CIP Podcast - voor meer kennis over informatieveiligheid

CIP Podcast - Captains of Privacy II, afl. 2 – Jacques Eding

Walter van Wijk

Jacques Eding is Chief Security Officer bij de Nederlandse Zorgautoriteit, en heeft ook een achtergrond in privacy. Hij zegt, in gesprek met Walter van Wijk (CIP) en Robin Rotman (host), dat privacy af moet van het imago van ‘neen-zeggers'.
Hij stelt: ‘Begin bij een nieuwe project of werkproces met een uitleg erover aan de buitenwereld. Als het wordt geaccepteerd, doe je aan privacy-by-design in de praktijk. Verder is het effectief om privacy te bekijken vanuit de kant van informatieveiligheid. En nog efficiënt en kostenbewust ook’. 
Daarnaast staat de ethische kant van het verwerken van gegevens bij Jacques hoog op de agenda.

Luister ook de andere afleveringen van de CIP podcastserie ‘Captains of Privacy’. Dit is aflevering twee van de in totaal vier in deze tweede serie.

Jacques Eding: Zorg dat je heel vroeg in processen aangehaakt bent. Privacy zorg wordt vaak gezien als de nee-zeggers. Laten we maar niet langs privacy gaan, want die zeggen toch wel weer dat het niet mag.


Robin Rotman: Welkom bij Captains of Privacy, een podcastserie van het Centrum Informatiebeveiliging en Privacybescherming. Samen met Walter van Wijk van het CIP, bespreek ik met inspirerende professionals de stand van privacyland aan de hand van hun visie en ervaringen.


Jacques Eding: Eén van de eerste dingen rondom ethiek-moraliteit, bijvoorbeeld binnen de business waarbij je iets wil gaan doen met persoonsgegevens, is: prima dat je dat gaat doen. Hier heb je een megafoon. Het is nu markt buiten. Ga maar buiten staan en uitleggen wat je wil gaan doen. Als dat kan en als iemand dat durft, dan kunnen we de volgende stap zetten. Dan zijn we ook gelijk begonnen om privacy by design in te richten.


Walter van Wijk: Vandaag te gast: Jacques Eding, Chief Security Officer bij de Nederlandse Zorgautoriteit. Ik ken Jacques al een aantal jaren als enthousiast ambassadeur van CIP. Hij is een door de wol geverfde informatie- en risicomanager en ook trainer en coach op privacy gebied. En politiek actief, maar dat komt later nog wel even terug in deze podcast. Jacques, leuk dat je er bent.


Jacques Eding: Dank je wel. Leuk dat jullie mij uitgenodigd hebben.


Robin Rotman: Jij doet van alles. We kunnen alle kanten met je op, maar eerst gewoon even de basics. Wat doet nou eigenlijk een Chief Security Officer bij de NZa?


Jacques Eding: Een Chief Security Officer is de combinatie van een Chief Information Security Officer, iemand die gaat over de informatiebeveiliging, en iemand die gaat over de fysieke veiligheid. Ik ben ook BVC. En dan wordt de titel eigenlijk dus Chief Security Officer, omdat ik niet meer alleen maar ga over informatie.


Robin Rotman: Oké, dat is helder. Ik vraag natuurlijk specifiek naar de NZa, want een heleboel mensen vragen zich af wat de mensen van de NZa nou eigenlijk doen. Jullie houden toezicht op zorgverleners en zorgverzekeringen. Kijk jij dan ook naar de cyberveiligheid in de zorg of vooral naar de cyberkant van de NZa?


Jacques Eding: Ik ben vooral nu bezig met de interne huishouding. Wij kijken wel verder dan alleen maar de NZa met gegevens en gegevensverwerkingen, maar mijn zorg ligt vooral binnen de NZa.


Robin Rotman: Want de NZa doet natuurlijk allerlei onderzoeken naar allerlei fenomenen in de zorg. Daar wordt met data gewerkt en jij kijkt of dat allemaal wel goed gaat. Zoiets?


