Eric De Wilde – 21 juni 2021
Intussen kennen de meeste mensen Bitcoin. Het gaat over een virtuele munt die niet door een overheid wordt uitgegeven en ook niet gekoppeld is aan officiële valuta. Wel wordt Bitcoin ondertussen op grote schaal aanvaard als ruilmiddel. Toch roept de munt nog heel wat vragen op. Houdt de Bitcoin zijn waarde? Is het veilig? En is het verstandig om erin te beleggen?
Daarnaast gaat men er doorgaans vanuit dat Bitcoin anonimiteit garandeert met andere woorden dat er geen persoonsgegevens in verwerkt worden die toelaten gebruikers te identificeren. Maar is dat wel zo? Bitcoin zelf heeft de claim dat het geen persoonsgegevens verwerkt al aardig genuanceerd. In deze bijdrage zullen we uitleggen waarom deze stelling toch met een korrel zout moet worden genomen en wat dit betekent voor deze virtuele munt in termen van data protection.
Bitcoin maakt gebruik van blockchain
Om te weten hoe anoniem Bitcoin is, moeten we eerst weten hoe Bitcoin werkt. Bitcoin maakt gebruik van de blockchain-technologie. Een blockchain is eenvoudig uitgedrukt een digitale aaneenschakeling (ketting) van blokjes informatie.
Om blokjes informatie aan elkaar te rijgen, gaat men eerst op zoek naar het laatste blokje informatie in de ketting. En dit laatste stukje gaat men combineren met het nieuw stukje informatie dat moet worden toegevoegd. Het combineren van de twee stukjes informatie gebeurt door de techniek van ‘hashing’. Hoe dit precies werkt wordt op deze website uitgelegd. Door twee stukjes informatie te hashen, ontstaat er één nieuwe hash die zowel het laatste als het nieuwe stukje bevat. Door op die manier nieuwe stukjes te combineren met het laatste stukje in de ketting groeit de ketting aan en dus de gegevens die deze bevat.
Alle deelnemers aan de blockchain ontvangen een kopie van de ketting. Wordt een nieuw stukje informatie toegevoegd dan zal iedere deelnemer controleren of het nieuwe stukje informatie correct werd toegevoegd met andere woorden of het wel degelijk gaat over de ketting waarvan men al een kopie had (en waaraan dan één stukje nieuwe informatie is toegevoegd). Op die manier houdt iedereen toezicht dat informatie correct wordt toegevoegd.
Eens gecontroleerd door alle deelnemers wordt ook de laatste hash onveranderlijk. Een op deze manier gevormde blockchain kan dus niet gewijzigd worden noch gemanipuleerd. Wil men frauderen (bv: een transactie uit het verleden wijzigingen) dan leidt dit tot een andere ketting waardoor de fraude onmiddellijk door de andere leden wordt opgemerkt.
Spreken we nu over Bitcoin dan bestaat de blockchain (de ketting) uit een aaneenrijging van overschrijvingen waarbij virtuele Bitcoin wordt overgeschreven van de ene Bitcoin-rekening naar de andere. Daarnaast is het zo dat, om fraude tegen te gaan, niet iedereen zomaar stukjes informatie aan de ketting mag toevoegen. Bitcoin hanteert hiervoor een ‘proof-of-work’-systeem. Dit houdt in dat enkel spelers die bereid zijn te investeren in zware computerrekenkracht stukjes informatie mogen toevoegen. In ruil voor hun investering krijgen zij een vorm van transactievergoeding in Bitcoin. Op die manier ontstaan nieuwe Bitcoins.
Welke (onveranderlijke) gegevens bevat een Bitcoin blockchain?
Op het eerste zicht lijkt Bitcoin eerder anoniem. Het enige wat alle deelnemers aan de Bitcoin-ketting kunnen zien, is een Bitcoinadres (te vergelijken met een soort Bitcoin-rekening, die onder de digitale wallet van de houder valt), de hoeveelheid Bitcoin, de transacties en dus de tegenpartijen. Nochtans is de identiteit achter deze gegevens voor computerexperts doorgaans gemakkelijk te achterhalen.
