Säkerhetsblogg

Blockchain och GDPR – när möjligheter och utmaningar möts (och kanske till och med kolliderar)

Blockchain och GDPR möjligheter och utmaningar

Blockchain-teknologier bryter idag många invanda mönster, speciellt inom områden som valutor och betalningar. De involverar även ofta ett nätverk av individer, titta exempelvis på bitcoin och ethereum kryptovalutor. Eftersom de presenterar nya synsätt så måste man även analysera teknologierna ur nya perspektiv – ett är det legala. Det blir därför intressant att ta sig en närmare titt på Blockchain/GDPR-kombinationen, mer specifikt, hur Blockchain kommer att kunna stödja och respektera kraven om skydd av persondata.

Enligt prognoser som presenterades under förra World Economic Forum (WEC), kommer så mycket som 10% av världens BNP att komma från aktiviteter och tjänster som distribueras genom Blockchain år 2025. Detta scenario innebär att man förr eller senare kommer att omfattas av olika förordningar, och det som ligger närmast i tiden är GDPR (the European General Data Protection Regulation).

Så som det ser ut idag kommer den nya förordningen att ha en stor påverkan på minst tre områden av Blockchain.

  • Data som lagras i ett blockkedje-nätverk anses vara stöldsäkert och manipuleringssäkert, vilket innebär att man inte kan radera data efter att det har placerats i och distribuerats i en blockkedja.
  • En av grunderna i ett Blockchain-nätverk är att det distribueras, så kontrollen över data decentraliseras och delegeras till alla Blockchain-deltagare (t.ex. datautvinnare, som i vilket fall som helst inte skulle betraktas som DPO enligt GDPR).
  • Smarta kontrakt kommer att förlita sig på sina inbyggda automatiserade beslutsmekanismer vilket kan leda till rättstvister.

Som jag ser det, finns det dock två principer inom Blockchain, som faktiskt till stor del utgör grunden av Blockchain, som riskerar att krocka med GDPR.

  • Data som läggs in i blockkedjan är publikt och tillgängligt för alla som finns i kedjan
  • Data i blockkedjan lagras utan tidsbegränsning

Det är därför nödvändigt att förstå hur skydd av personuppgifter kan integreras i ett system som Blockchain där det finns stora dataflöden, och även hur man ska följa regler för datalagring då det kan lagras på obestämd tid.

Trots dessa utmaningar så kan Blockchain/GDPR-kombinationen även erbjuda intressanta möjligheter – till exempel ’’security by design’’, där man tar bort kopplingen mellan data och individuell identitet och därmed minimerar insamlad data (endast hantera det som är nödvändigt). Detta för att säkerhet och skydd i Blockchain säkerställs av:

  • Den publika nyckeln från avsändaren av transaktionen
  • Den publika nyckeln till mottagaren av transaktionen
  • En kryptografisk hash av innehållet i transaktionen
  • Datum och tid för transaktionen

Då blir det omöjligt att rekonstruera innehållet av en transaktion från en ensidig kryptografisk hash. Och såvida inte någon av parterna i transaktionen beslutar att länka en publik nyckel till en känd identitet, så är det generellt sätt inte möjligt att kartlägga och koppla transaktioner till individer eller organisationer. Detta betyder att även fast Blockchain är ’’public by design’’ (vem som helst kan se alla transaktioner), så är inga personuppgifter publika.

Vad som än sker i framtiden så är en sak säker, det finns många saker som måste åtgärdas – och det kommer att bli intressant att se hur! Någonting som ska bli extra intressant att se är: hur kommer Blockchain att ta itu med den rätt kantiga frågan ’’rätten att bli glömd’’, med tanke på att kedjan i grund och botten inte är modifierbar?

 

Här kan du läsa fler intressanta blogginlägg:

Smarta kontrakt och Blockchain

Betalning i realtid i Europa – racet för det kontantlösa samhället

GDPR – en förklaring av begreppen laglig grund och samtycke

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com