Voor een werknemer is het belangrijk dat de werkgever vertrouwelijk omgaat met persoonsgegevens. Een verkeerde omgang met persoonsgegevens kan een organisatie een boete opleveren tot maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet van de organisatie. De OR beschermt de belangen van zowel werknemers als de organisatie bij het vormgeven van het AVG-beleid.
Een bestuurder moet voldoen aan de wettelijke regels van de Algemene verordening gegevensbescherming (AVG) die 25 mei 2018 in werking treedt. Dat betekent dat hij belangrijke beslissingen moet maken over de vormgeving van het privacybeleid in zijn organisatie. Hij mag beleid niet zomaar wijzigingen of invoeren: de OR heeft volgens artikel 27 lid 1k van de Wet op de ondernemingsraden (WOR) instemmingsrecht (tools). Als de OR vroeg in het proces is betrokken, kan de raad meer invloed uitoefenen op de manier waarop de bestuurder zijn verplichtingen vorm gaat geven. Daarbij weegt de OR de belangen af van de werknemers én van de organisatie. Vroege betrokkenheid van de raad vergroot de kans op uiteindelijke instemming van de OR.
Een nieuwe verplichting in de AVG (tools) is dat een bestuurder een gegevensbeschermingsbeleid moet opstellen. Hij moet verantwoording kunnen afleggen aan de hand van documentatie waaruit blijkt waarom en hoe hij bepaalde beslissingen heeft genomen over het verwerken van persoonsgegevens. Het gaat hierbij onder andere over beslissingen over welke gegevens in de organisatie worden verwerkt, voor welke duur en waarom. Deze documentatie moet een bestuurder organiseren in de vorm van een zogeheten register van verwerkingsactiviteiten. De OR moet instemmen met de manier waarop de bestuurder dit beleid vormgeeft.
Lees meer over dit onderwerp in OR Rendement 03-2018 op pagina 9 en 10. Abonnees van OR Rendement ontvangen dit nummer dinsdag 13 maart per post.