Jacques Eding: Precies.


Robin Rotman: Walter heeft een paar vragen en stellingen meegenomen. Dat doet hij voor elke Captain of Privacy die wij tegenover ons krijgen. Walter, waar wil je mee aftrappen?


Walter van Wijk: Jullie zijn een zorgautoriteit. Daarnaast heb je in de privacywereld natuurlijk de Autoriteit Persoonsgegevens. Eerst maar de vraag: hoe werken jullie samen als toezichthouder? Wat zijn jullie verschillende rollen binnen de zorgsector?


Jacques Eding: Er zijn nog meer toezichthouders binnen de zorg, maar laten we ons even alleen op de NZa en de AP concentreren. Wij gaan over de betaalbaarheid en toegankelijkheid van zorg en de Autoriteit Persoonsgegevens gaat over de gegevens die in de zorg gebruikt worden. Wij houden geen toezicht op de gegevensverwerking die bijvoorbeeld in een ziekenhuis plaatsvindt, maar het AP wel. En aan de andere kant is de AP ook voor ons weer een toezichthouder. De AP houdt ook toezicht op datgene wat wij doen.


Walter van Wijk: Dus je hebt eigenlijk alleen te maken met de AP als het een NZa aangelegenheid betreft? Niet met iets wat de sector aangaat.


Jacques Eding: Precies. Op het moment dat de AP een onderzoek doet bij een ziekenhuis, zullen wij daar niet bij betrokken worden.


Walter van Wijk: Even nog een aanvullende vraag, als dat mag.


Jacques Eding: Natuurlijk.


Walter van Wijk: Als Chief Security Officer trek je zelfs de band naar de fysieke veiligheid, maar ik hoor privacy hier niet in. Ik ken jou uit het verleden als een gedreven privacy adviseur en trainer. Is dat een bewuste stap geweest?


Jacques Eding: Als je een venndiagram maakt van de drie onderwerpen, en daar zelfs nog het vierde onderwerp, de business, aan toevoegt, dan zit daar in het midden een samenspel van al die vier onderwerpen. En daar zit ik. Dus de ene keer zit ik meer vanuit informatiebeveiliging, de andere keer meer vanuit gegevensbescherming. Alle twee hebben bescherming in zich. En ik probeer dus alle twee te combineren. Ik ben nu Chief Security Officer. We hebben sowieso een ontzettend goed privacy team bij de NZa, en ik probeer daar nog wel wat vanuit technologisch aspect mee in te brengen. Dus bijvoorbeeld qua bescherming: er is geen privacybescherming zonder bescherming. Dus het blijft altijd wel om hetzelfde heen draaien.


Walter van Wijk: Dus je bent gewoon een beschermer?


Jacques Eding: Ik ben een beschermer.


Robin Rotman: Neem mij even mee naar jouw dagdagelijkse taakopvatting. Als het gaat over privacy, wat ligt er dan op je bord? Neem ons eens even mee naar zo'n dag van Jacques Eding.


Jacques Eding: Niet elke dag zit vol met privacy dingen, maar we hebben en verwerken natuurlijk heel veel persoonsgegevens. Dat betekent dat bij alles wat we doen er wel iets van persoonsgegevensbescherming in zitten. Wij denken erover na of wij de goede dingen doen. Ik ben heel veel bezig met het uitvoeren van risicoanalyses en DPA's, met het beoordelen van verwerkingen en kleine dingen als: wanneer is een test dataset nu dusdanig geanonimiseerd dat we het ook als testdata kunnen gaan gebruiken? Niet vanuit het juridische oogpunt, want daar hebben een heel goede FG voor, maar meer vanuit het technische oogpunt. Overigens, ik mag mezelf geen jurist noemen, want ik heb geen juridische opleiding. Wij bediscussiëren alles wel alsof we alle twee jurist zijn.


Robin Rotman: Je gaat er ook bij glimlachen meteen. Is dat belangrijk voor je?


