CIP Podcast - voor meer kennis over informatieveiligheid

CIP Podcast - Captains of Privacy, afl. 8: Irith Kist

February 08, 2023 Walter van Wijk
CIP Podcast - Captains of Privacy, afl. 8: Irith Kist
CIP Podcast - voor meer kennis over informatieveiligheid
More Info
CIP Podcast - voor meer kennis over informatieveiligheid
CIP Podcast - Captains of Privacy, afl. 8: Irith Kist
Feb 08, 2023
Walter van Wijk

Na enkele jaren als Functionaris Gegevensbescherming te hebben gewerkt bij de gemeente Den Haag verhuisde Irith Kist in 2018 in dezelfde functie naar het Antoni van Leeuwenhoek ziekenhuis en het Nederlands Kanker Instituut. 

Zij stelt zichzelf vragen als: ‘Wat is de bedoeling achter de AVG?’ En ‘hoe kunnen we de vertaalslag zo goed mogelijk maken naar de praktijk?’ En in haar dagelijkse praktijk komt dat vaak neer op het moeten beantwoorden van de ‘wat is het belang ván de patiënt en het belang vóór de patiënt?’ Maar dan wel genuanceerd. Daaraan werkt Irith en daarover spreekt ze geregeld op internationale congressen. Het verhaal van een zeer verantwoordelijke professional, die op weg is naar een PhD.

Show Notes Transcript

Na enkele jaren als Functionaris Gegevensbescherming te hebben gewerkt bij de gemeente Den Haag verhuisde Irith Kist in 2018 in dezelfde functie naar het Antoni van Leeuwenhoek ziekenhuis en het Nederlands Kanker Instituut. 

Zij stelt zichzelf vragen als: ‘Wat is de bedoeling achter de AVG?’ En ‘hoe kunnen we de vertaalslag zo goed mogelijk maken naar de praktijk?’ En in haar dagelijkse praktijk komt dat vaak neer op het moeten beantwoorden van de ‘wat is het belang ván de patiënt en het belang vóór de patiënt?’ Maar dan wel genuanceerd. Daaraan werkt Irith en daarover spreekt ze geregeld op internationale congressen. Het verhaal van een zeer verantwoordelijke professional, die op weg is naar een PhD.

Irith Kist: Ik merk in de praktijk dat het belangrijk is om continu te kijken: maar wat was de bedoeling van de wet, dus de geest van de wet en hoe kunnen wij de vertaalslag zo goed mogelijk maken naar de praktijk?


Robin Rotman: Welkom bij Captains of Privacy, een podcastserie van het Centrum Informatiebeveiliging en Privacybescherming. Samen met Walter van Wijk van het CIP bespreek ik met inspirerende professionals de stand van privacyland aan de hand van hun visie en ervaringen.


Irith Kist: Dat betekent dat ik bij elke vraag die ik voor mij krijg, altijd kijk naar het belang van de patiënt en ook naar het belang voor de patiënt.


Walter van Wijk: Vandaag te gast Irith Kist, functionaris gegevensbescherming bij het Nederlands Kankerinstituut en het Antoni van Leeuwenhoekziekenhuis. Ze is ook promovenda aan de Universiteit van Leiden en loopt regelmatig hard door de Nederlandse duinen en zelfs over de Alpen.


Robin Rotman: Wow, je bent de privacy beschermende hardloopster.


Irith Kist: Zeker, zo zou ik mezelf best durven omschrijven.


Robin Rotman: Dat is ook wat zeg. Waar gaan we het allemaal over hebben? Je werkt dus in een ziekenhuis. Het gaat over wetenschappelijk onderzoek, het gaat over kwetsbare mensen, privacy, superinteressant. En je bent ook nog eens een keer promovenda. Waar gaat dat onderzoek over?


Irith Kist: Ja, dat gaat over het snijvlak van de gegevensbescherming voor patiënten in zorg en ook de noodzaak van het gebruik van persoonsgegevens voor wetenschappelijk onderzoek.


Robin Rotman: Want daar zit spanning tussen?


