Hoe verhoudt de AVG zich tot de (permissionless) blockchain?

| AE 10678 | Innovatie, Privacy | 2 reacties

Interessante kwestie opgeworpen op Twitter:

Verwerkingen zonder verantwoordelijke(n) zijn niet te vatten in door technologie alweer ingehaalde Avg. Permissionless blockchain verbieden? Avg n.v.t. verklaren? Beide zullen niet werken terwijl fundamentele rechten en vrijheden in het geding zijn. #spannend @toezicht_AP

De context was het rapport Het gebruik van blockchaintechnologie in het verkiezingsproces dat recent verscheen. Hierin werd -grof samengevat- negatief geadviseerd over de inzet van blockchain bij verkiezingen. Een zijdelings relevant aspect daarvan was deze kwestie: wie is de verwerkingsverantwoordelijke bij een blockchainsysteem, oftewel wie is onder de AVG aan te spreken op persoonsgegevens die verkeerd worden verwerkt in de blockchain?

De AVG gaat er vanuit dat bij verwerkingen van persoonsgegevens er uiteindelijk altijd iemand is die de eindbeslissing neemt over het waarom en hoe (doel en middelen). Deze partij is dan de verwerkingsverantwoordelijke en kan worden aangesproken op niet-naleving of gewoon uitoefening van rechten. Die constructie zou je achterhaald kunnen noemen als je kijkt naar (permissionless) blockchain: iedereen doet mee en iedereen stemt met één stem mee over de uitvoering, dus is er dan wel één partij die de eindverantwoordelijk draagt?

Toch denk ik dat de AVG niet zo achterhaald is als hier wordt gesteld. De AVG kent namelijk het concept van de gezamenlijke verwerkingsverantwoordelijken, twee of meer partijen die gezamenlijk de doeleinden en middelen van de verwerking bepalen (artikel 26). Hoe hun onderlinge relatie er dan precies uitziet, is niet van doorslaggevend belang. Het gaat erom dat er tezamen wordt besloten, zo gaan we het doen.

Die omschrijving past denk ik prima bij wat er in een blockchain gebeurt. Iedereen denkt mee en stemt mee. En je kunt kiezen een bepaalde fork niet te volgen, in het ergste geval. Daarmee ben je dus (een klein stukje) medeverantwoordelijk voor die blockchain.

Dat wordt dan in zoverre interessant dat de deelnemers dan een onderlinge overeenkomst moeten sluiten over hoe hun verdeling van taken en verantwoordelijkheden eruit zien. En minstens zo interessant, dat iedere betrokkene elke deelnemer voor nakoming van de AVG kan aanspreken (lid 3). Daarmee zou je dus een behoorlijk risico lopen als je deel gaat nemen aan zo’n open blockchain waar persoonsgegevens in geplaatst worden. Het voordeel daarvan zou voor mij zijn dat deelnemers dan niet al te snel zullen accepteren dat dit gebeurt, zo mag je dan hopen. AVG compliance in de blockchain?

Arnoud

Beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking

| AE 10651 | Privacy, Uitingsvrijheid | 11 reacties

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk aansprakelijk zijn voor de gehéle verwerking. Was deze blog kort door de bocht, dan ware de conclusie dat iedere Facebookpaginabeheerder dus aansprakelijk is voor wat Facebook doet met gegevens van groepsgenoten. Auw.

De uitspraak (zaak ECLI:EU:C:2018:388) was onder de Richtlijn (en wat wij de Wbp zouden noemen) maar de begrippen zijn onder de AVG hetzelfde, zodat de uitspraak nog steeds van belang is. En uit de feiten maak ik op dat het om de zogeheten fanpagina’s gaat, waarbij je als beheerder bepaalde statistieken te zien krijgt over je bezoekers, waarbij onder meer cookies worden ingezet die tot personen te herleiden zijn.

Een Duitse toezichthouder had een beheerder van zo’n pagina aangesproken op haar plicht bepaalde gegevens te verwijderen, maar die weigerde dat omdat niet zij maar Facebook verantwoordelijk zou zijn hiervoor. Dat leidde tot een rechtszaak die nu bij het Hof van Justitie uitkwam. En die concludeert niet verrassend dat primair Facebook de verantwoordelijke is, omdat Facebook bepaalt hoe haar platform werkt en wat er mogelijk is.

Wél verrassend is dat zij ook de beheerder van zo’n pagina aanmerkt als (mede-)verantwoordelijke. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen.

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

Arnoud