Hoe verhoudt de AVG zich tot de (permissionless) blockchain?

| AE 10678 | Innovatie, Privacy | 2 reacties

Interessante kwestie opgeworpen op Twitter:

Verwerkingen zonder verantwoordelijke(n) zijn niet te vatten in door technologie alweer ingehaalde Avg. Permissionless blockchain verbieden? Avg n.v.t. verklaren? Beide zullen niet werken terwijl fundamentele rechten en vrijheden in het geding zijn. #spannend @toezicht_AP

De context was het rapport Het gebruik van blockchaintechnologie in het verkiezingsproces dat recent verscheen. Hierin werd -grof samengevat- negatief geadviseerd over de inzet van blockchain bij verkiezingen. Een zijdelings relevant aspect daarvan was deze kwestie: wie is de verwerkingsverantwoordelijke bij een blockchainsysteem, oftewel wie is onder de AVG aan te spreken op persoonsgegevens die verkeerd worden verwerkt in de blockchain?

De AVG gaat er vanuit dat bij verwerkingen van persoonsgegevens er uiteindelijk altijd iemand is die de eindbeslissing neemt over het waarom en hoe (doel en middelen). Deze partij is dan de verwerkingsverantwoordelijke en kan worden aangesproken op niet-naleving of gewoon uitoefening van rechten. Die constructie zou je achterhaald kunnen noemen als je kijkt naar (permissionless) blockchain: iedereen doet mee en iedereen stemt met één stem mee over de uitvoering, dus is er dan wel één partij die de eindverantwoordelijk draagt?

Toch denk ik dat de AVG niet zo achterhaald is als hier wordt gesteld. De AVG kent namelijk het concept van de gezamenlijke verwerkingsverantwoordelijken, twee of meer partijen die gezamenlijk de doeleinden en middelen van de verwerking bepalen (artikel 26). Hoe hun onderlinge relatie er dan precies uitziet, is niet van doorslaggevend belang. Het gaat erom dat er tezamen wordt besloten, zo gaan we het doen.

Die omschrijving past denk ik prima bij wat er in een blockchain gebeurt. Iedereen denkt mee en stemt mee. En je kunt kiezen een bepaalde fork niet te volgen, in het ergste geval. Daarmee ben je dus (een klein stukje) medeverantwoordelijk voor die blockchain.

Dat wordt dan in zoverre interessant dat de deelnemers dan een onderlinge overeenkomst moeten sluiten over hoe hun verdeling van taken en verantwoordelijkheden eruit zien. En minstens zo interessant, dat iedere betrokkene elke deelnemer voor nakoming van de AVG kan aanspreken (lid 3). Daarmee zou je dus een behoorlijk risico lopen als je deel gaat nemen aan zo’n open blockchain waar persoonsgegevens in geplaatst worden. Het voordeel daarvan zou voor mij zijn dat deelnemers dan niet al te snel zullen accepteren dat dit gebeurt, zo mag je dan hopen. AVG compliance in de blockchain?

Arnoud

Wat is nu echt het juridisch nut van de blockchain?

| AE 10520 | Innovatie | 10 reacties

De blockchain afserveren als een hype, het begint op zichzelf een hype te worden volgens mij. Maar ergens wel terecht: als iets ondertussen de oplossing voor alles begint te worden, dan moet je daar ook kritisch tegenover kunnen staan: wat is dan nu echt het nut van die blockchain? Het systeem is technisch zeer vernuftig en bitcoin was een heel goed idee, maar wie deze blog volgt weet dat ik de overige toepassingsgebieden niet perse nuttig vindt. En na deze rant wordt het tijd daar ook eens juridisch op te reflecteren.

Eerste en lastigste vraag is wat mensen nu precies bedoelen als ze “de blockchain” zeggen. De meest gehoorde omschrijving is dat het een gedistribueerd grootboek is, wat dan wordt gezegd alsof iedereen wel eens zo’n administratieve verzamelmap met documenten in de hand heeft gehad. Iets praktischer is “multiple copies of a giant Excel spreadsheet”, maar ik geef toe dat dat in je investeringspitch iets minder sjiek staat. Maar in de kern is het dat wel – een registratie van transacties, waarbij er niet één authentiek origineel is maar een hoop mensen elk een kopie hebben en middels consensus vaststellen of een nieuwe transactie klopt met de geregistreerde geschiedenis.

Er zit een heleboel technologie achter om dit te laten werken, vervalsingen tegen te houden en mensen te stimuleren hieraan mee te werken (zoals het minen of delven van bitcoins, in dat blockchainsysteem). Maar uiteindelijk gaat het daar niet om. De kern is dat je het idee van een centrale autoriteit of een authentiek origineel loslaat en in plaats daarvan consensus over de administratie haalt bij een grote groep mensen. Gedistribueerde consensus in plaats van autoriteit. Grote voordeel daarvan is dat die grote groep mensen veel lastiger (of eigenlijk onmogelijk) te manipuleren is om informatie aan te passen.

Nu is het natuurlijk een probleem dat registraties van van alles en nog wat aan te passen zijn als je niet uitkijkt. Foutjes worden overal gemaakt, en beheerders kun je omkopen, bedreigen en wat al niet meer. Het blockchainsysteem voorkomt dat inderdaad. Maar dan dringt zich de vraag op, is dat voordeel zo veel groter dat we over moeten stappen?

