Data Inspectorate

07/16/2026 | Press release | Distributed by Public on 07/16/2026 06:26

Retningslinjer om personopplysninger i blokkjeder

Retningslinjer om personopplysninger i blokkjeder

Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om behandling av personopplysninger ved bruk av blokkjedeteknologi.

Retningslinjene tar for seg hvordan blokkjedeteknologiens iboende egenskaper utfordrer sentrale personvernprinsipper, særlig lagringsbegrensning, dataminimering og retten til sletting. Teknologien gjør at data som først er skrevet i blokkjeden i praksis ikke kan slettes eller endres uten at det oppfattes som inkonsekvens i blokkjeden. Dette skaper spenninger blant annet når det gjelder retten til sletting (artikkel 17) og retten til retting (artikkel 16).

Den behandlingsansvarlige må derfor vurdere behovet for blokkjedeteknologi nøye før implementering, og vurdere om mindre inngripende alternativer kan oppnå samme formål.

Forslag til tiltak

Personopplysninger bør i utgangspunktet ikke lagres direkte identifiserbare på blokkjeden. Noen aktuelle tiltak kan være:

  • Kryptering av personopplysninger
  • Hashing av personopplysninger (en prosess for å konvertere data til en streng av fast størrelse som representerer et unikt fingeravtrykk av de opprinnelige dataene)
  • Kryptografiske bindinger.

I enkelte tilfeller kan det være nødvendig å gjøre informasjon offentlig tilgjengelig med en lagringstid som varer like lenge som blokkjeden eksisterer. I slike tilfeller kan det være passende å lagre personopplysninger i direkte identifiserbar form på en offentlig blokkjede, men bare hvis behandlingsformålet tilsier det, og dersom en konsekvensutredning (DPIA) har konkludert med at risikoene for registrerte er tilstrekkelig håndtert og redusert.

Andre anbefalinger i retningslinjene:

  • Private og tillatelsesbaserte blokkjeder er å foretrekke fremfor offentlige og tillatelsesfrie løsninger, ettersom disse gir tydeligere ansvarsfordeling og bedre kontroll over tilgjengelighet.
  • Behandlingsansvarlige må gjennomføre en personvernkonsekvensutredning (DPIA) dersom det er sannsynlig at bruken av blokkjeder vil medføre en høy risiko for fysiske personers rettigheter og friheter. I så tilfelle er det viktig å vurdere nødvendigheten og forholdsmessigheten av bruken, inkludert om formålet kan oppnås på en mindre personverninngripende måte.
  • Dersom samtykke er behandlingsgrunnlaget, må det sikres at data kan gjøres anonyme ved tilbaketrekking av samtykke. Samtykke bør ikke brukes dersom blokkjedens arkitektur ikke tillater sletting av personopplysninger.
  • Retten til informasjon, innsyn, sletting, retting og protest må sikres med innebygd personvern, allerede i planleggingsfasen.

Virksomheter som vurderer eller allerede bruker blokkjedeteknologi til behandling av personopplysninger, bør gjennomgå prosessene sine opp mot de nye retningslinjene.

Retningslinjene er tilgjengelige på EDPB sine nettsider (edpb.europa.eu, engelsk).

Publisert: 16.07.2026
Data Inspectorate published this content on July 16, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on July 16, 2026 at 12:26 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]