Het eerste wat opvalt aan Lean Privacy is de omvang. Behoorlijk ‘lean’, nog geen 100 pagina’s. Dat is knap, want er is heel veel te zeggen en schrijven over de AVG. In zo’n compact boekje vind je bovendien snel de onderwerpen die jou aangaan.
Het tweede wat opvalt is dat er, ondanks de omvang, toch plaats is voor veel praktische uitleg, en aansprekende voorbeelden. Zoals de Duitse woningcorporatie die maar liefst 14 miljoen euro boete kreeg voor het vastleggen van veel te veel gegevens van haar huurders, die ze bovendien niet kon verwijderen. Dat houdt je bij de les!
Het boekje begint met een korte uitleg van de inhoud van de AVG en de daarin gebruikte terminologie. Daarna wordt ingegaan op de processen van het verwerken van persoonsgegevens, en hoe Lean, gericht op de verbetering van processen, daarbij van pas kan komen. De kern is: het voorkomen van verspilling, in geld, in tijd, in aandacht. Niet alleen van de organisatie die de persoonsgegevens verwerkt, maar juist ook van de klant, die eigenaar is van de persoonsgegevens. Ben jij als lezer toevallig Functionaris Gegevensbescherming, dan zijn de interne medewerkers óók jouw klanten.
Met de externe klant zijn er qua privacy 3 contactmomenten: 1. Als hij een beroep doet op zijn rechten, bijvoorbeeld het recht van inzage; 2. Bij het gebruik van de grondslagen Toestemming en Gerechtvaardigd belang; en 3. Met het privacyreglement. Dat klinkt als bijzaken naast de commerciële relatie, maar Mookhoek weet goed te beschrijven hoe je je klant met deze hygiëne-factoren op de kast kunt krijgen, zodanig dat hij misschien zelfs stopt met klant zijn.
Weer geeft hij een mooi voorbeeld, nu van een klant die zich wil uitschrijven bij een nieuwsbrief… van zijn bank. Daar moest hij bijna een dag vrij voor nemen: 1. Inloggen in Internet bankieren; 2. Naar Instellingen; 3. Naar Persoonlijk; 4. Naar Persoonlijke Gegevens; 5. Naar Gegevens aanpassen; 6. Aanklikken wat je niet meer wilt ontvangen; 7. Verzenden; 8. Bevestigen met code of vingerafdruk. Nee, hier zou ik als klant ook niet vrolijk van worden, en het roept de sfeer op van een uiterst bureaucratisch, niet service-georiënteerd bedrijf. Dat is niet wat je wilt.
Vervolgens gaan we de diepte in met het in kaart brengen van de Data en de Data-verwerkende processen binnen het bedrijf. Daarna worden de verspillingen verder uitgewerkt op het gebied van privacy. Heel prettig is dat wordt benoemd wat allemaal níét hoeft van de AVG. Met de ‘Gemba walk’, de '5x why?' en andere tools zoek je naar verbetering. Dit onderdeel heeft een voorbeeld van een werkproces dat duidelijk overbodig is, maar nog steeds wordt gedaan omdat niemand meer precies weet waarom het is gestart. Hééél herkenbaar. Ook komen in dit deel de Impact Assessment en bewustwording van medewerkers aan de orde. Prima te volgen, ook als je geen achtergrond in Lean hebt. Veel is eigenlijk gewoon common sense.
Bijzonder handig is het hoofdstuk over foto’s en cameratoezicht, en de ‘journalistieke uitzondering’. Het boekje sluit af met tips voor cookies en Google Analytics instellingen en dergelijke praktische zaken.
De auteur is duidelijk ervaren op dit gebied en laat dit (te) regelmatig merken. Dat wekt bij mij dan wat irritatie op, maar gelukkig wordt het geen reclamefolder. De eigen ervaringen zijn wel heel prettig als voorbeelden hoe een en ander kan worden geïmplementeerd. De doelgroep lijkt de Functionarissen Gegevensbescherming te zijn, maar ook éénpitters of kleine organisaties hebben veel aan de aanpak en de tips die worden beschreven, juist omdat die dubbel wars zijn van overbodig werk en uitgebreide vastleggingen.
Lean privacy van Nico Mookhoek is een leesbaar, overzichtelijk geheel, en voor zover ik kan beoordelen, compleet qua risicogebieden en veelgemaakte fouten. Knap dat Mookhoek zijn expertise in Lean zo goed heeft gebruikt voor het schrijven van het ‘dunst mogelijke boek’ en ook de externe klant niet uit het oog verliest.
En ja, mijn klanten schrijven zich in maar één stap uit voor mijn nieuwsbrief. Maar dat doen ze niet…
Over Elly Stroo Cloeck
Elly Stroo Cloeck is project- en interim-manager op het gebied van Finance, Internal Audit en Risk Management. Daarnaast schrijft ze recensies en samenvattingen van managementboeken.