“Ik vind de invloed van big tech zorgelijk. Je wordt niet alleen gevolgd, je wordt stiekem ook gestuurd”
De democratie en de ijsvogel
Met zijn immer piekfijne kostuums (mét strikje) is hij een bekende en kleurrijke verschijning in de wereld van research support. Marlon Domingus is Functionaris Gegevensbescherming bij de Erasmus Universiteit Rotterdam en voorzitter van de SURF Taskforce Beyond Privacy Shield. Een gesprek over grote en kleine dingen.
Als Functionaris Gegevensbescherming adviseert hij het college van bestuur en de medewerkers van de Erasmus Universiteit Rotterdam (EUR) over privacywetgeving, in het bijzonder de Algemene Verordening Gegevensbescherming (AVG). Daarnaast is Domingus voorzitter van de in 2020 opgerichte SURF Taskforce Beyond Privacy Shield. Deze expertgroep houdt zich bezig met de vraag hoe onderwijs- en onderzoeksinstellingen veilig persoonsgegevens kunnen uitwisselen met de VS, op een manier die voldoet aan de EU-wetgeving.
Wat betekent privacy voor jou persoonlijk?
“Ik vind privacy belangrijk, maar het is niet het heilige einddoel. Sommige mensen schieten helemaal door en laten privacy leidend zijn in alle beslissingen. Maar het is één van de fundamentele rechten die je hebt. Je moet een afweging maken tussen diverse belangen en rechten.
Neem proctoring, online toezicht met camera’s tijdens tentamens die studenten thuis afleggen. Gezien de coronasituatie was er een urgente noodzaak. Je moet de continuïteit van het onderwijsproces borgen en je wil mensen niet opzadelen met studievertraging. We zijn hierover in gesprek gegaan met studenten. Dan zie je dat hun zorgen vaak praktisch van aard zijn, zoals: mijn wifi is slecht. Maar ook: ik heb een heel klein kamertje en als de camera aan staat, zit je echt ín mijn kamer. Ik heb uitgelegd waarom we het deden en wat de risico’s, de maatregelen en de afwegingen waren. Als studenten zien dat er zorgvuldig naar hun rechten en belangen is gekeken, vallen veel bezwaren weg."
Wat ik wel zorgelijk vind, is de invloed van big tech. De meerderheid van mijn vrienden zit op Facebook en Whatsapp, maar ik ben er al heel lang vanaf. Mensen zeggen vaak: ik heb niets te verbergen. Maar daar gaat het allang niet meer om. Je wordt niet alleen gevolgd, je wordt stiekem ook gestuurd. Als een bedrijf als Cambridge Analytica een aantal influencers gericht gaat beïnvloeden, wordt dat overgenomen door een grote groep andere mensen. Dat raakt democratieën.”
Waarom vind je het belangrijk om actief te zijn in de Taskforce Beyond Privacy Shield?
“Universiteiten werken internationaal samen met leveranciers in internationale onderzoeksconsortia, maar soms denken we nog als een dorp. Dit soort puzzels kun je echter niet op instellingsniveau oplossen, dat moet je echt samen doen. Binnen de hogeronderwijssector zijn veel experts op het gebied van privacy, security en inkoop, maar niet per se bij iedere instelling. Vaak valt een probleem uiteen in een risico-inschatting en een afweging, en technische, organisatorische en juridische maatregelen die je kunt nemen. Instellingen willen uiteindelijk gewoon weten: wat moet ik nu doen? Tot dat praktische niveau moet je het moeilijke juridische verhaal dus terugbrengen.
Ik vind het leuk om me in lastige, onoverzichtelijke problemen vast te bijten en het klein en praktisch te maken. Het is heel gaaf om met mensen van verschillende achtergronden vanuit verschillende perspectieven naar iets te kunnen kijken, met een gemeenschappelijk doel. Ik zelf ben bijvoorbeeld gericht op privacy, maar weet niet genoeg van security. De mate waarin Amerikaanse veiligheidsdiensten toegang tot data belemmerd kan worden, heeft met technische beschermingsmaatregelen te maken, zoals encryptie. Er gebeurt heel veel op dat gebied, waar anderen alles van weten.
Een andere reden om samen te werken, is dat je op het gebied van inkoop een gezamenlijk standpunt kan innemen en veel sterker staat in onderhandelingen. SURF vertegenwoordigt alle mbo-, hbo- en wo-instellingen, en dat werkt. Als dat niet zo was, zou ik er ook niet zo veel energie in steken.
Waar we nog stappen moeten zetten, is op het gebied van draagvlak. Hoe zorgen we dat bestuurders van instellingen ook als sector achter de waarden gaan staan die de Taskforce met praktische adviezen hoopt te beschermen? Als we gezamenlijk afspreken welke risico-inschattingen en maatregelen passend zijn, verlies je niet zo veel tijd met wat ik noem ‘the battle of opinions’. Dan weet iedereen wat de kaders zijn en kan je tools gaan regelen voor onderzoekers, in plaats van dat zij hun toevlucht nemen tot schaduw-IT.”
