CIP Podcast - voor meer kennis over informatieveiligheid

CIP Podcast - Captains of Privacy, afl. 2: Marlon Domingus

November 02, 2022 Walter van Wijk
CIP Podcast - voor meer kennis over informatieveiligheid
CIP Podcast - Captains of Privacy, afl. 2: Marlon Domingus
Show Notes Transcript

‘Privacy dient eigenlijk verankerd zijn in de processen.’ Dat zegt Marlon Domingus, Functionaris Gegevensbescherming bij de Erasmus Universiteit Rotterdam (EUR). En: ‘Zou jij je minderjarige dochter blootstellen aan de gemaakte afspraken op privacy-gebied?’ Met die indringende reality check werkt Marlon aan gegevensbescherming binnen de EUR, waarbij privacy governance hoog in zijn vaandel staat. Hij is in deze podcast in gesprek met Walter van Wijk van CIP en host Robin Rotman.

Luister hier ook de andere afleveringen van de CIP podcastserie ‘Captains of Privacy’. Dit is aflevering 2 van de in totaal 8.

Marlon Domingus: Soms is governance gewoon een pdf dat ergens online staat of in een la ligt bij iemand. Wat je natuurlijk eigenlijk wil, is dat die governance verankerd zit in je processen.


Robin Rotman: Welkom bij Captains of Privacy, een podcast serie van het Centrum Informatiebeveiliging en Privacybescherming. Samen met Walter van Wijk van het CIP, bespreek ik met inspirerende professionals de stand van privacyland aan de hand van hun visie en ervaringen.


Marlon Domingus: Soms heeft iemand een duidelijk idee en dan vraag ik: "Zou je je minderjarige dochter aan dit onderzoeksproject mee laten doen?" Dan snappen ze hem, want wat er dan gebeurt, is dan kijk je naar het belang van de betrokkenen, en vaak kijken mensen naar hun eigen targets en deadlines.


Walter van Wijk: Vandaag in deze podcast is te gast Marlon Domingus. Functionaris Gegevensbescherming bij de Erasmus Universiteit, meer dan gemiddeld internationaal georiënteerd, en voor zover ik weet altijd onberispelijk gekleed.


Robin Rotman: Ja, je ziet er prachtig uit. Je hebt een mooie bowtie.


Marlon Domingus: Dankjewel.


Robin Rotman: Leuk dat je er bent, Marlon. We zitten hier niet om jouw kleding te bespreken, maar om jouw visie op privacy. Ik was een beetje aan het denken en jij hebt als privacy professional en FG bij een universiteit te maken met wetenschappelijk onderzoek en internationaal onderzoek. Je hebt te maken met studenten die misschien heimelijk worden gefilmd. Je hebt te maken met personeel en een bestuur. Op allerlei niveaus komt de privacy op jouw pad en daar moet je wat mee. Is het weleens lastig om focus te houden en prioriteiten te stellen?


Marlon Domingus: Ja, zeker. Mooie vraag en leuk dat ik hier mag zijn. Toen ik pas begon, stelden ze de vraag: "Hoe erg loop je nu al achter?" Ik wist eigenlijk al voordat ik deze functie kreeg dat veel collega's overspannen raken. Als je dit niet goed organiseert, dan kun je geen succes organiseren. Het is dus focus, maar ook een groot team en mandaat is erg belangrijk en daar hebben we goede afspraken over kunnen maken. Dan nog gebeurt er zo ontzettend veel, zoals je terecht beschrijft. Je moet in je rol blijven en elkaar kunnen aanspreken op elkaars rollen, en dat helpt heel erg. Je moet het echt als team doen.


Robin Rotman: Ik noemde net een paar dingen. Er komen natuurlijk ook nog eens duizenden nieuwe technologieën op ons af.


Marlon Domingus: Technologieën, wetgeving en incidenten tussendoor. Ik zie mijn rol als rustgever. Je moet structuur bieden en ik moet ook een autoriteit zijn, dus ik moet weten waar ik het over heb. Ik moet ook eenduidige adviezen kunnen geven en aan kunnen geven wat wel of niet goed is, en dat moet niet de hele tijd veranderen.


