Hjem  »  Meninger  »  Blokkjeder og personvern (GDPR) – behov for avklaring

Blokkjeder og personvern (GDPR) – behov for avklaring

Mads Ribe
calendar 08,mars 2019

Blokkjeder har kommet for å bli. Desentraliserte databaser kan bidra til samfunnseffektivitet ved at dokumentasjon og transaksjoner kan deles åpent og effektivt mellom deltakere. Blokkjedens natur som et digitalt bokføringssystem der data og transaksjoner i utgangspunktet ikke kan endres eller slettes, kan virke uforenlig med noen av kravene i personvernforordningen (GDPR). Her er det behov for proaktive myndigheter for å sikre forutsigbare spilleregler og rammevilkår.

GDPR medfører plikter for virksomheter som behandler personopplysninger, samtidig som de registrerte får større rettigheter. De fleste er enige om at personopplysninger lagres tryggere ved å bruke blokkjedeteknologi som bindeledd mellom enkeltstående databaser. Dette reiser spørsmålet; Hvordan kan vi sikre oss at det beste ikke blir det godes fiende?

Myndighetene avventende

Den største utfordringen for selskaper som bruker blokkjedeteknologi er skalering og masse-adopsjon. Myndighetene sitter på nøkkelen til å forme industrien, men preges av passivitet i påvente av avklaring fra EUs ulike organer. Dette skaper et vakuum mellom de norske teknologiaktørene som ønsker å opptre ryddig og avventende myndigheter.

Mange vil hevde dette er klokt – hvorfor skal norske myndigheter forsøke å regulere internasjonale utfordringer og global teknologi? Samtidig ser vi at andre stater, som bl.a. Canada, Frankrike og Sveits, er fremoverlente og innhenter kunnskap fra industrien gjennom høringer og «regulatoriske sandkasser» der selskaper kan teste ny teknologi under tilsyn.

Norske myndigheters avventende holdning kan være i endring. Finansdepartementet ga i november 2018 Finanstilsynet i oppdrag å etablere en slik regulatorisk sandkasse for fintech i løpet av 2019. Videre ble EUs femte hvitvaskingsdirektiv nylig implementert i Norge, som inkluderer bestemmelser knyttet til «virtuell valuta» for digitale lommebøker og vekslingstjenester. Oppdatering av hvitvaskingsloven er første snev av regulering innen desentralisert teknologi. Dette er positivt, men på personvernområdet er norske myndigheter ikke like fremoverlente.

Problemet

GDPR kan ved første øyekast virke uforenlig med egenskapene til en blokkjede. Dette gjelder bl.a. utøvelse av rett og plikt til sletting av personopplysninger, identifikasjon av behandlingsansvarlig og databehandler, samt plassering av ansvar.

Utfordringer ved ny teknologi som fortsatt er i støpeskjeen, betyr ikke at vi må si nei til teknologien. I stedet må man være åpen for diskusjoner, finne gode løsninger og utforme retningslinjer. Kanskje er det ikke nødvendig å lagre personopplysninger på selve blokkjeden, men likevel kan bruke dens sikre krypteringsteknologi for å få tilgang til dataene lagret på enkeltstående databaser?

Ny teknologi gir mange muligheter. Åpne diskusjoner vil forme utviklingen i riktig retning. Datatilsynet er klar over utfordringene knyttet til personvern og blokkjeder, men har hittil ikke uttalt seg offentlig om problemstillingen. De ønsker ikke å kommunisere egne synspunkter før EU gir føringer.

Dette skaper usikkerhet. Vi opplever at aktører som ønsker å etterleve reglene, verken får veiledning eller signaler fra «myndighetene». Dette er en uholdbar situasjon for selskaper som ønsker å utvikle anvendelsesområdet for teknologien i riktig retning. Usikkerheten medfører at dine og mine personopplysninger ikke lagres med «state-of-the-art» krypteringsteknologi. Samtidig løper norske blokkjede-selskaper stor fremtidsrisiko, både økonomisk og omdømmemessig.

Internasjonal utvikling

EU Kommisjonens Blockchain Observatory and Forum og det franske datatilsynet har publisert statusrapporter om problemstillingen. Det er konsensus om at blokkjede-teknologi er en verdifull infrastruktur, men at GDPR-utfordringene må løses.

I den forbindelse løfter EUs forum opp følgende spørsmål til diskusjon; Er det nødvendig å bruke blokkjede-teknologi for behandling av personopplysninger? Kan dataene anonymiseres? Finnes det tilstrekkelige krypteringsteknikker? Kan en privat blokkjede med tilgangskontroll være tilstrekkelig?

Som støttespiller for selskaper i blokkjede-bransjen etterlyser vi i EY åpne diskusjoner om tematikken og et proaktivt Datatilsyn i Norge. Som andre fremoverlente land, må vi i Norge samle teknologiselskaper og myndighetene for å finne gode løsninger sammen.

Mads Ribe er advokat i EY Law og arbeider med teknologi og blokkjedeselskaper. I 2016 tok han en MBA med bl.a. anvendelse av blokkjede-teknologi i business modeller.

Synne Hjetland Løland er advokat i EY Law og arbeider med personvern for både teknologiselskaper og blokkjedeselskaper.

Back