Jacques Eding: Nee. Je ziet wel eens in organisaties dat iemand een hele strikte rol en een hele strikte rolopvatting heeft. Dat hebben wij eigenlijk niet. Wij hebben teams die met zaken aan de gang gaan. Een team dat ergens voor staat, en niet alleen maar een persoon.


Walter van Wijk: Maar het is wel bijzonder dat je als Chief Security Officer ook zo'n juridisch bewustzijn hebt, want heel veel mensen in dat vakgebied hebben vooral een technologisch bewustzijn.


Jacques Eding: Daarom dus het venndiagram. Ik zit daar steeds in het midden. Ik ben overigens geen jurist. Ik heb geen verstand van inkoopvoorwaarden, maar ik kan ze wel lezen. Ik heb ook de juridische bijbel in mijn boekenkast staan.


Robin Rotman: Walter heeft een paar stellingen voor je meegenomen. We willen je gewoon een beetje beter leren kennen. Wie is deze Captain of Privacy nou eigenlijk? Walter, wat is stelling één?


Walter van Wijk: Dan zoomen wij even in op jouw huidige werkomgeving. De eerste stelling is: als we de zorg betaalbaar willen houden, dan is het slimmer en ook verantwoorder omgaan met data essentieel, en toezicht erop misschien wel belangrijker dan ooit.


Jacques Eding: Het toezicht op data ligt niet bij ons, want het is de Autoriteit Persoonsgegevens die daar veel meer over gaat. Ik denk dat het wel waar is. Willen we in de toekomst waar wij voor staan de zorg betaalbaar en toegankelijk houden, dan moeten we ook onderzoek doen naar: wanneer is die zorg betaalbaar en toegankelijk? En dat betekent dat gegevens daarvoor wel nodig zijn.


Robin Rotman: Wat voor opties hebben jullie dan om met data te werken? En wat is dan vooral jouw rol om te zorgen dat dat goed gaat?


Jacques Eding: Toch nog één stapje terug. Er kunnen op basis van gegevens vaak dingen worden gedaan die zelfs beter zijn dan wanneer een arts dat doet. Dat is ook in het verleden bewezen. We hebben een app die op zoek gaat naar huidkanker. Die is sneller en makkelijker dan dat je naar het ziekenhuis toe gaat. En dat doet die op basis van gegevens die die heeft verzameld. Dat zijn toepassingen die heel erg sterk buiten het werkveld van de NZa liggen.


Robin Rotman: En dan nu terug naar wat de NZa wel kan. Want jullie spelen daadwerkelijk wel een rol in het toegankelijk en betrouwbaar behouden van de zorg. Hoe zie jij dan de inzet van data?


Jacques Eding: Wat wij nu doen is op basis van een aantal gegevenssets [onhoorbaar 00:07:40-00:07:43] bijvoorbeeld kijken: hoe kunnen we zorg verdelen over Nederland? Of: hoe moeten we zorggelden verdelen? En dat zijn heel veel gegevens vanuit het zorgveld. Wij moeten daar toezicht op houden en daar de regels voor opstellen en daar ook intern regels voor maken over hoe wij er binnen de NZa mee om moeten gaan. Dat is waar ik en Privacy over gaan. Zo hebben wij ook bepaald hoe wij met die gegevens moeten omgaan.


Walter van Wijk: Dat klinkt heel erg als iets waar ik in de tweede stelling aandacht voor wil vragen, namelijk: kunstmatige intelligentie. Ik kan me voorstellen dat dat op allerlei terreinen heel veel toegevoegde waarde zou kunnen hebben voor hoe jullie naar je werkveld kijken. De stelling is dan: kunstmatige intelligentie biedt voor jullie de grootste kansen, maar is tegelijkertijd de grootste bedreiging.