Robin Rotman: Oké, ik hoor je nu een paar keer de woorden 'structuur' en 'organisatie' noemen. Ik heb zo het gevoel dat we daar meer over gaan horen vandaag. We hebben een paar stellingen meegenomen. Die gaan onder andere hierover. Wat is dat dan voor een organisatie waar al die nieuwe ontwikkelingen in gaan landen en waar al die vraagstukken op gaan bouncen dat het goed komt? Eerst een vraag, Walter. Waar gaan we mee aftrappen vandaag?


Walter van Wijk: Je zegt al dat het ook wel heel hard werken is, maar als je over het hele harde werken terugkijkt, wat is dan het belangrijkste wat je daarin hebt mogen zien? Wat is de meest in het oog springende vrucht of de grootste verdienste?


Marlon Domingus: De mooiste verdienste is de stap van reactief naar proactief. De ervaring is vaak dat we op het laatst op vrijdag nog een berichtje krijgen met: "Ik heb een plannetje en dat moet ik maandag indienen. Zeg even dat het goed is." Naar: "Ik ben met iets gaafs bezig. Ik heb gave ideeën, maar zou ik even met jou kunnen sparren over hoe we het goed kunnen doen?" Die stap die we steeds breder nu in de organisatie zien, is gaaf.


Walter van Wijk: Mag ik dat vertalen als een cultuur van privacy by design?


Marlon Domingus: Ja, dat is waar we nu aan het bouwen zijn. We moeten af en toe nog steeds politieagent zijn, maar het is voor mij persoonlijk ook veel leuker om in die voorkant mee te doen.


Robin Rotman: Je hoeft eigenlijk steeds minder politieagent te zijn als een onderzoeksclub of hoogleraar iets willen en jou meteen aan tafel uitnodigen nog voordat ze überhaupt precies weten wat ze willen, maar Marlon zit wel aan tafel, of één van je mensen.


Marlon Domingus: Ja, en dat vinden ze spannend, want ik ben wel de toezichthouder en als je nee zegt, dan mag het niet. Dat spel hebben we, maar op dat moment moet je een andere pet op hebben, denk ik, en dan moet je dus wel degelijk waarde toevoegen. Je gaat dus niet zeggen: "Jij moet deze tool gebruiken." Je gaat zeggen: "Dit risico is hoog of midden of laag, en dat betekent dat we het zo kunnen doen. Dit kan echt niet, maar zo kunnen we er wel naar kijken."


Robin Rotman: Ik vind het leuk, Walter. We hebben natuurlijk best een hoop podcasts opgenomen en dit is voor het eerst dat iemand vanuit zijn rol als FG zegt: "Ik moet waarde toevoegen."


Walter van Wijk: Ja, hartstikke goed, maar ik hoor ook weer het schaap met de vijf poten. Je moet kunnen schakelen in verschillende rollen en verschillende petten op kunnen zetten.


Robin Rotman: We hebben een paar stellingen. Misschien prikkelt het een beetje en misschien is het te plat. Nuanceer gerust. De eerste stelling.


Walter van Wijk: Ik ken jou als iemand die bezig is met de bestuurlijke beheersing of de governance van gegevensbescherming binnen jullie organisatie, de Erasmus Universiteit. De stelling is: dat is eigenlijk alleen haalbaar en relevant voor een paar privacy topprofessionals in Nederland. Klopt dat?


Marlon Domingus: Dat is de retoriek die ik herken, inderdaad. Voor privacy hebben we iemand driehoog achter. Ik weet niet hoe diegene heet, maar die doet dat voor ons. Als je in die hoek zit, dan heb je de wedstrijd al een beetje verloren. Eigenlijk is privacy voor ons allemaal en er zijn een paar mensen die je goed op weg kunnen helpen om dat te doen. Zo zie ik het.


Walter van Wijk: Maar het privacy governance deel, de bestuurlijke rapportage, en het meekrijgen van de leiders van de organisatie?


Marlon Domingus: Ja, privacy governance is inderdaad één van mijn grote ankers. Ik heb daar een bepaald framework voor waar ik houvast aan heb. Iedereen vind privacy wel belangrijk. Dat zegt men tenminste ook, maar de vraag is dan: wat is je rol en verantwoordelijkheid? Hoe kun je daarop worden aangesproken? Waar ligt dat dan vast? Is het uit vrijwilligheid dat je op vrijdagmiddag daar een paar uurtjes aan besteedt, of is het onderdeel van je taken en kun je erop worden aangesproken? Als je daarop wordt aangesproken, hoe vul je die taak dan in? Kun je dat? Ben je daarvoor opgeleid? Heb je daar de mensen voor? Heb je de rapportages om dat te kunnen doen? Weet je hoe je moet sturen? Dat is waar we inderdaad een poosje al op aan het bouwen zijn met onze governance binnen de EUR.


