klinkt als veel kopieën van je persoonsgegevens. Dit vraagt echter enige nuance, mits goed opgezet is dat juist niet zo!. Een rapport van het Zorg Instituut Nederland (ZiN) over blockchain in relatie tot de AVG beschrijft duidelijk met welke opzet je juist grip kunt creëren op de persoonsgegevens. Kort samengevat: sla geen / zo min mogelijk (persoons-) gegevens op in de blockchain maar laat deze in de bron staan.

Naleving AVG is nu vooral een papieren tijger

Dat is een heel relevant statement en biedt dus daarmee kansen om meer grip op persoonsgegevens te krijgen. Waarom?  De situatie nu is namelijk niet zo best.

In de huidige ICT-landschappen worden gegevens veelal uitgewisseld. Zowel binnen de organisatie als tussen organisaties worden de gegevens overgestuurd en vanaf dat moment heeft de ontvanger een kopie van de gegevens en zal hij deze gegevens moeten beveiligen en beheren.

Met de introductie van de AVG is hier veel regelgeving voor gekomen. Wat zich vertaalt in verwerkersovereenkomsten, uitwisselingsovereenkomsten, betere beveiliging van de opslag en uitwisseling van gegevens, etc. Absoluut winst maar slechts zelden wordt de vraag gesteld of het wel nodig is om de gegevens uit te wisselen. Procedureel en juridisch wordt het redelijk dichtgetimmerd maar als burger krijg ik niet meer grip op mijn gegevens. Weinig organisaties kunnen 100% zicht geven op waar mijn gegevens staan en met wie ze zijn uitgewisseld. Wijzigingen of verwijdering van gegevens zullen hooguit plaatsvinden in een aantal systemen. Maar zeker niet in alle systemen, datawarehouses en bij andere organisaties waarmee de gegevens ooit uitgewisseld zijn. En gaan de organisaties waarmee mijn gegevens zijn uitgewisseld daadwerkelijk net zo goed om met de gegevens als de organisatie waar ik ze initieel aan heb gegeven? Het terughalen van gegevens die eenmaal zijn verstuurd is bijna onmogelijk en slecht te controleren of dat ook daadwerkelijk is gebeurd. En in dit alles is de burger afhankelijk van hoe goed een organisatie dit regelt en moet je vertrouwen dat ook daadwerkelijk gebeurt wat is afgesproken.

Single source of truth

Als de aanbevelingen van het ZiN worden opgevolgd, biedt blockchain hier een oplossing. Daarbij zijn een 3-tal principes heel belangrijk. De eerste is het niet meer uitwisselen van gegevens maar alleen de transactie vastleggen in de blockchain. De echte gegevens blijven in het bronsysteem staan en daarmee is altijd duidelijk waar deze gegevens staan. Er ontstaat een  ‘single source of truth’. Een onderschat begrip in de privacy wetgeving. Het gaat niet alleen om waar je gegevens zijn maar ook dat ze juist zijn (juistheid, volledigheid, tijdigheid). Niet onbelangrijk bijvoorbeeld in de gezondheidszorg: welke medicatie heeft iemand, wat is het reanimatiebeleid, welke allergieën zijn er, etc. En als er iets aangepast of verwijderd moet worden, is volstrekt helder waar dat moet gebeuren en is het daarmee voor iedereen gewijzigd.  Een absolute winst ten opzichte van hoe het nu vaak geregeld is.

Het tweede wat belangrijke punt is dat in de blockchain goed is te beheren wie bij welke data mag, dat deze autorisaties kunnen worden aangepast en dat inzichtelijk is wie informatie heeft bekeken en aangepast.

Dit vraagt om een goede governance. En waar wenselijk en mogelijk kan een burger zelf deze autorisaties beheren en controleren. Oftewel de burger krijgt grip want hij kan bepalen wie bij zijn data mag, waar zijn data is en wie er ook daadwerkelijk bij is geweest.

Hoe meer je weet, hoe meer je moet vergeten

Het laatste principe wat belangrijk is, is werken met claims. De uitwisseling van data van de afgelopen decennia is mede ingegeven omdat we data nodig hadden voor het uitvoeren van de processen. Zonder die data konden processen niet uitgevoerd worden: hoe meer data hoe beter. Ook hier biedt blockchain een belangrijke kans. Heb je de data echt nodig? Of wil je zekerheid over iets: heb je de geboortedatum daadwerkelijk nodig of wil je alleen maar weten of iemand echt ouder dan 18 jaar is? Vroeger wisselde je de geboortedatum uit zodat de ontvangende organisatie te alle tijde kon checken of iemand ouder is dan 18. Met blockchain hoeft dat niet en kan de organisatie die moet weten of iemand ouder is dan 18 jaar dat vragen aan de blockchain en krijgt daar antwoord op: Ja of Nee. Ook op deze manier wordt de hoeveelheid data die partijen krijgen verminderd tot wat echt noodzakelijk is, oftewel data-minimalisatie. Voordeel is ook dat historische data niet bij de ontvangende partij (hoeft) te blijven staan. Deze kan altijd de actuele situatie opvragen en hoeft die niet op te slaan om zijn eigen proces te doorlopen. Zit iemand in de schuldsanering dan is die informatie niet meer relevant als de persoon succesvol uit de schulden is gekomen. Ook hier kan de burger zijn eigen regie hebben welke informatie hij wel of niet zou willen delen.

Van procedures naar transparantie en regie voor de betrokkene

Blockchain biedt dus bij uitstek de mogelijkheid om de ongebreidelde verspreiding van persoonsgegevens meer in de grip te krijgen en dit veiliger te beheren door:

• Te stoppen met data uitwisselen, laat de data in de bron;
• Goede en transparante autorisatie met regie voor de burger te realiseren;
• Niet meer te vragen om de data, maar om het antwoord op de vraag.

Op deze wijze biedt blockchain belangrijke mogelijkheden om de persoonsgegevens daadwerkelijk beter te beschermen, transparant naar de burger te zijn en komen we weg van de papieren werkelijkheid van gegevensuitwisselingsovereenkomsten, registers en procedures om gegevens op te vragen door de betrokkenen. Wil je meer weten over dit onderwerp, neem dan gerust contact met mij op.