Ook OR moet waken voor lek beveiligingscamera’s

De ondernemingsraad (OR) is medeverantwoordelijk voor de juiste omgang met persoonsgegevens van werknemers binnen de organisatie. Door het gebruik van beveiligingscamera’s kan de bescherming van persoonsgegevens in het geding komen.

27 januari 2020 | Door redactie

Uit onderzoek van het platform Pointer (KRO-NCRV) blijkt dat de beelden van zo’n 400 beveiligingscamera’s van Nederlandse organisaties niet goed afgeschermd zijn. Het gaat om camera's die aan het internet verbonden zijn. De beelden van de beveiligingscamera’s zijn door iedereen live te bekijken via diverse websites. Dit geldt voor bijvoorbeeld een behandelkamer van een orthodontist, een fysiotherapeut en de kinderhoek van een bibliotheek. In veel gevallen is het ook mogelijk om via het IP-adres de locatie en de eigenaar van de camera te achterhalen.

OR moet privacy achterban meenemen bij instemming

De OR heeft instemmingsrecht op regelingen rond het verwerken en de bescherming van de persoonsgegevens van werknemers én op regelingen voor voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van werknemers (artikel 27, lid 1 k en l WOR). Wil een bestuurder beveiligingscamera’s in gebruik nemen, dan kan dit dus niet zonder instemming van de OR. Een belangrijke voorwaarde voor de instemming van de OR moet dus ook de beveiliging van de camerabeelden zijn. Er gelden bovendien strikte regels volgens de Algemene verordening gegevensbescherming (AVG). Zo moet de bestuurder ook een privacytoets en een zogenoemde Data protection impact assessment (DPIA) (tool) uitvoeren.

OR kan bestuurder adviseren om gebruik onbeveiligde camera’s te staken

Is de organisatie al voorzien van beveiligingscamera’s, dan kan de OR de bestuurder ongevraagd adviseren om de beveiliging van de beelden te controleren, te verbeteren en om desnoods het gebruik van de camera’s (tijdelijk) te staken (initiatiefrecht, artikel 23, lid 3 WOR). Is er inderdaad sprake van een beveiligingslek, dan is feitelijk de fabrikant van de camera verplicht om het datalek te melden bij de Autoriteit persoonsgegevens. Fabrikanten leggen die verantwoordelijkheid echter vaak bij de consument. Uw bestuurder kan daarom het beste zo snel mogelijk bepalen hoe hij kan voldoen aan de meldplicht datalekken (tool) en de betrokkenen informeren over het lek. Het ministerie van Economische Zaken wil voor het einde van dit jaar een Europees verkoopverbod invoeren op onveilige online producten.

De genoemde artikelen uit de Wet op de ondernemingsraden (WOR) kunt u nalezen op rendement.nl/WOR-online.

Bijlagen bij dit bericht