Irith Kist: Daar zit een overlap in en daar zit ook een noodzaak om de nuance daarin te durven opzoeken met elkaar, dat natuurlijk de persoonsgegevens van patiënten ongelooflijk goed beschermd moeten worden. En dat tegelijkertijd het ook voor de ontwikkeling van de wetenschap heel erg nodig is dat de gegevens van patiënten gebruikt worden voor wetenschappelijk onderzoek.


Robin Rotman: Laten we wel wezen: we zijn hier gewoon wel kanker aan het bestrijden.


Irith Kist: Zeker. En niet alleen kanker. In ons ziekenhuis, in ons wetenschappelijk onderzoek is het inderdaad kanker, maar het gaat natuurlijk over wetenschappelijk onderzoek in de gezondheidszorg voor vele, vele andere ziekten, waarbij de persoonsgegevens onmisbaar zijn om de ziekte verder te kunnen bestrijden.


Robin Rotman: En dit onderzoek gaat misschien een beetje over: hoe gaan we nou op een hele transparante manier de verschillende belangen afwegen en hoe maken we hier keuzes? Is dat waar je onderzoek over gaat?


Irith Kist: Zeker, dat is één van de facetten. Ik beargumenteer dat in Nederland de grondslag voor het gebruik van persoonsgegevens de toestemming van de patiënten is. En dat is gestoeld op het recht op zelfbeschikking en de autonomie van de patiënt. En tegelijkertijd zie je in landen om ons heen dat voor het wetenschappelijk onderzoek ook naar andere grondslagen wordt gezocht. En dan kun je denken aan bijvoorbeeld de grondslag van publiek belang. En ook in andere landen: het gerechtvaardigd belang wordt aangewend om die persoonsgegevens te kunnen blijven beschermen, maar tegelijkertijd ook te kunnen benutten voor het wetenschappelijk onderzoek.


Robin Rotman: En wanneer kunnen we een podcast opnemen over de uitkomsten van jouw onderzoek?


Irith Kist: Mijn streven is om volgend jaar te promoveren, in 2023. Wanneer de artikelen allemaal zijn gepubliceerd en wanneer ook uiteraard de inleiding en het slot klaar zijn en de commissie gereed is om mij te kunnen ontvangen.


Robin Rotman: Wow Walter, je hebt een kanon meegenomen aan tafel, leuk. Walter heeft een paar stellingen en een paar vragen voor je meegenomen. Walter, kun je aftrappen?


Walter van Wijk: Je hebt een indrukwekkend cv, Irith. Je bent al FG geweest bij de gemeente Den Haag. Je zit nu bij een ziekenhuis en een onderzoeksinstelling. Je bent aan het promoveren, je spreekt op internationale congressen. Als je nou terugkijkt en over je carriere tot op heden heen vliegt, wat is nou je belangrijkste wapenfeit? Waar ben je het meest trots op of tevreden over of blij mee?


Robin Rotman: Je hoeft van mij niet bescheiden te zijn.


Irith Kist: Ja, dank jullie wel. Ik vind het belangrijk om de nuance in het recht te blijven opzoeken. En ik meen in mijn uitstraling en ook in het onderzoeken van alle vragen die bij mij komen als functionaris gegevensbescherming, dat ik voortdurend kijk naar de verschillende invalshoeken. En ook weer, zoals ik net al zei: de noodzaak voor bescherming van persoonsgegevens, maar tegelijkertijd ook de noodzaak voor andere rechten die aan de mensen toekomen. En dan doel ik natuurlijk nu op de bestrijding van levensbedreigende ziekten, waarvoor wetenschappelijk onderzoek heel erg nodig is.


Robin Rotman: Je zou ook kunnen zeggen: we zijn hier levensbedreigende ziektes aan het bestrijden, weg met de nuance.