In de juridische wereld kennen we dat probleem natuurlijk al veel langer. En er zijn dan ook al lang oplossingen voor bedacht, zoals de notaris die als taak heeft als vertrouwde derde te fungeren. Als de notaris het zegt, dan is het waar (art. 156 Rechtsvordering). Idem voor bijvoorbeeld de constatering door een deurwaarder, of de registratie bij het Kadaster van perceelgrenzen. Natuurlijk zitten hier zwakke punten, in theorie is een notaris omkoopbaar of te foppen, maar dit is uiterst zeldzaam en vrijwel altijd te detecteren als het toch speelt. Het voelt dan wat zwaar om dat hele systeem af te schaffen.

Daar komt bij dat de blockchain net als elk nieuw systeem last heeft van het rewrite syndrome. Laten we het opnieuw bouwen, want het huidige systeem is rommelig, oud en zit vol met rare constructies waarvan we de helft niet snappen. Dit is een bekende reflex bij software-ontwikkelaars, en het is zeer begrijpelijk maar het probleem is dat dat oude systeem zo rommelig en raar is omdat het tien jaar aan bug fixes en ondersteuning voor randgevallen heeft meegekregen. Dat nieuwe systeem wordt dan strak en fris opgezet en blijkt vervolgens al die randgevallen en bugs niet te kunnen adresseren, wat dan de komende tien jaar weer allemaal opnieuw toegevoegd moet worden.

We hebben het hier dan over juridische randgevallen. Zaken waarover geen consensus is, moet je niet met een consensusmechanisme beslissen. Neem de situatie dat iemand met een ernstige ziekte een grote transactie doet. Het is goed denkbaar dat dat niet de bedoeling was, en dat die dus teruggedraaid moet worden. In het oude systeem ga je dan naar de rechter, die toetst aan redelijkheid, billijkheid en verwachtingen over en weer en hakt dan een knoop door. Zulk maatwerk krijg je niet in een blockchainsysteem geïmplementeerd. Dat systeem kent alleen de binaire optie dat het klopt en de optie dat het niet klopt.

Natuurlijk, dit is een randgeval en de overgrote meerderheid van de gevallen zijn prima te automatiseren. Maar als ik één ding heb geleerd van het recht, dan is het wel dat iedere situatie een uitzondering of randgeval kent en dat het recht al zesduizend jaar lang daar rekening mee probeert te houden. Dát lijkt me de grote uitdaging voor de blockchain.

Arnoud

Wie gaat er nou zijn NDA’s in de blockchain stoppen?

| AE 10422 | Innovatie | 7 reacties

Powered by AI and blockchain, het nieuwe boek van Willem Vermeend en Rian van Rijbroek? Nee, de tagline van het World NDA project van het Global Legal Blockchain Consortium, blockchainprovider Integra en AI-leverancier IBM. Het project heeft als doel “the reduction of burden, cost, and risk associated with the current NDA lifecycle”, wat kennelijk betekent dat je je geheimhoudingscontracten makkelijker beheert en overziet als je ze in de blockchain hangt. Voor mij is het duidelijk, de blockchain is nu écht een hype geworden.

Ik blijf het moeilijk door marketingreutel heen te komen, maar als ik het goed begrijp dan is het idee dat je metadata van je geheimhoudingscontracten (NDA’s) in de blockchain stopt, bijvoorbeeld de namen van partijen en de datum van tekenen. Dan kan daar achteraf geen discussie over zijn. Tevens stop je de NDA zelf in de AI van IBM, waarna die kan adviseren over hoe handig het was om die te tekenen. (“Welcome IBM, seriously” zegt NDA Lynn.)

Het kennelijke idee is dat je daar makkelijk informatie in terug kunt vinden en dat er geen discussie kan zijn over de vastgelegde zaken. Wat ik dus niet snap, is waarom dat een probleem is – ik ken weinig tot geen zaken waarbij de discussie was “hadden wij nou een NDA of niet” dan wel “stond mijn naam daar onder”. Het gaat eigenlijk altijd over de inhoud en scope – valt wat hier is gebeurd onder de NDA, en in hoeverre ben ik daar voor aansprakelijk.

En ja, het klopt dat vrijwel ieder bedrijf er een zootje van maakt in hoe ze met NDA’s omgaan. Veel meer dan andere contracten; waar een beetje service agreement nog wel netjes een approvaltraject doorgaat en wordt geadministreerd inclusief alert op het verlengmoment, heb je mazzel als iemand de getekende NDA nog terug kan vinden in zijn Sent Mail van drie jaar geleden. Het is immers een fire-and-forget documentje, je moet het tekenen en daarna kun je praten. Ik heb alleen serieuze twijfels bij het idee dat je het oplost door een nieuw administratief systeem. Als men het niet in het oude officiële systeem stopt, waarom dan wel in de AI Blockchain?

Het ligt vast aan mij maar ik begrijp niet hoe dit een oplossing is.

Arnoud

Kan de blockchain je makerschap en auteursrecht bewijzen?

| AE 9097 | Innovatie, Intellectuele rechten | 13 reacties

Een lezer vroeg me: Bewijzen dat je auteur bent van een werk, blijft een lastige. Nu zie ik mogelijkheden om dat in de blockchain vast te leggen. Hoe juridisch houdbaar zou dat zijn? De wet stelt geen eisen aan het bewijs dat je auteursrecht hebt. Bewijs mag met alle middelen worden geleverd (art. 152 Rechtsvordering)…. Lees verder

Betekent de #daohack het einde van slimme contracten?

| AE 8729 | Innovatie | 22 reacties

Vrijdagochtend bleek via de Ethereum-blockchain dat er ether (een soort bitcoins) weglekte van The DAO, waar mensen geld in stortten tijdens de crowdfundcampagne van deze organisatie. Dat meldde Tweakers dit weekend. The DAO is een systeem van slimme contracten op de blockchain van Ethereum, alleen daarin zat een fout waarmee een derde nu met dik… Lees verder