In deze eerste aflevering van de podcastserie Captains of Privacy deelt Annechien Sloots, in een gesprek met Walter van Wijk van CIP en host Robin Rotman, haar ervaringen. Zij was onder meer Functionaris Gegevensbescherming bij de Autoriteit Persoonsgegevens en richt zich nu vooral op het trainen en coachen van aanstormende privacy professionals. Want het is moeilijk om de AVG toe passen in de praktijk. En veel organisaties, ook binnen de overheid, hebben hun privacy-zaken onvoldoende op orde. Hoe ontkom je in dit vak aan de negatieve spiraal? Kijk naar wat er wél kan!
Annechien werd verkozen tot Beste Onafhankelijke Jurist van 2022.
Een interessante podcast met een gedreven professional.
In deze eerste aflevering van de podcastserie Captains of Privacy deelt Annechien Sloots, in een gesprek met Walter van Wijk van CIP en host Robin Rotman, haar ervaringen. Zij was onder meer Functionaris Gegevensbescherming bij de Autoriteit Persoonsgegevens en richt zich nu vooral op het trainen en coachen van aanstormende privacy professionals. Want het is moeilijk om de AVG toe passen in de praktijk. En veel organisaties, ook binnen de overheid, hebben hun privacy-zaken onvoldoende op orde. Hoe ontkom je in dit vak aan de negatieve spiraal? Kijk naar wat er wél kan!
Annechien werd verkozen tot Beste Onafhankelijke Jurist van 2022.
Een interessante podcast met een gedreven professional.
Annechien Sloots: Ik zal je zeggen dat ik in 2018 heel hard riep: jongens, over een paar jaar is privacy ingeburgerd, iedereen heeft het op orde, is het helemaal niet zo'n belangrijk thema meer als nu en dan zijn al die privacy professionals helemaal niet meer zo nodig. Daar heb ik me echt enorm in vergist.
Robin Rotman: Welkom bij Captains of Privacy. Een podcastserie van het Centrum Informatiebeveiliging en Privacy-bescherming. Samen met Walter van Wijk van het CIP bespreken we met inspirerende professionals de stand van privacyland aan de hand van hun visie en ervaringen.
Annechien Sloots: Heel veel is grijs. Ik vind dat persoonlijk heel leuk, want dat betekent dat je heel veel kunt, als je er maar goed over nadenkt. Maar het is voor jonge professionals inderdaad daarmee heel moeilijk. En dat is één van de dingen waar wij het meeste aandacht aan geven, om er dan achter te komen hoe moeilijk het eigenlijk is om die wetgeving toe te passen.
Walter van Wijk: Vandaag te gast is Annechien Sloots, mede-eigenaar van Privacycoaches. Voormalig bedrijfsjurist. En hiervoor was zij functionaris Gegevensbescherming bij de Autoriteit Persoonsgegevens. Hoe dicht bij het vuur kan je zitten. Ze heeft in haar vrije tijd culinaire interesses, maar ook houdt zij van wandelen. Dat is een mooie combinatie.
Robin Rotman: Je zit heel erg hard te grijnzen. Je bent ondertussen ook nog eens benoemd of uitverkozen door WeLegal Network tot beste onafhankelijke jurist van 2022.
Annechien Sloots: Klopt helemaal.
Walter van Wijk: Gefeliciteerd.
Annechien Sloots: Dank je wel.
Robin Rotman: Gedreven, enthousiast, vakinhoudelijk, actief bezig, vertaalslag kleine ondernemingen, samen met de juristen MKB-ondernemers helpen. Dat zijn wat steekwoorden uit het juryrapport. En ook nog eens een keer op een laagdrempelige manier in orde te krijgen. Je bent wel goed in je werk, of niet?
Annechien Sloots: Gelukkig kunnen luisteraars niet zien hoe ik aan het blozen ben nu. Dank je wel.
Robin Rotman: Heel gaaf, gefeliciteerd daarvoor. Jij traint en coacht aankomende privacy professionals of huidige privacy professionals? Vertel eens eventjes: wat kan ik allemaal van je leren?
Annechien Sloots: Ja, wij doen beiden inderdaad. En onze key is eigenlijk dat wij junior mensen opleiden tot privacy expert. Ervaring leert gewoon dat er heel veel vacatures op dit moment zijn die niet vervuld kunnen worden, want er zijn gewoon niet zo heel veel goeie privacy mensen op dit moment. Ja, en wij zijn in dat gat gesprongen en trainen die mensen, halen ze van de universiteit, halen ze van het HBO en trainen ze tot een echte privacy expert op inhoud, maar ook op vaardigheden.
