När dataskyddsförordningen GDPR träder i kraft den 25 maj blir det olagligt för företag att behålla personuppgifter om en person som begärt att de ska raderas.
Blockkedjan däremot kan skapa ett oföränderligt register över transaktioner, där det inte går att radera eller ändra gammal info. Om personuppgifter bakas in i det registret går det inte att ta bort dem i efterhand, vilket automatiskt krockar med GDPR.
Så blockkedjans stora styrka – att den är immun mot mixtrande – kan på så sätt bli dess fall, juridiskt sett. Det säger Gerry Stegmaier, it-jurist på Reed Smith i Washington till vår systersajt Computerworld.
– Tillsynsmyndigheter lär inte köpa argumentet att blockkedjan ska undantas från GDPR eftersom det är inbyggt i distribuerade liggare att det inte går att radera från dem. Den typen av argument har inte tagits emot väl av tillsynsmyndigheterna.
Läs också: Ny amerikansk lagrysare skakar om molnbranschen
Men blockkedjan måste inte automatiskt gå stick i stäv med GDPR – rätt använd kan den tvärtom vara en stor tillgång i dataskyddsarbetet. Det säger Gennaro Cuomo, chef för blockkedjeteknik på IBM.
I ett whitepaper om blockkedjan och GDPR noterar IBM att personuppgifter aldrig bör lagras i själva kedjan – men att många missar detta och fortsätter göra det i alla möjliga sammanhang.
Det går att lagra information ”off chain” i en separat databas och länka den till blockkedjan via privata och publika kryptonycklar. Den modellen tycks vara på väg att utkristallisera sig som branschstandard. Man undviker att ha personuppgifterna på själva kedjan, utan de lagras i redigerbara databaser och bara en envägshash av uppgifterna lagras på själva kedjan.
En rapport från Forrester lyfter fram blockkedjan som ett idealiskt hjälpmedel när det gäller att efterleva regelverk om dataintegritet.
– Men personuppgifter ska då aldrig någonsin lagras på ett blockkedjebaserat nät, säger Martha Bennett, analytiker på Forrester och medförfattare till rapporten.
– Företag som länkar personuppgifter till data på blockkedjan behöver ha en mekanism på plats för att bryta den länken en gång för alla.
Så om någon begär att få sina uppgifter raderade måste de inte bara tas bort i databasen – blockkedjeadministratören måste också se till att allt som lagras ”on-chain” förlorar sin betydelse.
Läs också: Här är GDPR-smockan som kan drabba en femtedel av svenskarna
Att radera hashnycklar kopplade till information kallas för kryptografisk dataradering. Teoretiskt sett kan data finnas kvar, utspridda i olika offlinedatabaser, men de kan inte sättas samman igen utan rätt kryptonyckel. De blir så att säga meningslösa.
Vidare menar Bennett att blockkedjebaserade system kan vara en del av lösningen på GDPR-problematiken. Till exempel kan de användas för att spåra både samtycke till registrering och fullgörelse av begärda dataraderingar.
Blockkedjor kan vara publika och privata. Krytpovalutor använder publika kedjor, som är helt decentraliserade. Alla kan läsa den digitala liggaren, men data är krypterade så de bara kan låsas upp med rätt nyckel. Om du blir av med din nyckel kan du aldrig mer komma åt dina data och dina bitcoin.
För företag är det mer intresserant med privata eller rättighetsstyrda kedjor, där en central auktoritet styr vem som får vara med.
– I en företagsanpassad blockkedja är alla deltagare kända och identifieras med medlemsnycklar, säger Gennaro Cuomo.
– Informationen är pålitlig eftersom transaktioner som skrivs till liggaren inte kan ändras eller tas bort i efterhand av en enskild aktör. Allt är så spårbart att nätverket kan underkastas revision, och man kan följa regelverk som GDPR och amerikanska HIPAA.