Walter van Wijk: Dat organiseren en mogelijk maken is ook relevant voor kleinere organisaties?


Marlon Domingus: Ja, wij gebruiken het CIPP/E model. Dat doet er even niet zoveel toe. Het CIPP/E is de organisatie die in de lobby van de AVG het accountability principe in de AVG heeft gekregen. Zij hadden een accountability framework, een governance framework. Ik hoorde dat een keer tijdens een zomerschool die ik deed in Brussel van de president van CIPP/E, en ik dacht: dat is gaaf. We hebben het principe. Daar kan ik heel veel mee. We weten dat we van alles moeten doen, maar je moet het ook kunnen aantonen en er is een framework voor, dus dat is wat ik gebruik in de rapportages, mijn jaarplan en mijn toezichtagenda. Het is namelijk op zo een hoog niveau. Het begint met leiderschap, en het benoemt risico-inschattingen, monitoring, training, enzovoort. Dat zijn de grote componenten en je kunt snel met die zeven of acht componenten een strategisch gesprek hebben. Je kunt snel doorprikken.


Robin Rotman: Je zegt dus: governance gaat over een organisatie. Het maakt niet uit als je een kleinere organisatie bent en je hebt misschien niet heel veel professionals in dienst die dit kunnen monitoren en kunnen organiseren. Ook dan zijn er mogelijkheden om privacy in de haarvat en in de mentaliteit bij de mensen op alle niveaus erin te krijgen. Die voel ik wel een beetje, maar het voelt ook nog een beetje wollig voor mij. Kun je misschien een voorbeeld geven binnen jouw organisatie waar dat dan blijkt? Als je dat zo organiseert en er komt een kwestie op ons af, dan landt dat in een organisatie en dat we er dus uitkomen. Heb je daar een voorbeeld van?


Marlon Domingus: Ja, twee denk ik. Als ik even aansluit bij dat CIPP/E model, begint dat bij leadership. Als ik grote dingen roep en het hoogste management laat me een beetje in de steek, of zij roepen juist andere dingen of beamen dat niet, dan kan ik gewoon inpakken. Dan heeft het geen zin, dus daar begint het en aan leadership zit ook budget en bemensing vast. Dan zie je dus dat er keuzes worden gemaakt. Het komt ook terug. Bij ons is het teruggekomen in de Erasmian Values, dus transparantie en dat soort dingen. Dat zijn waarden die wij als organisatie hebben. Dat is supergaaf en daar kun je het dan weer over hebben.


Robin Rotman: Kun je het hebben over een voorbeeld op de vloer? Ik wil hem nog platter maken. Een onderzoek. Er is een hoogleraar die een onderzoek wil doen of een leuke promovendus. Je wil iets tofs doen, maar je voelt aan je water: dit gaat een privacy dingetje opleveren. Kun je een voorbeeld geven waarvan je zegt: ja, dat was ook zo, maar als dat bij ons landt, komen we eruit en vinden we een modus waarin de privacy wordt bewaakt, maar waar dat wetenschappelijk onderzoek ook kan plaatsvinden? We willen natuurlijk wel door in de vaart der volkeren.


Marlon Domingus: Ja, we kunnen ook dingen stopzetten. We kunnen zeggen: "Dit kan zo niet doorgaan." Zeker bij de grotere onderzoeken moet er echt een krabbel van de FG bij, dus daar lukt het vaak wel goed. Mensen weten dat ze compliant moeten zijn en ze zijn maanden bezig met het schrijven van die stukken, dus dat lukt meestal wel. Het gaat vaak om de kleine onderzoekjes die je dan vaak niet weet. Als je die waarde hebt toegevoegd, dus zinvolle dingen hebt gezegd tegen een onderzoeksgroep waardoor ze een financiering hebben gekregen, dan gaat dat rondzingen en gaan ook de mensen die eigenlijk niet van plan waren om naar je toe te gaan, even om advies komen vragen. Wat we concreet ook doen, is met de PhD's praten. Sommige senior onderzoekers geloven het wel, maar het zijn ook vaak de PhD's die met de data bezig zijn en zij willen het weten. Ze zijn vaak nog onbekwaam maar ze willen het weten. Als je hen goede trainingen verzorgt, dan zorg je ervoor dat die kennis geborgd is in de onderzoeksgroepen en dan heb je heel snel je effect.


