VERDIEPINGSARTIKEL

Waarop moet u letten om uw OR-werk aan de avg te laten voldoen?

Al sinds 25 mei 2018 stelt de Algemene verordening gegevensbescherming (AVG) strenge eisen aan het verzamelen, verwerken en bewaren van persoonsgegevens. Dat geldt dus ook voor uw OR-werk! Uw OR krijgt immers ook de nodige gevoelige informatie in handen, waaronder mogelijk ook persoonsgegevens. Waar moet uw OR op letten om aan de AVG te voldoen?


20 september 2021 5 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online en is geschreven door Simone van Houten-Pilkes MMO, organisatieadviseur bij Basis & Beleid, tel.: (030) 233 12 72, e-mail: Simonevanhouten@basisenbeleid.nl, www.basisenbeleid.nl


De AVG stelt de nodige eisen aan het verzamelen en verwerken van persoonsgegevens. De verwerking van persoonsgegevens kan in uw OR-werk op verschillende manieren aan de orde zijn. Soms is daar sneller sprake van dan u misschien denkt.

Zo verstuurt uw OR een nieuwsbrief, notulen, agenda of jaarverslag waarschijnlijk per e-mail. Gebruikt u daarvoor ‘all users’ of ‘all loc’, dan maakt u gebruik van het adresboek van uw werkgever en gaat het om zakelijke e-mailadressen. U voldoet aan de AVG.

Heeft uw OR echter een eigen adresboek, eventueel zelfs met privémailadressen, dan verwerkt uw OR bij het maken van dat adresbestand persoonsgegevens. Voor de verwerking van persoonsgegevens is een grondslag vereist.

Grondslag voor het e-mailen van informatie

Voor het versturen van een nieuwsbrief, notulen, agenda of jaarverslag zou u kunnen stellen dat u dit wettelijk verplicht bent (grondslag). Artikel 14, lid f en h van de Wet op de ondernemingsraden (WOR) verplicht uw OR immers om zulke documenten bekend te maken aan de OR-leden, de ondernemer en uw achterban.

Deze grondslag is echter niet van toepassing, omdat u die verplichting prima kunt nakomen zonder daarvoor zelf ook mailadressen te verzamelen en te bewaren en eventueel zelfs privémailadressen te gebruiken. Er zijn alternatieven beschikbaar: de zakelijke e-mailadressen via het adresboek dat uw werkgever heeft aangelegd.

Mocht het toch nodig zijn om een eigen adresbestand aan te leggen, vraag de ontvangers dan om toestemming daarvoor met vermelding van het specifieke doel. Zorg ervoor dat u verzamelde gegevens altijd alleen gebruikt voor het doel waarmee u ze verzameld heeft en waarvoor u eventueel om toestemming heeft gevraagd. Voor elk ander doel heeft u weer een grondslag nodig.

Grondslagen voor verwerking persoonsgegevens

Om persoonsgegevens te mogen verwerken is één van de zes grondslagen vereist.

 

  1. U heeft toestemming van de persoon om wie het gaat.
  2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
  3. Het is noodzakelijk om gegevens te verwerken, omdat u dit wettelijk verplicht bent.
  4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
  5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
  6. Het is noodzakelijk om gegevens te verwerken om een gerechtvaardigde belang te behartigen.

Grondslag tijdens OR-verkiezingen

Ook tijdens de voorbereidingen van de OR-verkiezingen krijgt uw OR te maken met persoonsgegevens. Zo moet uit het verkiezingsregister blijken wie kiesgerechtigd is en wie verkiesbaar. De wettelijke basis hiervoor vindt u in artikel 9, lid 2 WOR. Dit register moet in te zien zijn door alle belanghebbenden.

Daarna moet uw OR de kandidatenlijsten bekendmaken binnen de organisatie (artikel 11 WOR). Ook moet u de vakbonden tijdig informeren over de verkiezingen, zodat ook zij kandidaten kunnen aandragen. Omdat lidmaatschap van een vakbond een bijzonder persoonsgegeven is, mag uw OR, HR of uw werkgever dit nooit verwerken.

De vakbond mag dit wel. Die heeft zijn leden zelf toestemming gevraagd, roept leden op om zich kandidaat te stellen en levert de lijst bij uw OR aan.

Is de OR eenmaal gekozen, dan is het verplicht om de namen en de functies van de OR-leden blijvend te vermelden op een plaats die vrij toegankelijk is voor alle in de onderneming werkzame personen.

Hiervoor hoeft u dus geen toestemming aan de betrokkenen te vragen. Hier is namelijk geen alternatief beschikbaar en geldt de grondslag dat u aan een wettelijke verplichting voldoet wél. De verplichting om namen en functies kenbaar te maken, geldt niet voor commissieleden. Hiervoor moet u dus toestemming vragen aan de commissieleden.

