Actueel

Blog

Blockchain en persoonsgegevens

In een vorig artikel heb ik enkele basisprincipes over blockchain beschreven. Blockchain is een interessante technologie met enkele bijzondere eigenschappen. Hoe verhoudt deze technologie zich tot de registratie van persoonsgegevens? Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) is er veel aandacht voor de voorwaarden waaronder persoonsgegevens kunnen worden opgeslagen. Dat roept de vraag op of, en zo ja hoe, blockchain technologie toe te passen is bij de opslag van persoonsgegevens. In dit artikel ga ik in op deze vraag.

De tegenstelling

Enkele belangrijke vereisten vanuit de AVG zijn (vrij vertaald):

  • Persoonsgegevens dienen na een vooraf gedefinieerde bewaartermijn te worden verwijderd.
  • Persoonsgegevens moeten op verzoek van de betrokkenen worden verwijderd (uitgezonderd wettelijk verplichte registraties).
  • Het delen van persoonsgegevens zonder vooraf gedefinieerd gelegitimeerd doel is niet toegestaan.

Voor de opslag betekent dit dat je gegevens goed moet kunnen afschermen en gegevens moet kunnen verwijderen. Dat wringt met de blockchain technologie.

De blockchain zelf bestaat uit een ‘add-only’ opslagsysteem. Het ‘verwijderen’ van gegevens uit een blockchain is niet mogelijk. Het verwijderen van gegevens uit de blockchain zou ervoor zorgen dat de integriteit van de blockchain niet meer te controleren is. Die bestaat immers uit hashes over de gegevens en gaat ervan uit dat die hashes, en dus de gegevens, niet meer wijzigen. Het verwijderen van gegevens uit de chain leidt tot het wijzigen van de ketting van hashes en daarmee tot het moeten opbouwen van een compleet nieuwe blockchain.

Om een blockchain effectief te kunnen gebruiken dient de volledige blockchain beschikbaar te zijn. Indien partijen een blockchain gebruiken om gegevens uit te wisselen dienen de hashes gecontroleerd te kunnen worden. Dat kan alleen als de volledige blockchain beschikbaar wordt gesteld. Het delen van de volledige blockchain betekent dat het niet mogelijk is selectief te zijn in het uitwisselen van gegevens. Het aantal toepassingen met uitwisseling van persoonsgegevens waarbij elke betrokken partij de volledige verzameling gegevens mag inzien, zal niet groot zijn.

Het in een blockchain opslaan van persoonsgegevens staat dus op gespannen voet met de AVG omdat het niet mogelijk is gegevens te verwijderen en selectief te zijn in het delen van gegevens uit de blockchain.

Versleutelen dan?

Als persoonsgegevens niet ‘zo’ opgeslagen kunnen worden in de blockchain, waarom dan de persoonsgegevens niet versleuteld opslaan? Het versleutelen kent echter een aantal kanttekeningen.

De versleuteling dient sterk genoeg te zijn om de gebruiksduur van de blockchain te overleven. Indien de verwachte levensduur van de blockchain relatief lang is, vergt dat een zeer zware versleuteling. Het moet immers niet zo zijn dat ‘oude blokken’ aan het eind van de levensduur relatief makkelijk kunnen worden gekraakt omdat er (tegen die tijd) ‘verouderde’ versleuteling is gebruikt.

Het verwijderen van gegevens kan alleen indien alle betrokken partijen de sleutels ‘weggooien’. Ook het intrekken van de toegang tot (een deel van de) persoonsgegevens vergt dat de betrokken partij zijn sleutel ‘weggooit’. Het vergt een hoge mate van vertrouwen in betrokken partijen dat zij dit ook doen.

Daarbij is een (betrouwbare) registratie van sleutels naast de blockchain zelf benodigd. De uitdaging van het verlenen van toegang tot persoonsgegevens en het intrekken van deze toegang ‘verplaatst’ naar dit tweede opslagsysteem. Het roept daarbij de vraag op wat de toepassing van blockchain in deze opzet nu eigenlijk toevoegt.

Persoonsgegevens naast de blockchain

In plaats van het ‘repareren’ van een opslag van persoonsgegevens in een blockchain (indien dat al afdoende zou lukken), zou ook gedacht kunnen worden aan het toepassen van een blockchain naast een andere vorm van het delen van persoonsgegevens.

Stel dat de blockchain alleen wordt gebruikt om vast te stellen of bepaalde persoonsgegevens ‘juist’ zijn of niet (of niet meer). Indien alleen de hash over de persoonsgegevens in de blockchain wordt opgeslagen, kan een afnemer met de blockchain valideren of persoonsgegevens die de afnemer anderszins heeft verkregen valide zijn. Soortgelijk kan ook in de blockchain worden opgenomen dat gegevens zijn verwijderd. Dat laatste vergt ‘normaliter’ het moeten raadplegen van een centraal register, dat centrale register kan met een blockchain worden vermeden.