Robin Rotman: En zijn dat dan één op één lessen of zijn het klasjes? Wat moet ik me daarbij voorstellen?
Annechien Sloots: Het is echt een traineeship. Dus een klasje met een aantal, zodat ze ook meteen een netwerk hebben. Zij gaan aan de slag bij een organisatie. Het kan een overheidsorganisatie zijn, het kan een bedrijf zijn. En wij trainen ze eerst met een week, echt een deepdive in privacy, want het zijn allemaal mensen die enorm veel passie voor privacy hebben, maar vaak weinig tot geen kennis. En daarna krijgen ze elke paar weken een herhaaltraining. Dat kan gaan om echt weer dieper op een onderwerp in te gaan van privacy. Maar het gaat ook om: hoe beïnvloed ik nou mensen? Hoe neem ik nou mensen mee? Weet je, privacy is niet altijd een makkelijk onderwerp. Mensen zijn er vaak negatief over. Niks kan sinds 2018. Ja, dan moet je wel leren hoe je mensen in jouw organisatie meekrijgt in een advies.
Walter van Wijk: En is het in de huidige ontwikkelingen van de arbeidsmarkt lastig of juist heel makkelijk om traineeplekken te vinden?
Annechien Sloots: Makkelijk ja, want die vacatures zijn er. En heel veel organisaties hebben gewoon anderhalf jaar een vacature openstaan. Ze zeggen dan: doe dan maar de nummer twee - die ik eigenlijk niet hebben wil - maar ja, ik moet iets. En komen er na een paar maanden achter: het was hem toch niet . En dan is het traineeship fantastisch. Wij begeleiden ze echt helemaal, dus wij coachen ze ook. Wij zijn er op de achtergrond. Ze kunnen van onze knowhow gebruik maken.
Robin Rotman: We hebben een paar vragen, een paar stellingen voor je meegenomen. We gaan gewoon eens even kijken wie jij nou eigenlijk bent en wat jouw visie is op de stand van privacyland. Eerste vraag, Walter.
Walter van Wijk: Ja, gewoon toch maar even bespiegelend. Je loopt al een tijdje mee in het vakgebied en wat zou je nou zelf omschrijven als je belangrijkste wapenfeit of verworvenheid op privacygebied? Waar ben je het meest blij mee, het meest trots op?
Annechien Sloots: Nou, ik ben eigenlijk nog steeds trots - en dat is al een tijdje terug - we hadden allemaal 25 mei 2018 op een gegeven moment in het vizier. Ik werkte toen bij een financiële instelling en wij waren 24 mei, want de borrel moest wel op donderdag en niet op vrijdag, want dan werkt bijna niemand. 24 mei 2018 waren wij gewoon klaar met alles wat klaar moest zijn. Was het perfect? Nee, maar het was er wel allemaal. En ik denk niet dat veel organisaties dat konden zeggen.
Walter van Wijk: Nee. En ook een hele strakke planning op 24 mei 's avonds?
Annechien Sloots: Ja, maar echt letterlijk vijf minuten voor de borrel zo'n beetje.
Robin Rotman: Er is één hele voor de hand liggende vraag die ik eigenlijk nog nooit gesteld heb in deze podcast: wat is privacy eigenlijk?
Annechien Sloots: Mooie vraag. In mijn optiek is privacy echt de bescherming van jouw persoonlijke gegevens, waarbij jij bepaalt wat ermee gebeurt, wie er wat mee doet, wie het krijgt. En dat doet niet een organisatie, niet een overheidsorganisatie, niet een bedrijf. Jij bent degene die dat bepaald!
Robin Rotman: Oké. Dus er zit een heel belangrijk element van zelfbeschikking in jouw definitie van privacy? Leuk! Ik ben benieuwd hoe dit tot uitdrukking komt in de rest van dit gesprek. We hebben een paar stellingen. Walter, wat is eerst de stelling?
Walter van Wijk: Overheden en andere organisaties worden heel vaak te laat wakker als het gaat om privacy thema's.
Annechien Sloots: Ja, daar kan je alleen maar mee eens zijn, helaas.
Walter van Wijk: Dat is jammer.
Annechien Sloots: Ja, zelfs nu nog. We zijn ondertussen een paar jaar verder - 2022 - en ik kom nog steeds te veel bij organisaties die de AVG niet geïmplementeerd hebben, te slecht geïmplementeerd hebben, het eigenlijk opnieuw moeten doen of waarbij het gewoon tot op het hoogste niveau niet op het netvlies staat.
