GDPR + Blockchain + UX = Self-Sovereignty

Zowel wetgeving (GDPR) als de doorbraak van nieuwe technologie (Blockchain) sturen aan op een fundamentele verandering in hoe we met persoonsgegevens omgaan. Privacy en  bescherming van persoonsgegevens vormen nu al een flinke kopzorg voor digitale dienstverleners. In mei 2018 draait de Europese Unie de duimschroeven nog een flink stuk strakker, want dan treedt de General Data Protection Regulation (GDPR) in werking.

Deze wet schrijft voor hoe bedrijven met persoonsgegevens om moeten gaan. De consequenties reiken ver en raken het totale digitale economische verkeer in het hart. Maar de nieuwe regels maken een andere benadering rondom persoonsgegevens. Het zet aan tot een toekomstvisie waarin gebruikers zelf hun persoonsgegevens beheren. Self-Sovereign Identity, met dank aan Blockchain technologie. Klinkt dit als vage toekomstmuziek? Nee, het is zeer reëel en er wordt al mee getest.

Voor iedereen die met persoonsgegevens werkt verandert er behoorlijk wat. Elke online dienstverlener die persoonsgegevens verwerkt, ook als het gaat om het maken van een boeking (airline), het doen van een aankoop (e-commerce) of het afsluiten van een online dienst (bijvoorbeeld Netflix) valt per mei 2018 onder het bereik van de GDPR. Niet alleen zijn de veranderingen diepgaand, ze zullen ook met kracht nageleefd worden: zwaardere schendingen worden bestraft met boetes tot 4% van de jaaromzet of 20 miljoen Euro. Maar net wat tot de grootste boete leidt.

Wat staat er eigenlijk in de GDPR en voor wie geldt dit? En: is de huidige manier waarop we omgaan met persoonsgegevens wel houdbaar?

De algemene strekking GDPR (en de belangrijkste regels)

Voordat we de inhoudelijke regels van GDPR op een rij zetten eerst de korte strekking: de nieuwe regels zijn niet alleen ontworpen om de bescherming en privacy van persoonsgegevens te verbeteren, ze hebben ook als doel om de controle over persoonsgegevens terug te geven aan het individu. “Niet alleen wil de wetgever de bescherming en privacy van persoonsgegevens verbeteren, ze heeft ook als doel om de controle over persoonsgegevens terug te geven aan het individu.”

Inhoudelijk brengt de GDPR eigenlijk niet schokkend veel nieuws. Ze scherpt een aantal bestaande regels aan, creëert meer rechten voor burgers en ze vergroot de verantwoordelijkheden die verwerkers van persoonsgegevens dragen. Zo benadrukt ze nogmaals dat er een rechtmatige grondslag moet zijn voor het gebruik van data. En ze verscherpt een aantal bestaande regels.

Maar de grootste impact van de GDPR komt voort uit haar brede toepasbaarheid: de GDPR is van kracht op iedereen die persoonsgegevens van Europese burgers verwerkt, ook als het bedrijf zelf buiten de EU is gevestigd. Kortom: geen bedrijf dat actief is in Europa kan om de GDPR heen. Daar komt bij: door de enorme impact die de boetes kunnen maken is privacy niet langer een IT-kwestie meer maar een bedrijf kritisch thema waar menig boardroom zich mee bemoeit.

Een aantal belangrijke regels die de GDPR oplegt of aanscherpt:
→ Recht op toegang: de nieuwe regels stellen dat elk individu het recht heeft te begrijpen wie er toegang heeft tot zijn/haar data, welke data er wordt verwerkt en hoe en waarvoor deze data wordt gebruikt. Bovendien moet elk individu een kopie kunnen krijgen van de alle digitale informatie die wordt gebruikt/verwerkt.

→ Recht om vergeten te worden: Dit betekent dat elke individu bij elke derde partij die persoonsgegevens gebruikt kan eisen dat al zijn/haar data wordt verwijderd.

