‘De AVG heeft geleid tot bewustwording over het omgaan met gevoelige data als persoonsgegevens. Het denken daarover is volwassener geworden. Dat is goed én nodig. Misbruik van data kan de samenleving ontwrichten. We moeten ons goed bewust zijn van snelle technologische ontwikkelingen en ons permanent inspannen om op een verantwoorde manier gegevens uit te wisselen.’
Op een inhoudelijk beschouwende manier kijkt Marlon Domingus terug op het eerste lustrum van privacywet AVG. Als Data Protection Officer (Functionaris Gegevensbescherming) van de Erasmus Universiteit Rotterdam (EUR) is hij dagelijks bezig met het thema. Geheel zorgeloos over de stand van zaken in Nederland is hij niet. Geregeld zijn er berichten over grote datalekken. Nieuwe technologieën maken het mogelijk om het gezicht en de stem van iemand aan te nemen alsof het echt is. Daarmee kun je anderen voor criminele doeleinden op het verkeerde been zetten.
Serie: 5 jaar AVG
In het kader van 5 jaar AVG in Nederland publiceren we elke maand een interview met een expert op het gebied van privacy.
Deze maand is het de beurt aan Marlon Domingus, Data Protection Officer (Functionaris Gegevensbescherming) van de Erasmus Universiteit Rotterdam.
Waakzaamheid wordt steeds belangrijker, is zijn boodschap. Dat geldt voor eenvoudige bedrijfsprocessen, maar ook voor het delen van kennis en wetenschappelijke inzichten. Niet voor niets heeft de privacy-organisatie van de universiteit inmiddels 15 medewerkers. Hun taak is het adviseren en bijstaan van iedereen die werkzaam is voor onderzoek en onderwijs over hoe je verantwoord met gegevensuitwisseling kunt omgaan.
Wetgeving tegen ontwrichtende praktijken is niet voldoende. Bewustwording is minstens zo belangrijk
Glimlach
Domingus illustreert het belang van een algemene wet als de AVG en toekomstige wetgeving op het vlak van cybersecurity (de vertaling van de Europese richtlijn NIS2) treffend: ‘Weinig mensen kunnen denken als een crimineel’. Die uitspraak roept een glimlach op, maar de achterliggende boodschap is uitermate serieus. ‘Nette mensen’, zoals hij ze dagelijks ontmoet, ‘missen de creativiteit om slechte bedoelingen direct te doorzien’.
Wetgeving tegen ontwrichtende praktijken is dan ook niet voldoende. Bewustwording is minstens zo belangrijk. Zeker omdat door de snelle technologische ontwikkelingen de regelgeving per definitie achterloopt bij de praktijk. De komst van de AVG heeft bijgedragen aan een dergelijke bewustwording. Voordat de wet er was, was privacybescherming een abstract begrip. Door alle publiciteit rondom de invoering is het veel dichterbij gekomen. Mensen zijn over het thema gaan nadenken. Over wat het betekent om in een bepaalde sector zelf een realistische invulling te geven aan de open normen uit de AVG.
Volwassen
Hij herinnert zich een soort van schokgolf vijf jaar geleden. Medewerkers kwamen vragen of ze nog wel een bloemetje thuis mochten laten bezorgen bij zieke medewerkers. Of ze thuis een adresboekje mochten bewaren met telefoonnummers van zakelijke relaties. ‘De AVG kwam als een oplossing voor een probleem dat ze voordien niet kenden.’ Dat is vandaag de dag gelukkig anders. ‘Het denken over het onderwerp is volwassener geworden’, concludeert hij met tevredenheid. Veel vragen die bij de EUR worden gesteld, gaan over uitwisseling van onderzoeksgegevens.
De vraag is tegenwoordig niet meer ‘mag het van de AVG?’. Het gaat om de kern: wie hebben rechtmatig toegang tot welke gegevens? Zeker bij samenwerkingsprogramma’s met andere (universitaire) instellingen vergt dat overleg en afstemming, bij gebrek aan een kader voor de sector. Domingus: ‘Soms bestaat de neiging om voor de zekerheid de inherente risico’s maar als hoog in te schatten. Daardoor zouden persoonsgegevens onnodig op slot worden gezet. Daar moet je dan met elkaar de discussie over voeren. Wat is proportioneel en wat is te veel of te weinig?’ Wat dat betreft is hij gelukkig met het feit dat de AVG een algemene verordening is, die juist niet alle situaties tot in detail heeft geregeld. ‘De wet biedt de mogelijkheid het onderwerp sectorgewijs in te vullen. Omgaan met persoonsgegevens vraagt bij een bank, een energiebedrijf of een wetenschappelijke instelling een andere aanpak.’
Zo open als mogelijk is en zo gesloten als moet.
