Wat kan onze OR doen om te zorgen dat gegevens van werknemers veilig zijn?

13 augustus 2021

Veel organisaties werken tegenwoordig met Google-diensten, zoals Gmail, Google Docs en Google Meet (Google Workspace). De privacytoezichthouder Autoriteit Persoonsgegevens (AP) constateerde onlangs echter dat Google zijn beveiliging niet op orde heeft. Hierdoor worden de gegevens van de gebruikers van Google-diensten niet rechtmatig verwerkt. Om die reden raadt de AP het gebruik ervan sterk af.  Wat kan onze OR doen om te voorkomen dat gegevens van werknemers in verkeerde handen komen?

Werkt uw organisatie met Google-diensten, dan is het rapport van de AP een goede aanleiding om de risico’s daarvan voor de privacy van uw achterban te bespreken met uw bestuurder. Uw OR kan het onderwerp als agendapunt noteren voor de eerstvolgende overlegvergadering, maar als die pas over enkele maanden plaatsvindt, kunt u daar beter niet op wachten.

Initiatief

Uw OR doet er verstandig aan om bij uw bestuurder alle informatie op te vragen die u redelijkerwijs nodig heeft om de situatie te beoordelen. Uw bestuurder is op grond van artikel 31, lid 1 WOR en verder verplicht om u deze informatie te verstrekken. Ook heeft uw OR het recht om hierbij een externe deskundige te raadplegen voor advies (artikel 16 WOR).

Aan de hand van deze informatie kan uw OR bij uw bestuurder een advies indienen op grond van uw initiatiefrecht (artikel 23, lid 3 WOR). Uw initiatiefrecht geeft uw OR de bevoegdheid om uw bestuurder ongevraagd te adviseren over elk onderwerp dat uw OR van belang vindt. U kunt uw bestuurder bijvoorbeeld verzoeken om het gebruik en de risico’s van de Google-diensten te (laten) onderzoeken, het gebruik van deze diensten tijdelijk op te schorten en om eventuele alternatieven te overwegen die de privacy van uw achterban beter beschermen.

Voorziening

Bij het gebruik van software kunnen ook uw adviesrecht en instemmingsrecht van toepassing zijn. Uw OR heeft adviesrecht als uw bestuurder een belangrijke technologische voorziening wil invoeren of wijzigen (artikel 25, lid 1k WOR). Als uw bestuurder bijvoorbeeld wil overstappen van het lokale netwerk naar Google Drive of het werken met bijvoorbeeld GoogleDocs wil introduceren in de organisatie, is hij verplicht om uw OR om advies te vragen voordat hij deze maatregel doorvoert. Ook als hij deze diensten wil vervangen door andere softwareprogramma’s, moet hij dit eerst voorleggen aan uw OR.

Daarnaast kan het instemmingsrecht van uw OR van toepassing zijn (artikel 27 WOR). Dit is bijvoorbeeld het geval als uw organisatie van deze diensten gebruikmaakt voor het werkoverleg of de verwerking van persoonsgegevens door de salarisadministratie. Uw bestuurder mag zo’n regeling dan alleen invoeren, wijzigen of intrekken nadat uw OR daarmee heeft ingestemd.

Alert

De adviezen van de AP zijn voorlopig nog vertrouwelijk en niet openbaar. Eerst gaat de Tweede Kamer zich er namelijk nog over buigen. Dit voorval bewijst echter eens te meer dat uw OR altijd alert moet zijn. Dat u bij zulke ontwikkelingen nagaat wat de gevolgen kunnen zijn voor uw achterban en dat u een adviesaanvraag of instemmingsverzoek altijd kritisch moet beoordelen, al dan niet in overleg met een externe deskundige. Dat bent u aan uw achterban verplicht.