Irith Kist: Dat is een stelling die mooi zou kunnen zijn, ware het niet dat ik ervan overtuigd ben dat de patiënt bovenal vertrouwen moet hebben in het doel van de gegevensverwerking en ook wie de gegevens van hem of haar verwerkt. En met dat vertrouwen kun je dan komen tot een goede datadeling. Als er geen vertrouwen is, als er geen transparantie is, als er geen communicatie is en dus als er geen nuance is, dan zul je zien dat en dat gebeurt ook wereldwijd, dat dan de gegevens door de patiënten minder gedeeld gaan worden. En dan ben je dus nog verder van huis. Dus de nuance is juist heel belangrijk. Met dus die transparantie, communicatie en ook het vertrouwen dat, voor mij dan de patiënten en in andere instellingen burgers, mensen, consumenten, hebben in de instelling die hun persoonsgegevens verwerkt.


Walter van Wijk: Maar wat jij beschrijft is niet één incident waar je het meest trots bent. Het gaat meer over de kwaliteit van het proces wat je doorlopend wilt bewaken.


Irith Kist: Zeker. Er zijn zoveel momenten geweest waarin ik merkte dat een casuïstiek één kant lijkt op te gaan, namelijk: we gaan het hebben over de grondslag van de gegevensverwerking of we gaan het hebben over het doel. En dan meen ik dat het belangrijk is om te kijken naar: wat speelt er nu in zijn geheel? In plaats van enkel te kijken naar een grondslag, enkel te kijken naar een doelbinding, maar juist het breder te trekken: maar welke belangen spelen hier nu nog meer?


Robin Rotman: Ik ben benieuwd naar de nuances. We hebben stellingen. Stellingen schreeuwen natuurlijk om ja of nee, maar ik ben eigenlijk wel benieuwd, vooral naar die nuance. Ik ben zelf zo plat als een dubbeltje. Dus kom maar op. Walter, wat is de eerste stelling?


Walter van Wijk: Nou zoals ik net al zei: je hebt gewerkt bij de gemeente Den Haag, een van de G4-gemeenten en nu bij een ziekenhuis. De stelling is: gegevensbescherming op de werkvloer in een ziekenhuis is veel eenvoudiger dan binnen een gemeente.


Irith Kist: Dank, mooie stelling. En ik zou ook deze stelling weer willen nuanceren.


Robin Rotman: Ja, graag.


Irith Kist: Dat is een rode draad in mijn betoog. Bij de gemeente had ik talrijke vraagstukken op talrijke vlakken. Dat varieerde van de ondermijning tot aan de gegevensdeling in de keten, tot aan jeugdzorg, tot aan onderwijs en alles wat daartussen zat. Je zou kunnen zeggen dat ik daar een functionaris gegevensbescherming was met heel veel vragen, op heel veel terreinen. Heel veel van heel veel. Nu ben ik functionaris gegevensbescherming in een wetenschappelijk onderzoeksinstituut en een ziekenhuis. En daarin ga ik echt de diepte in, in de casuïstiek. De verhouding tussen gezondheidsrecht en het gegevensbeschermingsrecht, de datadeling met wetenschappelijke instanties over de grenzen heen. En uiteraard weer de vragen over de patiëntrechtsbescherming en de gegevensbescherming van deze patiënten.


Walter van Wijk: Dus wat jij zegt: de juridische context is anders in een ziekenhuis, maar in allebei de soorten organisatie heb je te maken met een heleboel gevoelige dossiers, dus is het eigenlijk redelijk vergelijkbaar wat betreft privacybescherming?


Irith Kist: Zeker. Waarbij ik nu in deze deze functie nog meer de diepte in kan gaan, omdat het de gegevens van onze patiënten betreft. En ik bij de gemeente Den Haag uiteraard te allen tijde naar de bescherming van de burgers keek. En de vragen daar wel meer uitgebreid waren in de thema's die speelden.


Robin Rotman: Maar je zou ook kunnen betogen van ja, maar in zo'n ziekenhuis, daar heb je het medisch beroepsgeheim, waardoor de privacy al een beetje ingebouwd is in het systeem. Dat zou jouw werk misschien wel iets makkelijker kunnen maken?