→ Recht op draagbaarheid: elke gebruiker heeft het recht zijn/haar data op te vragen in een vast format en om te eisen dat organisaties op het verzoek van de gebruiker onderling data kunnen uitwisselen.

→ Recht op Data Minimization: in het kort, de GDPR legt organisaties op dat ze de absolute minimale hoeveelheid data opvragen en verwerken die voor een bepaalde handeling nodig is. Verder stelt de GDPR stevige eisen aan welke maatregelen organisaties moeten treffen om de bescherming van opgeslagen persoonsgegevens te waarborgen, waaronder het aannemen of inhuren van een data protection officer. Een goed en bondig overzicht vind je hier.

Kijkend naar het totaal van het aantal nieuwe verantwoordelijkheden dat de wetgever oplegt verwerkers van persoonsgegevens en de enorme dreiging die de reusachtige boetes dat bedrijven de kop kan kosten. Hier rijst meteen de vraag: gaat de GDPR een verandering in beweging zetten? Een verandering waarin niet derden organisaties verantwoordelijk zijn voor de verwerking van persoonsgegevens maar dat wij dat allemaal als gebruikers zelf doen?

‘Naast de brede toepassing (van kracht voor iedereen die persoonsgegevens van Europese burgers verwerkt) en de stevige boetes die aan de GDPR aan verbonden zijn is het meest spannende aan de GDPR dat ze ‘privacy by design’ vraagt van organisaties. Neem bijvoorbeeld het recht op data portabiliteit (dat individuen altijd al hun opgeslagen persoonsgegevens kunnen opvragen). De regel klinkt eenvoudig. Maar zeker voor bedrijven met verouderde systemen zal het een flinke uitdaging blijken dit technisch waar te maken. Met de komst van de GDPR en het principe van ‘privacy by default’ kunnen organisaties zich niet langer verschuilen achter het argument dat ze technisch niet in staat zijn in lijn met de regelgeving te handelen.

Vita Zwaan, advocaat & lead Privacy Team Bureau Brandeis

De visie op hoe het moet: Self-Sovereign identity

Het eenvoudige gevolg van de sterke aanscherping (en de stevige boetes) is dat de kosten-baten afweging voor bedrijven om persoonsgegevens op te vragen en te gebruiken verschuift. Van het actief najagen en maximaliseren van de hoeveelheid persoonsgegevens is de nieuwe prikkel juist om zo min mogelijk privacygevoelige informatie verzamelen (en deze zo snel mogelijk weer te verwijderen). Want: minder gegevens opslaan is minder risico.

Maar tegelijkertijd is een soepele uitwisseling van persoonsgegevens als zuurstof voor een soepel werkende digitale
economie. De vraag is: als wetgeving het voor derden organisaties eenvoudigweg te risicovol maakt om persoonsgegevens op te slaan, hoe zorgen we dan voor de broodnodige soepele uitwisseling van data?

Dit probleem vraagt om een nieuw paradigma: een andere manier van denken waarin het rentmeesterschap van d persoonsgegevens niet ligt bij de ‘verwerker’ (de derden partij) maar bij het individu.

“Self-sovereignty: persoonsgegevens worden niet langer opgeslagen in databases van derden maar gebruikers slaan zelf hun eigen data op en bepalen zelf wie ze hier toegang tot verlenen.”

Precies deze logica leidt tot het principe van ‘Self-Sovereignty’. De gedachte is simpel: persoonsgegevens worden niet langer opgeslagen in databases van derden maar gebruikers slaan zelf hun eigen data op en bepalen zelf wie ze hier toegang tot verlenen. Dat klinkt misschien wat dromerig. Maar: het is precies hoe we altijd al toegang tot onze niet-digitale persoonsgegevens beheren. Ik heb als individu mijn paspoort en bepaal als gebruiker aan wie ik het laat zien. Het simpele feit dat ik als gebruiker daarmee de controle heb heeft vele voordelen tov centrale databases van derden, zowel op ethisch vlak als omwille van veiligheid.

