De European Data Protection Board (EDPB) heeft nieuwe richtlijnen gepubliceerd over het gebruik van blockchaintechnologie in relatie tot de bescherming van persoonsgegevens. De EDPB, waarin alle Europese privacytoezichthouders samenwerken, wil hiermee organisaties helpen om op een verantwoorde manier met persoonsgegevens om te gaan wanneer zij blockchaintechnologie inzetten.

In de richtlijnen wordt uitgelegd hoe blockchains technisch werken en welke keuzes er zijn in het ontwerp ervan. Ook wordt aandacht besteed aan de juridische en praktische gevolgen van het verwerken van persoonsgegevens binnen deze technologie. Een belangrijk uitgangspunt is dat organisaties al in de ontwerpfase van een blockchain moeten nadenken over privacy, een principe dat bekendstaat als privacy by design. Het zorgvuldig omgaan met persoonsgegevens moet vanaf het begin geïntegreerd zijn in de technologie.

Data protection impact assessment
Voordat organisaties persoonsgegevens verwerken via blockchain, moeten zij eerst onderzoeken of dit een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Is dat het geval, dan is het uitvoeren van een data protection impact assessment (DPIA) verplicht. Daarbij is het van belang om zo min mogelijk persoonsgegevens vast te leggen en om goed te beoordelen of betrokkenen hun privacyrechten kunnen uitoefenen. Dat geldt onder meer voor het recht op inzage of het recht op correctie van gegevens. Wanneer het technisch niet haalbaar is om bepaalde rechten te garanderen, zoals het recht om gegevens te laten verwijderen, raadt de EDPB aan om alternatieve beschermingsmaatregelen te overwegen. Denk aan het anonimiseren van gegevens of het gebruik van andere technieken dan blockchain.

De richtlijnen zijn nog in conceptvorm. Tot en met 9 juni 2025 kunnen belangstellenden via de website van de EDPB reageren. Daarna wordt de definitieve versie vastgesteld. De Autoriteit Persoonsgegevens maakt als toezichthouder deel uit van de EDPB.