Irith Kist: Aan de ene kant is dat zeker waar. Als ik kijk naar onze onderzoekers, naar onze artsen, naar alle collega's die zich toeleggen op het gebruik van patiëntgegevens, dan zijn zij prachtig prudent. Dan zijn zij zeer bewust van de noodzaak van de bescherming van deze patiëntgegevens, allemaal. En ik ben diep onder de indruk van iedereen met wie ik samenwerk. Tegelijkertijd is met de ontwikkeling van het gegevensbeschermingsrecht er zoveel nieuws voor ons allemaal en dus ook voor hen gekomen, in het recht. Dat zij soms ook wel aangeven bij mij: wij zien door de bomen het bos niet meer. En dan is het aan mij om weer vanuit de nuance hen de weg te leiden.


Robin Rotman: Dus je zegt: er zijn nieuwe ontwikkelingen. Ik denk dan meteen aan IT-systemen. Ik denk meteen aan data die natuurlijk alom beschikbaar is. Waar zit op dit moment voor jou de spanning? Waar gebeurt het nu?


Irith Kist: Je ziet dat zowel nationaal als internationaal en zeker met de pandemie, is gebleken dat de datadeling van patiëntgegevens noodzakelijk is voor goede zorg aan onze patiënten en ook voor het wetenschappelijk onderzoek. Tegelijkertijd gaan die data niet meer met een fax, gaan niet meer met een cd-rom. Soms nog wel, maar meestal gaan ze nu in een cloud-omgeving en ook met met internationale gegevensstromen. Dat betekent dat we met verschillende rechtssystemen vandoen hebben en hadden en zullen gaan hebben. Dat betekent ook dat er niet alleen gekeken moet worden naar: maar wat voor gegevens gaan nu eigenlijk verstrekt worden? Maar ook: hoe gaan de gegevens verstrekt worden? En ook: hoe informeren wij onze patiënten over het feit dat deze gegevens verstrekt worden?


Walter van Wijk: Kan jij dan doorgaan met wat uitweiden over de spanning die er zit tussen Europees recht en Europese verantwoordelijkheid en nationaal recht en nationale verantwoordelijkheid?


Irith Kist: Ja, zeker. We hebben uiteraard nu en die wet is voor 80 procent hetzelfde als onze Nederlandse wetgeving vroeger was, maar we hebben natuurlijk nu sinds 2018 hebben wij de Algemene Verordening Gegevensbescherming. Wat een kaderverordening is, maar we kleuren deze wet nu verder in met de European Health Data Space, de Data Act, de Data Governance Act, de AI Act. Kortom, er speelt Europees veel. En zeker ook weer ingegeven met de ontwikkeling in de pandemie en de noodzaak om die gegevens te delen. Dan zie je dat op nationaal vlak het bijzondere nationaal recht blijft bestaan. Dus onze Wet Geneeskundige Behandelingsovereenkomst blijft bestaan. Je ziet ook op Nederlands vlak in de ontwikkeling en vandaag een mooie dag, Wet Elektronische Gegevensuitwisseling in de Zorg, in wording, zie je dat op nationaal vlak ontwikkelingen plaatsvinden. Terwijl tegelijkertijd op Europees vlak de ontwikkelingen een enorme vlucht hebben genomen. Er wordt nu ook wel soms gezegd dat in wezen, een juridische term, maar dat het subsidiariteitsbeginsel omgedraaid is. Waar normaal gesproken aan het nationaal recht in wezen werd gezegd: luister, kleur het in naar believen, want wij geven een kader aan, zie je nu dat Europa, ook met inachtneming van de ontwikkelingen van de pandemie, ineens een enorme sprong aan het nemen is.


Robin Rotman: Wij spraken in deze serie ook met Sophie in 't Veld, die natuurlijk in het Europees parlement voor D66 ontzettend meepraat over al dit soort thema's. Heeft natuurlijk ook aan de wieg gestaan van de GDPR ofwel de AVG. En ik weet niet wat jouw ervaring was Walter? Misschien slaat ze me mijn hersens in, als ik het zo benoem, maar ik heb de indruk dat zij, als het over dit soort thema's gaat, Nederland en het Nederlandse parlement eerder als een belemmering ziet dan als een hulpmiddel of terwijl we gaan er helemaal niet meer over.