Bewaartermijn persoonsgegevens

Voor het bewaren van persoonsgegevens hanteert de AVG het uitgangspunt dat u gegevens niet langer mag bewaren dan noodzakelijk is. Wat noodzakelijk is, hangt af van de situatie.

Privémail en privéadressen moeten in elk geval verwijderd worden zodra een werknemer uit dienst gaat, of als de OR volledig ophoudt te bestaan.

Over het bewaren van de stembiljetten geeft het voorbeeldreglement van de SER (ser.nl) aan dat u deze drie maanden moet bewaren. Tot die tijd is het namelijk nog mogelijk om bezwaar te maken tegen de uitkomst van de verkiezingen. Het ligt voor de hand om ook het kiesregister en de kandidatenlijsten na die termijn te vernietigen of verwijderen. Maak dus duidelijke afspraken over uw OR-archief (verdiepingsartikel).

Toegang gegevens niet voor alle OR-leden

Ook de toegang tot de gegevens speelt een rol. De regel is dat alleen de werknemers die de gegevens nodig hebben voor hun functie toegang hebben. Gegevens van werknemers mogen dus niet standaard toegankelijk zijn voor alle OR-leden. 

Gegevens van werknemers mogen dus niet standaard toegankelijk zijn voor alle OR-leden

U kunt er bijvoorbeeld voor kiezen om het dagelijks bestuur wel toegang te geven, maar de rest niet. Dit kunt u regelen door digitale documenten te voorzien van een wachtwoord dat alleen bij het dagelijks bestuur bekend is.

Het kiesregister kunt u in beheer van HR laten, zodat het ook daar in te zien is. Zo hoeft uw OR niets te verzamelen, verwerken en bewaren, maar houdt HR de lijst achter slot en grendel en is er maximale bescherming.

OR moet datalek voorkomen

Het voornaamste doel van de AVG is om een datalek te voorkomen. Dan komen er gegevens in handen van onbevoegden, met alle risico’s van dien. Denk aan identiteits- of bankfraude. In de praktijk kan er al snel sprake zijn van een datalek.

Zo komt het wel eens voor dat bij de behandeling van een adviesaanvraag over bijvoorbeeld een reorganisatie met inkrimping, de OR of zelfs een externe adviseur, lijsten met persoonsgegevens krijgt. Dat varieert van lijsten met namen van werknemers en de afdelingen waar zij werken, tot overzichten die voorzien zijn van gegevens zoals naam, afdeling, datum in dienst en geboortedatum. Dit is een datalek!

Er is immers geen enkele grondslag om deze gegevens met uw OR of een externe adviseur te delen. Ontvangt uw OR zulke gegevens, verwijder de mail dan direct (ook uit de map Deleted items!) of doe de papieren versie meteen in de papierversnipperaar en vraag de adviseur hetzelfde te doen.

Bespreek het voorval met HR en uw bestuurder en maak duidelijke afspraken om herhaling in de toekomst te voorkomen.

Registreer een datalek

Een datalek als dit hoeft u niet te melden bij de Autoriteit Persoonsgegevens. Het is in dit geval namelijk niet waarschijnlijk dat het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen. U moet het lek echter wél registreren in het interne datalekregister. Dat laatste geldt overigens ook als uw OR onzorgvuldig is omgegaan met persoonsgegevens die u wel rechtmatig verwerkt.

Bescherming van reguliere en bijzondere persoonsgegevens volgens de AVG

Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, waarmee de identiteit kan worden vastgesteld. De Algemene verordening gegevensbescherming maakt daarbij onderscheid tussen reguliere en bijzondere persoonsgegevens.

 

Reguliere gegevens zijn bijvoorbeeld naam, adres en e-mailadres. Bijzondere persoonsgegevens krijgen extra bescherming en mag u in principe niet verwerken. Denk aan een irisscan, een vingerafdruk, een gezichtsscan of aan gegevens over:

  • de gezondheid, zoals ziekteverzuim of alcohol-, medicijn- en drugsgebruik;
  • de etnische afkomst;
  • het lidmaatschap van een vakbond of politieke partij.

Regels

Er gelden strenge regels voor de verwerking en opslag van persoonsgegevens. U:

 

  • moet aantonen dat u over één van de zes grondslagen voor persoonsgegevensverwerking uit de AVG beschikt.
  • mag alleen strikt noodzakelijke informatie registreren of verwerken.
  • moet betrokkenen informeren over de verwerking van hun gegevens en het doel ervan en op verzoek verwijderen.
  • moet persoonsgegevens goed beveiligen.
  • mag persoonsgegevens niet langer bewaren dan noodzakelijk.