Nederland als privacygidsland: voorbij het DPIA-infuus

Schellekens, IT-jurist op het snijvlak van recht en technologie en werkzaam bij de Adviesfunctie Verantwoord Datagebruik (onderdeel van IBDS), spreekt liever over privacyvolwassenheid dan over enkel AVG-compliance. In de compliancepraktijk wordt volwassenheid vaak gemeten aan de hand van vinkjes: is er een FG, is er een datalekbeleid, worden processen gevolgd? Maar volgens hem zegt dat nog weinig over de werkelijke kwaliteit van de afwegingen.

In zijn lezing waarschuwde Schellekens voor het risico op overregulering van de AVG: “Alles lijkt tegenwoordig een persoongegeven.” De focus op persoonsgegevens leidt volgens hem bovendien de aandacht af van het feit dat er veel zaken zijn die de AVG niet regelt. Privacy is natuurlijk veel breder dan gegevensbescherming. De focus op gegevens van de betrokkene zorgt ervoor dat de onderwerpen die het individu overstijgen soms niet worden meegenomen. Bijvoorbeeld de steeds grotere macht die we zien bij big tech. Of de gevolgen van technologie voor onze democratie.”

Het ‘DPIA-infuus’

Een punt dat Schellekens wilde benadrukken, is wat hij het “DPIA-infuus” noemt. “Je ziet dat er heel veel bureaucratie is ontstaan, wat ik ook wel het DPIA-infuus noem” . Daarmee doelt hij op een doorgeschoten compliancecultuur, waarin de DPIA verwordt tot een formele verplichting die moet worden afgevinkt, terwijl het echte gesprek over risico’s en maatschappelijke gevolgen onderbelicht blijft. Volgens Schellekens zorgt dit voor een ‘bipolaire’ situatie waarin de medewerkers van een organisatie gek worden van een bureaucratische AVG-molen en aan de andere kant zaken met te hoge risico’s toch doorgang vinden.

“Het wordt teveel een afvinklijstje en dan gaan we eigenlijk weg van de bedoeling van de wetgeving. Een DPIA is echt een middel en niet een doel op zich”. Daarmee raakt hij aan een fundamenteel punt: privacybescherming draait niet om procesdocumenten, maar om inhoudelijke keuzes over wat we als samenleving acceptabel vinden.

Volgens Schellekens schuilt hier een accountabilityprobleem. Het gaat, zegt hij, om het daadwerkelijk nemen van verantwoordelijkheid. Te vaak wordt gedacht: we hebben een DPIA gedaan, dus daarmee is het geregeld. Privacy wordt dan ‘weggemanaged’ in een bureaucratisch vehikel, terwijl het in wezen zou moeten gaan over de vraag wat maatregelen concreet betekenen voor mensen.

De juiste tafel: lessen van de Ombudsman

Die verschuiving van inhoud naar procedure wordt ook zichtbaar in maatschappelijke discussies. Schellekens verwees tijdens het congres naar de bijdrage van de Rotterdamse Ombudsman, Marianne van den Anker. Zij stelde dat privacy niet blokkerend mag zijn. Schellekens nuanceert dat beeld. Hij is het eens met de oproep om het gesprek breder te voeren, maar niet met de impliciete suggestie dat privacy het probleem is. De relevante wetgeving houdt juist al sterk rekening met de verschillende belangen en afweging tussen grondrechten.

Hij wijst op casussen als Clare’s Law en de aanpak van femicide. Vrijwel iedereen wil geweld voorkomen, maar de vraag is hoe ver de overheid mag gaan in het delen van informatie over (ex-)verdachten. “Dit is bij uitstek een voorbeeld van een discussie die niet alleen op het niveau van ambtenaren of in een DPIA thuishoort, maar op een hoger maatschappelijk niveau moet worden gevoerd: wat vinden wij als samenleving acceptabel?”

Met andere woorden: dit soort fundamentele afwegingen moeten niet worden uitgevochten in een DPIA of uitsluitend binnen de ambtelijke uitwerking van beleid. Ze horen op een hoger maatschappelijk en politiek niveau thuis. Privacywetgeving biedt ruimte om die belangen tegen elkaar af te wegen, maar die afweging moet dan wel expliciet worden gemaakt. Dáár ligt volgens Schellekens een belangrijk onderdeel van privacyvolwassenheid.

Handhaving en verkeerde prikkels

Ook richting de Autoriteit Persoonsgegevens (AP) ziet hij een ontwikkelingsslag. Hij constateert dat de AP meer inzet op guidance en dialoog, wat hij positief noemt. Tegelijkertijd plaatst Schellekens kritische kanttekeningen bij handhavingsprikkels. Als het melden van een datalek de kans op nader onderzoek vergroot, terwijl niet-melden nauwelijks wordt bestraft, rijst de vraag of de juiste signalen worden afgegeven .

Daarnaast pleit hij voor een duidelijke prioritering: richt het grootste deel van de capaciteit op grootschalige businessmodellen en structurele privacy-inmenging, in plaats van op kleinere spelers. Alleen zo wordt de oorspronkelijke geest van de AVG – het beteugelen van machtsconcentraties en structurele datamisstanden – recht gedaan.

Privacy Awards als voorproefje van een gidsland

Toch is Schellekens overwegend optimistisch. Hij ziet in initiatieven als de Nederlandse Privacy Awards een concreet bewijs dat innovatie en privacybescherming hand in hand kunnen gaan. “De Privacy Awards laten concreet zien dat het mogelijk is om Nederland als privacy gidsland te zien”.

Volgens hem hoeft Europa geen nieuwe Facebook of OpenAI te bouwen als dat betekent dat dezelfde datagedreven businessmodellen worden gekopieerd. Het alternatief is een product met een gezond verdienmodel dat Europese waarden respecteert. “Je moet juist een goed product neerzetten met een werkend businessmodel dat de waarden zoals wij die in Europa kennen, respecteert”.

Die voorbeelden zijn nog kleinschalig, maar ze laten zien dat het kan. Als Nederland erin slaagt bureaucratie te doorbreken, het debat op de juiste tafel te voeren en innovatie te koppelen aan grondrechten, dan is 2026 inderdaad een nieuw hoofdstuk.

In de slotminuten van ons gesprek wilde Schellekens nog één punt nadrukkelijk meegeven: “privacy moet geen jurist feestje zijn”. Daarmee raakt hij misschien wel de kern van zijn betoog. Privacy gaat niet alleen over wetgeving, toezichthouders en DPIA’s, maar over maatschappelijke keuzes, technologie, bestuur en ondernemerschap. Pas wanneer juristen, technici, bestuurders, politici én burgers samen het gesprek voeren, kan Nederland daadwerkelijk uitgroeien tot het privacygidsland waar hij tijdens de conferentie voor pleitte.