Cryptocurrency als Persoonlijke Gegevens
Een Bitcoin wallet-adres is een reeks van 26–35 alfanumerieke tekens in Base58Check-codering, beginnend met "1", "3" of "bc1". Een Ethereum-adres is "0x" gevolgd door 40 hexadecimale tekens. Deze adressen zijn pseudoniem — ze identificeren individuen niet direct — maar onder GDPR is pseudonieme data die aan een individu kan worden gekoppeld door aanvullende verwerking persoonlijke data.
Een cryptocurrency exchange die KYC-gegevens vasthoudt (wallet-adressen koppelen aan geverifieerde klantidentiteiten) houdt persoonlijke gegevens binnen de reikwijdte van de GDPR: het wallet-adres, in combinatie met het KYC-record, identificeert een natuurlijke persoon. Het wallet-adres alleen is persoonlijke data binnen de gegevensomgeving van de exchange, omdat de exchange het kan koppelen aan een individu.
De EU MiCA (Markets in Crypto-Assets) regelgeving, die ingaat in december 2024, voegt een financiële regelgevende laag toe: cryptocurrency asset service providers (CASP's) moeten passende controles implementeren voor de bescherming van klantgegevens. De kruising van MiCA en GDPR betekent dat een Europese crypto-exchange zowel te maken heeft met financiële regelgeving (de gegevensbeschermingsvereisten van MiCA voor CASP's) als met de algemene gegevensbeschermingswetgeving (GDPR) voor dezelfde wallet-adresgegevens.
De Detectiekloof
Standaard PII-detectietools zijn ontworpen voor traditionele financiële identificatoren: IBAN, rekeningnummer, routingnummer, SWIFT/BIC. Deze tools hebben geen kennis van cryptocurrency-adresformaten. Een document met een Bitcoin wallet-adres, een Ethereum-adres en een SWIFT-code zal de SWIFT-code detecteren en de twee cryptocurrency-adressen missen door elk hulpmiddel dat geen crypto-adresentiteitstypen omvat.
Voor een Europese crypto-exchange die KYC-documenten verwerkt: klantbankrekening IBAN's worden gedetecteerd door standaardtools. Het Bitcoin wallet-adres van de klant dat voor de initiële financiering is gebruikt, wordt niet gedetecteerd. De SWIFT-code voor de overboeking van hun bank wordt gedetecteerd. Het Ethereum-adres dat voor token-aankopen is gebruikt, wordt niet gedetecteerd.
De ontbrekende detectie is geen kleine kloof — wallet-adressen zijn kern financiële identificatoren in crypto-contexten, net zo gevoelig als rekeningnummers in traditionele bankcontexten.
GDPR Artikel 32(1)(a) vereist pseudonimisering en encryptie als basis technische maatregelen. 56% van de GDPR-boetes noemt onvoldoende encryptie als een bijdragende factor. Een organisatie die alle gedetecteerde PII versleutelt maar faalt in het detecteren van cryptocurrency wallet-adressen heeft niets relevant voor haar kernbedrijfsactiviteiten versleuteld.
Bronnen: