De AVG paradox: Waarom eenzijdige privacy focus echte gegevens bescherming ondermijnt.

Published by d.landman@djimit.com on

In een tijdperk waar data de nieuwe olie is, worstelt Nederland met een cruciaal vraagstuk: hoe beschermen we persoonsgegevens effectief in het digitale tijdperk? De obsessie met ‘privacy’ lijkt de werkelijke bescherming van gegevens te ondermijnen, resulterend in wat we de ‘AVG-paradox’ kunnen noemen.

Gegevens bescherming
  1. De historische misvatting

Prof. dr. Corien Prins, voorzitter van de WRR, legt uit: “De term ‘privacywet’ is historisch gegroeid, maar dekt de lading niet meer. De AVG gaat veel verder dan alleen privacy.” Deze misvatting, geworteld in de jaren ’70, kleurt nog steeds ons begrip van gegevensbescherming.

“We hebben een leger van privacy officers gecreëerd die de AVG reduceren tot een simplistisch ‘niet delen is veilig’ mantra,” voegt ze kritisch toe. “Dit ondermijnt de werkelijke intentie van de wetgeving.”

  1. De AVG: een drieluik van bescherming

De AVG is gebouwd op drie pijlers:

  • Vertrouwelijkheid: Wie mag gegevens inzien?
  • Integriteit: Zijn de gegevens correct en ongewijzigd?
  • Beschikbaarheid: Zijn de gegevens toegankelijk wanneer nodig?

Prof. dr. Gerrit-Jan Zwenne van de Universiteit Leiden: “De rechtspraak evolueert naar een bredere interpretatie van de AVG, waarbij alle aspecten van gegevensbescherming gelijkwaardig worden behandeld. Helaas zien we dat de praktijk hier vaak bij achterblijft.”

  1. De praktijk: waar het misgaat

“Organisaties focussen zich vaak blind op vertrouwelijkheid,” zegt Lisa Janssen, Data Protection Officer bij een grote Nederlandse bank. “Ze vergeten dat onbeschikbare of corrupte data net zo schadelijk kan zijn.”

Cynisch voegt ze toe: “Mijn collega’s zien mij soms als de ‘Chief Hindrance Officer’. Ik moet constant uitleggen dat mijn rol verder gaat dan alleen ‘nee’ zeggen tegen data-sharing.”

Voorbeelden van deze eenzijdige focus:

  • CrowdStrike-incident (2023): Ziekenhuizen konden patiëntgegevens niet raadplegen, met uitgestelde operaties als gevolg.
  • Hogeschool Leiden (2022): Studenten konden door een ‘privacymaatregel’ hun eigen studieresultaten niet inzien.

Prof. Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit, benadrukt: “Technologie moet alle aspecten van gegevensbescherming ondersteunen, niet alleen vertrouwelijkheid. De huidige praktijk schiet hierin schromelijk tekort.”

  1. MKB in de knel

Jan de Vries, eigenaar van een middelgroot IT-bedrijf, verzucht: “Voor ons is het een dagelijkse worsteling. We willen compliant zijn, maar de brede scope van de AVG is overweldigend voor een kleiner bedrijf.”

“We wilden een baanbrekende app lanceren,” voegt hij toe, “maar onze ‘privacy consultant’ heeft ons zo bang gemaakt voor boetes dat we het hele idee hebben geschrapt. Is dit echt wat de wetgever bedoelde?”

  1. De DPIA: Van tool tot obstakel

Een middelgroot ziekenhuis wilde een AI-systeem implementeren voor vroege detectie van sepsis. De privacy officer eiste eerst een uitgebreide DPIA. Zes maanden en een berg papierwerk later lag het project nog steeds stil, terwijl patiënten wachtten op innovatieve zorg.

“We doen geen DPIA’s meer, we lijden eraan,” verzucht een CIO. “Het is van een hulpmiddel verworden tot een bureaucratisch monster dat innovatie verstikt.”

  1. Europees perspectief

Andrea Jelinek, voorzitter van het European Data Protection Board (EDPB), stelt: “We zien deze uitdaging in heel Europa. Het is cruciaal dat we de volledige reikwijdte van de AVG benadrukken in onze richtlijnen.”

Dr. Hans Müller, Datenschutzbeauftragter in Berlijn, voegt toe: “In Duitsland spreken we consequent over ‘Datenschutz’, wat de volledige bescherming van gegevens omvat. Dit helpt bij een meer holistische benadering.”

Helen Dixon, Data Protection Commissioner in Ierland, nuanceert: “In vergelijking met de VS of Azië loopt Europa voorop in gegevensbescherming, maar we moeten waakzaam blijven voor een te enge interpretatie binnen onze eigen grenzen.”

  1. De rol van de Autoriteit Persoonsgegevens

Aleid Wolfsen, voorzitter van de AP, erkent: “We zijn ons bewust van de bredere scope van de AVG. Het is een uitdaging om onze communicatie hierop aan te passen zonder verwarring te creëren.”

Critici merken echter op dat de AP nog steeds primair hamert op ‘gegevensminimalisatie’ en ’toestemming’, wat de eenzijdige focus op privacy in stand houdt.

  1. Ethische dimensie

Dr. Marijn Sax, universitair docent philosophy of technology aan de UvA, waarschuwt: “Een te sterke focus op privacy kan leiden tot ethische blindheid voor andere aspecten van gegevensbescherming, zoals het recht op correctie of vergetelheid. We moeten een breder ethisch kader hanteren.”

  1. De certificaten-cultus

“Ik heb zeven privacy-certificaten!” pocht een consultant trots. Maar vraag hem naar data-integriteit of beschikbaarheidsprotocollen en je krijgt een glazige blik. Deze anekdote illustreert hoe de ‘privacy-industrie’ soms meer gericht is op het vergaren van certificaten dan op het begrijpen van de volledige reikwijdte van gegevensbescherming.

  1. AI: Nieuwe uitdagingen, oude reflexen

Dr. Emma Johnson, AI-expert: “Privacy officers zien AI vaak als de ultieme bedreiging, zonder de voordelen te begrijpen. Ze blokkeren innovatie onder het mom van ‘voorzorg’, terwijl ze de kans missen om échte, geïntegreerde gegevensbescherming te implementeren.”

“Met de opkomst van AI, IoT, blockchain en quantum computing wordt een holistische benadering van gegevensbescherming nog crucialer,” voegt ze toe. “Organisaties die nu al breed kijken, zijn beter voorbereid op deze uitdagingen.”

  1. Lichtpuntjes: organisaties die het wél begrijpen

Het Erasmus MC in Rotterdam heeft recent haar gegevensbeschermingsbeleid herzien. CIO Simon Vermeer licht toe: “We hebben onze ‘Privacy Officer’ vervangen door een ‘Functionaris Gegevensbescherming’ en implementeerden een geïntegreerd framework voor alle aspecten van gegevensbescherming. Dit was geen cosmetische verandering, maar een fundamentele herziening van onze aanpak.”

  1. De weg vooruit: concrete stappen

a) Voor organisaties:

  • Herzie functietitels en -beschrijvingen: van ‘Privacy Officer’ naar ‘Data Steward’
  • Update beleidsdocumenten: van ‘privacybeleid’ naar ‘gegevensbeschermingsbeleid’
  • Implementeer een geïntegreerd beschermingsframework
  • Train personeel in alle aspecten van gegevensbescherming
  • Koppel bonussen aan álle aspecten van gegevensbescherming, niet alleen aan ‘voorkomen van datalekken’

b) Voor de overheid:

  • Heroverweeg de term ‘Autoriteit Persoonsgegevens’
  • Lanceer een publieke bewustwordingscampagne over de brede scope van gegevensbescherming

c) Voor privacy-professionals:

  • Verplichte stages in IT en datamanagement
  • Verbreed opleidingen om alle aspecten van de AVG te omvatten
  1. Het consumentenperspectief

Sandra Molenaar, directeur Consumentenbond: “Consumenten moeten zich bewust worden dat hun rechten verder gaan dan alleen privacy. Het gaat om controle over hun gegevens in de breedste zin. Tegelijkertijd moeten ze begrijpen dat absolute privacy niet altijd in hun voordeel werkt, bijvoorbeeld als het gaat om gepersonaliseerde gezondheidszorg.”

Conclusie: Van paradox naar paradigmaverschuiving

De fixatie op ‘privacy’ ondermijnt de werkelijke intentie van de AVG. Door gegevensbescherming in zijn volledigheid te omarmen, kunnen organisaties niet alleen compliant zijn, maar ook daadwerkelijk de rechten en belangen van betrokkenen waarborgen én innovatie faciliteren.

Prof. Bart Jacobs waarschuwt tot slot: “We mogen niet van het ene uiterste in het andere vallen. Privacy blijft belangrijk, maar het moet in balans zijn met andere aspecten van gegevensbescherming. Het is tijd voor een genuanceerde, holistische aanpak.”

De AVG-paradox is geen onoverkomelijk probleem. Door bewustwording, educatie en concrete acties kunnen we evolueren naar een meer holistische benadering van gegevensbescherming. De vraag is niet óf, maar hoe snel we deze paradigmaverschuiving kunnen realiseren.

[Kader: Praktische toolkit voor directe actie]

  1. Doe de ‘gegevensbeschermingscheck’: evalueer uw beleid op alle drie de aspecten
  2. Organiseer een ’terminology cleanup day’: schoon alle interne documenten op
  3. Start een wekelijkse ‘databeschermingstip’ voor medewerkers
  4. Voer een ‘beschikbaarheidsaudit’ uit: zijn kritieke gegevens altijd toegankelijk?​​​​​​​​​​​​​​​​

* Personen in het artikel zijn gequote op basis van online artikelen interviews en publicaties.

Categories: Data
Tags:

0 Comments

Geef een reactie

Avatar placeholder

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Related Posts

AI

Bring your own trends and the implications for bring your own AI in IT departments.

The rise of “Bring Your Own AI” (BYOAI) is transforming IT departments by enhancing productivity while requiring robust governance to manage integration, security, and ethical challenges in a hybrid human-AI workforce.

AI

The Evolution of AI-Powered Development: From Code Completion to Autonomous Agents

Explore the evolution of AI-powered development tools and their enterprise implementation, from code completion to autonomous agents, with security and scaling strategies.

AI

Quantum physics pioneering the future of IT

Quantum physics is revolutionizing IT with quantum computing, offering unprecedented speed and security. From cryptography to AI, its applications are shaping the future of technology.