Self-sovereignty Zelf soevereine controle over je eigen persoonsgegevens. Wie kan hier nu tegen zijn? Maar de grote vraag is: hoe?

Om als ‘gewone’ persoon mijn digitale persoonsgegevens te kunnen beheren moet ik niet alleen zelf toegang tot mijn data hebben, bovendien moet ik derden toegang kunnen geven (en ontnemen). En als klapper op de vuurpijl: derden moeten kunnen vertrouwen op de betrouwbaarheid ervan en er aan bijdragen. Dit is nogal wat.

Het beoogde wondermiddel: De Blockchain

Een manier om dit probleem op te lossen is met behulp van een gedecentraliseerde infrastructuur. Of in gewone woorden: een database die niet van één eigenaar is, waarvan de inhoud van de gebruikers zelf wordt beheerd maar waar derden partijen op kunnen vertrouwen. Dat klinkt utopisch maar laat het nou precies zijn wat Blockchain doet.

Wat is dan Blockchain? In het kort: het is een de gedistribueerde database technologie die de drijvende kracht achter de Bitcoin vormt. Zie het als een kasboek waar iedereen in kan schrijven maar wat toch beschermd is tegen fraude of het verwijderen van data. En: niemand is de eigenaar van het kasboek. De gedachte achter Blockchain is decentralisatie’: de toegang tot de informatie opgeslagen in de database niet wordt gecontroleerd door één centrale partij. Maar ondanks dat iedereen toegang heeft blijft de inhoudelijke betrouwbaarheid van de opgeslagen data gewaarborgd (met dank aan een hoop ingewikkelde cryptografische wiskunde).

Met Bitcoin heeft de Blockchaintechnologie zich bewezen. Maar kenners zijn het er over eens: de potentiële toepassing van Blockchain gaat veel verder dan alleen de Bitcoin. Want:

• Een blockchain is van niemand: derden partijen (zoals bijv een bank) zijn niet langer verantwoordelijk voor de beveiliging van opgeslagen persoonsgegevens.

• Een blockchain is transparant en toegankelijk: meerdere gebruikers kunnen data opslaan

• Blockchain is veilig: de techniek maakt fraude onmogelijk.

En dus wordt er in vele sectoren druk geëxperimenteerd met andere use cases van deze revolutionaire technologie, waaronder het vraagstuk van persoonsgegevens. TNO experimenteert al (samen met o.a. Rabobank, Kvk en Volksbank) met hoe Blockchain in te zetten om de visie op ‘self-managed identities’ daadwerkelijk te laten werken.

Hoe het moet gaan werken: Individuen verzamelen zelf hun persoonsgegevens, laten bepaalde gegevens eventueel ‘waarmerken’ (door bijv de gemeente). Vervolgens kunnen personen hun gegeven gebruiken bij het aangaan van digitale transacties met derden partijen. Of dat nou het openen van een bankrekening of het reserveren van een huurauto is. De verhuurder vraagt toegang tot de gegevens die ze nodig hebben voor het verhuren van een auto, de persoon bepaald of de autoverhuurder toegang krijgt. Beide partijen kunnen erop vertrouwen dat de gegevens inhoudelijk kloppen. En niet stiekem ergens anders voor worden gebruikt.