Walter van Wijk: Zie je een paar rode lijnen in de soort casus die vaak voorkomen?
Annechien Sloots: Te weinig aandacht vanuit management is - hoe vervelend ook - top-down is gewoon belangrijk. Als je dat niet hebt, dan gaat de rest van de organisatie ook niet lopen. Helaas is dat nog steeds hoe de wereld werkt. En je ziet dat de kennis vaak nog steeds heel beperkt is, er te weinig mensen zijn en het ondergeschoven wordt onder de dagdagelijkse waan. Er zijn zoveel dingen belangrijk. Kijk naar de Belastingdienst - wat natuurlijk een hele duidelijke case is geweest - zoveel dingen die zij moeten doen met hun IT-systemen, met alle nieuwe wetgeving die er elk jaar op ze afkomt. En privacy gaat daar maar een beetje bij en een beetje tussendoor. En dat geldt voor heel veel organisaties.
Walter van Wijk: Nou, in de vakterm die je daarbij dan graag wil horen is: privacy by design. In normaal Nederlands: dingen vooraf goed regelen. Hoe kan je dat het beste insteken?
Annechien Sloots: Eigenlijk het eerste wat ik doe als ik bij een organisatie binnenkom is kijken hoe privacy by design ingeregeld is. Vaak is het antwoord: Sorry? Privacy by design, wat is dat?
Walter van Wijk: Oh, wow.
Annechien Sloots: Ja. Dat is voor mij echt een teken dat het vastheidsniveau dan gewoon laag is. Ja, en wat mij betreft privacy by design regel je in op alle plekken in je organisatie. Bij inkoop, bij de IT-afdeling. Zorg dat er vanaf het begin over privacy by design wordt nagedacht. Betekent dat je het borgt in: processen, in documenten, in templates want mensen moeten wel steeds gewezen worden op het feit dat privacy er is en dat je er iets mee moet.
Robin Rotman: Oké. Dus de mensen moeten goed gaan begrijpen dat het niet een soort losstaand ding is wat buiten hen zelf bestaat. Nee, het zit overal in al je processen. Het gaat over je klanten, het gaat over je medewerkers, het gaat over alles en nog wat?
Annechien Sloots: Absoluut ja. En je kunt ook niet van ze verlangen dat ze daar steeds zelf over nadenken, als het iets is wat je niet dagelijks in je werk doet.
Robin Rotman: En zie je dan ook nog een verschil tussen overheden en organisaties in het veld? Want deze stelling gaat over misschien wel commerciële organisatie, misschien wel ziekenhuizen en over overheden. Zie jij daar verschillen in besef?
Annechien Sloots: Ik zou willen dat het antwoord 'ja' is, want ik zou eigenlijk willen dat de overheden verder zouden zijn, en het antwoord is 'nee.'
Robin Rotman: Heb ik een leuke , want jij bent natuurlijk een tijdje lobbyist geweest In Den Haag, voor de ICT-sector. Dus zij weten hoe die hazen daar lopen. Stel dat wij nou eens denken van: wij willen jou in Den Haag hebben als lobbyist. Wij als samenleving, als burgers, willen we dat jij gaat lobbyen voor privacy in Den Haag? Wat gaan we doen?
Annechien Sloots: Ook weer zo'n mooie vraag. Eigenlijk zijn er dan twee dingen. Eén is heel praktisch. Want wat je gewoon nu ziet gebeuren is dat wetgeving - of dat nou wetgeving echt over gegevens gaat en over persoonsgegevens, of algemenere wetgeving - er wordt gewoon niet over privacy nagedacht. En niet alleen maar in de zin van: wat mag er niet? Maar vooral ook: wat mag er wel en wat wil ik? Denk aan de zorg. We vinden het allemaal heel belangrijk dat er onderzoek wordt gedaan, maar nergens is goed geregeld dat de persoonsgegevens van patiënten daarvoor - in een vorm en op de juiste manier - gebruikt kunnen worden.
Robin Rotman: Dus dat gaat over het hoe.
Annechien Sloots: Dat gaat over het hoe. En met name het vooraf nadenken: wat moet ik nou kunnen doen om een bepaald doel te kunnen bereiken? In dit geval betere zorg. In dit geval betere, nieuwe medicijnen.