Walter van Wijk: Nou, zij vindt Europa losstaan van Nederland, maar inhakend op wat Irith net zegt: we hebben Sophie concreet de vraag voorgelegd: als je het hebt over datadelen en verwerken van internationale contacten buiten de EU-werkingssfeer of GDPR-werkingsfeer, dan blijft dat een probleem. We hebben Privacy Shield gehad, we hebben Schrems gehad. Wat zou jij, vanuit jouw verantwoordelijkheid en jouw spanningsvelden, Sophie willen meegeven? Want zij zit aan de ontwikkeltafels van die afspraken met buitenlanden.


Irith Kist: Kijk, in de eerste plaats, je ziet dat ook nu met ontwikkelingen met het Verenigd Koninkrijk. Zij hebben aanvankelijk gezegd: we blijven nog het AVG-raamwerk volgen. En je ziet nu toch dat ze langzaam maar zeker een afslag aan het nemen zijn, maar je ziet tegelijkertijd ook dat, met wat voor type gegevensdeling ook die de grens over moeten, dat die gegevens de grens over zullen gaan moeten. Dan adviseer ik altijd: kijk dan naar wat echt noodzakelijk is. Is het echt zo dat die direct herleidbare gegevens over de grenzen heen moeten? Vaak is dat niet zo. Als het indirect herleidbaar is, is het dan zo dat die gegevens daadwerkelijk echt verzonden moeten worden? Of kan het ook zo zijn dat de buitenlandse partijen toegang krijgen tot een bepaalde gegevensset, waar zij op zich zelf niets mee kunnen, waarbij de sleutel dan in Nederland of op Europees territoor blijft? En tot slot adviseer ik altijd tot een goed contract. En de Europese Commissie heeft met de Standard Contractual Clauses en ook met de mogelijkheden voor artikel 49 uitzondering, daar echt mogelijkheden toe geboden.


Walter van Wijk: Oké, zullen we weer even inzoomen op Nederland?


Irith Kist: Zeker.


Walter van Wijk: Er lijkt een spanningsveld te zijn, een kloof zelfs, tussen de juridische regels, noem het maar even de letter van de wet en de toepassing daarvan in de praktijk, de geest van de wet. Wat kom jij daarvan tegen?


Irith Kist: Ik merk in de praktijk dat het belangrijk is om continu te kijken: maar wat was de bedoeling van de wet en dus de geest van de wet? En hoe kunnen wij de vertaalslag zo goed mogelijk maken naar de praktijk? Dat betekent dat ik in elke vraag die ik voor mij krijg altijd kijk naar het belang van de patiënt en ook naar het belang voor de patiënt. Dus de patiënt bezie ik in twee hoedanigheden. Wat is belangrijk voor hem vanuit zijn autonomie en zelfbeschikking? En ook: wat is belangrijk voor hem in de datadeling die noodzakelijk is om juist zijn gezondheid te kunnen dienen? Dat is één stuk, dat is in de zorg. Het tweede stuk, voor het wetenschappelijk onderzoek, kijk ik altijd naar de noodzaak voor het onderzoek, maar dan ook weer naar: maar wat is echt nodig in die datadeling? En daar zijn uiteraard ook de ethische toetsingscommissies een grote speler in het veld voor.


Robin Rotman: Ik merk dat het bij mij een beetje begint te kraken in mijn hoofd, want ik vind het ontzettend ingewikkeld. Laten we even teruggaan naar die patiënt, naar de normale mensen zoals ik, die misschien in het ziekenhuis terechtkomen. Want het gaat over Brussel, het gaat over privacyrecht, gezondheidsrecht. Als ik bijvoorbeeld in een ziekenhuis terechtkom in een ambulance, dan is er helemaal geen tijd om na te denken over data. Er moet gewoon gesneden worden in dat lijf, want er moet gewoon iets gebeuren. Het is een beetje plat gezegd, maar hoe neem je nou die patiënten mee in jouw genuanceerde verhaal?


