Blockchain Teknolojisini GDPR’a Uyumlaştırma

Bu makalenin aslı, Dr. Claudio Lima’ya ait olup tarafımca izin alınarak çevrilmiştir. Makalenin aslına gitmek için tıklayın.

Blockchain aplikasyonlarını Avrupa Birliği Veri Koruması Genel Regülasyonu’na ( “GDPR” ) uyumlu hale getirmenin yolları mevcuttur.

Veri korunması ve gizlilik, diğerlerinin yanı sıra Blockchain’le ilgili küresel coşkunun iki önemli nedeni olmakla beraber teknolojik işlemlerin, güvenilir ve şeffaf olarak izlenebilir İnternet üzerinden dönüştüreceğindendir.

Dolayısıyla, GDPR esas alınarak Blockchain’in etrafındaki eleştirilerin çoğunluğunun, tüketici verilerinin korunmasını ve gizliliğini arttırmaya yönelik yeni Avrupa Birliği direktifleri ve düzenlemeleri için uygunsuz olduğuna dair olması ironik bir durumdur. Bu eleştiriler yüzeyseldir ve konunun özünde sapmalara yol açar. Blockchain’in temel kavram ve teknolojilerine daha yakından bakıldığında, teknolojinin GDPR’ın yükümlülüklerini karşılayacak şekilde nasıl tasarlandığına bağlı olarak GDPR’da belirtilen veri gizliliği ve güvenliğinin temel yönlerini nasıl geliştirdiği ortaya çıkıyor.

Temel sorun, geleneksel merkezileştirilmiş İnternet yaklaşımına temelde atfedilen GDPR direktifleri için yeni merkezi olmayan peer-to-peer Blockchain İnternet teknolojisini uyarlamaktır.

Alternatif Blockchain teknikleri, GDPR uyumuna yönelik uygulamalara izin verir. Bu teknikler, Blockchain dağıtılmış defterler (DLT) [ distributed ledger techonologies ] ve ekosistemlerinin kapsamlı bir kavrayışını gerektirmektedir. Blockchain’in kimlik yönetim süreçleri, kişisel olarak tanımlanabilir bilgileri (PII) saklayan ve işleyenler gibi, GDPR-uyumlu çözümlerin tasarlanmasında çok önemlidir.

Değiştirmezlik

GDPR’ın temel ilkelerinden biri, Madde 17’nin “Silme Hakkı” (veya “unutulma hakkı”) ‘dır. Bu GDPR prensibine dayanarak, tüketiciler gerektiğinde kişisel bilgilerinin veri işlemcileri (veya “kontrolörleri”) tarafından silinmesini talep edebilirler.

Ancak Blockchain’in “kayıtların değişmezliği” ilkesi nedeniyle Blockchain işlemlerinde yer alan herhangi bir verinin değiştirilmesi neredeyse imkansızdır. Veriler, dağıtılmış veritabanları veya dağıtılmış defterler olarak işlev gören peer-to-peer nodlarına kopyalanır ve Blockchain’in ana bileşenleridir.

Kamuya [ Public ] eklenen veriler, sonsuza kadar orada kalır ve teknik olarak bu tür veriler veya diğer meta veriler değiştirilemez. Blockchain bloklarının ve işlemlerinin yapılışından dolayı dağıtılmış defterlere girilen tüm bilgi ve kayıtlar herkes tarafından görülebilir, incelenmeye açık ve değişmezdir. Kendi notum: Fakat bu inceleme anonim olarak görülür, bu defterlere kaydedilen işlemler defterin hash koduyla okunur. Kişinin gerçek kimliği görünmez.

Öyleyse, dağıtılmış defterlerin yapısında yer alan veri işlemlerinin bu değişmezliği, Blockchain’in GDPR Madde 17 ile tutarsızlık yaratmasını sağlamıyor mu? Dağınık veri depolama için hybrit off-chain yapılarının benimsenmesi, bu zorluğa uyum sağlamak için alternatif bir yaklaşımdır. Diğer alternatifler, kullanıcı cihazlarında PII verilerini tutmayı, bu PII bilgilerinin meta verilerini ve hashlerini oluşturmayı ve üçüncü taraf sunucuları veya Blockchain katmanını kullanarak bu yerel verilere geri göndermeyi gerektirir. Bu farklıca bir Blockchain-GDPR uyumluluk sürecini gerektirir.

Öyleyse, Madde 17’yi hesaba katarak, bir alternatif de tüm GDPR’a duyarlı bilgi ve verilerin dağıtılmış veya bulut tabanlı sunucularda zincir dışı depolanabilmesi, sadece Blockchain katmanında saklanan karşılık gelen hashlerin olmasıdır. Bu şekilde, hashler, zincir dışı depolanmış olan GDPR’a duyarlı verilere kontrol göstergesi olarak hizmet eder. Orijinal veriyi depolayan diğer veritabanı, pratikte, Blockchain’in sağladığı kayıt değişmezliğine ilişkin konulara tabi değildir. Orijinal veriyi depolayan diğer veritabanı, pratikte, Blockchain’in sağladığı kayıt değişmezliğine ilişkin konulara tabi değildir.

Madde 17 uyumu için, servis sağlayıcı, Blockchain hash işaretçisinin “bağlanabilirliğin” sini ihtiyaç duyulduğunda dağıtılmış off-chain sunucularında bulunan verilere silebilir.

Anonimleştirme

Blockchain’in GDPR’a uygulanabilirliği ile ilgili belki de en ilginç ve tartışmalı maddesi, tüketicilerin saklanan verileri için anonimleştirme ve takma isim tasarlanma tekniklerini ele alan Madde 25, “Özel ve Olağan Veri Koruması” dır.

Hashing, Blockchain’in takma isimlendirme tekniğidir. Blockchain kullanılarak Madde 25’e göre takma isim bağlantısı için iki önemli yorum vardır. Bunlardan ilki, veri işleminin Blockchain Hashing’inde takma isim tasarlaması, ama anonimleşitrme olmamasından dolayı, işlem kurulduktan sonra kişiye bağlantısının artık kişisel olarak kabul edilmediğini ve bu bağlantı silinirse, Madde 17’ye de uygun olduğunu belirtmektedir. Bununla birlikte, ikinci yorumlama, tüm şifreleme Hashleriyle bile takma isminin yine orijinal PII verisine geri bağlanabileceğidir. Bununla birlikte, yine de, Hashing’i kullanarak zincir dışı veri bağlantısına karşı siber saldırının – eleştirilerden birisi- , bu varsayımı tehlikeye atabileceğine dair bazı matematiksel kanıtlarının olması gerekebilir.

Bu tartışmanın yol açtığı sonuç, GDPR’ın uygulandığı gibi Blockchain inovasyonu hızlanırken, bu konunun hareketli bir hedef olarak kalması ve önemli yasal-teknik savaşların devam etmesidir. GDPR düzenlemesi, Blockchain teknolojisini kullanarak yeni nesil merkezi olmayan İnternet’i mümkün kılan sonuçlar, konular ve fırsatlara hızla uyum sağlamalıdır.

Yazının kaynağı için tıklayınız: InformationWeek, August, 8th 2018

İçeriği Paylaş: