Interview Kees-Jan van Klaveren: de leverancier moet zorgen voor een goed (veilig) systeemontwerp

De Dag van de Privacy gaat over bewustmaking en bevordering van beste praktijken op het gebied van privacy en gegevensbescherming. Er is gekozen voor 28 januari omdat op deze dag in 1981 het Dataprotectieverdrag werd ondertekend, waarmee een basis werd gelegd voor de Europese privacybescherming.

We hebben experts uit onderwijs, onderzoek en zorg gevraagd over hun ervaringen en inzichten rondom de status van privacybescherming in de EU anno 2026. In dit artikel beantwoordt Kees-Jan van Klaveren, Functionaris voor Gegevensbescherming bij Hogeschool Rotterdam, drie vragen.

Welke lessen uit het verleden (of sinds 1981) zijn er qua privacybescherming te trekken en hoe vertalen wij deze toepassen op de huidige tijd? 

We kunnen, denk ik, veel leren van de incidenten die zich de afgelopen decennia hebben voorgedaan. Denk aan de discriminerende algoritmes uit de toeslagenaffaire of de vergaande profilering voor politieke doeleinden uit de casus Cambridge Analytica. Het is goed om ons te realiseren hoezeer digitalisering onze wereld en met name onze waarneming van de wereld veranderd heeft; het heeft er een scherm tussen geplaatst. 

De podcast Cautionary Tales (zeker een luistertip!) behandelde onlangs een zaak uit de jaren ‘80, waarin patiënten werden blootgesteld aan een overdosis aan radioactieve straling vanwege programmeerfouten in de Therac-25, een bestralingsapparaat. Eén van de problemen was dat meer vertrouwd werd op de informatie die de software gaf dan op de pijnklachten die patiënten meldden. 

Dankzij de ervaring die we inmiddels hebben met DPIA’s en andere risicobeoordelingen zijn we gewend om na te denken over risico’s – maar daarbij is het dus ook goed om stil te staan bij de vraag of en zo ja hoe je kunt weten dat iets mis gaat als het scherm je dat niet vertelt. Ik denk dat het gebruik van generatieve AI bijvoorbeeld de werkelijkheid (de ‘black box’) achter de interface extra relevant maakt. Maar ook op een onderwerp als logging heb ik ervaren dat je pas na een incident echt weet wat je had willen bijhouden.     

We hebben in 1981 een grote mijlpaal bereikt op het gebied van privacybescherming. En in 2016 met de AVG. Hoe zou de eerstvolgende mijlpaal vanuit Europa eruit moeten zien om de volgende stap te zetten? Zou dat weer een verdrag zijn, of iets anders? 

De AVG was zeker een belangrijke mijlpaal om de rechten en vrijheden van Europese burgers in het digitale tijdperk beter te beschermen. Alleen al kijkend naar onze onderwijssector is het belang van gegevensbescherming en de verantwoordelijkheid die instellingen daarvoor moeten nemen enorm bevorderd dankzij de AVG. Maar die verantwoordelijkheid is wel wat scheef belegd. 

Neem de consequenties van de Schrems-arresten, waarin individuele verwerkingsverantwoordelijken DTIA’s (Data Transfer Impact Assessments) moesten uitvoeren om te kunnen inschatten met welke Amerikaanse bedrijven uit welke Amerikaanse staten zij nog gegevens konden uitwisselen. Of techbedrijven in een (sub)verwerkersrol, terwijl hun daadwerkelijke invloed op gegevensbescherming vele malen groter is dan de school die als verwerkingsverantwoordelijke van hun diensten gebruikmaakt. En een boete opgelegd krijgen omdat hackers bij je ingebroken hebben, is begrijpelijk vanuit de gedachte dat betrokkenen erop mogen vertrouwen dat gegevens passend beveiligd worden; maar je zou bijna vergeten dat van een datalek geen sprake was geweest zonder daders. 

Wat nodig is om de rechten en vrijheden van Europese burgers beter te beschermen, is volgens mij een betere, meer realistische verdeling van verantwoordelijkheden die aansluit bij de daadwerkelijke invloed van partijen op de gegevensbescherming. Dat begint met de erkenning dat verwerkingen doorgaans plaatsvinden in systemen die niet door of speciaal voor de verwerkingsverantwoordelijke zijn ontworpen – maar wél grote invloed hebben op de mate waarin die privacy by design & default kan toepassen. De AI-verordening met haar onderscheid tussen aanbieders en gebruiksverantwoordelijken is in dat opzicht interessant, omdat de eisen aan een goed ontwerp van een AI-systeem, inclusief het onderhoud daarvan, eenduidig bij de aanbieders belegd zijn.  

Welke concrete actie zou je onderwijs- of onderzoeksinstellingen aanraden om morgen meteen mee aan de slag te gaan?  

Ik denk dat we niet moeten onderschatten hoezeer onderwijsinstellingen onze digitale toekomst mede kunnen vormgeven. Binnen de hogeschool waar ik FG van ben, hebben we een tijd achter de rug waarin we in digitaal opzicht vooral het werkveld wilden volgen. Dat leidde er nogal eens toe dat er een dilemma gevoeld werd tussen innovatief vermogen en gegevensbescherming. Mede dankzij de komst van datalabs groeit nu een onderzoekende, experimentele houding: wat gebeurt er onder de motorkap? Waarom stelt een leverancier eigenlijk gratis ‘edu-licenties’ beschikbaar? En zijn de uitkomsten van een verwerking wel zo mooi en betrouwbaar als in het werkveld gedacht wordt? 

Door met studenten te werken aan dit soort vraagstukken leren we ze een reflectieve houding aan op digitaliseringsvraagstukken. En, minstens zo belangrijk: gegevensbescherming is in deze benadering een ontwerpprincipe, een voorwaarde voor innovatie. Dat we daarin als instellingen ook gezamenlijk kunnen optrekken, zien we bijvoorbeeld in de resultaten die SURF Vendor Compliance heeft weten te boeken met grote leveranciers. Kortom: laten we ons best doen om een onderzoekende, experimenterende houding aan te nemen en te stimuleren bij digitale innovaties.