portret

M/V van de week | Andrea Jelinek

Ben Serrure

Het nieuwe Europese gezicht van de databescherming

Uw privacy is belangrijk voor ons. Het is een zin die u waarschijnlijk nog moeilijk kunt lezen zonder te zuchten, nu hij deze week duizenden keren in uw inbox belandde. De arm omgewrongen door de nieuwe Europese databeschermingsregels GDPR ontdekten bedrijven en organisaties plots dat ze een thema waar tot voor kort nooit een haan naar had gekraaid toch erg belangrijk vonden.

Uit wiens mond de zin wel oprecht klinkt, is die van Andrea Jelinek. ‘Andrea wie?’, horen we u denken. Geen zorgen, het ligt niet aan u. Jelinek is voorlopig een nobele onbekende bij het grote publiek. Maar nu de Oostenrijkse verantwoordelijk wordt voor het beschermen van uw en mijn persoonlijke gegevens, is de kans reëel dat u de naam de komende jaren regelmatig ziet opduiken.

Jelinek staat sinds gisteren aan het hoofd van de door de GDPR-regulering in het leven geroepen European Data Protection Board (EDPB), een orgaan waarin alle 28 nationale regulatoren vertegenwoordigd zijn. Als Europese waakhond moet ze erop toekijken dat de regels consistent worden toegepast in de Europese lidstaten, en dat de nationale privacywaakhonden goed samenwerken waar nodig. En als die nationale regulatoren er onderling niet uit raken, is het Jelinek die de bevoegdheid krijgt de knopen door te hakken. De EDPB krijgt bovendien de bevoegdheid boetes op te leggen tot 20 miljoen euro of 4 procent van de globale omzet van bedrijven. In die rol wordt Jelinek logischerwijs het gezicht van Europa’s queeste naar meer databescherming.

Europa

Andrea Jelinek is sinds gisteren het hoofd van het nieuw opgerichte EDPB, een Europees agentschap dat de toepassing en handhaving van de Europese privacyregels moet coördineren. In die rol wordt ze het Europese gezicht van de databescherming.

Oostenrijk

Jelinek leidde jarenlang de nationale privacyregulator. In die rol toonde ze zich kordaat en rigoureus, en bezorgde ze Oostenrijk een naam als privacybekommerd land. Daarin werd ze ook geholpen door haar landgenoot Max Schrems, die als rechtenstudent Facebook voor de rechter daagde voor het uitvoeren van persoonlijke Europese data naar de VS. Een zaak die Schrems won.

Bemiddelaar.

In haar nieuwe Europese rol zal Jelinek naast privacybeschermer ook als diplomaat uit de hoek moeten komen. Ze moet ervoor zorgen dat de nationale regulatoren, die in de GDPR-regulering veel macht krijgen, aan hetzelfde zeel trekken. Iets wat eenvoudiger klinkt dan het is.

Weinig woorden

Jelinek is een vrouw die daden boven woorden verkiest. Ze beantwoordt vragen kort en to the point, en plaatst zichzelf niet in het middelpunt van de aandacht. Zoals het een echte privacywaakhond betaamt, is er over haar persoonlijk ook weinig te vinden. Zelfs haar persoonlijke pagina op de site van de Europese Commissie is, op haar naam na, helemaal leeg.

In eigen land was ze al langer het gezicht van de databescherming. Dat Oostenrijk bekendstaat als een strenge lidstaat als het op privacy aankomt, is voor een goed stuk aan haar te danken. Sinds ze in 2014 de leiding kreeg over de Oostenrijkse privacycommissie, toonde ze zich als een strenge en rigoureuze waakhond, die onder andere de financiële sector en de gezondheidszorg de wacht aanzegde als het op privacy aankwam.

De vraag is of ze eenzelfde impact kan hebben op Europees niveau. De GDPR-regels leggen veel van de macht om de wetgeving te handhaven bij de nationale regulatoren. En net als bedrijven zijn sommige van die regulatoren nog volop aan het wennen aan de nieuwe GDPR-realiteit. De voorbije maanden doken herhaaldelijk berichten op over een personeels- en geldgebrek bij sommige nationale waakhonden, die het daardoor moeilijk zouden krijgen om hun strengere rol waar te maken. Maar Jelinek laat zich niet afschrikken door die mogelijke hinderpaal. ‘Als landen niet de nodige budgetten ter beschikking stellen om GDPR te handhaven, dan zal de Commissie ingrijpen’, klonk het gisteren droog.

Er wachten Jelinek echter nog andere uitdagingen. Zo zal zij het zijn die wordt afgerekend op het succes van het naleven van de regels, maar ligt het zwaartepunt van de handhavingsmacht eigenlijk bij de nationale regulatoren. En die staan volgens kwatongen niet allemaal met hetzelfde wedstrijdplan op het veld. Zo blonk Ierland in het verleden vooral uit in een laks privacybeleid, meteen de reden waarom datareuzen als Facebook en Google zich in Dublin vestigden met hun Europees hoofdkwartier. Andere landen vrezen dat Ierland zich ook in deze nieuwe wereld soepel zal blijven opstellen.

Aan Jelinek om erover te waken dat het beleid eenvormig wordt nageleefd. Maar dat kan weleens gemakkelijker gezegd dan gedaan zijn. Helen Dixon, die de Ierse privacyregulator aanstuurt, bakende in de pers al duidelijk haar grenzen af. ‘Jelinek zal een sleutelrol spelen’, zei Dixon deze week aan journalisten. ‘Maar het is niet aan de EDPB om de rol van de nationale agentschappen over te nemen.’ De nationale neuzen in dezelfde richting krijgen, wordt dus een belangrijk aandachtspunt, wil Jelinek van GDPR een succes maken.

Zoals het een privacywaakhond betaamt, is over Jelinek zelf weinig terug te vinden, behalve dat ze vroeger carrière maakte bij de politie. Ze is niet aanwezig op sociale media, er bestaat geen Wikipedia-pagina over haar, en zelfs haar persoonlijke pagina op de website van de Europese Commissie is, op haar naam na, leeg. Ook tegenover de pers is ze eerder gesloten. Toen ze gisteren een persconferentie moest inleiden, sprak ze minder dan een minuut, en alle vragen van journalisten werden erg bondig beantwoord.

Voor Jelinek hoeft het vooral niet over haar persoon te gaan, nu het onderwerp waar ze al jaren mee bezig is eindelijk ‘sexy’ is. ‘Dat was het vroeger niet, maar de tijden zijn veranderd’, zei ze gisteren. ‘Vroeger stond privacy niet op de agenda van de CEO. Nu er boetes in de lucht hangen, is het thema wel CEO level.’

Lees verder

Advertentie
Advertentie

Tijd Connect