Fuldstændig compliance med den nye persondataforordning er for mange virksomheders vedkommende en udfordrende manøvre. Men for de virksomheder som arbejder med blockchain-teknologi kan GDPR trække endnu dybere panderynker.
Den nye persondataforordnings gennemsigtighed kan imidlertid have svært ved at samarbejde med blockchain-teknologiens krypterede data- og transaktionsbehandling. Og det kan være en udfordring for de virksomheder, der arbejder med blockchainteknologi, da stiller store krav til, at virksomhederne skaber systemer, der f.eks. kan verificere at afskaffelse af krypteringsnøgler er fuldstændig.
"Det her forhold er noget, der gør, at nye startups og virksomheder, der arbejder med blockchain, skal sikre sig, at de kan enten kan slette eller anonymisere oplysninger på blockchainen – og det kan være en svær øvelse, da det er meget forskelligt, hvilke oplysninger virksomhederne behandler og opbevarer, samt omfanget af data," siger Kirsten Petersen, advokatfuldmægtig og rådgiver ved Kammeradvokatens fintech-team.
Modsætninger mødes
I forhold til databehandling taler man bl.a. om CRUD og CRAB som to tilgange til behandling af data. I forhold til GDPR har man primært fokuseret på Create, Read, Update, Delete (CRUD), og ved blockchain anvender man typisk Create, Retrieve, Apend, Burn (CRAB). For at slutte cirklen her smider man sin krypteringsnøgle væk eller sletter den, men dataen på blockchainen er uforanderlig og kan ikke slettes.
Hvis du uigenkaldeligt smider nøglen til at identificere personerne væk, så oplysninger ikke kan ledes tilbage til enkeltpersoner, så svarer det til effektiv sletning
Ifølge Kirsten Petersen er der dog mulighed for at være compliant med f.eks. 'the right to be forgotten' i arbejdet med blockchain-teknologi, da komplet anonymisering, hvor det på ingen måde er muligt at identificere personerne, rent lovmæssigt godt kan sidestilles med fuldstændig sletning.
"Sletning kan løses på forskellige måder – effektiv sletning kan være umulig i blockchainsystemet, hvorimod fuldstændig anonymisering, hvor ingen nogensinde kan finde frem til rette personer, kan være en mulighed. Hvis du uigenkaldeligt smider nøglen til at identificere personerne væk, så oplysninger ikke kan ledes tilbage til enkeltpersoner, så svarer det til effektiv sletning – der er ikke længere tale om personoplysninger. Den klare betingelse må dog være, at denne ’udsmidning’ skal verificeres som værende fuldstændig og uigenkaldelig," siger Kirsten Petersen.