Robin Rotman: Oké, dus hier heb je het over de overheid als regelgever eigenlijk, hè? Dus de overheid zou misschien kaders moeten stellen, je moet daar veel beter over nadenken. Tegelijkertijd is de overheid ook vaak - dat klinkt een beetje cru - een beetje dader. Zij zijn zelf een heel grootverbruiker van dataverzamelaar en die doen daar een heleboel dingen mee met burgers. Dus aan de ene kant moeten ze reguleren en de markt in de gaten en tegelijkertijd zijn ze zelf speler op die markt. Wat zou je daar doen als lobbyist - namens ons - in die hoek?
Annechien Sloots: Dat is inderdaad wel een hele belangrijke, want zij zijn degenen die heel dichtbij de Tweede Kamerleden zitten, die heel dichtbij het vuur van een wetgevingstraject zitten en vervolgens wetgeving over zichzelf moeten maken. Dat zijn twee petten die je op dat moment aan het dienen bent. Nou, dat is er echt eentje waar ze over na moeten denken. Waar je eigenlijk over na moet denken: kun je daar niet een andere partij bij zetten? Je standaard bijvoorbeeld een ander ministerie erover mee laat kijken, die objectiever kijkt, want het gaat niet over hem. Maar een ander belangrijk punt, wat ik ook echt wel bij Kamerleden tussen de oren zou willen krijgen is, dat privacy niet alleen maar negatief is.
Robin Rotman: Wat bedoel je daarmee?
Annechien Sloots: Wat je nu heel veel hoort is: je hebt de Big Tech en iedereen doet allemaal dingen met data van onze burgers, waar we helemaal niet vrolijk van worden. En techniek is spannend en eng, terwijl er ook zoveel moois mee kan. Dus de positieve kant van techniek, van AI. Ook zo'n onderwerp wat op dit moment enorm veel aandacht krijgt, maar met name de negatieve aandacht krijgt, terwijl er zoveel mooie dingen mee kunnen.
Robin Rotman: Privacy, als showstopper eigenlijk, We vinden privacy belangrijk, dus dit mag niet, dat mag niet, dat mag niet en dat mag niet.
Annechien Sloots: Ja.
Robin Rotman: En wat is dan jouw pleidooi? Kijk je meer naar de mogelijkheden?
Annechien Sloots: Kijk ik meer naar wat er wel kan en welke mooie resultaten je kunt krijgen met de techniek.
Walter van Wijk: Ja, en die techniek, die noem je net eventjes. In één van onze andere podcast gaat het over privacy enhancing technologies, - ook een hele interessante om te beluisteren, - maar eventjes Annechien, vanuit de optiek van de burger: wie zijn de grootste bedreigers van onze burgerlijke privacy? Zijn dat overheden dan, of de bestuurders? Of misschien juist de mensen op de werkvloer of de bedrijven of andere burgers of buitenland?
Annechien Sloots: Ja, ik vrees dat de overheid daar wel echt in de top 3 staat, omdat die zoveel en ook zoveel gevoelige persoonsgegevens over ons hebben, en ook zoveel koppelingen vaak kunnen maken met andere datasets, waardoor ze alleen nog maar meer weten. Dus de overheid staat wat mij betreft echt in de top 3. Ook omdat ze het - wat mij betreft - gewoon niet goed genoeg geregeld hebben.
Robin Rotman: We hebben nu in het nieuwste kabinet een staatssecretaris voor Digitale Zaken. Je knikt een beetje schamper eigenlijk. Is dat een antwoord of wat gebeurt er bij je, als ik dit noem?
Annechien Sloots: Je ziet elke keer als er een issue is in Den Haag, een politiek thema, waarvan we allemaal roepen: daar moeten we iets mee, dan is de oplossing: we doen een ministerpost of een staatssecretarispost. Maar het gaat uiteindelijk om de invulling en die moet ik echt nog zien. Op dit moment zie ik daar nog niet heel veel van.
Robin Rotman: Maar wat had dan een alternatief kunnen zijn? Want dit gesprek loopt natuurlijk al heel lang: er moet een ministerie voor Digitale Zaken komen. Aan de ene kant zeggen mensen: ja, goed, een sheriff in het kabinet die de privacybescherming en de gegevensbescherming goed in de gaten houdt. En tegelijk zegt men: ja, maar dan zorg je er juist voor dat andere ministers zich misschien niet meer verantwoordelijk voelen.
Annechien Sloots: Precies. Ik zou echt vinden dat het bij alle ministeries en bij alle ambtenaren, bij alle Kamerleden tussen de oren zou moeten zitten, standaard. Dit moet je niet in de handen van één iemand of één partij leggen.
Robin Rotman: Even terug naar het begin van dit gesprek. Annechien. Jij traint jonge mensen en jonge privacyprofessionals. Privacy is niet absoluut, maar een organisch fenomeen. Dat is misschien het lastigste om bij opleiding van jonge mensen hen dat mee te geven. Dit vind ik een leuke stelling.
