VERDIEPINGSARTIKEL

OR waakt over privacy

Volgens de Algemene verordening persoonsgegevens (AVG) is uw bestuurder verplicht om zorgvuldig om te gaan met persoonsgegevens van werknemers en alle relaties met wie uw organisatie zaken doet. In de praktijk gaat dit helaas niet altijd goed. Privacy is daarom een belangrijk aandachtspunt voor iedere organisatie en voor de OR in het bijzonder. Uw OR heeft namelijk instemmingsrecht bij het privacybeleid en kan aan de bel trekken als uw bestuurder zich niet aan de regels houdt.


9 maart 2021 4 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online


Uw organisatie krijgt de beschikking over allerlei gegevens. Niet alleen van iedereen die voor uw organisatie werkt, ook van bijvoorbeeld klanten, bezoekers of leveranciers. Uw bestuurder moet zorgvuldig omgaan met deze privacygevoelige informatie. In het privacybeleid moet hij vastleggen hoe hij met deze gegevens omgaat: welke gegevens hij registreert en bewaart, met welk doel, voor hoelang en hoe hij de gegevens beschermt.

Privacybeleid in uw organisatie

Uw OR speelt een belangrijke rol bij het privacybeleid in uw organisatie. Uw OR heeft namelijk instemmingsrecht bij elke regeling die betrekking heeft op het verwerken en beschermen van de persoonsgegevens van alle in de onderneming werkzame personen (artikel 27, lid 1k WOR). Ook als uw bestuurder voorzieningen wil invoeren waarmee hij de aanwezigheid, het gedrag of de prestaties van de in de onderneming werkzame personen kan waarnemen of controleren, heeft hij uw instemming nodig (artikel 27, lid 1l WOR).

Als uw bestuurder nieuwe privacyregels wil invoeren of het bestaande beleid wil wijzigen of intrekken, moet hij dit dus altijd eerst voorleggen aan uw OR. Waar moet uw OR op letten als u een instemmingsverzoek krijgt van uw bestuurder?

Regels verwerking en opslag van persoonsgegevens

Er gelden strenge regels voor de verwerking en opslag van persoonsgegevens. Uw bestuurder:

  • moet aantonen dat hij over één van de zes grondslagen voor persoonsgegevensverwerking uit de AVG beschikt;
  • mag alleen strikt noodzakelijke informatie registreren of verwerken.
  • moet werknemers informeren over de verwerking van hun gegevens en het doel ervan.
  • moet persoonsgegevens goed beveiligen.
  • mag persoonsgegevens niet langer bewaren dan noodzakelijk. Let op: Er gelden verschillende bewaartermijnen (verdiepingsartikel) voor verschillende soorten gegevens.

Autoriteit Persoonsgegevens deelt flinke boetes uit

Als uw organisatie de privacywetgeving overtreedt, kan de Autoriteit Persoonsgegevens (AP) uw organisatie sancties opleggen. Dit loopt uiteen van een waarschuwing of berisping tot een last onder dwangsom of boete. Die boetes zijn niet mals. Afhankelijk van de ernst van de overtreding kunnen de boetes oplopen tot maximaal € 20 miljoen (en als dat niet voldoende is: 4% van de wereldwijde jaaromzet).

 

In februari dit jaar legde de AP het Amsterdamse OLVG een boete op van € 440.000, omdat het ziekenhuis de patiëntendossiers niet goed had beveiligd. Hierdoor konden tussen 2018 en 2020 ook onbevoegde werknemers de patiëntendossiers inzien.

Toestemming

Eén van de zes grondslagen uit de AVG om persoonsgegevens te mogen verwerken is: toestemming. Als uw bestuurder niet kan aantonen dat een verwerking van persoonsgegevens op één van de andere vijf grondslagen strikt noodzakelijk is, kan hij de werknemer hiervoor toestemming vragen.

De werkgever moet kunnen aantonen dat de werknemer deze toestemming vrijelijk heeft gegeven. In de praktijk is van een vrijelijk gegeven toestemming in een arbeidsverhouding vrijwel nooit sprake. Dit komt omdat de werkgever een gezagsverhouding heeft met de werknemer. Daardoor kan de werknemer zich verplicht voelen om akkoord te geven.

