Wat is de rol van de OR bij introductie van de AVG?

Publicatiedatum: 11/06/2018
Tags: Medezeggenschap - Wetgeving

Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Met inwerkingtreding van de AVG is de Wet Bescherming Persoonsgegevens (Wbp) komen te vervallen.
De ondernemingsraad wordt in de AVG niet genoemd, maar de OR kan wel degelijk een belangrijke positie bekleden bij de introductie en naleving van de AVG.

Het systeem van de AVG

De AVG is van toepassing op ‘verwerking’ van ‘persoonsgegevens’. Onder ‘verwerking’ wordt alles verstaan wat je met persoonsgegevens kunt doen, zoals opslaan, doorzenden, raadplegen enzovoort. Een ‘persoonsgegeven’ is een gegeven dat een natuurlijk persoon identificeert. Denk aan een naam of emailadres, maar ook aan beelden van een bewakingscamera.

Voor de verwerking van persoonsgegevens dient de verwerkingsverantwoordelijke (de organisatie die het doel en de middelen van de gegevensverwerking vaststelt) zich te houden aan een aantal basisbeginselen. Zo dient de gegevensverwerking rechtmatig, behoorlijk en transparant plaats te vinden. Ook mag de verwerking alleen plaatsvinden voor een vooraf omschreven doel.

Het bankrekeningnummer van de werknemer

In het kader van de uitvoering van de arbeidsovereenkomst zal een werkgever bijvoorbeeld het bankrekeningnummer van de werknemer in zijn administratie opslaan, met als doel het loon te betalen. Daarbij geldt dat gegevens vervolgens niet mogen worden verwerkt voor een ander doel dan het doel waarvoor ze zijn verstrekt.

Als er bijvoorbeeld camera’s op de werkvloer hangen om diefstal te voorkomen, mag een werkgever deze beelden niet gebruiken om een werknemer op zijn (dis)functioneren aan te spreken.

Bovendien dient de verwerkingsverantwoordelijke te zorgen voor dataminimalisatie en opslagbeperking. Dit betekent dat zo min mogelijk data moeten worden verwerkt, en dat altijd de minst inbreuk makende optie moet worden gekozen.

Tot slot zal de verwerkingsverantwoordelijke zich ervan moeten vergewissen dat de gegevens juist zijn. Wanneer een werkgever informatie van internet haalt, mag hij er niet automatisch vanuit gaan dat dit juist is.

Verwerkingsgrondslagen

Los van deze basisbeginselen, zal de verwerkingsverantwoordelijke een verwerkingsgrondslag moeten hebben om persoonsgegevens te verwerken. Eén van deze grondslagen is de toestemming van de betrokkene.

Toestemming moet in vrijheid worden gegeven, hetgeen in het kader van de arbeidsrelatie onder druk staat. Want hoe vrij is een werknemer? Hij staat in een afhankelijke relatie tot zijn werkgever en is wellicht bang dat het consequenties heeft wanneer bepaalde gegevens niet worden verstrekt. Met het toestemmingsvereiste dient daarom zeer terughoudend te worden omgegaan in de arbeidsrelatie.

Uitvoering van de arbeidsovereenkomst

Een andere verwerkingsgrondslag betreft de uitvoering van de (arbeids-)overeenkomst. Wanneer de verwerking van persoonsgegevens in verband staat met het bestaan van de arbeidsovereenkomst, is verwerking toegestaan. Denk bijvoorbeeld aan de registratie van de geboortedatum voor het bepalen van de pensioengerechtigde leeftijd.

Een laatste verwerkingsgrondslag betreft de belangenafweging. Wanneer het gerechtvaardigd belang van de werkgever bij verwerking van de persoonsgegevens zwaarder weegt dan het privacybelang van de werknemer, is verwerking toegestaan.

Een trackingsysteem in de bedrijfsauto

Een voorbeeld. Indien een werkgever een trackingsysteem plaatst in de bedrijfsauto van werknemers, met het doel bij een oproep van een klant de dichtstbijzijnde werknemer naar de klant te kunnen sturen, dan zal de belangenafweging waarschijnlijk in het voordeel van de werkgever uitvallen. Dit is mogelijk anders wanneer de werkgever met dit trackingssysteem wil controleren of werknemers niet te lang pauze houden. Elke belangenafweging zal anders zijn en afhangen van alle omstandigheden.

De basisbeginselen en verwerkingsgrondslagen vormen de kern van de gegevensverwerking. Dit is echter niet nieuw. We kennen dit systeem ook al onder de huidige regelgeving.

