Skip to content

Compliance is geen rem, maar een versneller

Een interview met Magali Feys, experte in gegevensbescherming en voorzitster van Athumi’s adviescomité

Wie, zoals Athumi, bedrijven en overheden samenbrengt om data te delen in ecosystemen, moet vanzelfsprekend aandacht hebben voor privacy, veiligheid en compliance. Die thema’s hebben jammer genoeg een hardnekkige reputatie als innovatiekillers: ze zouden projecten vertragen en creativiteit in de kiem smoren. Maar dat is een vals dilemma. 

Wetgeving en innovatie hoeven helemaal geen tegenpolen te zijn. Integendeel. En omdat Magali Feys de persoon bij uitstek is om dat misverstand te helpen doorprikken, nodigden we haar uit voor een gesprek.

Magali is een Belgische advocate en oprichter van AContrario Law, een boetiekkantoor gespecialiseerd in intellectuele eigendom, informatietechnologie, gegevensbescherming, dataveiligheid en gezondheidsrecht. 

Ze ondersteunt zowel startups als grote privé- en overheidsorganisaties met strategisch juridisch advies, doceert aan de Universiteit Gent en werkt actief mee aan regelgeving rond datadeling, onder andere in de gezondheidssector. Als één van de meest geraadpleegde juridische data-experts (onder andere in de media) staat zij niet voor niets aan het hoofd van het adviescomité van Athumi, dat toeziet op de bescherming van persoonsgegevens binnen al onze projecten.

Een kwaliteitslabel dat vertrouwen schept

Bij ons gesprek met Magali vielen we meteen met de deur in huis en vroegen haar naar de rol van Athumi’s adviescomité. 

Wij werken als een kwaliteitslabel”, vertelde ze. “Drie experten kijken elk data-project na op privacy en informatieveiligheid. Dat wekt vertrouwen op. Bij de burger, wiens data gedeeld en gebruikt wordt, maar ook natuurlijk tussen de verschillende spelers van een data-ecosysteem. 

Sommigen durven weleens te beweren dat burgers helemaal niet van wakker liggen van privacy. Je kan daarover debatteren, maar het is wel zo dat privacy vooral ook iets is wat stilzwijgend verondersteld wordt. Ik vergelijk dat altijd met de competenties van hartchirurgen: niemand vraagt vooraf om hun diploma te zien. Je gaat er simpelweg van uit dat ze weten wat ze doen. 

"Mensen verwachten dat hun data veilig en correct wordt behandeld, zonder dat ze dat expliciet hoeven af te dwingen. Daarom is Athumi’s rol als trusted third party zo belangrijk."
Magali Feys

Magali Feys

Experte in gegevensbescherming en Voorzitster van Athumi’s Adviescomité

Net zo verwachten mensen dat hun data veilig en correct wordt behandeld, zonder dat ze dat expliciet hoeven af te dwingen. Daarom is Athumi’s rol als trusted third party zo belangrijk bij het faciliteren van data ecosystemen.

Compliance als onderdeel van de datastrategie 

Tijdens het gesprek waarschuwde Magali ook voor een veelgemaakte strategische fout: compliance, GDPR en informatieveiligheid beschouwen als een last-minute verplichting, iets wat men er ad hoc en met tegenzin “nog even bij” doet. “Bedrijven die dataprojecten of ecosystemen opzetten, moeten eerst hun datastromen grondig analyseren en in kaart brengen”, legt ze uit. Wat hebben ze vandaag, waar willen ze over één jaar staan, en hoe ziet dat er bijvoorbeeld uit op langere termijn? Ze moeten kunnen dromen en daarop anticiperen: “Als we binnen 2 of 3 jaar een bepaald project willen doen, hoe kunnen we dat nu al zoveel mogelijk integreren in onze contracten, in onze privacyverklaringen en alles wat daaraan gerelateerd is. Het is niet dat je eerst alles moet opstellen en dan nadenken “Ok, hoe kunnen we dit nu compliant maken?” Nee, je moet daar liefst zo veel mogelijk van bij het begin mee bezig zijn. Ik noem dat “data protection by design”. 

Zo moeten bedrijven zoveel mogelijk bij de aanvang van data-projecten de meer technische profielen zoals bijvoorbeeld data scientists laten samenwerken met hun compliance medewerkers en gespecialiseerde juristen. Je moet die zaken zeker niet enkel overlaten aan hypergespecialiseerde silo’s. ”

“Als je voldoende vooruitdenkt, verloopt alles op compliance-vlak namelijk gewoon veel vlotter.”, vervolgde ze. “Op het eerste gezicht zou men kunnen denken, “ja, maar dat vertraagt alles”, maar op lange termijn zal je daar veel miserie, en dus ja, ook tijdverlies, mee vermijden. Soms moet je misschien iets meer tijd spenderen in het begin om alles goed te krijgen zodat je later niet continu het gevoel hebt achter de feiten te lopen. Een voorbeeld is dat als je al je data in 1 enkele silo steekt, dat achteraf heel moeilijk op te splitsen is. Terwijl, als je bij de aanvang vanuit je strategie beslist om met twee silo's te werken – bijvoorbeeld 1 voor R&D data en een voor echte operationele data – je dergelijke problemen vermijdt. Ook daar is Athumi’s adviescomité een nuttig vehikel voor, dat je noopt om na te denken over belangrijke punten voor het veel ingewikkelder wordt om die nog goed te krijgen.”

Compliance als ROI en motor voor innovatie

Magali weerlegde ook de vaak aangehaalde mythe dat ethische, juridische en technische veiligheid - zaken die Athumi’s adviescomité onder de loep houdt - innovatie zouden belemmeren en haalde daarbij het verhaal van Google Home (nu Google Nest) aan. Vroeger nam het apparaat ongevraagd volledige gesprekken op nadat het geactiveerd werd, wat uiteraard tot privacy-vragen leidde. 