Annechien Sloots: Ja, maar dat klopt. En wetgeving is deels heel duidelijk. Er zit een klein stukje zwart-wit in. Het BZN-nummer mag je echt alleen maar voor bepaalde dingen gebruiken, er moet een wet voor zijn anders mag het niet. Dat is één van de weinige dingen die echt duidelijk is bijvoorbeeld. En heel veel is grijs. En ik vind dat persoonlijk heel leuk, want dat betekent dat je heel veel kunt, als je er maar goed over nadenkt. Maar het is voor jonge professionals inderdaad daarmee heel moeilijk. En dat is één van de dingen waar wij het meeste aandacht aan geven door gewoon echt praktijkcases met ze door te nemen, ze zelf te laten doen. Om er dan achter te komen hoe moeilijk het eigenlijk is om die wetgeving toe te passen.
Robin Rotman: Oké, dus je moet als aanstormend privacy professional de regels kennen. De juridische context moet je snappen maar dan wordt het een beetje ingewikkeld, want dan komen de kwaliteiten als ethisch besef. Er komen kwaliteiten als belangen afwegen. Er komen kwaliteiten als staan voor de zaak en tegen de baas zeggen: gaat niet gebeuren. Dan moet je ook stevig in je schoenen staan.
Walter van Wijk: Ja of anders gezegd: ben je als FG nou idealiter een jurist of een socioloog?
Annechien Sloots: Je hebt echt goede vragen en goede stellingen vandaag Walter, dank je wel. Ik vind - in alle eerlijkheid - geen jurist. Ik ben jurist, kun je nagaan, maar als ik echt zwart-wit zou moeten kiezen, is het socioloog. Want het gaat erom dat je met iedereen om moet kunnen gaan. En je moet tegen iedereen alles kunnen zeggen en goed over de bühne brengen wat belangrijk is. Of dat nou voor je medewerkers inderdaad is of je klanten of je burgers, als het om de overheid gaat. En een jurist denkt toch vaak vanuit regels: zwart-wit, ja-nee.
Walter van Wijk: Dat jij als jurist zo'n stelling durft in te nemen, dat zegt wat. Dus dank je wel daarvoor.
Robin Rotman: Dit is interessant. Oké, maar dan wil ik je even meenemen naar dat klasje met de talenten die jij gaat opleiden. En je zegt: wij werken vanuit casussen. Hoe train je dan ethisch besef, belang afwegen en al die skills die veel moeilijker bij te brengen zijn. Hoe doe je dat dan?
Annechien Sloots: Gelukkig hebben we daar ook wel echt hulp van hele goede trainers extern. Op ethiek hebben we een hele mooie, maar ook inderdaad op: beïnvloeden presentaties geven, goede notities schrijven. Weet je, een bestuurslid kijkt toch vaak naar de eerste drie zinnen of hopelijk de eerste alinea en dan moet het gewoon over de bühne gebracht zijn. Hoe doe je dat nou goed? Daar hebben we mensen die daar de theorie over vertellen. Maar we hebben ook gewoon letterlijk de casus die wij natuurlijk vanuit alle trainers, vanuit de praktijk al met ons meebrengen. Er komt een vraag van de marketingafdeling: ze willen de data die we nu hebben die we bijvoorbeeld via cookies binnenkrijgen nu gaan gebruiken om de website te personaliseren, dit als simpel voorbeeld. Dus jij komt op de website en je ziet wat anders dan als ik er op kom. Hoe ga je dat beoordelen? Nou aan de ene kant heb je je wettelijke spelregels, je basisprincipes, die loop je gewoon allemaal af. En aan de andere kant heb je inderdaad ook: willen we dit? Want mag het is een vraag, maar willen we dit is een andere. In dit voorbeeld is die denk ik vrij makkelijk, want dit is niet zo'n hele spannende. Maar je hebt ook wel eens voorbeelden waarbij je denkt van: ja, wil ik dit wel, zou ik dat willen als het om mijn eigen gegevens gaat?
Robin Rotman: Als ik hierop mag aanhaken. Dit hangt voor mij samen met allerlei technologieën die gewoon op ons af komen. Als een soort force of nature. Het gaat dan een tijdlang over deepfakes, als een grote bedreiging. Het gaat over slimme camera's waarvan een supermarkteigenaar zegt: ik ga die gewoon ophangen en ik ga de boeven eruit filteren. Of het gaat over kunstmatige intelligentie. Op een heleboel niveaus wordt over al deze thema's nagedacht, maar dit maakt het ook tot een soort organische fenomeen: privacy. Want er zijn steeds nieuwe krachten die privacy opnieuw uitdagen. En die mensen die je aan het klaarstomen bent, die worden over vijf jaar met een technologie geconfronteerd die nu misschien nog niet eens bestaat of misschien nog heel klein is. Hoe doe je dat?
