Voor de leesbaarheid zal ik eerst samenvatten wat AVG en New Public Management inhoudt. Daarna zal ik duidelijk maken waarom ik denk dat deze managementbenadering invloed kan hebben op de voorbereiding van publieke organisaties op de AVG.

Alle organisaties binnen de EU moeten per 25 mei 2018 voldoen aan de AVG (GDPR) wetgeving. Dit houdt in dat er strengere normen worden gehanteerd als het gaat om het gebruik, de verwerking en het beheer van persoonsgegevens. Het doel van deze wetgeving is om consumenten te beschermen en duidelijke richtlijnen te scheppen voor organisaties over het waarborgen van deze bescherming van persoonsgegevens. Veel organisaties zijn nog aan het zoeken hoe ze hun processen en procedures zodanig kunnen inrichten dat er wordt voldaan aan deze wet. Organisaties moeten immers aan kunnen tonen dat ze verantwoord met persoonsgegevens omgaan. Bovendien hebben burgers het recht om te vragen ‘vergeten’ te worden of om persoonsgegevens over te dragen en hier zullen organisaties ook in moeten voorzien.
 

De betekenis van New Public Management

New Public Management (NPM) is een term die opkwam in de jaren ‘80. Deze term beschrijft de trend om managementtechnieken uit de private sector toe te passen op publieke organisaties. Want in die tijd ervoeren de burgers een grote kloof tussen publieke en private sector ten aanzien van doelmatigheid en efficiëntie. Te veel bureaucratie belemmerde een doeltreffende overheid, waardoor tevredenheid van burgers over de dienstverlening van hun overheid afnam. Volgens NPM zou de publieke sector een stuk beter gaan presteren wanneer managementtechnieken uit de private sector gebruikt zouden worden. Gemeenten zouden bijvoorbeeld meer in termen van ‘klanten’ en ‘producten’ moeten gaan denken waar het burgers en gemeentelijke dienstverlening betreft. Dit zou moeten leiden tot meer doelmatig, doeltreffend en zuinig werken binnen gemeenten, provincies en ministeries.
 

De keerzijde van New Public Management

Na zoveel jaren NPM worden er ook kritische geluiden waargenomen over de toepassing van bedrijfsmatig werken binnen de publieke sector. Zowel de kenmerken van de publieke sector als het te ver doorschieten in zakelijk denken leiden tot herbezinning over de toepassing van private managementprincipes. Zo is de relatie tussen gemeenten en burgers niet vergelijkbaar met de klantgestuurde markt voor een bedrijf. Ook zorgt de blijvende aanwezigheid van verhoudingsgewijs veel hiërarchische lagen binnen diezelfde gemeenten voor veel meer interne stroperigheid. Daardoor ontstaat inefficiëntie en is er gewoon minder aandacht voor de uitvoering.

Een voorbeeld van een zaak waarbij men is doorgeschoten in zakelijk denken is de Ceteco-affaire, waarbij de provincie Zuid-Holland in het geheim voor ongeveer twee miljard gulden bankierde met als doel het maken van winst. Hoewel de provincie in het begin geld verdiende, leed zij vervolgens enorme verliezen door 47,5 miljoen gulden uit te lenen aan het noodlijdende handelshuis Ceteco, dat uiteindelijk failliet ging.
 

NPM en BPM

Ondanks bovengenoemde kanttekeningen is NPM ingekapseld in het managementdenken binnen de overheid. Met de beginselen achter NPM zijn wel degelijk verbeteringen bereikt in de werking van publieke organisaties. En er zijn nog steeds verbeteringen mee te behalen, zolang de toepassing ervan maar plaatsvindt met inachtneming van publieke waarden. Dus geen fixatie op kostenbeheersing en efficiency, maar wel aandacht voor deze factoren met behoud van legitimiteit en democratische aansprakelijkheid. Mogelijke verbetergebieden zijn proces- en risicomanagement. Een onderdeel van bedrijfsmatig werken is namelijk het grondig belichten en inrichten van de processen, het kritisch doorlichten van de effectiviteit ervan en het doelgericht toepassen van mensen, technieken en middelen. En het inschatten en beheersbaar maken van de bijhorende risico's plus continue monitoring hiervan.
 

Voldoen aan de AVG met NPM

Terug naar het voldoen aan de AVG: ik durf te stellen dat een juiste toepassing van NPM het voldoen aan deze wetgeving helpt te vereenvoudigen. Bijvoorbeeld door met de toepassing van procesmanagement en risicomanagement. Met procesmanagement kan worden bereikt dat de impact van deze wetgeving zichtbaar wordt. Processen in kaart hebben, levert inzicht en overzicht op in een operationeel procesmodel. Met dit overzicht is precies te zien op welke plekken in de organisatie de wetgeving op persoonsgegevens van toepassing is, op welke momenten welke persoonsgegevens gebruikt worden en op welke plek deze gegevens worden beheerd. Door inzicht in het proces is overzichtelijk op welke manier persoonsgegevens worden verzameld, hoe en door wie deze verwerkt worden en waar en tot wanneer deze worden opgeslagen. Hierdoor is het ook mogelijk risicomanagement toe te passen. Met de informatie die wordt gecreerd vanuit procesmanagement kunnen de risico’s worden geïdentificeerd. Daarmee kunnen vervolgens stappen worden ondernomen voor de beheersing en monitoring daarvan.

Kortom, het in kaart brengen van de processen en risico’s levert inzicht en overzicht op. Daarmee kunnen processen en wet en regelgeving aan elkaar worden gekoppeld. Het maakt overzichtelijk waar privacygevoelige gegevens gebruikt en bewaard worden. Met dit inzicht en overzicht kan er een fit-gap analyse worden uitgevoerd ten aanzien van de wijze waarop de omgang met persoonsgegevens op dit moment is ingeregeld en hoe dit ingeregeld zou moeten zijn om te voldoen aan de AVG. De te nemen stappen worden snel inzichtelijk en er kan doelmatig en doeltreffend worden opgetreden om het operationele model aan te passen.

Auteur: Rick van Dongen

Wilt u meer weten over hoe procesmanagement kan helpen bij het voldoen aan de AVG? Volg dan het webinar ‘In 5 stappen voldoen aan de AVG/GDPR’. Meld u aan voor het webinar ‘Mavim AVG/GDPR framework: aantoonbaar in control’.