Jacques Eding: Kunstmatige intelligentie is sowieso altijd een risico, even los van de Nederlandse Zorgautoriteit. Om kunstmatige intelligentie goed in te voeren, heb je heel veel gegevens nodig. Heel veel gegevens om überhaupt te leren. Kunstmatige intelligentie betekent intelligentie proberen te [onhoorbaar 00:08:48] in de computer. Daarvoor heb je heel veel gegevens nodig en heel veel mensen die daar goed mee om kunnen gaan. Het gevaar van kunstmatige intelligentie in de zorg, dus ook voor ons werk, is dat we op basis van kunstmatige intelligentie denken dat we een uitspraak kunnen doen, waarbij we eigenlijk een uitspraak doen over de data die we hebben en niet de zozeer de data die we willen hebben. Een voorbeeld op het moment is een voorbeeld vanuit Amerika: kunstmatige intelligentie om te voorkomen dat er meer grijze witte mannen in boards van directies werden aangenomen. De robot bekijkt de cv's en bepaalt wie geleerd is. Dat doet die op basis van wat de laatste 20 jaar de succesvolle aannames waren in boards van grotere Amerikaanse bedrijven.


Robin Rotman: Daar ga je al.


Jacques Eding: Wie zit er in boards van grote Amerikaanse bedrijven? Grijze witte mannen. Dus wat gaat een Artificial Intelligence systeem doen? Vooral grijze witte mannen aannemen. Terwijl dat nou juist niet de bedoeling was. Dat risico zit in elke Artificial Intelligence toepassing. En dan wordt het wel heel lastig op het moment dat het gaat over levensvragen. Wij maken wel gebruik van goede data-analyse tools, maar het is dat is nog een stap terug van echt kunstmatige intelligentie toepassen.


Walter van Wijk: Moeten jullie veel werken met dingen als pseudonimisering en anonimisering? Omdat je wel wil leren van historische data, maar dat niet persoonsspecifiek wil kunnen labelen of terug herleiden.


Jacques Eding: Nog sterker. We hebben, even los van misschien wat gegevens rondom toezicht, geen direct herleidbare persoonsgegevens. Alle grote gegevenssets die wij krijgen zijn altijd dubbel gepseudonimiseerd, omdat het dus zorggegevens zijn en er dus een heel groot risico in zit. Daarom nemen we de maatregel extern van dubbele pseudonimisatie, zodat de gegevens die wij krijgen een lagere inbreuk hebben. Wij beschouwen ze nog steeds wel als bijzondere persoonsgegevens.


Robin Rotman: Hoe komen jullie eigenlijk aan jullie data?


Jacques Eding: Wij krijgen bijvoorbeeld data vanuit zorgverleners en zorgverzekeraars, via onder andere Zorgttp of stromen vanuit Vektis.


Walter van Wijk: Kom jij wel eens in situaties waarbij informatiebeveiliging en privacybescherming tegenover elkaar lijken te staan?


Jacques Eding: Goede vraag. Ik denk niet dat dat kan. Ik denk wel dat businessbelang en informatiebeveiliging tegenover elkaar kunnen staan. Gegevensbescherming is informatiebeveiliging. En hoe kan ik vanuit informatiebeveiliging nou niet gaan voor de beste bescherming? Het enige waar het belang schuurt is: waar gaan we nu als organisatie ons geld in steken? Waar gaan we de resources op zetten? En dan kan het goed omgaan met persoonsgegevens ineens een hoger budget krijgen, bijvoorbeeld, dan het omgaan met informatiebeveiliging. Daar schuurt het. Informatiebeveiliging kan in principe prima zonder gegevensbescherming. Informatiebeveiliging kunnen we inregelen zonder ooit na te denken over privacy. Maar privacy kunnen we nooit inrichten zonder na te denken over informatiebeveiliging.


Walter van Wijk: Eventjes eentje die in andere gesprekken ook terugkomt: ik hoorde jou net zelf de kreet DPIA gebruiken. Data Protection Impact Assessment. Die worden in de praktijk steeds vaker gecombineerd met een IAMA, een Impact Assessment Mensenrechten en Algoritmes. Zijn mensenrechten een issue die jij op je netvlies hebt bij je werk?