Annechien Sloots: Door ze echt te trainen en elke keer weer te laten nadenken: vind ik het oké in deze casus? Mijn eerste vraag is altijd: mag het van de wet? Die is soms makkelijk, soms moeilijker te beantwoorden. Maar de tweede vraag is: wil ik dit? En ik zeg altijd:, kan ik het aan mijn moeder uitleggen? Ik heb een hele goede band met mijn moeder, dus ik wil dat haar gegevens erg goed beschermd zijn. Kan ik het uitleggen? Prima, dan kan het blijkbaar en dan moeten we er vooral mee doorgaan. Kan ik het niet uitleggen, dan moet ik misschien heel even nadenken of ik dit wel wil.
Walter van Wijk: Nou, die technologieën die Robin net eventjes noemt, die zijn de laatste vier jaar gewoon enorm in een stroomversnelling gekomen, en ze hebben de AVG net droog achter de oren en ze lopen al bijna weer een paar stappen achter. Dit pleit dan bijna voor permanente educatie als eis op het vakgebied van privacy.
Annechien Sloots: Absoluut. Ik ben heel groot voorstander van permanente educatie, want het is de technologie, maar het is ook het toepassen van bestaande technologie op een manier die we van tevoren niet bedachten.
Robin Rotman: Je bent mensen aan het voorbereiden op de komst van een technologie waarvan je nu nog niet eens weet dat die gaat bestaan.
Annechien Sloots: Nee, ik weet nog niet dat die bestaat. Ik weet nog niet wat er gaat komen, in welke hoek ik het moet zoeken. En ik weet niet op welke manier ik het moet toepassen.
Robin Rotman: Jij zegt van: kijk eens eventjes of je dit kan uitleggen aan je moeder. Dat vind ik een leuke. We hadden een leuke opname met Marlon Domingus, die is FG bij de Erasmus Universiteit en die zei: ja, als het echt ingewikkeld wordt, vraag je dan misschien eens even af: zou ik mijn minderjarige dochter blootstellen aan het onderzoek wat jij nu wil gaan doen. Als het antwoord nee is, dan moet je het misschien niet doen. En dan ga je echt redeneren vanuit de mens in plaats vanuit de belangen die jij hebt als onderzoeker. Dat zijn dan een beetje de skills die je moet meegeven.
Annechien Sloots: Ja, en ik zeg eigenlijk hetzelfde als hij. Absoluut.
Robin Rotman: Heb jij nog een stelling, Walter?
Walter van Wijk: Ja, we gaan even terug naar een ander stukje van jouw loopbaan. Tenminste jij bent als FG werkzaam geweest bij de Autoriteit Persoonsgegevens. Die zijn best wel aan worstelen met hoe kunnen ze de FG's nu het beste ondersteunen. Dat was niet jouw rol, want jij was intern bij de AP bezig, maar je zal van dichtbij gekeken hebben wat er achter de schermen speelde. Dus de stelling is: de Autoriteit Persoonsgegevens is - vanuit de optiek van FG's - te veel politieagent en te weinig gesprekspartner.
Annechien Sloots: Ja, helemaal eens, helemaal eens! Ik roep al jaren dat ze veel meer moeten kijken naar hoe buitenlandse toezichthouders dit doen. Als je kijkt naar Engeland, als je kijkt naar Frankrijk, waar veel meer de dialoog gezocht wordt, op de questions - de FAQ's - die ze op hun website zetten. Op de guidance die ze geven. De Autoriteit Persoonsgegevens zet het gewoon op zijn website. En het is elke keer maar weer de vraag wat er staat, letterlijk, ook voor de FG. Ik heb echt wel eens een situatie gehad dat ik iets adviseerde. Ik zei: kijk maar op de site van de AP. En een dag later keek de betreffende medewerker en zei: maar er staat nu wat anders. Dat wil je echt niet.
Walter van Wijk: Nou, dat is wel interessant, want jij noemt nu eventjes die website en de informatie die daar staat. We hebben net onze FG enquête afgrond en in een rapport naar buiten gebracht en daaruit blijkt dat de FG's die hebben meegedaan aan die enquête juist de informatie op de website heel erg veel meer waarderen dan vier jaar geleden - toen we datzelfde onderzoek hebben gedaan - maar op de persoonlijke contacten schiet AP nog steeds tekort. Kunnen ze daarin ook leren van de lessen uit andere landen?