Robin Rotman: Marlon, ik hoor jou net ook zeggen dat je wel bezig bent met het uitoefenen van invloed op je bestuurders, omdat je dat moet of misschien wil. Hoe uitdagend is dat?


Marlon Domingus: In mijn geval nu is het niet een heel inspannende klus. We hebben op dit moment drie collegeleden die echt waardegestuurd zijn, en je hebt het dus niet over ego's, maar over: waar willen we naartoe als organisatie? Dat maakt de gesprekken heel anders. Iedereen snapt ook dat de grote maatschappelijke uitdagingen die we hebben en ook de rol die wij als instelling hebben, dus met veel sociale wetenschappen en veel onderzoek voor de maatschappij, dan moet je dus een ander type organisatie zijn. Ik heb het dus relatief makkelijk en ik ervaar veel support van het college.


Walter van Wijk: In het kader van 'tel uw zegeningen'.


Marlon Domingus: Ja.


Robin Rotman: Ik kan me ook wel voorstellen dat iemand met een onderzoeksvoorstel komt en dat je weet: dit is privacy-technisch gewoon ontzettend onhandig, maar ik ben wel heel erg benieuwd naar de uitkomst van het onderzoek, want dat gaat ons echt verder helpen. Gebeurt dat ook wel eens?


Marlon Domingus: Ja, en mijn streven is altijd: 'ja, tenzij' in plaats van 'nee'. Dat 'ja, tenzij' lukt beter als je er natuurlijk wat langer over na kan denken, want vaak is het idee briljant, maar heeft men een specifieke manier om dat op te lossen. Mensen willen bijvoorbeeld inclusiviteit. Dat is belangrijk, dus mensen zeggen: "We willen wat doen aan achterstanden. Wij willen dus graag diensten aanbieden." Dan zeg ik: "Oké, hoe wil je dat doen dan?" "Je kunt kijken naar de achtergrond van mensen en dan ga je die mensen een brief sturen." Dan zeg ik: "Wacht even, dan ga je dus nationaliteit gebruiken, maar op basis waarvan doe je dat?" Misschien hebben eerste generatie Nederlandse studenten ook wel vergelijkbare dingen. Als je praat, dan blijkt wat de kern is van wat je wil doen en de manier waarop je dat wil doen. Dat verandert vaak en dan kan het dus wel.


Robin Rotman: Oké, dus dit is het. We willen inderdaad het antwoord op deze vraag weten. Het gaat over inclusie en grote maatschappelijke thema's. We gaan even discussiëren over het hoe.


Marlon Domingus: Ja.


Walter van Wijk: Maar dan helpt privacy dus bij de detaillering en de nuancering van het onderzoek en het helpt het onderzoek zelfs.


Marlon Domingus: Zeker.


Walter van Wijk: Oké.


Robin Rotman: Volgende stelling.


Walter van Wijk: We gaan even terug naar het internationale perspectief en de stelling is dan: Nederland heeft maar in beperkte mate last van of voordeel bij nieuwe internationale regelgeving op privacy gebied.


Robin Rotman: Dit is een leuke. Ik ben blij dat ik hem niet hoef te beantwoorden.


Marlon Domingus: We zitten in Europa en we zitten ook in de wereld. Hier komt voor mij het stukje privacy en geopolitiek heel erg naar boven. We werken samen met China en Amerika, en we nemen dienst af van Amerika. We klagen over Amerika omdat zij privacy invasief zijn, maar ook de oplossingen komen vaak uit Amerika, heb ik gemerkt. Het is meer een strategische discussie, maar we hebben daar zeker mee te maken, en zeker als bijvoorbeeld een Autoriteit Persoonsgegevens zegt: "Gij zult geen Google of cookies meer gebruiken." Dan hebben we er gewoon allemaal keihard mee te maken, en heel veel scholen zijn afhankelijk van Google infrastructuren voor hun primaire taken. Dat heeft echt dikke impact.