Jacques Eding: De ethisch-moralistische kant sowieso altijd. Wel binnen het privacy werkveld hebben we dat. Het DTS. Het data Transfer Impact Assessment, die staat nu echt wel bij ons op het vizier. En die voeren we ook uit in een aantal gevallen. Ethiek en moraliteit ligt vaak bij anderen. Wij hebben een wettelijke opdracht en die taak moeten we vervullen. Dan zie je dat de ethisch moralistische vraag voor in ieder geval die taken veel meer in die wetgeving zitten dan bij ons.


Robin Rotman: Als het goed is, is daar al over na gedacht.


Jacques Eding: Precies.


Robin Rotman: En zijn daar al keuzes gemaakt.


Jacques Eding: En wat we wel doen met onze verwerkingen is er steeds naar kijken of de manier waarop we het doen überhaupt nog subsidiair is voor het doel waarvoor we de subsidies krijgen. Maar dat zijn de normale vragen die eigenlijk altijd in de DPIA of gegevensbeschermingseffectbeoordeling staan.


Walter van Wijk: Dat zijn de AVG kreten die je vaak langs hoort komen.


Jacques Eding: Precies.


Walter van Wijk: Ik wil hem even naar een volgend niveau trekken met de volgende stelling. Ik begrijp dat jouw persoonlijke missie is om Nederland veiliger te maken en dat heeft ook te maken, denk ik, met jouw politieke betrokkenheid. Je bent actief in de lokale politiek vanuit D66. Het grappige is dat ik tijdens eerdere gesprekken met Kees Verhoeven, een voormalig Tweede Kamerlid vanuit D66, en Sophie in 't Veld, ook een eerder podcast serie Captain of Privacy vanuit D66 in het Europees parlement, gesproken heb. Wat heeft D66 meer dan andere politieke partijen met informatiebeveiliging en privacybescherming?


Jacques Eding: Goede vraag. Ik heb geen idee. Ik voel me gewoon heel erg thuis bij D66. Ik denk dat het liberale van D66, het "we zijn er voor iedereen, maar laten niemand vallen" heel erg bij mij als mens hoort. Ik denk dat er partijen zijn die anders denken over privacyzorg dan bijvoorbeeld D66. De eerste actie van een voormalig president in de Verenigde Staten was niet: wij zorgen goed voor gegevens. De eerste actie zo'n beetje was vragen aan allerlei websites die een ander belang diende dan zijn verkiezingen: wie hebben toegang gehad tot jouw website? Dat staat zo ver van mij vandaan. Dat staat zo ver van wat ik denk wat nodig is voor gegevensbescherming. Voor bescherming van die ene individu op de straat. En dat past bij D66.


Robin Rotman: Ik wou eigenlijk even naar de methode Jacques Eding, en niet naar de methode D66.


Jacques Eding: Maar dat was de laatste vraag.


Robin Rotman: Het was ook hartstikke zinvol, maar ik haak een beetje aan op die opmerking: Nederland veiliger maken. En dat is jouw persoonlijke missie. Dus er zit hier een soort persoonlijke drijfveer achter. Vertel daar eens wat meer over. Is Nederland inderdaad ook een stukje veiliger, omdat jij doet wat jij doet? En je hoeft niet bescheiden te zijn.


Jacques Eding: Ja.


Robin Rotman: Vertel.


Jacques Eding: Ik heb een aantal jaren geleden besloten om sowieso die persoonlijke missie uit te voeren. Dat betekent dat alles wat ik doe daarbij past. Dat betekent dus dat op het moment dat je je persoonlijk missie aan het doen bent, je eigenlijk nooit aan het werk bent, want je bent met je missie bezig. Ook heb ik besloten om vanuit mijn grote ervaring dingen te doen als trainingen geven, zoals bij het CIP. Ik heb in het verleden in het kasteeltje in de Vanenburg workshops gegeven om kennis over te dragen. Om mensen mee te nemen op het pad. Dit was ook nog heel vaak voor de AVG van kracht was. En dat deed ik juist om mijn kennis over te dragen. Ik heb drie jaar geleden besloten om ambtenaar te worden, niet omdat dat nu zoveel verdient maar voornamelijk omdat ik Nederland veiliger wil maken, en dat kan ik beter van binnenuit dan van buitenaf.