Stel: ik beschik over de rekeninguittreksels van alle inwoners van een dorp. Alleen hun naam en adres is onzichtbaar. Toch kan het niet moeilijk zijn bepaalde mensen snel te identificeren. De grootste en kleinste vermogens springen in het oog. Daarnaast is te zien iets wordt gekocht, voor welk bedrag en bij welke winkel. Zodra ik vertrouwd ben met het cliënteel van een bepaalde winkel is het niet meer moeilijk de rekeningnummers van de personen op te sporen. Op dezelfde manier zijn experts er al in geslaagd de identiteit van verschillende blockchain-nummers te ontmaskeren. Het probleem werd al opgepikt in wetenschappelijke publicaties.
Wat dus met onze privacy?
Moesten Bitcoin-gebruikers inderdaad geïdentificeerd kunnen worden dan betekent dit dat het gaat over persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG). Deze gegevens en hun titularissen-natuurlijke personen vallen dan onder de bescherming van de AVG.
Vervolgens rijzen verschillende vragen:
1. Wie moet men aanspreken en voor welk stukje van de verwerking? In principe is dit eenieder die een transactie toevoegt en/of een kopie ontvangt van de blockchain. Maar wat bijvoorbeeld met providers van de onderliggende software en de transactie-verwerkers?
2. Wat met de principes van minimale gegevensverwerking en opslagbeperking (art. 5.1., c en e AVG)? Iedere speler die nieuwe transacties toevoegt aan de blockchain ontvangt namelijk een kopie van het volledige Bitcoin-grootboek dat alle transacties bevat sinds het ontstaan van de blockchain. En wat met het recht op wissing en verbetering (art. 17 en 18 AVG)? We hebben gezien dat de Bitcoin-ketting onveranderlijk is.
Dat iedere speler het volledige Bitcoin-grootboek ontvangt, staat verder op gespannen voet met de principes van minimale gegevensverwerking (artikel 5.1, c) en opslagbeperking (art. 5.1., e). Ook hebben we gezien dat de Bitcoin-ketting onveranderlijk is.
3. Wat dan met de rechten op verbetering en wissing (art. 16 en 17 AVG)? We hebben immers gezien dat de Bitcoin-ketting onveranderlijk is.
Een (halve) oplossing zou erin kunnen bestaan op geregelde tijdstippen een deel van de oudere Bitcoin-ketting te wissen. Ook zou men op regelmatige tijdstippen een reeks transacties kunnen groeperen tot één transactie waarbij de inhoud van iedere individuele transactie niet meer te achterhalen is.
Een andere optie kan erin bestaan om een centrale regulerende autoriteit in te schakelen die de taak van verwerkingsverantwoordelijke voor een deel op zich neemt. Aldus zouden betrokkenen weten bij wie ze moeten aankloppen om hun recht op wissing en verbetering uit te oefenen. Deze autoriteit zou bijvoorbeeld ook kunnen tussenkomen bij frauduleuze transacties zoals diefstal van de private sleutel voor ondertekening van Bitcointransacties. Een dergelijke autoriteit bestaat niet voor Bitcoin. Want … laat dat nu net de sterkte zijn van het Bitcoin-systeem zijn: het houdt de transactiekosten laag.
In een studie van juli 2019 besluit het Europees Parlement dat blockchain-technologie niet per se onverzoenbaar is met de AVG. Deze studie spreekt zich uit over blockchain in het algemeen. Voor Bitcoin ligt het volgens mij anders: Bitcoin verspreidt immers gevoelige (financiële) gegevens op grote schaal. Het laatste woord lijkt hierover nog niet gezegd. Want zeg nu zelf: zou U het fijn vinden wanneer plots uw banktransacties openbaar zouden worden (of minstens achterhaald kunnen worden dat het de uwe zijn)?