Irith Kist: Jazeker, mooie vraag en ook heel herkenbaar. Ik heb de ervaring ook in het observeren: wat gebeurt er nou eigenlijk? En dan zien we in de praktijk dat de patiënt zelf door de bomen het bos ook bijna niet meer kan zien. In Nederland zijn er verschillende vormen van toestemming en ga dat inderdaad aan een patiënt uitleggen. En de noodzaak die hij, zij voelt, is: ik wil zo graag beter worden. Dan is het belangrijk om op een heel laagdrempelige manier en wij doen dat met een gesprek met de patiënt, vanuit weer het vertrouwen van de hulpverlener naar de patiënt en vice versa. Wij doen dat met videobeelden op locatie. Dus echt in ons ziekenhuis. Wij doen dat met folders. En wij doen dat ook continu in het gesprek met de patiënt zelf. Hij zal in zijn contacten die hij heeft met de collega's aan de balie, met de arts, met de verpleegkundige, hij zal daar zijn vragen stellen.


Walter van Wijk: Maar wat jij zegt, patiënten kunnen dat er eigenlijk psychisch en lichamelijk op dat moment even niet bij hebben. Die hebben hele andere prioriteiten. Hoe zit dat dan met de mensen op de werkvloer die aan het bed staan, voor wie het een deel van hun professie is? Snappen die al die ingewikkelde, internationale, grotere context nog kan je die hand- en tastbaar maken?


Irith Kist: Wat ik zie bij mijn prachtcollega's, noem ik ze allemaal stuk voor stuk, is dat zij zeer bewust zijn van de noodzaak van een veilige gegevensdeling. En continu ook kijken naar het geheim in deze gegevens. Dus daar is vanuit mij en mijn team een noodzaak om continue collega's mee te nemen in deze ontwikkelingen. Ook op een laagdrempelige manier, zonder alle opsmuk van alle artikelen. En is daarbij vanuit hen ook weer, merk ik, zo ontzettend vanuit de historie ingebakken: het zijn patiëntgegevens, dus wij behandelen ze vertrouwelijk. Jullie snijden wel een heel mooi punt aan, want het is wel zo dat ik ook beargumenteer, in mijn proefschrift onder andere, dat die last van die controle over zijn gegevens deels ook bij de verwerkingsverantwoordelijke, dus het ziekenhuis, de instelling, moet gaan liggen, omdat de patiënt niet alles kan overzien.


Robin Rotman: Dit gaat over vertrouwen. Je wilt als patiënt gewoon dat de boel geregeld is en je wilt je gewoon bezighouden met de problemen waar je mee te dealen hebt op dat moment.


Irith Kist: Ja. En het blijkt ook, als een patiënt een hoog vertrouwen heeft in de instelling en in Nederland in het algemeen is het vertrouwen hoog, dat de patiënt zijn gegevens zeker bereid is te gaan delen.


Walter van Wijk: Jij zit hier in een aflevering van Captains of Privacy, een serie die wil bewust maken met mensen die een meer dan gemiddelde staat van dienst hebben op het gebied van gegevensbescherming. De hele situatie erbij, met je hoofd in de Europese juridische wolken zitten, met je voeten midden in de modder van de dagelijkse praktijk.


Robin Rotman: Wow, een poëet aan tafel hier.


Walter van Wijk: Wat zijn nou de belangrijkste leerpunten die jij wilt meegeven aan privacyprofessionals in de Nederlandse publieke sector? Wat kunnen ze leren van jouw praktijk?


Irith Kist: En wederom is dan het eerste woord dat bij me opkomt: de nuance. Ik zie dat soms vanuit een kramp vaker het woord nee wordt gezegd. We weten niet of we kunnen delen, dus we zeggen maar liever nee. En ik ben echt echt iemand van laten we kijken naar het geheel en kijken naar hoe het wel zou kunnen. Dat is mijn eerste tip en trick. Een tweede is om continu te kijken naar de context van een vraag. Is dit nou eigenlijk een privacyvraag of is het misschien een beveiligingsvraag of is het misschien een gezondheidsrechtsvraag of nog anders? Dus kijk naar: wat is nu eigenlijk de vraag achter de vraag? En een derde is om continu te kijken welke grotere belangen en vragen spelen in de casus?