Nieuwe rechten en plichten

Wat brengt de AVG dan wel voor nieuwe rechten en plichten met zich mee? Allereerst krijgen betrokkenen (degenen van wie de persoonsgegevens worden verwerkt) meer rechten. De huidige rechten blijven bestaan, zoals het recht op inzage/kopie, het recht op rectificatie, het recht op beperking van de verwerking, het recht van bezwaar en het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming.

Daarbovenop komen het recht om ‘vergeten’ te worden en het recht op overdraagbaarheid van gegevens (dataportabiliteit: de gegevens van de ene naar de andere partij kunnen overzetten).

Plichten

De AVG legt de verwerkingsverantwoordelijke ook meer verplichtingen op. Sommige organisaties zijn verplicht een functionaris voor de gegevensbescherming te benoemen. Deze houdt (kortgezegd) toezicht op de naleving van de AVG en geeft intern advies.

Overheidsinstanties, organisaties die regelmatig en stelselmatig observeren en organisaties die bijzondere persoonsgegevens (gegevens omtrent ras, gezondheid enz.) en/of gegevens omtrent strafrechtelijke veroordelingen verwerken, zijn verplicht om deze functionaris te benoemen. Andere organisaties kunnen hier vrijwillig voor kiezen.

Passende maatregelen nemen

Daarnaast dient een verwerkingsverantwoordelijke passende technische en organisatorische maatregelen te nemen om ervoor te zorgen dat de gegevens goed beveiligd worden. Belangrijke begrippen hierbij zijn ‘Privacy by design’ (bij het ontwerpen van producten en diensten moet je ervoor zorgen dat persoonsgegevens goed worden beschermd) en ‘Privacy by default’ (de technische en organisatorische maatregelen moeten ervoor zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel).

Privacy-waakhond

Andere wijzigingen vinden plaats in de bevoegdheden van de Autoriteit Persoonsgegevens (AP), de privacy-waakhond in Nederland. De AP krijgt veel meer instrumenten, zoals het geven van een waarschuwing of berisping, het openbaar maken van een onderzoeksrapport of het opleggen van een dwangsom. Daarnaast kan de AP boetes opleggen die maximaal €20 miljoen of 5 procent van de wereldwijde omzet bedragen.

En de ondernemingsraad?

Bij de OR vinden we in de AVG niet terug. Dat neemt echter niet weg dat de OR wel degelijk een belangrijke positie kan bekleden bij de introductie en naleving van de AVG.

Op zichzelf is de invoering van de AVG niet advies- of instemmingsplichtig voor de OR. Privacy speelt echter wel door veel onderwerpen heen. In het kader van het adviesrecht is een bestuurder verplicht om opgave te doen van de personele gevolgen en de opvang hiervan.

De OR dient alert te zijn of de gevolgen van een besluit ook de privacy van werknemers raken. Ook heeft de OR een adviesrecht over een voorgenomen besluit tot invoering of wijziging van een belangrijke technologische voorziening. Vraag je als OR hierbij af of er privacyaspecten aan dit besluit vastzitten en neem dit mee in het advies.

Om instemming gevraagd worden

Daarnaast dient de ondernemingsraad om instemming gevraagd te worden, indien er sprake is van een besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van persoonsgegevens van de in de onderneming werkzame personen.

Denk dan aan vastleggen van gegevens (in een (privacy)reglement) omtrent ziekteverzuim, salarisadministratie of de beoordelingscyclus. Ook is instemming van de OR vereist als het gaat om een regeling inzake voorzieningen gericht op, of geschikt voor, waarneming van of controle op aanwezigheid, gedrag of prestaties van de werknemers.

Denk dan aan een camerasysteem of toegangspoortjes, maar ook aan een softwarepakket voor monitoring van internetgebruik. Niet van belang is of werknemers ermee gecontroleerd worden, maar of dit met de voorziening mogelijk is.

Vraag je als OR af welke gegevens er worden verwerkt, wie er toegang tot de gegevens heeft en hoelang de gegevens worden bewaard. Maar houd ook in de gaten of de beveiliging op orde is en waar de gegevens worden opgeslagen.

Vergeet niet het overlegrecht, informatierecht en initiatiefrecht

Vergeet ook niet het overlegrecht, informatierecht en initiatiefrecht te gebruiken. Komt de bestuurder niet met eigen plannen om de bedrijfsvoering in lijn te brengen met de AVG? Zet het onderwerp dan op de agenda. Op deze wijze kan de OR een belangrijke bijdrage leveren aan het ‘privacy-proof’ worden (en blijven) van de organisatie.

OR privacy checklist

Een snelle check voor de or of de privacy binnen de organisatie op orde is kun je vinden op de site van de Autoriteit Persoonsgegevens:

Privacy checklist voor de ondernemingsraad.

Actuele berichten