Een werknemer moet bovendien de mogelijkheid hebben om zijn eerder verleende toestemming weer in te trekken. Daarnaast hebben werknemers het recht om te weten aan wie uw organisatie hun persoonsgegevens verstrekt. Uw bestuurder moet uw achterban daarover actief en duidelijk informeren, tenzij hij kan aantonen dat de werknemer al over deze informatie beschikt.

Verwerkersovereenkomst afsluiten

De kans is groot dat ook één of meer externe dienstverleners bepaalde persoonsgegevens van uw achterban opslaan of verwerken. Denk bijvoorbeeld aan de arbodienstverlener, de salarisadministratie of de aanbieder die de elektronische OR-verkiezingen faciliteert. Ook deze dienstverleners moeten aan de strenge AVG-vereisten voldoen. Uw bestuurder moet met deze dienstverlener een verwerkersovereenkomst afsluiten, waarin precies staat hoe hij de gegevens verwerkt en met welk doel. Vraag uw bestuurder om inzage in alle verwerkersovereenkomsten, zodat u kunt nagaan of deze aan alle voorschriften voldoen.

OR moet vinger aan de pols houden

De strenge AVG-regels zijn er natuurlijk niet voor niets. Misbruik van persoonsgegevens kan nu eenmaal ingrijpende nadelige gevolgen hebben voor de betrokken werknemer.

Uw OR doet er daarom goed aan om een vinger aan de pols te houden waar het gaat om het beschermen van de persoonsgegevens en de privacy van uw achterban. Wacht niet af tot uw bestuurder met een instemmingsverzoek bij uw OR aanklopt, maar stel u proactief op. Verdiep u in de privacywetgeving (zie autoriteitpersoonsgegevens.nl) en controleer of het privacybeleid aan alle eisen voldoet.

Verbeteringen via initiatiefrecht

Ziet u in het privacybeleid ruimte voor verbetering? Kaart dit dan aan bij uw bestuurder. U kunt het onderwerp op de agenda zetten voor de eerstvolgende overlegvergadering, maar het is wellicht beter om een concreet verbetervoorstel bij uw bestuurder in te dienen. Dankzij uw initiatiefrecht (artikel 23, lid 3 WOR) mag u uw bestuurder namelijk op ieder gewenst moment ongevraagd adviseren.

Uw OR kan bijvoorbeeld voorstellen om een functionaris voor de gegevensbescherming (FG) aan te stellen. Voor sommige organisaties, waaronder overheidsinstellingen en organisaties die op grote schaal persoonsgegevens verwerken, is een FG zelfs verplicht. De FG kan uw bestuurder bijstaan bij het opstellen en verbeteren van het privacybeleid.

Klacht

Dring er bij uw bestuurder ook op aan dat hij uw achterban goed informeert over regelingen en voorzieningen waarbij de privacy van werknemers in het geding kan komen, wat uw organisatie doet om een veilige opslag en verwerking van gegevens te garanderen en waar werknemers terechtkunnen als zij niet tevreden zijn over (de naleving van) het privacybeleid.

Werknemers kunnen hun klachten melden bij de Autoriteit Persoonsgegevens (AP), de toezichthoudende instantie die de naleving van de privacywetgeving controleert, maar het is prettiger als de klacht intern kan worden opgelost. Uw organisatie riskeert immers een sanctie als blijkt dat uw werkgever zich niet aan de regels houdt en dit kan leiden tot negatieve publiciteit. Ook voor de werknemer is het waarschijnlijk prettiger als hij de zaak niet meteen aan de grote klok hoeft te hangen. Ook een interne klachtenregeling zou daarom onderdeel moeten zijn van het privacybeleid.

Nieuw privacyreglement leidt tot grote ophef

Begin dit jaar liepen bij de Limburgse omroep L1 de gemoederen hoog op toen directeur Peter Elbers een nieuw privacyreglement wilde invoeren. Hierin stond dat Elbers zich het recht voorbehield om op de redactie verborgen camera’s te installeren en het mailverkeer en internetgebruik van de redacteuren te monitoren.

 

Het plan stuitte op veel verzet bij de werknemers en de OR trok meteen aan de bel. Het is een goed voorbeeld van een regeling die de privacy van werknemers in het geding kan brengen, en waar de OR terecht een stokje voor heeft gestoken. Vanwege alle ophef trok Elbers zijn reglement weer in.