Robin Rotman: Maar je zei: dit was een aantal jaar geleden. Dit is een soort proces geweest waarin ik ben gestart en ik heb daar mijn keuzes op aangepast.


Jacques Eding: Eigenlijk draait mijn hele leven hier al om. Je kunt zien dat mijn hele profiel om dit soort dingen draait.


Robin Rotman: Kun je nog dieper in dat konijnenhol duiken? Wat is dat dan?


Jacques Eding: Nederland veiliger maken?


Robin Rotman: Ja, wat is dat bij jou dan?


Jacques Eding: Dat kan zo klein zijn als zorgen dat er in een organisatie bijvoorbeeld de juiste keuzes worden gemaakt en de juiste beveiligingsmaatregelen worden genomen. Dat kan zo klein zijn als mensen voorlichten over risico's.


Walter van Wijk: En dat kan zo groot zijn als om als Tweede Kamerlid daar ook invloed op uit te oefenen of in je lokale huidige politieke betrokkenheid? Vermengd dat zich daar ook?


Jacques Eding: Het feit dat ik politiek betrokken ben geraakt als commissielid van de commissie Bestuur raakt dat ook.


Walter van Wijk: Oké.


Robin Rotman: En dan tref je jezelf nu aan in de zorg. Hoe is dat voor jou?


Jacques Eding: Dat was even een verrassing, want ik heb voordat ik bij de NZa ging werken wat kleine opdrachten gedaan bij ziekenhuizen, maar ik heb voornamelijk in de openbare orde en veiligheid gezeten en heel veel gedaan.


Robin Rotman: Ik zag het.


Jacques Eding: En in de financiën. De zorg was niet de eerste waar ik terecht kwam, maar de NZa had een CISO nodig.


Robin Rotman: En ben je daar als een vis in het water of is het zoeken voor je? Of denk je: het is eigenlijk gek dat ik hier nooit eerder heb gezeten?


Jacques Eding: In de zorg?


Robin Rotman: Ja.


Jacques Eding: Ik denk dat vanuit mijn rol de zorg inderdaad heel belangrijk is. We spreken bij ons over gegevens die personen echt heel erg raken. Die een mens heel erg raakt. Dat was hiervoor ook in de openbare orde en veiligheid. Het feit dat iemand in het grootste hotel van Nederland zit, is een stigmatiserend gegeven. Dus daar heb je ook heel veel gegevens, maar van een beperkte groep. In de zorg hebben we hele directe, persoonlijke gegevens van heel veel mensen.


Walter van Wijk: En geeft dat jouw missie om Nederland veiliger te maken een extra randje, omdat je nu nog meer dan gemiddeld met de kwetsbaren in de maatschappij bezig bent?


Jacques Eding: Zeker. Maar het kan zomaar weer zijn dat ik over een half jaar ineens een andere opdracht zie en daarheen ga.


Robin Rotman: Er is hier dus een enorm krachtenveld gaande. Als het gaat over veiligheid, gaat het over privacy en over mijn persoonlijke integriteit. Als jij nou naar de toekomst kijkt, wat wil je daar eigenlijk nog voor betekenen? Wat zijn daar gevaren? Wat komt er op ons af hier?