Annechien Sloots: Jazeker. En dat is echt ook zorgen dat je gebruik maakt van de FG. Ik zie de FG een beetje tussen de AP en de organisatie in. De AP houdt toezicht en kan uiteindelijk boetes opleggen, kan media [onhoorbaar 00:18:35], kan van alles en nog wat doen om ervoor te zorgen dat een organisatie gaat lopen. Maar de FG is de eerste die toezicht houdt. Maak daar nou gebruik van. Ga daar de contacten mee zoeken op het moment dat je denkt: er gaat iets niet goed.
Robin Rotman: Ik merk dat ik dit altijd een lastige vind, want ik snap heel goed dat er een soort wens is vanuit het veld om in dialoog te kunnen gaan met de Autoriteit Persoonsgegevens, zonder dat je het gevoel hebt dat je slapende honden wakker maakt en dat je op je sodemieter krijgt. Dus je hoopt dat je in gesprek kan gaan en gewoon misschien een soort spanningspartner bent. En tegelijkertijd denk ik ook wel weer van: ja, als één of andere tech-boer met mijn gegevens aan de haal gaat, dan wil ik gewoon dat de Autoriteit Persoonsgegevens die mensen op hun sodemieter geeft want dit hebben we niet zo afgesproken. We vragen wel heel veel van de AP dan. Aan de ene kant moeten ze af en toe gewoon met een gestrekt been erin, omdat ze gewoon vinden: dit zijn regels en daar moet je je aan houden. En tegelijkertijd vinden we ook dat ze gesprekspartner moeten zijn en ons een beetje moeten helpen. Hoe gaan we dit dan doen? Want het is nu eenmaal een organisch geheel, dat privacy. Wat we net hebben vastgesteld.
Walter van Wijk: Via directoraten met verschillende taken.
Annechien Sloots: Ja, maar ik vind dat eigenlijk verschillende fasen, waar je het over hebt. In the end moeten ze uiteraard met die stok kunnen slaan. Dat is hun rol. En dat vind ik niet meer dan logisch. Maar ik vind wel dat je van tevoren duidelijk moet maken wat jouw visie is op de uitleg van de wet. En als jij guidance geeft dat je dat van tevoren doet en niet eerst slaat en dan die guidance geeft. Daar hebben we de afgelopen tijd natuurlijk ook voorbeelden van gehad. Maar ook dat als je guidance maakt, dat je daar met de sector over praat en dat je de input ophaalt. Bij wetgevingstrajecten doen de ministeries dat ook. Het betekent niet dat je alles hoeft over te nemen wat zo'n sector zegt, maar het betekent wel dat je de kennis ophaalt en besluit: wat doe je er dan vervolgens mee.
Walter van Wijk: Maar even heel praktisch. Die aanstormende FG's die je aan het trainen bent, wat geef je die dan voor belangrijkste tips mee ten aanzien van de AP en hoe ze daarmee om zouden moeten gaan?
Annechien Sloots: Gebruik ze, maar besef ook heel goed dat ze niet altijd voorspelbaar zijn.
Robin Rotman: Dat is ook tricky eigenlijk, hè.
Annechien Sloots: Ja, maar dat vind ik heel erg om dat te moeten zeggen.
Robin Rotman: Is ook een geldkwestie? Want ik kan zelf niet zo goed beoordelen wat daar nu fout gaat of waar de kritische noten te kraken zijn, maar ik weet wel dat er vaak geroepen wordt vanuit de AP zelf, maar ook van daarbuiten: het is gewoon een kwestie van geld. Er moeten veel meer mensen beschikbaar komen die kunnen controleren, die ruimte hebben om een misschien wat coachende rol aan te nemen. Is het zo plat als een geldzaak misschien ook?
Annechien Sloots: Het is ook geld, maar het is niet alleen geld in mijn optiek. Het is ook: hoe positioneer je jezelf? Wat is de visie? En dat is in dit geval dan van het bestuur van een AP op: treed ik wel of niet pragmatisch en productief naar buiten of ben ik inderdaad meer alleen de toezichthouder die achteraf wat zegt. Dat is een keuze die zij maken en dat heeft niks met geld te maken.
Robin Rotman: Dat is een taakopvatting. Wat is je 'why' in de wereld, zal ik maar zeggen.
Annechien Sloots: Ja.
