De ondernemingsraad (OR) ziet niet alleen toe op veilige omstandigheden op de fysieke werkplek, maar is er ook voor de digitale veiligheid van de werknemers. Zo heeft de OR instemmingsrecht op het instellen, wijzigen of intrekken van elke regeling rond de bescherming van persoonsgegevens van werknemers.
Een bestuurder is volgens artikel 27, lid 1k van de Wet op de ondernemingsraden (WOR) verplicht om de OR een instemmingsaanvraag te sturen voor alle nieuwe en gewijzigde regelingen over het verwerken of beschermen van persoonsgegevens van werknemers. Als de bestuurder onvoldoende beveiligingsmaatregelen heeft genomen, kan de Autoriteit Persoonsgegevens (AP) de organisatie een boete opleggen. Bij het bepalen van de boete baseert de AP zich op de Europese richtlijnen (pdf), die zijn opgesteld door de European Data Protection Board (EDPB), het samenwerkingsverband van de Europese toezichthouders op het gebied van de privacy.
Als het gaat om digitale veiligheid binnen de organisatie, kan de OR op een aantal zaken letten:
Online veiligheid en privacy zijn onderwerpen die voortdurend aandacht verdienen. Zo moet de OR, als de bestuurder nieuwe regelingen, systemen of voorzieningen wil invoeren, altijd nagaan in hoeverre dit gevolgen kan hebben voor de privacy van de achterban en of de OR hierbij instemmingsrecht heeft. Ook goede communicatie naar werknemers is van belang. Zij staan er niet altijd bij stil hoe groot het belang van privacy is of zijn zich misschien niet bewust van de mogelijke gevolgen van hun handelingen. Denk aan de schade die een datalek zowel de organisatie als de betrokkenen kan berokkenen.
De OR kan de bestuurder wijzen op de gevaren van online werken en er bij hem op aandringen dat hij hierover duidelijk communiceert naar werknemers. De OR kan hierbij gebruik maken van zijn initiatiefrecht (artikel 23 WOR) om met de bestuurder in gesprek te gaan of bij hem een voorstel in te dienen voor (aanvullende) maatregelen om de veiligheid voor werknemers én de organisatie te garanderen. Zet het onderwerp ‘privacy’ regelmatig op de agenda voor de vergadering en zorg ervoor dat het privacybeleid regelmatig wordt geëvalueerd en waar nodig aangepast als de situatie verandert.