Jacques Eding: Er lopen twee scenario's naast elkaar. Ik hou niet van doemscenario's. We hebben ook vanuit informatiebeveiliging heel lang geprobeerd vanuit fear, uncertainty en doubt dingen te verkopen. Dat werkt niet. Dus ik heb het liever over scenario's waar we naartoe kunnen groeien. En dan loopt er één die toch wel een beetje gevaar in zich heeft. En dat is dat er steeds meer gegevens steeds groter en grootschaliger gedeeld worden. Maar aan de andere kant lopen er ook hele mooie toepassingen waardoor we beter nadenken over hoe die gegevensdeling en hoe die gegevensverwerking is privacyvriendelijker kunnen zijn. 20 jaar geleden dachten we niet na over gegevensbescherming. We hadden er wel al een wet op, maar Excel bestandjes werden gewoon gedeeld en van iedereen werden gegevens bijgehouden. En dat werd dan weer gecombineerd. En we denken er nu steeds vaker over na dat dat niet goed is. Dat geeft een inbreuk in de persoonlijke levenssfeer van die betrokkene. Van die ene mevrouw of die ene meneer die op straat loopt. Aan de andere kant zie ik heel veel nieuwe technologieën die daar een hele mooie oplossing voor gaan bieden, zodat we nog wel de voordelen en de waarden uit die gegevens kunnen halen, zonder de nadelen van die gegevens te ondervinden.


Walter van Wijk: Een ander soort ontwikkeling, die nu nog even niet langsgekomen is, gaat over wetgeving. Er komt vanuit Europa van alles op ons af: de AI Act, we hebben de GDPR natuurlijk al over ons heen gekregen. We zijn in Nederland net bezig geweest met de evaluatie van de UAVG en de verzamelwet wordt voorgesorteerd om door de Eerste en Tweede Kamer heen geleid te worden de komende maanden. Jij geeft ook trainingen. Dit is eigenlijk de stelling: is dit nou juist niet de grootste en lastigste factor voor alle trainingen die je geeft, omdat er zoveel beweging is in de regelgeving rondom privacy?


Jacques Eding: Goede vraag, maar dan wil ik eerst nog toch nog heel even terugkomen op de vorige stelling. Aan de ene kant zijn er meer gegevens dus meer inbreuk, en aan de andere kant zijn er steeds meer technologische ontwikkelingen waardoor het risico verkleind wordt. Dus zoals multiplate complementation en homomorphic encryption, waardoor we gegevens wel kunnen verwerken zonder dat dat gegevens zijn. 20 jaar geleden hadden wij niet nagedacht over pseudonimisatie. Gelukkig is bijna alle wetgeving die we tegenwoordig hebben technologieneutraal en gaat over risico's. De AVG is een risicogedreven wetgeving en daarom -nu klink ik wel weer als een jurist- artikel 24 in de AVG die een PDCA-cyclus beschrijft. Voor mij als trainer betekent dat inderdaad het bijhouden. Maar ik vind eigenlijk dat elke professional in mijn vak 's avonds op de bank niet alleen maar kan zitten om de nieuwe serie op Netflix te bingewatchen, maar ook bezig moet zijn met het vak. Het vak van informatiebeveiliging wijzigt continu. We hebben continu nieuwe bedreigingen, maar we hebben ook continu nieuwe maatregelen. Hetzelfde geldt voor het vak van privacy professional of privacy engineer. Of privacy technoloog. Dat verschilt ook. Voordat we begonnen met de Windows 10 DPIA's, had er niemand nagedacht over de [onhoorbaar 00:22:12]gegevens die konden voortkomen uit het gebruik van bijvoorbeeld Windows 10 of Office.


Robin Rotman: Wie traint jou eigenlijk?


Jacques Eding: Andere grootheden zoals mijn oud collega's van Privacy Management Partners. En ik probeer heel veel online te lezen. En in elke training word ik getraind. De training van mij is niet een oratie van twee dagen van Jacques Eding, maar een samenspel tussen mij en degenen die in de training zitten. Dus ik leer er nog steeds en elke keer weer opnieuw van hoe andere organisaties het doen.