Robin Rotman: Oké, ik denk natuurlijk meteen aan de GDPR en in goed Nederlands, AVG. Dat is internationale regelgeving. Daar ontkom je niet aan. Het heeft ontzettende impact dan, toch?


Marlon Domingus: Ja, de UK heeft nu natuurlijk een eigen AVG-variant. Als wij dingen willen doen met de UK, moeten wij daaraan voldoen. Wij moeten ook voldoen aan de Chinese privacywetgeving PIPL. Dat realiseren mensen zich vaak niet, maar het gaat twee kanten op, want wij hebben territoriale werking naar andere landen, maar het geldt ook voor hun wetgeving. Met Amerika hebben we natuurlijk veel te maken, bijvoorbeeld die CLOUD Act, Visa en al die problematische wetgeving waaruit Schrems twee discussies vaak over gaat. Dit moet je gewoon weten en dat is één van de grote uitdagingen. Hoe ga je dit nou weten?


Walter van Wijk: We hebben ook een podcast opgenomen met de FG van TNO, Remy van den Boom, en daar ging het over adequaatheidsbesluiten. Die worden per land gesloten. Ga jij daar land voor land mee om op die manier, of wacht je toch op een meer overkoepelende Europese set afspraken met verschillende soorten landen of gebieden in de wereld?


Marlon Domingus: Remy had daar een heel scherp punt. We zien natuurlijk dat die adequaatheidsbesluiten soms ook terug worden geschoven. Dat Schrems twee besluit is daarmee teruggedraaid. Ik denk als we even kort door de bocht zijn, dan is een adequaatheidsbesluit ook vooral een politiek besluit. De UK heeft een adequaatheidsbesluit gekregen. We weten ook dat er heel veel gebeurt op het gebied van surveillance, die in andere landen wellicht een obstakel zouden zijn van adequacy decision. De adequaatheid toekenning kwam ook heel snel. Vaak gaan daar hele lange studies aan vooraf, als je kijkt naar Korea en Japan en dergelijke. Dat geopolitiek verhaal is ook natuurlijk: hoe gaan we in de wereld met elkaar en onze partners om? Je wil wel handel blijven drijven, en de UK is ook belangrijk voor ons vanuit Europa.


Walter van Wijk: Nederland is ook per definitie een heel internationaal genetwerkt land, dus daar moeten we zeker wel wat mee.


Marlon Domingus: Ja.


Robin Rotman: Ik kan me zo voorstellen als één van jullie onderzoeksgroepen wil samenwerken met collega's in Israël, China of Amerika, dan gebeurt het alleen als dat wel gebeurt volgens onze waarden en normen, toch?


Marlon Domingus: Ja, en soms is dat dus echt lastig. Ik ken maar een aantal gevallen waarin onderzoekers zeggen: "Als het zo gaat, dan kan ik mijn werkpakket vier uit mijn voorstel dat gefinancierd is met een Europese subsidie, dus niet uitvoeren, want ik kan niet voldoen aan de randvoorwaarden." Dat kan de consequentie zijn. Ik heb ook meegemaakt dat Amerikaanse tijdschriften vragen om bij een artikel ondersteunende en ruwe data mee te sturen, maar dat gaat over DNA-informatie.


Walter van Wijk: Dat voorbeeld wat je net noemde dat je dan jouw project niet kan voltooien, wat is jouw rol als FG daar dan bij? Zet jij een stempel op die conclusie, of is dat wat jij adviseert?


Robin Rotman: Dan moet je even de politieagent zijn.


Marlon Domingus: Ja, dan ga ik op die governance zitten, want ik schets het belang. Je hebt een belang van een werkpakket en je wil weten wat eruit komt, maar je hebt ook een reputatie als onderzoeker en als instelling, en kun jij tevreden zijn? Ben je comfortabel met een artikel morgen op de voorpagina van De Telegraaf over dit onderzoek en hoe dat is gegaan? Dat komt van Immanuel Kant. Dat is mijn praktische vertaling daarvan. Ik zeg eerst: "Zou je comfortabel zijn als dit morgen op de voorpagina van De Telegraaf staat?" Ook als iemand met een wild idee komt en ik denk: daar klopt nog van alles niet.


Robin Rotman: Kan je dat dan nog verdedigen?


