blockchain
BLOGGPOST
CYBER SECURITY

"Blockchain och GDPR – 2 kompisar men ändå inte"

Vår Cyber Security- och GDPR-expert Robert Willborg känner sig som Harry Potter och delar sina tankar kring Blockchain vs GDPR.

Jag som jobbar med säkerhet i en bransch där man ständigt kommer med nya ord som man dels måste förstå och dels sätta in i ett större kontext i mitt eget lilla skrå – cybersäkerhet (själv föredrar jag digital säkerhet). Man känner sig onekligen som Harry Potter i sin lilla skubb under trappan många gånger. Dels för att företagen, kunder som internt, sällan vet vad det är man gör och dels för att man varje dag, likt Harry, får möta en nyare digital värld som om den vore av magi.

Och min värld är magisk, fylld av möjligheter och utmaningar. Den nyaste är just blockchain i relation till GDPR. Även om jag, expert inom GPDR, stundtals känner en lätt metallisk smak i munnen som efter ett maratonpass på gymmet då GDPR kommer på tal så fylls jag av frustration. Frustrationen består i det jag vetat länge men företag nu verkar vakna upp till i elfte timmen – GDPR kommer drabba många och hårt. Blockchain är bara ett ytterligare lager på utmaningarna och många gånger i motsatts till GDPR då lagen tillämpas till Blockchain

Denna artikel syftar till att belysa utmaningarna med GDPR applicerat på Blockchain

Vad är Blockchain

Denna teknik utgör grunden för det som blev bitcoin – en grund för elektronisk valuta. Där det finns valuta finns personliga uppgifter som enligt GDPR skall skyddas. Det finns även lagar och regulatoriska förhållningsregler inom finansiella sektorn som ställer högre krav än GDPR på skydd.

Många delar av den finansiella sektorn ser just blockchain tekniken som något av framtiden inom transaktioner på ett säkert sätt. Rent tekniskt högst generellt är det data som lagras i olika block (därav -block) där varje nod finns i denna kedja (därav -chain). Transaktionen eller utbytet av data kan endast ske då alla block är tillagda korrekt i kedjan och dessutom kontrollerats utifrån giltighet.

Väldigt grovt men hoppas du som läsare är lite med på noterna vad det är.

Kryptering och hashfunktion

Alltså är kryptering och hashning grunden i blockchain där hashningen är en sorts envägs-dialog där krypteringen gör det till en tvåvägs dialog. Därmed har man en högre säkerhet med blockchain än normalt. En säkerhet som är grunden för finansiell transaktioner och i hög grad väsentlig i framtidens digitala ekosystem där vi köper och handlar mer på nätet. Vill man vara med och vara en säker och stor spelare i detta i framtiden bör man nog överväga detta extra noga – säkerheten i ekonomiska transaktioner på nätet.

Blockchain är dessutom oföränderlig – immutable – vilket innebär att du inte kan ändra i transaktionen när den väl är skriven i en blockchain. Du kan heller inte radera eller förstöra vilket då bryter själva kedjan. Enkelt eller hur. Här börjar du som läsare se utmaningarna med GDPR och blockchain-teknik.

Transparens enligt GDPR

Ser vi då till GDPR och dess krav på transparens – du som subjekt har rätt att få veta vad som lagras om dig samt relationen till blockchain går det att konstatera att blockchain i sin publika form publick blockchain gör att du som individ kan se hela din historik av transaktioner. Det finns en privat teknik inom blockchain som kallas permissioned blockchain  vilket möjliggör mindre transparens och bygger på säkerhetsmodeller om att man har vissa rättigheter som att skapa, läsa och uppdatera samt radera. Dessa benämns som CRUD (Create-Read-Update-Delete) och CRAB (Create-Retrieve-Append-Burn). I korthet så tillåter CRUD dig att inte radera eller uppdatera existerande transaktioner och CRAB möjliggör att du kan ”kasta bort” en krypteringsnyckel som du inte kan lägga till eller bifoga nya transaktioner till kedjan och även omöjliggör dekryptering av datan.    

GDPR delen i det hela

Enligt GDPR är själva raderingen av onödig data och/eller data som inte skall lagras en väsentlig del. Vi pratar ofta om dataminimering och transparens att subjektet skall veta vilken data som lagras om dennes PII (Personal Identifiable Information). GDPR sätter dessutom kravet på att informationen i en blockchain inte för lämna EU/ESS som då kommer skapa en enorm utmaning med den publika blockchain beskriven ovan. Det finns nämligen ingen ägare till noden i kedjan. Denna utmaning är mindre med en permissioned blockchain. Ser vi till artikel 17 i GDPR som behandlar right to be forgotten eller på svenska rätten till att bli glömd så blir utmaningarna härvid i min lilla magiska värld kristallklara. Detta är en utmaning att ta på största allvar och har ni inte koll bör ni anlita en expert på området. Inte ens i definitionerna i GDPR framgår det var detta innebär – att radera data. Det blir en fråga för juridiskt sakkunniga och insatta att döma i när själva innebörden av artikel 17 i relation till artikel 4 skall prövas.

Att kunna radera är något som blir centralt och själva CRUD uppfyller väl detta i själva ”D” som står för delete. Men det rimmar dåligt med själva tekniken i blockchain vilken bryter själva kedjan. CRAB tekniken i blockchain innebär konkret att du kastar bort nyckeln. GDPR har uttryckt att detta inte räcker när det kommer till kravet på radering. Men exakt vad radering innebär och omfattar i sak vet vi inte förrän första domslutet kommer på frågan.

Mer konkret

  1. Du kan inte förvara personlig direkt på blockchain men du kan förvara den i off-chain läge, alltså du förvarar den som en referens som sen hashas som sen finns tillgänglig i själva kedjan. Det finns företag som tillhandahåller denna lösning men kommer inte nämna någon av dem av uppenbara skäl.
  2. Detta är endast att anses som en kringgång av GDPR i brist på verkliga riktlinjer. Alla kringgångar juridiskt har brister och fördelar. Fördelarna är att göra som i punkten 1 gör att du just nu i skrivande stund efterlever GDPR till 100% i relevant område. JUST NU. Det kan komma domslut som gör att det faller så bevaka.

Nackdelarna är många

  1. Själva syftet och nyttan med blockchain faller när du går i off-chain läge
  2. Fördelarna med ägandeskapet minskar då man inte har kontroll på ägaren i off-chain läget, vem äger databasen etc.
  3. Du kommer fortfarande behöva en P2P integration med alla deltagare i kedjan
  4. Du tillför och ökar svårigheten med brukandet och därigenom själva användarvänligheten
  5. Viktigast är att du ökar antalet attackvektorer för angripare som vill åt informationen i kedjan 

(källa https://medium.com/wearetheledger/the-blockchain-gdpr-paradox-fc51e663d047)

todo todo