Walter van Wijk: Dit is een podcast over Captains of Privacy, en jij staat nu in de spotlight Annechien. We begonnen deze podcast met de vraag: wat is nou je belangrijkste wapenfeit, je grootste verdiensten? Ik wil hem afsluiten met: wat is nou je belangrijkste leermoment geweest?
Annechien Sloots: Ik zal je zeggen dat ik zo in mei 2018 heel hard riep: jongens, over een paar jaar is privacy ingeburgerd, heeft iedereen het op orde, is het helemaal niet zo'n belangrijk thema meer als nu. En dan zijn al die privacy professionals helemaal niet meer zo nodig, als ze toen waren. Ja, daar heb ik me echt enorm in vergist. Ik kom organisaties, overheid en bedrijfsleven tegen die in alle eerlijkheid nog in een pre 2018 fase zitten. Dat had ik echt niet verwacht, heel naïef misschien.
Walter van Wijk: Een reality check?
Annechien Sloots: Ja, maar een hele harde. .
Walter van Wijk: Zei de jurist, die eigenlijk misschien liever socioloog had willen zijn.
Robin Rotman: Maar ik vind het toch wel een interessante vaststelling van je, want hoe ziet de wereld er dan over vijf jaar uit?
Annechien Sloots: Nou, ik zou willen dat ik kon zeggen wat ik in 2018 zei: dan zijn we er wel. En dat is het niet. Ik heb wel altijd gezegd - en daar sta ik nog steeds wel achter - privacy is een nieuwe duurzaamheid. Dat blijft gewoon een onderdeel. Alleen ik hoop dat het op een gegeven moment gewoon een basis hygiënefactor wordt, in plaats van iets waar continu projecten op moet komen, omdat mensen het gewoon niet op orde hebben.
Robin Rotman: Dat is leuk, die analogie met duurzaamheid. Dat was aanvankelijk een soort geitenwollen sokken ding, totdat het ook een soort marketing ding werd. En iedereen die ging daarin mee en wilden dat belangrijk maken. En dan is je incentive misschien niet helemaal zuiver, maar je ging er wel mee aan de slag, weet je wel. Is dat met privacy misschien ook, dat je je kan profileren: wij doen het goed, wij zijn met privacy bezig.
Annechien Sloots: Ja, maar dat is al jaren in het geval. Je ziet steeds meer dat burgers en consumenten daar inderdaad ook echt naar kijken: met welk bedrijf wil ik wel en met welk bedrijf wil geen zaken mee doen. Er is overigens een mooi onderzoek recent geweest in Engeland daarover, die ook steeds tot de conclusie komt dat: als jij als organisatie laat zien dat je privacy op orde hebt, dat je daarmee meer klanten trekt.
Walter van Wijk: Jij schetst best wel een bewolkt beeld van over vijf jaar, maar jij zit hier naast mij, als een enthousiast en optimistisch persoon. Wat is dan het lampje aan het einde van jouw tunnel?
Annechien Sloots: Ja, ik blijf erbij dat privacy geen showstopper is en dat we uiteindelijk naar een plek en een momentum in tijd gaan, dat het gewoon onderdeel is van wat ik al zeg: je duurzaamheid, je contracten. Het is iets wat je gewoon op orde moet hebben, maar dat zit in de mind van iedereen om dat gewoon te regelen. En ik geloof dat het er gaat komen, maar ik vrees dat het nog niet over vijf jaar is.
Walter van Wijk: Maar het lichtje zal steeds in mensen in hun besef aangaan?
Annechien Sloots: Jawel, dat kan niet anders.
Walter van Wijk: Dank je.
Robin Rotman: Dank je wel, Annechien Sloots, mede-eigenaar van Privacycoaches. Ik heb wel het vermoeden dat jij een grote belangrijke bijdrage gaat leveren aan dat lichtje van deze tunnel, want die mensen die gaan er gewoon komen. Ik hoop dat dit gesprek heeft geïnspireerd. Het heeft mij in ieder geval wel een hoop waardevolle kennis opgeleverd. Er zijn een heleboel andere leuke afleveringen Walter, Captains of Privacy. We hebben een heleboel leuke mensen gesproken. Waar kunnen we die vinden?
Walter van Wijk: Allemaal op de CIP website: CIP-overheid.nl/uitgelicht.
Robin Rotman: Of gewoon in je favoriete podcast app. Annechien, dank je wel.
Annechien Sloots: Graag gedaan.
Walter van Wijk: Leuk dat je erbij was. Dank je wel.
Annechien Sloots: Jullie ook bedankt.