Hersenscans
Over de afwegingen die je moet maken, geeft Domingus een mooi voorbeeld vanuit de praktijk. ‘Er worden voor onderzoek hersenscans gemaakt. Is het dan noodzakelijk het gezicht onherkenbaar te maken voor de onderzoekers die de analyse uitvoeren, dus voordat die gegevens met derden worden gedeeld? Het antwoord is geen simpel ja of nee. Het gaat om de heldere afweging. Het kan voor de datakwaliteit juist heel wenselijk zijn om een onbewerkte scan als startpunt te nemen voor het onderzoek. De naam van de onderzoeksdeelnemer is dan echter niet nodig. Die kan voorafgaand aan de analyse worden verwijderd. Dat is minder complex en tijdrovend dan alle scans aan te passen. Als je de beelden echter gebruikt in een wetenschappelijke publicatie of een voordracht bij een congres, moet je ze wel aanpassen. Ze mogen niet herleidbaar zijn naar de onderzoeksdeelnemer.’
Het vergt flink wat overleg voordat je met elkaar een gedragscode hebt ontwikkeld die recht doet aan privacyaspecten en vaak ook nog ethische standaarden. Dat proces is dan ook nog steeds gaande. ‘In de wetenschappelijke wereld bestaat soms de neiging tot over-pseudonimisering’, constateert hij, met zelfs gevaren voor de betrouwbaarheid van de conclusies van het onderzoek tot gevolg. Daarom is zijn credo: ‘Zo open als mogelijk is en zo gesloten als moet.’ Dat dit soms leidt tot een spanningsveld werd bijvoorbeeld duidelijk tijdens de coronacrisis. Het belang van privacy van de Covid-19-patiënten moest worden afgewogen tegen het algehele bevolkingsgezondheidsbelang.
Doorbraak
Terugkijkend concludeert Domingus dat binnen de universiteit de vanzelfsprekendheid moest groeien om kritisch te kijken naar de eigen werkprocessen. ‘In het begin vonden mensen de privacyregels een lastig onderwerp. De doorbraak kwam op een gegeven moment door een publicatie in Het Financieele Dagblad. De krant meldde dat veel grote bedrijven nog niet klaar waren met de invoering van de AVG. Daardoor werd het gesprek binnen de universiteit en ook bij mkb-bedrijven opener. Men durfde nu te erkennen onzeker te zijn hoe ermee om te gaan. Er ontwikkelde zich langzaam een positieve sfeer die leidde tot meer aandacht voor de AVG. In de verschillende activiteiten gericht op bewustwording en in de bijbehorende trainingen werd hier praktisch op ingegaan. De vertaling van de intentie van de wet naar praktische en bruikbare instructies, is één van de belangrijkste taken van elke organisatie die persoonsgegevens verwerkt. Maak het klein en praktisch.’
Uitdaging
Voor die vertaalslag is het voor zijn rol als toezichthouder belangrijk om niet in juridisch jargon te blijven hangen. Dat geldt wat hem betreft voor elke privacy-professional. Het is soms een forse uitdaging. Via gerichte trainingen zet de Erasmus Universiteit daarop in. Domingus: ‘Het gaat om het terugbrengen tot de essentie. De boodschap moet voor iedereen duidelijk zijn. Zo eenvoudig mogelijk.’ Als illustratie noemt hij de toestemmingsformulieren voor deelname aan wetenschappelijk onderzoek. In overleg met onderzoekers en een extern panel heeft een heuse vertaalslag plaatsgevonden. Daardoor zijn de formulieren nu helder en duidelijk. ‘Daar zijn we met elkaar goed mee bezig’, is zijn oordeel.
Tegelijkertijd constateert hij dat de wereld steeds complexer is geworden. Voor veel mensen is het niet meer te overzien welke gevolgen het delen van hun persoonsgegevens kan hebben. Data staan opgeslagen in bestanden die onderdeel zijn van een keten. Denk bijvoorbeeld aan de data die worden verzameld in apps. Door het koppelen van verschillende bronnen, kunnen gegevens tot op de persoon herleidbaar worden. ‘Binnen de Erasmus Universiteit wordt samen met de wetenschappers de juiste route gevonden om goed en verantwoord onderzoek te doen, zonder zinloze bureaucratie in gang te zetten.’
Alert blijven
Gevraagd naar de toekomst, onderstreept Domingus de noodzaak alert te blijven. ‘Door die frequente berichten over grote datalekken, worden mensen misschien gelaten. Ze kunnen gaan denken: het zal wel, het komt overal voor, wat kan ik er zelf nog aan doen? Maar als je ervaart wat identiteitsfraude kan betekenen, of de beïnvloeding van democratische processen, mág je niet onachtzaam zijn. Nieuwe technieken kunnen de samenleving onder spanning zetten. Het blijft belangrijk dat we zelf het verschil blijven herkennen tussen feiten en bewust gemaakte valse informatie. De overheid en ‘Brussel’ zijn er wel mee bezig, maar wetgeving is niet voldoende en ijlt altijd na. Bewustwording blijft van wezenlijke betekenis.’
Probeer AVG-Programma 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-Programma helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
Lees ook:
Privacy Statement: waar moet je aan voldoen?