De tech-gigant verdedigde zich destijds door te stellen dat deze opnames nodig waren om hun AI te trainen. Volgens Magali klopte die uitleg echter niet helemaal. Google Home gebruikte destijds een commando-algoritme, bedoeld voor korte opdrachten zoals "speel muziek" of "wat is het weer?". Dat wou zeggen dat het op zich geen volledige gesprekken nodig had om getraind te worden. En dus dat het andere algoritmes aan het trainen was, met toepassingen voor bijvoorbeeld call centers. 

"Ik werkte toen ook met cliënten die zelf AI-systemen ontwikkelden," vertelde ze. "Zij pakten dit helemaal anders aan: ze filterden enkel de relevante geluidsfragmenten op het toestel zelf, zodat alleen korte, nuttige stukjes werden gebruikt. Dat zorgde niet alleen voor snellere en nauwkeurigere AI-training, maar ook voor een veel kleinere privacy-impact. Net door wél rekening te houden met privacy, werden hun systemen dus beter én sneller.” 

Een ander sterk voorbeeld van Magali komt uit de Covid-pandemie, toen camera’s werden ontwikkeld die bewust privacy-by-design toepasten. In plaats van gewone videobeelden gebruikten ze een slimme contourweergave: perfect bruikbaar om te tellen hoeveel mensen aanwezig waren, maar zonder dat iemand 1 op 1 herkend kon worden. Dat op zich was al innovatief, maar het ging verder. 

Omdat er veel minder data verwerkt en opgeslagen werd, daalde ook het verbruik van serverruimte aanzienlijk. Zo kreeg je een oplossing die niet alleen privacyvriendelijk was, maar ook nog eens energiezuiniger én dus ecologischer. Innovatie op drie fronten, juist dankzij de aandacht voor privacy, niet ondanks.”

Onze CEO, Björn De Vidts, vergelijkt het vaak met een paradox: beperkingen en grenzen - zoals privacywetgeving of zelfs protectionistische handelsmaatregelen - lijken op het eerste gezicht afremmend te werken, maar wakkeren vaak net de creativiteit aan. Ze dwingen namelijk tot slimme oplossingen en leiden regelmatig tot meer innovatie. 

Kijk bijvoorbeeld naar Deepseek, dat begin dit jaar plots in de schijnwerpers kwam met een indrukwekkend groot taalmodel (LLM), vergelijkbaar met dat van OpenAI, Anthropic of Google. Maar in tegenstelling tot die giganten slaagde Deepseek erin zijn model veel goedkoper, efficiënter én met minder energieverbruik - net door het gebrek aan toegang tot high-level Amerikaanse chips - te trainen, zonder in te boeten op kwaliteit. Slim omgaan met beperkingen kan dus net als katalysator voor vooruitgang werken.

Magali vulde haar betoog ook aan met de case dat innovatie zonder veiligheid of privacy eigenlijk geen echte innovatie genoemd kan worden. “Stel, je brengt als startup een fantastische nieuwe pacemaker op de markt, maar die kan heel makkelijk gehackt en uitgezet worden. Dan kan je zoiets toch niet écht innovatief noemen?”

Ze vulde ook aan dat compliance niet enkel innovatie in de hand kan werken, maar ook effectief kan zorgen voor een echte ROI: “Neem bijvoorbeeld op vlak van veiligheid: wanneer je als bedrijf je zaken op orde hebt en bijvoorbeeld ISO 27000-gecertificeerd bent, verloopt het hele proces om nieuwe klanten of projecten binnen te halen, zelfs al bij de salesfunnel, veel vlotter. Je komt sneller binnen bij bedrijven die zelf ook die standaarden hanteren.”

Wetten opstellen zoals een startup

Magali kijkt op een verrassend frisse manier naar wetgeving, opvallend vergelijkbaar met hoe startups werken. “Een veelbelovend startup-idee overleeft zelden ongeschonden de fase van Proof of Concept. En dat is oké. Zo werkt innovatie: je probeert, leert bij en stuurt bij. Voor wetgeving zou een even adaptieve aanpak waardevol zijn. 

Toch verwachten mensen vaak dat een wet vanaf dag één alle situaties perfect afdekt. Maar zelfs de meest doordachte regelgeving botst op onvoorziene praktijksituaties. Een veel zinvollere aanpak zou zijn om bij elke wet een evaluatiemoment in te bouwen na een jaar of twee: welke effecten zien we, waar zijn aanpassingen nodig, welke jurisprudentie is ontstaan en welke interpretaties hebben rechters moeten maken om lacunes op te vullen? 

Die rechtspraak is cruciaal - zij toont immers waar de wet in de praktijk tekortschiet of onduidelijk is. In de tussentijd kan een adviescomité zoals dat van Athumi helpen om de geest van de wet te bewaken terwijl we uit eerste uitspraken en praktijkervaringen leren hoe die wet het best kan worden verfijnd.”

“Bovenal moeten we ook erkennen hoeveel geluk we hebben dat we leven in een werelddeel waar ethische, juridische en technologische veiligheid wél prioriteit krijgen,” besloot Magali. “Hier vertrekken we vanuit fundamentele rechten en principes. In de VS daarentegen werkt men met privileges, en die kunnen bij een politieke ommezwaai zomaar worden ingetrokken, zoals we nu zien gebeuren. 

Dat besef alleen al moet ons aansporen om onze waarden te koesteren én te verdedigen, elke dag opnieuw.”