Idealisme en compliance

Waarom wordt iemand functionaris gegevensbescherming? Dat is een goede vraag, zegt Winkens. “In ons netwerk zie ik heel verschillende FG’s langskomen. Veel juristen, maar ook filosofen, mensen die informatiebeveiliging als hoofdberoep op hun CV hebben, een paar auditors… Je hoeft echt geen jurist te zijn om de AVG te kunnen snappen. Het vak leer je pas door het te doen. Ook omdat je je organisatie goed moet leren kennen.”

Stukje juridische duiding

De werkdagen van een FG zijn behoorlijk afwisselend, vindt Winkens. “Er kunnen altijd incidenten zijn. Bijvoorbeeld met persoonsgegevens – in de volksmond datalekken. Dan moet ik snel advies geven, bijvoorbeeld of we het moeten melden bij de Autoriteit Persoonsgegevens.”

“Het meeste werk is echter goed te plannen. Denk aan gesprekken met onderdelen van de organisatie. Dan kijken we waar vorderingen worden gemaakt, of juist gemaakt moeten worden. Ik zorg dan meteen voor een stukje duiding, juridisch vanuit de wet of qua governance.”

“En ten slotte heb ik dagen waar ik alleen maar zit te lezen en te schrijven. Dat ligt aan de tijd van het jaar. Momenteel ben ik bijvoorbeeld mijn jaarverslag aan het afronden.”

Eenzaam werk

Winkens heeft veel autonomie in zijn werk. Dat geldt voor veel functies binnen de universiteit, maar het meest voor FG’s: zij moeten onafhankelijk hun werk kunnen doen en mogen door hun werkgever dus niet geïnstrueerd worden over hoe zij hun FG-taken moeten uitvoeren.

Maakt dat het werk niet eenzaam? “Soms wel, ja. Ik spreek weliswaar met veel mensen en ik vind ook dat ik met hen een gezamenlijk doel heb, namelijk dat de data van studenten en medewerkers op een correcte manier verwerkt worden. Maar toch… Het gaat om compliance. Dus mensen ervaren het vaak als bureaucratie, als hinder. Niet zozeer de FG als persoon, maar wel wat hij doet.”

Op zulke momenten heeft Winkens baat bij de goede banden met collega’s elders in het land. “Zij ervaren ook dat die aparte positie het soms wat ingewikkelder en eenzamer maakt.”

Stok of wortel

Het zal niet altijd gemakkelijk zijn om door die tegenzin van de gesprekspartners heen te breken. Wat werkt dan beter, de stok of de wortel? “Natuurlijk kun je als FG benoemen dat de Autoriteit Persoonsgegevens langs kan komen of dat mensen rechtszaken kunnen starten. Maar ik denk niet dat die stok echt motiverend werkt. Het lijkt me beter om duidelijk te maken wat de gevolgen kunnen zijn voor studenten en medewerkers als hun gegevens verkeerd gebruikt worden. Door gewoon de wet te volgen creëer je echt veel meer veiligheid.”

“Op zich beseft men dat wel. Er is geen manager, directeur of bestuurder die zegt dat compliance onbelangrijk is. Maar dat betekent nog niet dat ze er veel energie in gaan steken. Daarom denk ik dat een goede FG eigenlijk ook een goede verkoper moet zijn.”

Helpt het als er weer een cybercrisis plaatsvindt? “Never waste a good crisis!Het biedt zeker kansen om het bewustzijn te vergroten, want enerzijds is beveiliging ook een eis van de AVG en anderzijds kunnen gegevens die ergens niet staan ook niet gestolen worden. Maar het is niet ondenkbaar dat er dan meer aandacht zal gaan naar beveiliging en juist minder naar gegevensbescherming.

AI-verordening: flinke kluif

De AVG is alweer zeven jaar oud en de principes erachter bestaan volgens Winkens al tientallen jaren. “Er is echter steeds meer discussie over de vraag of die principes nog wel effectief zijn binnen de nieuwe data-infrastructuren, met de enorme hoeveelheden gegevens en de verwerkingsmogelijkheden die er nu zijn.”

Daarbij denkt Winkens in de eerste plaats aan AI. Er is inmiddels een Europese verordening die het gebruik daarvan in goede banen moet leiden. Winkens: “Als je denkt dat de AVG ingewikkeld is, dan zul je de AI-verordening helemaal een flinke kluif vinden. Echt voer voor juristen. Maar als FG moet je op de hoogte blijven van relevante wetgeving. Ook dat is een eis van de AVG.”

Zelf is hij inmiddels helemaal bij, dankzij een cursus van het European Center on Privacy and Cybersecurity, een onderdeel van de Maastrichtse rechtenfaculteit. “Ik weet dat het klinkt als ‘wij van WC-eend’ omdat ik me toch wel verbonden voel met de universiteit, maar ik kan hem aanraden aan iedereen die zich bezighoudt met dit vakgebied en iets met AI wil doen.”

Ethische vraag

Zou AI ook kunnen helpen bij de gegevensbescherming? “Heel graag! Als FG moet je ontzettend veel droge verslagen schrijven en rapportages doornemen. Ik zou dat het liefst door een tool laten doen. Maar die moet dan wel te vertrouwen zijn én ik moet zelf de expertise hebben om dat te kunnen controleren.”

“Er zit echter ook een ethische vraag achter. Waarom zou een instelling AI willen inzetten? Is dat om de werkomstandigheden te verbeteren of om te zorgen dat het werk sneller en goedkoper gebeurt? Dat soort vragen zijn ook de grondslag van de AVG: dat iets technisch kán, betekent niet automatisch dat je het moet willen.”

“Ik ben daarom blij dat er in SURF-verband steeds meer aandacht is voor publieke waarden. Want op een gegeven moment kun je op een kantelpunt belanden waar je je moet afvragen wat nu eigenlijk het doel van je organisatie is.”

Tekst: Aad van de Wijngaart
Foto’s: De Beeldredaktie / Marcel van Hoorn