Marlon Domingus: Kan je het verdedigen? Ben je daar comfortabel mee? Dan zie je mensen soms twijfelen en soms heeft iemand een duidelijk idee en dan zeg ik: "Zou je jouw minderjarige dochter aan dit onderzoeksproject mee laten doen?" Dan snappen mensen hem.


Robin Rotman: Als het 'nee' is, dan gaan we het niet doen.


Marlon Domingus: Wat er dan gebeurt, is dan kijk je naar het belang van de betrokkenen en vaak kijken mensen naar hun eigen targets en deadlines.


Walter van Wijk: Als het dichtbij komt, dan gaat het in één keer spreken. Als jij denkt dat je niks te verbergen hebt, laat mij je laatste WhatsApp berichtje maar eens zien. Dat weet ik nog niet.


Marlon Domingus: Dan is dus het verlies van dat geld in context.


Robin Rotman: Derde stelling, Walter.


Walter van Wijk: Misschien heb je al een klein beetje antwoord gegeven op deze stelling, maar ik gooi hem er toch maar in. Privacy governance gaat voor mij heel erg over het bestuurlijk inzicht om de juiste koersen te kunnen kiezen en bewaken vanuit de bestuurlijke verantwoordelijkheid. Privacy governance en de invloed daarvan op de werkvloer liggen mijlenver uit elkaar.


Marlon Domingus: Ja, die herken ik. Soms is governance gewoon een pdf dat ergens online staat of in een la ligt bij iemand. Wat je natuurlijk eigenlijk wil, is dat die governance verankerd zit in je processen. Laten we daar even een thema bij introduceren. Risico gebaseerd, dus dat vinden we altijd heel lastig. Hoe hoog is nou het risico? Wat zijn indicatoren voor het risico? Wie mag het risico accepteren? Daar gaat het vaak over, dus bij inkoop en bij het implementeren van spullen. Bij die veranderingen vinden de privacyrisico's plaats, maar wie heeft nou daar een verantwoordelijkheid en op basis waarvan besluiten we navolgbaar - dus dat we het kunnen uitleggen aan andere mensen - waarom het in ieder geval wel of niet kan?


Robin Rotman: Dit is dan toch ook een belangrijk deel van jouw taakopvatting? Er is inderdaad een pdf ergens op een server waarin staat hoe we het doen, maar dan is jouw taak toch misschien ook om die werelden bij elkaar te brengen? Dat heeft daadwerkelijk effect op mensen die er iets mee moeten. Je bent dan ook een soort oliemannetje.


Marlon Domingus: Ja, want ik zie toe op de naleving van wetgeving, maar ook op de naleving van de beleidsregels die we op basis daarvan hebben ontwikkeld.


Walter van Wijk: Jij bent dus eigenlijk degene die, even overdrachtelijk gezegd, de lades elke keer schoonveegt want als er een belangrijk rapport, conclusie of procedure is beschreven, dan mag die niet in de la blijven liggen. Die moet in de praktijk worden gebruikt.


Marlon Domingus: Juist.


Robin Rotman: Ik vatte deze stelling een beetje anders op. Ik moest ineens denken aan: er gebeurt veel in privacyland. Er zijn nieuwe technologieën en vondsten, en er is een internationale context. We zijn vaak afhankelijk van internationale systemen. Daar wordt ook in Europa heel hard aan getrokken en toen dacht ik: jij bent FG bij een universiteit in de mooiste stad van Nederland. Daar lopen allemaal slimme onderzoekers rond. Je zou misschien ook wel eens kunnen zeggen: "Jongens, ik ben FG hier. Privacy is een belangrijk ding. Laten we onze onderzoeksgroepen met zijn allen gaan inzetten om toffe dingen te bedenken die onze privacy en onze waardes beschermen en bewaken. We gaan het zelf bedenken." Kan dat en bestaat dat?


Marlon Domingus: Ja, dat gebeurt ook en in toenemende mate. We hebben bijvoorbeeld een belangrijke onderzoeksgroep die zich bezighoudt met de governance van nieuwe technologie. Digitale governance, DigiGov. Heel gaaf als je kijkt hoe zij bijvoorbeeld kijken naar thema's. AI is gaaf maar ook super gevaarlijk. Als je kijkt naar hoe je dit soort dingen kunt reguleren, dan wordt er wel eens een vergelijking getrokken met kernreactoren. Heel gaaf, maar ook heel gevaarlijk. Dat ga je dus niet zomaar aan de markt overlaten. Dat moet je reguleren en daar moet je dus misschien ook juridische entiteiten aan toekennen en dergelijke. Zo kun je naar die dingen kijken. Daar leren we dus heel veel van.


