In mijn praktijk zie ik nog veel geworstel met de AVG. Wat mag wel, wat weer niet? Ben ik verwerker of verwerkersverantwoordelijke? Mag ik mijn klanten nog wel mailen? Wat mag ik wel of niet met foto's?
Mijn belangrijkste tip is: vergeet de AVG even en neem de werkprocessen als uitgangspunt, ga die begrijpen en analyseren. Leanmanagement is daar een bewezen methode voor. Voor de privacypraktijk biedt deze methode een aantal handige tools, die ik zelf veel in mijn werk gebruik.
Lean is kort na WO II in de Toyota fabrieken ontwikkeld en heeft zich door de jaren heen geëvolueerd tot wat we vandaag de dag kennen als agile werken. De essentie is dat het werkproces stap voor stap in kaart wordt gebracht. Bij elke stap wordt vervolgens gekeken of deze klantwaarde toevoegt of niet. De processtappen die geen klantwaarde toevoegen zijn een verspilling en worden veranderd in een stap die klantwaarde toevoegt, of als dat niet kan worden deze uit het proces gehaald. Dit heet Value Stream Mapping (VSM).
Als je deze manier van werken toepast voor de processen waarbij persoonsgegevens worden verwerkt, dan haal je onnodige verwerkingen uit het proces. Je verkleint daarmee de risico's op bijvoorbeeld een datalek. Bovendien krijg je meer grip op de persoonsgegevens in je organisatie dan het statische Register Gegevensverwerking. Door een Data Stream Map te maken breng je de flow van persoonsgegevens door de organisatie in kaart. Het Register Gegevensverwerking is daarbij een goed startpunt. Als je daarbij dezelfde aanpak hanteert als voor het maken van een Value Stream Map, vergroot je ook het draagvlak en het bewustzijn over persoonsgegevens bij medewerkers.
De verspillingen worden in 8 typen gecategoriseerd. Die typen zijn in meer of mindere mate relevant voor de privacypraktijk. Door de verspillingen te elimineren draag je vanuit privacy niet alleen bij aan het innoveren van de werkprocessen maar je zult ook zien dat een verspilling zich vaak vertaalt in een risico voor de persoonsgegevens. Een voorbeeld dat ik regelmatig tegenkom is dat persoonsgegevens van het ene systeem in het andere systeem worden over getypt. Of van papier in een databank worden opgenomen. Daarbij worden de persoonsgegevens op papier ook nog eens gearchiveerd. Niet alleen processtappen die geen waarde voor de klant opleveren, maar die ook nog eens een extra risico voor de persoonsgegevens met zich meebrengen.
Klantwaarde is in elke processtap leidend en dat zou het ook bij privacy moeten zijn. Het privacy bewustzijn van klanten, of (in AVG termen) de betrokkenen is sinds de invoering hiervan enorm toegenomen. Een kans voor de privacyverantwoordelijke om vanuit die discipline een bijdrage te leveren aan klantwaarde. Bijvoorbeeld door op voorhand goede processen te hebben ontwikkeld voor het geval een betrokkene een beroep doet op zijn rechten.
Maar zie ook de collega's die in de organisatie persoonsgegevens verwerken als klant. Welke waarde voeg je als privacyprofessionals voor hen toe? Hoe ondersteun je hen in het goed verwerken van de persoonsgegevens?
Ben jij de privacyprofessional die met de AVG in de hand roept dat ‘dat mag niet mee of ben jij degene die vanuit jouw professie bijdraagt aan het efficiënt verwerken van persoonsgegevens, waarbij de AVG een steuntje in je rug is?
Nico Mookhoek is privacy jurist en DPO. Hij is oprichter van DePrivacyGuru en de auteur van Lean Privacy.