‘Zoals het internet digitale uitwisseling van informatie mogelijk heeft gemaakt zo maakt Blockchaintechnologie de uitwisseling van digitaal vertrouwen mogelijk. Tijdens de opkomst van het internet voorzag niemand toepassingen als bijvoorbeeld WhatsApp. Het is onze stellige overtuiging dat we de toekomstige toepassingen van Blockchain en de mogelijkheden van digital vertrouwen niet kunnen bevroeden maar de maatschappelijk impact zal erg groot zijn. Reden genoeg voor ons en onze partners in Techruption in Heerlen en de Nationele Blockchain Coalitie om er de afgelopen 8 maanden al volop mee te experimenteren. Maar om het volle potentieel van Blockchain aan te kunnen boren is het een noodzakelijke voorwaarde dat gebruikers onderling met zekerheid kunnen vertrouwen op elkaars identiteit. Self-sovereign wallets, waarin je zelf je eigen digitale identiteit middels encryptie sleutels opslaat, zijn daarvoor cruciaal. Het wordt nog een hele strijd om alle betrokken stakeholders (burgers / overheid / bedrijfsleven) mee te krijgen in deze ’shift’, zeker ook omdat bedrijven momenteel veel waarde onttrekken uit het zoveel mogelijk verzamelen, opslaan en verwerken van persoonsgegevens. Met de strenge regelgeving van de GDPR komen de belangen van burgers, overheid en bedrijfsleven mogelijk meer met elkaar in lijn. Dat zou de omslag wel eens ten goede kunnen komen.”
Egbert Jan Sol, TNO

Alleen design kan de droom van Self Sovereign Identity waarmaken

De gedachte dat we anders met persoonsgegevens om zouden moeten gaan dan we nu doen is niet nieuw. Maar een echte omslag naar nieuwe standaarden kent zoveel belanghebbenden dat echte verandering moeilijk blijkt. Grote omslagen hebben zowel een ‘stok’ en een ‘wortel’ nodig: er moet sprake zijn van urgente noodzaak én er moet een mogelijke oplossing beschikbaar zijn. Nu is daar de ‘stok’: de GDPR met haar strenge regels en forse boetes. En ook een wortel: Blockchain technologie die mogelijk een werkbare oplossing biedt. Samen kunnen ze zorgen in een omslag in het denken en werken met persoonsgegevens:

• Voor bedrijven: minder kosten en risico’s rondom inbraak en diefstal van persoonsgegevens (maar wel: makkelijk uitwisseling van data met klanten voor soepele economisch verkeer)

• Voor overheden: meer onderling vertrouwen en verbeterde beveiliging

• Voor individuen: transparantie & controle zonder gebruiksgemak in te leveren

Als het verleden ons een ding leert is dat grote nieuwe oplossingen alleen op grote schaal worden omarmd als de oplossing voor individuele gebruikers extreem begrijpelijk en makkelijk in het gebruik is. Dus een grote vraag is: wat is dan de gebruikservaring van mijn Self-Sovereign Identity’? Hoe geef ik derden dan toegang tot mijn data? Heb ik een app waarin ik de verzoeken van mijn bank, of de airline waar ik een ticket boek zie binnenkomen? Hoe kunnen derden partijen mijn persoonsgegevens verrijken en valideren?

Terwijl Blockchain technologie op de achtergrond zorgt dat persoonsgegevens veilig, zeker en zonder gevaar voor machtsmisbruik kunnen worden gedeeld zal het gewone burgers een zorg zijn hoe dit gebeurd. Voor een gewone gebruiker is het enige dat telt: snap ik het, werkt het makkelijk en kan ik vertrouwen op de veiligheid.

Door privacy-regelgeving opgelegde oplossingen die onvoldoende rekening houden met gebruiksvriendelijkheid zijn gedoemd te mislukken. Dit is de grote en cruciale design uitdaging waar we voor staan: hoe trekken we self-managed identity uit het technische domein en geven we het een menselijke smoel. In andere woorden: hoe maken we het zo makkelijk en intuïtief als je paspoort laten zien bij de douane?

Met de komende inwerkingtreding van de GDPR is de prikkel voor het bedrijfsleven om te veranderen enorm toegenomen. En: met Blockchain dient een fantastische technische mogelijkheid zich aan. Als we nu ook een menselijke gebruikservaring kunnen ontwikkelen dan is de tijd misschien echt rijp voor een prachtige stap in de ontwikkeling van de digitale economie.