Walter van Wijk: Ik hoorde je net een paar afkortingen noemen van dingen die met privacy enhancing technology te maken hebben. En ik hoorde je ook zeggen dat de wet eigenlijk best wel techniekneutraal is. Dus betekent dat concreet dat de huidige privacywetgeving eigenlijk niet zo heel erg achterloopt, ondanks de enorm snel zich ontwikkelende technologische dingen rondom privacy?


Jacques Eding: Ik denk dat de AVG op zich niet zover achter loopt. Ik denk dat we nog aanvullende dingen nodig hebben: de e-privacy director, waar we al jaren op aan het wachten zijn. De richtlijnen nu rondom bijvoorbeeld IoT Devices, die ook weer in de zorg mogelijk heel goed gebruikt kunnen gaan worden voor zorg op afstand. De AI regelgeving vanuit Europa. Dat gaat ons wel helpen.


Walter van Wijk: Je kijkt wel heel erg holistisch naar privacy en het krachtenveld waarbinnen privacy geregeld moet worden. Dat is een geestverruimende gedachte. Dat je het inderdaad verbindt met allerlei andere dingen zodat het ook praktisch kan worden toegepast.


Jacques Eding: Dat probeer ik te doen.


Robin Rotman: Heb je zin in de toekomst als je kijkt nog onze privacy?


Jacques Eding: Zeker. Ik denk dat we onszelf steeds vaker de juiste vragen stellen, ook rondom ethiek en moraliteit. Dat we niet alleen maar bezig zijn met meer van hetzelfde. Het is bijna één april, dus we krijgen binnenkort weer twee nieuwe grondslagen. En dat we dan niet alleen denken: we deden het altijd al zo, of we hebben die grondslagen in de toekomst mogelijk nodig. Maar dat we ook nadenken over of het uitlegbaar is.


Robin Rotman: Ik heb eigenlijk nog één afrondende vraag. Je hebt heel veel mensen getraind en begeleid en heel veel verhalen gehoord van dichtbij en allerlei dingen zelf meegemaakt. Voor al die mensen die nu naar deze podcast luisteren, al die privacy professionals die hiervan iets willen opsteken: wat is nou de allerbelangrijkste les die je ze zou willen meegeven? Of iets waarvan je weet: die kom ik eigenlijk bijna altijd wel tegen. Denk nou alsjeblieft ook daaraan.


Jacques Eding: Zorg dat je heel vroeg in processen aangehaakt bent. Privacy zorg wordt vaak gezien als de nee-zeggers. Laten we maar niet langs privacy gaan, want die zeggen toch wel weer dat het niet mag. Zorg dat je aan het begin betrokken bent en leg dan ook de juiste waardering voor datgene wat je doet bij diegene die bij je komt met een vraag. Eén van de eerste dingen rondom ethiek-moraliteit, bijvoorbeeld binnen de business waarbij je iets wil gaan doen met persoonsgegevens, is: prima dat je dat gaat doen. Hier heb je een megafoon. Het is nu markt buiten. Ga maar buiten staan en uitleggen wat je wil gaan doen. Als dat kan en als iemand dat durft, dan kunnen we de volgende stap zetten. Dan zijn we ook gelijk begonnen om privacy by design in te richten.


Walter van Wijk: Eerst denken: wat doen? Privacy by design. Ethiek by design.


Jacques Eding: Check.


Robin Rotman: Zorg dat je aan tafel zit en zorg dat je snel aan tafel zit. Ik ben blij dat je bij ons aan tafel zit. Dank je wel, Jacques Eding, Chief Security Officer bij de Nederlandse Zorgautoriteit. De man die heel veel weet van de juridische kant van het vak en zichzelf geen jurist noemt. Dank je wel voor je komst. Ik vond het een inspirerend gesprek. We hebben een heleboel andere leuke, inspirerende gesprekken in deze serie, Captians of Privacy. Walter, waar kunnen we deze vinden?


Walter van Wijk: Gewoon op je eigen favoriete podcast-app. Meer informatie kun je vinden op CIP-overheid.nl/uitgelicht.


Robin Rotman: Dank je wel.