Een praktisch voorbeeld zou bijvoorbeeld de registratie van reisdocumenten in een blockchain zijn. Stel er zou een publiek toegankelijke blockchain zijn met de hashes van de gegevens op een reisdocument (naam, geboorte, uitgifte, geldigheid, documentnummer) in combinatie met een indicatie of het een uitgifte of intrekking betreft. Een afnemer die een reisdocument voor ogen krijgt, kan de hash berekenen over de in het reisdocument opgenomen gegevens en in de blockchain controleren of een reisdocument met deze gegevens is uitgegeven (en al dan niet weer ingetrokken). Anders dan dat de afnemer een kopie van de blockchain ter beschikking dient te hebben, vergt dit geen goed beveiligde ‘online’ verbinding met een centraal register.

Een voordeel van deze opzet is dat afnemers gegevens kunnen ontvangen van een ‘onbetrouwbare’ bron, omdat de juistheid van de gegevens relatief eenvoudig gevalideerd kan worden tegen een blockchain die publiek toegankelijk kan zijn. De blockchain helpt om vast te stellen of een bewering ‘waar’ is.

Daarnaast kan de blockchain gebruikt worden om vast te stellen of een gegeven nog actueel is. Stel een afnemer heeft een lokale verzameling met persoonsgegevens. Door steeds de nieuw aan de blockchain toegevoegde blokken tegen de eigen opslag aan te houden weet een afnemer welke gegevens inmiddels zijn ingetrokken (en dus niet actueel meer zijn) en bijgewerkt dienen te worden.

Autorisatie op persoonsgegevens

Een interessante variatie op het eerdere voorbeeld van reisdocumenten is het valideren van autorisaties. Afhankelijk van de toepassing is een autorisatie in zichzelf weer een persoonsgegeven. Neem de autorisatie: “arts X heeft toegang tot dossier Y van patiënt Z”. Het feit dat deze arts toegang heeft geeft informatie vrij over de patiënt en is daarmee een persoonsgegeven.

Ook hier zou een blockchain gebruikt kunnen worden om te valideren of een dergelijke autorisatie afgegeven is of inmiddels weer is ingetrokken. Door alleen de hash over de autorisatie in een blockchain op te slaan kan worden gevalideerd of degene die de toegang vraagt ook daadwerkelijk geautoriseerd is voor het betreffende dossier. Er is geen ‘live’ verbinding met een centrale autorisatievoorziening nodig.

Audittrail

Doordat blockchain een add-only mechanisme kent, kan het ingezet worden om een audittrail te genereren voor het wijzigen van persoonsgegevens. Dit kan een krachtig instrument zijn in het bewijzen van de ‘juistheid’ van gegevens daar waar dit van belang is (bijvoorbeeld als de persoon in kwestie rechten kan ontlenen aan die gegevens). Als een hash van elke bewering en van elke intrekking van een bewering wordt opgenomen in de blockchain, is in feite de ‘reguliere’ opslag van persoonsgegevens niet meer te manipuleren zonder dat dit sporen nalaat.

Het levert echter geen totaaloplossing: een blockchain ondersteunt een audittrail voor het wijzigingen van gegevens, niet voor het raadplegen van gegevens. Het ook traceerbaar maken van het raadplegen van gegevens vergt aanvullende maatregelen.

Aandachtspunten

Er zijn wel aandachtspunten bij deze opzet. Het zou niet mogelijk moeten zijn om alsnog persoonsgegevens te ontlenen aan de blockchain. Neem het eerdere voorbeeld met reisdocumenten. Stel een aanvaller beschikt niet over de volledige set persoonsgegevens, maar mist bijvoorbeeld nog de geboortedatum. Het is niet wenselijk om door geboortedata te proberen alsnog achter een geboortedatum te komen. Dit is bijvoorbeeld te vermijden door een groot willekeurig getal (ook wel ‘salt’) mee te nemen bij het bepalen van de hash (en in het voorbeeld ook op te nemen in het reisdocument). Een aanvaller moet in dat geval ook het willekeurige getal weten om achter de geboortedatum te kunnen komen.

Ook de actualiteit kan een aandachtspunt zijn. Het tempo waarin nieuwe blokken aan de blockchain worden toegevoegd en gepubliceerd bepaalt hoe ‘oud’ de gegevens kunnen zijn waartegen wordt gevalideerd. Het ‘realtime’ valideren van gegevens tegen een blockchain is niet goed mogelijk, er zal altijd een zekere vertraging zitten in het mechanisme die groter zal zijn dan met een ‘traditionele’ centrale registratie kan worden bereikt.

Tot slot

Blockchain technologie toepassen op de opslag van persoonsgegevens ligt niet direct voor de hand. Dat neemt niet weg dat de technologie ondersteunend ingezet kan worden om persoonsgegevens (en bijvoorbeeld autorisaties) te kunnen valideren. Daarmee kan het, gecombineerd met een andere vorm van verspreiding, een solide combinatie vormen. De blockchain kan daarmee ingezet worden voor deelaspecten als validatie van gegevens, een audittrail op wijzigingen en het publiceren van mutaties. Voor de verspreiding van persoonsgegevens zelf zal een andere oplossing moeten worden gezocht.

Onderwerpen: Blockchain, Persoonsgegevens, Hash