Vind je niet dat de privacywetgeving het werk van onderzoekers onnodig ingewikkeld maakt?
Een zucht. “Ik ben bang van wel. De wetgeving valt wel mee, maar het probleem is de perceptie van die wetgeving. De AVG is juist bedacht om data makkelijker te kunnen delen, ook met private partijen. Maar ook om die data te beschermen. Als je die principes gewoon waarborgt, dan gaat het goed.
Maar in de praktijk hebben mensen allemaal een verschillende perceptie van de risico’s. Waardoor ze verkrampen en zeggen: dat mag allemaal niet meer. Dat is helemaal niet waar! Je moet kunnen verantwoorden waaróm je bepaalde persoonsgegevens verwerkt. Als onderzoeker werk je vaak samen met andere instellingen, en dan ben je soms wel een jaar aan het wachten op het gepingpong tussen de privacy- en securitymensen van die instellingen. Daar hebben onderzoekers veel last van.”
Hoe kan je ze als instelling het leven makkelijker maken?
“Het raamwerk aan de achterkant moet veel beter: wanneer heb je nou een laag, midden of hoog securityrisico? Wat zijn concrete maatregelen die je kunt treffen? Welke vorm van encryptie past hierbij? Onderzoekers willen echt wel meewerken. Maar ze zijn voor de naleving van de AVG afhankelijk van de werkgever, die infrastructuur, software en ondersteuning biedt. Als wij zorgen dat onderzoekers geen last meer hebben van onduidelijke interpretatie van de wet, gaan we wellicht nieuwe vormen van onderzoek zien. Misschien houden ze zich nu wel in, terwijl ze veel meer willen en kunnen.
“Onderzoekers hebben last van verkrampte en onduidelijke interpretatie van de wetgeving”
Onderzoekers moeten gemakkelijk kunnen samenwerken met internationale partners, waarbij ze veilig met data en software in dezelfde omgeving kunnen werken, en schotten tussen die data kunnen zetten waar dat nodig is. Als je bijvoorbeeld met zorgdata werkt, wil je niet dat de verzekeraars die soms meedoen in zo’n project daarbij kunnen. Het securityparadigma is: de data mogen de tent niet uit. Maar voor onderzoekers werkt dat niet, want die moeten samenwerken. Dus ze gaan werken in Dropbox of Google-omgevingen. Daardoor gaan makkelijk dingen mis.
Ik denk dat we toegaan naar grote datahubs, zoals Lifelines in Groningen, Generation R hier bij het Erasmus MC en Odissei, de open data-infrastructuur voor de sociale wetenschappen. In zo’n thematische datahub kunnen ze hun data kwijt en kunnen ze regelen wie erbij kan. Daarmee haal je de verantwoordelijkheid weg bij de onderzoekers en bied je gewoon de voorzieningen aan. Dan kunnen zij zich weer richten op onderzoek. Zo’n raamwerk moet dus ook op landelijk niveau geregeld worden. Ik snap niet dat we dit als sector niet al doen.”
Je kan uren praten over grote kwesties als privacy, democratie en wetenschap, maar volgens jouw Twitterbio ben je ook ‘passionate about small things’. Wat zijn die kleine dingen?
“Ik kan echt genieten van muziek: jazz of de 5e van Mahler. Ik ga vaak met mijn fototoestel naar buiten en ik heb laatst voor het eerst in jaren een ijsvogel weten vast te leggen! Daar kan ik een hele dag mee bezig zijn. Dan kom ik ook tot rust, want ik moet niet altijd aan staan. En ik hou van eten. Ik ben een beetje bourgondisch ingesteld. Vooral ook van etentjes en gesprekken met andere mensen kan ik genieten. Verrast raken door andere inzichten, echt luisteren naar een ander.”
In je Twitterbio staat ook: ‘Admiring the two women in my life’.
Grote glimlach: “Mijn vrouw en mijn dochter! Sophie is 16. Ik ben workaholic, daar ben ik me van bewust. Dat weten zij ook, als ik op vakantie een laptopje meeneem is er geen discussie meer. Mijn werk brengt met zich mee dat als er echt gedoe is, ik snel moet schakelen. Ik doe dat heel vroeg en heel laat op de dag, dus daar hebben zij geen last van, en daartussen probeer ik er echt te zijn voor hen. Dat is natuurlijk waarom het echt gaat. Een goede balans tussen werk, privé en een goede gezondheid.”
Bio
Geboren: 1969
Studie: Wijsbegeerte
Eerdere functies o.a.: projectmanager bij de universiteiten van Leiden en Delft, projectmanager researchdatamanagement (RDM) bij de Erasmus Universiteit Rotterdam.
Daarnaast is Domingus onder meer actief in het Landelijk Coördinatiepunt Research Data Management (LCRDM).
Lees meer over de Taskforce Beyond Privacy Shield
Tekst: Josje Spinhoven
Portretten: Jelmer de Haas