Marie-José Bonthuis: “Als je iets nieuws kunt toevoegen, moet je gewoon gaan schrijven”

Wat was jouw eerste publicatie?

‘In 2008 won ik de Scriptieprijs met mijn scriptie over het toen nog landelijke EPD (Elektronisch Patiëntendossier). Ik publiceerde in De Groene Amsterdammer een artikel over mijn scriptieonderwerp. Het patiëntendossier bij onder anderen de huisarts zou opgeschaald worden naar een landelijke infrastructuur. Maar als je data breder beschikbaar maakt, zijn de huidige regels niet passend. Dat is eigenlijk de bottom line. Dat wilde ik laten zien. Het onderwerp is nog steeds actueel. De opdracht was destijds om een scherp en prikkelend artikel te schrijven. Dat vond ik geweldig om te doen.’

Wat heeft publiceren jou gebracht?

‘Van het winnen van de Scriptieprijs en die publicatie in De Groene Amsterdammer heb ik veel profijt gehad. Je wordt meteen gebombardeerd tot expert. Ik vind publiceren nog steeds leuk, maar ik doe het te weinig. Ik heb te veel operationeel werk. Maar als ik iets publiceer, krijg ik meestal reacties. Mensen zeggen dat ze het bruikbaar vinden en ik word ook uitgenodigd om lezingen te geven.’

Wat is jouw advies aan jonge juristen die willen publiceren?

‘Als je iets nieuws kunt toevoegen, moet je gewoon gaan schrijven. Zelf heb ik een hekel aan blogjes waarin een beetje gepapegaaid wordt wat iedereen al weet. Het moet wel vernieuwend zijn. Maar het hoeft niet iets groots te zijn. Zelfs als je iets heel kleins toevoegt, is dat waardevol. En dwing jezelf dan om dat op te schrijven.’

Waarom ging je rechten studeren?

‘Dat kwam voort uit een sterk rechtvaardigheidsgevoel. Als puber zag ik op tv een documentaire over eerwraak. Dat greep me erg aan. Ik vond het zo oneerlijk. Toen dacht ik: daar wil ik mijn baan van maken. Het onrecht uit de wereld helpen. Dat was een grote ambitie.’

Wat maakte dat je voor de studie IT-recht koos?

‘Dat was toeval. Ik begon in 2000 met de rechtenstudie. Dan hoef je in je eerste jaar nog niet voor een specialisatie te kiezen, dus alle vakgroepen stelden zich voor. Daar zat ook IT-recht bij. Daar had ik nog nooit van gehoord, maar het sprak me meteen aan. Het was nieuw en ik houd van nieuwe dingen. Ik dacht: dit kon weleens de toekomst zijn. En het was heel breed, veel breder dan alleen privacy. Het ging over intellectueel eigendom, computercriminaliteit, ICT-contracten. Omdat ik goed wilde snappen wat ICT’ers doen, deed ik naast de rechtenstudie een HBO-opleiding informatica.’

Sloot IT-recht ook aan bij je ambitie om het onrecht uit de wereld te helpen?

‘Zeker. Ik ben mijn bedrijf gestart in 2005. Toen was privacy geen hot item. Eigenlijk maakte niemand zich er druk om. Er waren nauwelijks mobieltjes, er waren geen social media, internet had nog geen grote vlucht genomen. Het was een compleet andere tijd. Ik realiseerde me dat het er heel gevoelige persoonlijke gegevens van mensen op straat terecht zouden komen als er iets fout zou gaan. Dat is een groot probleem en daar wilde ik iets aan doen.’

Sindsdien heeft IT en ook het IT-recht een enorme vlucht genomen.

‘Destijds was er maar een handvol juristen mee bezig. Minder dan tien, denk ik. We kenden elkaar allemaal en we zochten elkaar op. Data zijn zo belangrijk geworden. Toen ik mijn bedrijf begon, verwachtte ik dat ik lekker aan de keukentafel met een niche bezig zou blijven. Ik kon niet vermoeden dat ik 20 jaar later in een kantoor met tien mensen zou zitten, allemaal privacy- en IT-juristen en een managementondersteuner.’

Wat doet Privacy1 precies?

‘Wij helpen bedrijven en organisaties, zoals overheden, zorg- en onderwijsinstellingen, om goed om te gaan met privacy. Dat doen we door privacyprofessionals op te leiden, zoals privacyofficers en functionarissen gegevensbescherming. Daarmee vergroten we de kennis en de vaardigheden binnen een organisatie. Ook adviseren we organisaties over het beschermen van (persoons)gegevens en de verantwoording ervan. Verder geven we presentaties over de privacywet- en regelgeving. En we voeren DPIA´s uit (Data Protection Impact Assesment). Dat zijn gestructureerde risicoanalyses om vooraf de impact van gegevensverwerking op de privacy van betrokkenen te beoordelen. Dat schrijft de AVG (Algemene Verordening Gegevensbescherming) in bepaalde gevallen voor. We hebben ook een Escape Room, waar je kunt leren denken als een hacker.’

Is de privacywetgeving erg veranderd in de afgelopen 20 jaar?

‘Eigenlijk niet. Maar de impact als er iets misgaat is veel groter geworden. Door technologie is het gebruik van data in een stroomversnelling gekomen. Als je 20 jaar geleden een huisarts hackte, had je een paar dossiers. Maar als dat nu gebeurt, kan dat zorgdata in het hele land raken. Er is net een enorme hack geweest bij het bevolkingsonderzoek naar baarmoederhalskanker. Dan gaat het meteen om 500.000 tot 600.000 vrouwen. Omdat de impact zo groot is, zijn de boetes hoger geworden. Maar de regels zijn nauwelijks veranderd. Dat hoeft ook niet, want ze werken nog steeds. Behalve voor samenwerkingsverbanden. Daar zijn de regels niet zo passend.’