Robin Rotman: Nuance is jouw stokpaardje, dat is helder. Wat is wat jou betreft dan de rol of wat zou de rol moeten zijn van de toezichthouder als Autoriteit Persoonsgegevens? Want daar hangt steeds een beetje in de lucht: moet dat nou soort politieagent zijn die iedereen aan de regeltjes houdt of moet dat misschien meer een sparringspartner zijn die ons helpt of de mensen in het veld helpt om daadwerkelijk de geest van de wet te vinden in een specifieke casus?


Irith Kist: Ik ben in de gelukkige omstandigheid dat ik in het Antoni van Leeuwenhoekziekenhuis een prachtig team van Information Security & Privacy Officers heb, die de eerstelijnsadvisering doen. En daar zijn ze goud in, om dan dichtbij de collega's op de werkvloer de thema's in de praktijk te kunnen behandelen en te beantwoorden. Dan is mijn rol er meer eentje van een advies in de tweede lijn. En uiteraard ook conform mijn functie vanuit de Algemene Verordening, het toezicht op de gegevensbescherming. Dan heb ik ook nog de gelukkige omstandigheid dat in ons huis een Interne Auditor is. Dus voor de verdere derdelijnstoetsing hebben wij een Interne Auditor. Dan ontvang ik tot slot het prachtvertrouwen van de verwerkingsverantwoordelijke. Dat is het lijnmanagement in het Antoni van Leeuwenhoekziekenhuis, die mij het vertrouwen geven om daar waar vragen zijn, daar de eerste beantwoording te doen. En dat is op intercollegiaal niveau. Dat is op nationaal niveau. Dat is op Europees niveau. Dus ik denk ook hier weer in de contacten naar een autoriteit naar andere landen.


Robin Rotman: Je schetst nu een prachtig beeld over dat jullie het goed geregeld hebben. Daar ben ik heel blij om, dat de gegevens van kwetsbare mensen in goede handen zijn. En ik geloof je ook meteen, maar toch, toezicht en handhaving. En nu spreek ik je niet zozeer aan als medewerker van een ziekenhuis, die daar de boel een beetje op orde houdt, maar meer als privacydeskundige. Je hebt ook in gemeente Den Haag gewerkt. Je werkt nu in zo'n ziekenhuis. Jij hebt waarschijnlijk veel beter dan ik in de gaten: wat is nou de stand van privacyland en hoe zorgen we er nou voor dat dat goed blijft gaan? En dan nog steeds een beetje de vraag: wat is dan de rol van de toezichthouder? Moet dat een politieagent zijn? Moet dat een sparringspartner zijn? En hoe zorgen we ervoor dat we die geest van die wet nou zo goed mogelijk doen of gaat het niet over die geest van de wet, in zijn algemeenheid, als het gaat over privacy?


Irith Kist: Voor mijn rol verwijs ik dankbaar naar het recent verschenen rapport van CIP. Dat is aangeboden aan de Autoriteit Persoonsgegevens over de rol van de functionaris gegevensbescherming. En daarin lees je ook wel mooie analyses terug over: wat heeft een gemiddelde FG nu nog meer of anders nodig? Wat is zijn rol? Wat zou zijn rol nog meer moeten zijn? Vis-à-vis zijn collega's op het werk en ook vis-à-vis de Autoriteit Persoonsgegevens. Wat mij betreft kan ik alleen maar een geluk uitstralen, dat het in mijn situatie heel erg fijn geregeld is.


Robin Rotman: Wat is Irith Kist kist goed hè, Walter?


Walter van Wijk: En genuanceerd.


Robin Rotman: Dank je wel Irith Kist, Captain of Privacy, functionaris gegevensbescherming bij het Antoni van Leeuwenhoekziekenhuis, het Nederlands Kankerinstituut en promovenda aan de Universiteit Leiden. Ik kijk met smart uit naar jouw promotieonderzoek. Dit gesprek heeft mij in ieder geval geïnspireerd. Walter, als mensen nou de andere afleveringen willen horen, met andere mooie gasten, waar moeten ze dan zijn?


Walter van Wijk: Dan kunnen ze kijken op een eigen podcastkanaal, maar ook op CIP-overheid.nl/uitgelicht.


Robin Rotman: Irith, dank je wel.


Irith Kist: Super, heel graag gedaan.