In aanloop naar het Risk & Compliance Jaarcongres 2025 sprak Risk & Compliance Platform Europe met Marie-José Hoefmans, medeoprichter van Schluss. Tijdens het congres zal zij ingaan op een thema dat steeds relevanter wordt voor organisaties: hoe ga je op een verantwoorde manier om met persoonsgegevens, terwijl je toch aan je wettelijke verplichtingen voldoet?
Schluss ontwikkelt technologie voor digitale kluizen waarin mensen hun persoonsgegevens zelf beheren. De organisatie won onlangs de internationale MyDataGlobal Award voor hun bijdrage aan datasoevereiniteit. Het uitgangspunt: alleen het individu bepaalt wie zijn of haar gegevens mag inzien, en met welk doel.
“We zijn de grip op onze gegevens kwijtgeraakt,” zegt Hoefmans. “Dat heeft gevolgen voor burgers, maar ook voor organisaties. Met de juiste infrastructuur kunnen we het anders organiseren.”
Van versnippering naar overzicht
Veel organisaties hebben volgens Hoefmans te maken met een gefragmenteerd datalandschap. Gegevens staan verspreid over meerdere systemen, en het is vaak onduidelijk wie toegang heeft. Dit maakt het lastig om aan privacyregels te voldoen en brengt risico’s met zich mee.
De technologie van Schluss draait het model om: data blijven in een persoonlijke kluis, beheerd door de gebruiker. Organisaties krijgen alleen tijdelijke, doelgerichte inzage.
“Dat scheelt risico’s én opslag,” aldus Hoefmans. “Organisaties hoeven gevoelige gegevens niet meer zelf op te slaan om aan bijvoorbeeld wetgeving te kunnen voldoen.”
Compliance-by-design
Het model sluit aan bij het principe van compliance-by-design: privacy is vanaf het begin ingebouwd in het systeem. Daardoor verschuift een deel van de verantwoordelijkheid van de organisatie naar het individu. Voor beide partijen levert dat meer overzicht en duidelijkheid op.
“Als iemand toestemming geeft voor inzage, is dat juridisch geregeld,” legt Hoefmans uit. “En degene om wie het gaat houdt zelf zicht op wie wat heeft ingezien.”
AVG en Wwft in balans
De balans tussen privacy (AVG) en verplicht klantonderzoek (Wwft) is volgens Hoefmans een goed voorbeeld van waar het schuurt. Banken verzamelen momenteel veel gevoelige gegevens die ze zelf moeten beheren en beveiligen.
“Als die informatie bij de klant blijft en de bank alleen een controle doet, dan is dat veiliger,” zegt Hoefmans. “Je voldoet nog steeds aan de wet, maar je verlaagt de risico’s.”
Van ‘Mijn-omgevingen’ naar datasoevereiniteit
Veel organisaties bieden nu zogeheten ‘Mijn-omgevingen’ aan waarin gegevens van klanten worden opgeslagen. Volgens Hoefmans is dat niet toekomstbestendig. In plaats van steeds meer gegevens te verzamelen, zouden organisaties toegang moeten vragen tot wat nodig is – op het moment dat het nodig is.
“Geen kopieën, maar toegang op verzoek,” stelt ze. “Dat sluit ook beter aan bij de Europese beweging richting digitale autonomie.”
De stip aan de horizon
Schluss werkt toe naar een model waarin mensen één originele set persoonsgegevens beheren, veilig opgeslagen onder persoonlijk beheer. Organisaties krijgen toegang zonder eigenaar van de data te worden.
“Het is een eenvoudiger en veiliger model,” zegt Hoefmans. “En het is haalbaar – mits we bereid zijn om anders te denken over data.”