Is dat waar je proefschrift over gaat?

‘Ja, dat gaat over bescherming van informationele privacy in ketens. Vroeger lagen data bij één partij, Nu pompen we ongelooflijk veel rond. We maken grote samenwerkingsverbanden, bijvoorbeeld in het sociaal domein, om rondom een individu zoveel mogelijk integraal te kunnen organiseren. Dan krijg je grote infrastructuren die bijna niet meer juridisch te borgen zijn. Bijvoorbeeld het Elektronisch Patiëntendossier of Suwi-net. Terwijl de regels uitgaan van één organisatie, één database, één verwerking. Als je met z’n allen bij elkaar gaat zitten, wordt het chaos.’

Wie inspireert jou in je vak?

‘Helen Nissenbaum, hoogleraar informatiewetenschappen aan Cornell Tech, vind ik inspirerend. Zij heeft het boek ‘Privacy in context’ geschreven. En Daniel Solove, hoogleraar intellectueel eigendom en technologie aan de George Washington University Law School. Hij heeft een taxonomie gemaakt die goed laat zien wat een privacyinbreuk eigenlijk is en hoe je afwegingen kunt maken tussen het persoonlijke belang van een individu en het belang van een organisatie om over gegevens te beschikken. Nissenbaum en Solove zijn allebei Amerikanen die de Europese privacy heel goed snappen. Ook Jan Grijpink inspireert mij. Hij is econoom, jurist en hoogleraar informatiekunde met emeritaat aan de Universiteit Utrecht. Hij is expert op het gebied van keteninformatisering. Hij heeft een methode ontwikkeld om ketens beter te ontwerpen. Over privacy bestaan veel misverstanden. Mensen, ook politici, denken vaak: als je zelf toestemming hebt gegeven, dan mag het. Maar privacy is veel meer dan dat. Nissenbaum en Solove leggen dat goed uit. Met Grijpink ben ik het privacygedachtegoed aan het uitbreiden.’

Wat zijn jouw grootste successen tot nu toe?

‘Voor mijn proefschrift heb ik twee artikelen geschreven die het goed doen. En ik heb een paar samenwerkingsverbanden in het sociaal domein kunnen helpen met het ontwerpen van hun samenwerking. Daardoor werden de medewerkers in die samenwerkingsverbanden er gerust op dat ze goed met informatie en gegevens omgingen en ze konden ook goed uitleggen wat ze deden.’

Hoe zie jij jouw rol in het juridische IT-landschap?

‘Je moet van het begin af aan goed nadenken over het ontwerp. Welk probleem willen we precies oplossen? Dan blijkt dat je 9 van de 10 keer helemaal niet zo vreselijk veel gegevens nodig hebt. Je moet alleen weten waar de juiste gegevens staan. Ik kijk heel erg hoe je in het begin al zo lean en mean mogelijk kunt ontwerpen, waardoor je dus ook de minste privacyrisico’s hebt. Het is interessant om bij een ontwerptraject betrokken te zijn, want dan moet je samenwerken met alle disciplines. De marketing, de communicatie, de hoogste bazen, de leveranciers, de inkoop. Je zit eigenlijk overal aan tafel.’

Wat zijn je doelen op de langere termijn?

‘Op korte termijn wil ik mijn proefschrift afronden. En zou ik graag een grote klapper willen maken in Silicon Valley met een privacy by design-ontwerp van grote samenwerkingsverbanden. Dat je zorgt voor een succesvolle gegevensuitwisseling die ook nog eens privacyvriendelijk is en dat je daarmee een soort gouden standaard zet. Dat lijkt me heel gaaf. En dan het liefst met een techpartij in Silicon Valley en de universiteit daar. Bijvoorbeeld met een app zoals destijds bij corona, maar dan effectief. Dat je bijvoorbeeld kunt voorspellen waar en wanneer de uitbraken komen, zodat de maatschappij niet om de haverklap op slot hoeft. Die data waren er destijds in Nederland ook, maar het werd gewoon niet op een goede manier aan elkaar geknoopt. Dan is privacy steeds de gebeten hond, want vanwege de privacy kun je de data niet gebruiken. Ja, lekker makkelijk, denk ik dan. Als je het beter ontwerpt, zou het wel kunnen.’

Vind je publiceren belangrijk? En hoe zie je de rol van de uitgever?

‘Publiceren is heel belangrijk, zeker als er een peer review geweest is. Als je wilt promoveren is het een verplichting, maar ik denk dat je er ook een statement mee afgeeft. Dit is de kennis zoals die op dit moment wordt beleefd. Ik vind het mooi om zo’n stempel achter te laten. De uitgever, en dan met name de redactie, heeft daarin een belangrijke rol. Die moet de goede vragen stellen. Voor mijn proefschrift ben ik op zoek naar kanalen om te publiceren. Als het open acces is, moet je daar soms flink voor betalen. Ik weet niet of je dat kunt voorkomen. Uiteindelijk gaat het natuurlijk om het bereik en de betrouwbaarheid.’

Wat is jouw favoriete arrest van de Hoge Raad?

‘Het KaZaA-arrest. Dat laat mooi zien waarom een Recht & IT-opleiding heel actueel was en nog steeds is. Het speelde in 2003 en we waren als klein clubje IT-Rechtstudenten bij deze rechtszaak. Het ging erom of je muziek (mp3’s) legaal kon downloaden met een peer-2-peernetwerk. Een IT-toepassing kan de juridische regels in één klap op hun kop zetten. Er zit een thuiskopieregeling in de Auteurswet en dat maakte dit toentertijd legaal. Dat was heel creatief ingezet door de advocaat.’

Tekst: Wilma van Hoeflaken
​​