Walter van Wijk: Je hebt het over nieuwe technologieën, dus bedoel je ook privacy-enhancing technologies?


Marlon Domingus: Ja, we hebben het over zero-knowledge systemen en allerlei vormen van encryptie, niet alleen maar in rest en transit maar ook in gebruik. Wat betekent het nou precies? Wat gebeurt er precies met machine learning en AI? Dat is ook een soort verwerking. Snappen precies wat er gebeurt. Het gaat dus niet alleen over de explainability en transparantie. Al die maatregelen die dus ook waarborgen zijn voor die gegevensbescherming, hebben ook weer een effect op die data. Dat moet je wel snappen.


Robin Rotman: Hier zit je dus te kijken als FG naar technologieën en big data. Daar willen we iets mee met onderzoek, want wij kunnen daar wat aan en dan moet jij kijken: is dit wel data die we mogen gebruiken? In hoeverre is er toestemming? Hoe organiseren we dit? Tegelijkertijd heb je mensen op de universiteit rondlopen die daadwerkelijk dit soort technologieën ontwikkelen. Dat is leuk. Dat lijkt me heerlijk.


Marlon Domingus: Ja, het is de mooiste baan en ook de mooiste plek, denk ik, want je maakt dus alle aspecten van de AVG mee. Die doorgifte naar derde landen zie je niet bij elke gemeente, maar daar hebben we heel erg mee te maken. In die onderzoekswerken gebeuren hele spannende dingen van gegevens over criminaliteit tot de zorg en gezondheidszorg. Het gaat over heel veel en dat maakt het heel erg spannend.


Robin Rotman: Dit is daadwerkelijk waarde toevoegen, dat je daadwerkelijk ook waarde toevoegt aan de samenleving. Mooi, Walter heeft altijd een leuke afrondende vraag voor je.


Walter van Wijk: Ja, jij hebt zoveel dingen gedaan en je hebt een multidisciplinair werkveld. Daar komen zoveel aspecten aan de orde. Wat zou jij andere FG's en privacy professionals, die hopelijk ook naar deze podcast luisteren, nog vooral op het hart willen drukken?


Marlon Domingus: Mooie vraag. Ik leer heel veel van de collega's en wat ik doe, komt alleen maar door het grote team dat we hebben, dus het is echt een team effort. Wat ik vreselijk op het hart wil drukken, zijn misschien twee dingen. Ik heb zelf heel veel baat gehad bij FG coaching. Het is toch een eenzame baan en hoe ga je in je rol groeien? Welke doelen stel je voor jezelf en hoe zorg je dat je daar komt? Het meest belangrijk is denk ik: probeer je echt in de rol van de betrokkenen te verdiepen. Ik heb een keer iemand bijgestaan in een vervelend geval van onrechtmatige verwerking en je ziet dus wat dit doet met iemand, dus dat iemand echt gezondheidsklachten krijgt, niet meer kan slapen, en dat er echt grote psychische problemen ontstaan. Dit is ook wat er gebeurt en als je in je Excel-bestand een kolommetje wel of niet toevoegt, dat zijn gewoon mensen die daarachter zitten.


Walter van Wijk: Het is vlees en bloed. Mensen zoals jij en ik.


Robin Rotman: Het gaat over mensen, en dus niet over pdf's en governance. Je moet ook je kwetsbaarheden misschien durven erkennen, en neem gewoon een coach. Laat je helpen om je werk goed uit te voeren. Is dat wat je zegt?


Marlon Domingus: Zo is het.


Robin Rotman: Dank je wel, Marlon Domingus, FG bij de Erasmus Universiteit. Volgens mij is privacy in goede handen daar in Rotterdam. Ik vind het een inspirerend gesprek. We hebben nog zoveel andere leuke inspirerende gesprekken gevoerd in deze serie Captains of Privacy. Waar kunnen ze deze terugluisteren?


Walter van Wijk: Op de website van CIP. CIP-overheid.nl/uitgelicht.


Robin Rotman: Het is de moeite waard. Marlon, dankjewel.


Marlon Domingus: Dank jullie wel.