Een bestuurder kan niet om de ondernemingsraad (OR) heen als hij een regeling die betrekking heeft op de privacy van werknemers wil invoeren, wijzigen of intrekken. Volgens de Wet op de ondernemingsraden (WOR) heeft de OR namelijk instemmingsrecht bij regelingen die te maken hebben met het verwerken en beschermen van persoonsgegevens van alle personen die in de organisatie werkzaam zijn.
Een werkgever ontkomt er niet aan om bepaalde personeelsgegevens te registreren. Denk bijvoorbeeld aan personeelsdossiers, personeelvolgsystemen en ziekteverzuimregistratie. Het verwerken en beschermen van persoonsgegevens is echter aan strenge regels gebonden. Hoe de werkgever om moet gaan met persoonsgegevens is wettelijk vastgelegd in de Algemene verordening persoonsgegevens (AVG). De Autoriteit Persoonsgegevens (AP) is het orgaan dat toezicht houdt op een goede naleving van de AVG. De AP geeft advies en helpt de OR een handje, bijvoorbeeld via de checklist ‘Privacy: checklist voor de ondernemingsraad’ (pdf).
Waar het gaat om de verwerking en bescherming van persoonsgegevens, moet de werkgever speciale aandacht schenken aan medische gegevens. In de praktijk blijkt dat werkgevers nog veel vragen hebben over de privacyregels bij ziekte. Alleen als de werknemer nadrukkelijk toestemming geeft, mag medische informatie pas worden uitgewisseld tussen werkgever, bedrijfsarts (die een medisch beroepsgeheim heeft), arbodienst en verzekeringsmaatschappij. Privacygevoelige informatie die de werknemer vrijwillig geeft, zoals de aard van de ziekte, behandeling en medicatie, mag de werkgever niet zomaar (laten) vastleggen. Deze strenge regels gelden ook voor persoonsgegevens zoals godsdienst, culturele achtergrond en seksuele voorkeur.
De wetgever hecht veel belang aan de bescherming van privacy. Een ondernemingsraad heeft volgens artikel 27, lid 1k WOR dan ook instemmingsrecht op elke regeling die te maken heeft met het verwerken en beschermen van persoonsgegevens van werknemers. Een OR doet er goed aan om bij de bestuurder na te gaan of het privacybeleid van de organisatie voldoet aan de AVG en of ook de uitvoering van het beleid voldoet aan de regels.