Een nieuw artikel in de Wet op de ondernemingsraden zou de rol van de ondernemingsraad bij het melden van datalekken kunnen verankeren.
Met de invoering van de Wet meldplicht datalekken op 1 januari 2016 is de Wet bescherming persoonsgegevens (WBP) op een belangrijk punt aangevuld. Datalekken moeten worden gemeld aan de Autoriteit Persoonsge-
gevens (AP), bij aanzienlijke kans op ernstige nadelige gevolgen en aan de betrokkenen wanneer er waarschijnlijk ongunstige gevolgen zijn. De meldplicht heeft zowel betrekking op de technische, als op de organisatorische beveiliging van persoonsgegevens. Slordig beheer van wachtwoorden valt er bijvoorbeeld ook onder.
Meldplicht datalekken
De meldplicht datalekken verplicht de verantwoordelijke tot kennisgeving aan de AP of aan de betrokkene, maar niet aan de ondernemingsraad. Dat is op zich in lijn met de WBP, want daarin komt de ondernemingsraad in het geheel niet voor. Toch heeft de or een belangrijke taak bij de bescherming van persoonsgegevens.
Op grond van artikel 27 lid 1k en 1l heeft de or instemmingsrecht bij het invoeren van systemen die persoonsgegevens verwerken en van systemen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties. Afspraken over (nieuwe) systemen en/of verwerkingen kunnen worden vastgelegd in een convenant, protocol of reglement. Zo wordt het gebruik ingekaderd en transparant gemaakt. Soms zijn deze afspraken summier (‘geen gebruik van gegevens voor prestatiecontrole’), soms gedetailleerd in de vorm van een autorisatiematrix en toegestane rapportages en/of verstrekkingen.
Inhoudelijk toetst de ondernemingsraad een nieuw systeem en/of verwerking op de open normen van de WBP. De or heeft zo een belangrijke rol bij een zorgvuldige afweging van belangen conform artikel 8 f WBP, de verbetering van de kwaliteit (ter zake dienend, niet bovenmatig) en van de transparantie. Dat laatste kan bijvoorbeeld door het toetsen van de ‘privacy notice’.
Or en datalekken
Het is niet ongebruikelijk dat de ondernemingsraad – uiteraard strikt vertrouwelijk – wordt geïnformeerd als er een datalek heeft plaatsgevonden. Al is het achteraf en meestal met de mededeling dat de schade meevalt. De nieuwe meldplicht datalekken is een goede aanleiding om serieus met de or te overleggen hoe in voorkomende gevallen gehandeld en gecommuniceerd moet worden. Zo kan de ondernemingsraad worden betrokken bij het opstellen van het protocol ‘datalekken personeelsgegevens’. Hierin staan onder meer de processtappen en het afwegingskader voor te nemen maatregelen en het al of niet melden bij de or.
De wet schrijft voor dat de verantwoordelijke een overzicht moet bijhouden van iedere inbreuk die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Dit overzicht kan een rol spelen bij de verbetering van het privacy- en informatiebeveiligingsbeleid van de onderneming. De belangen van werkgever en werknemer lopen hier grotendeels parallel.
Aanpassing WOR?
De bepalingen uit de WOR in artikel 27 1k en 1l stammen uit 1998 en waren een reactie op de grootschalige invoering van computers in de jaren ‘80 en de invoering van de WPR in 1989. Artikel 27 1k richt zich impliciet vooral op systemen in het hr-domein, artikel 27 1l vooral op systemen die het gedrag van werknemers kunnen vastleggen, zoals camera’s en toegangscontrolesystemen. Die werden toen gezien als de grootste risico’s voor de privacy van werknemers.
Wat ICT-gebruik betreft zijn we nu in een totaal andere wereld beland dan we in de jaren ‘80 en ‘90 konden voorzien. Het risico van een datalek is anno 2016 een van de grootste privacyrisico’s. Ook voor werknemers. Niet voor niets is daarvoor nu de WBP uitgebreid met de meldplicht datalekken. Het zou daarom wellicht goed zijn om de WOR aan te vullen met een artikel dat de ondernemer verplicht om:
- de or te informeren over al dan niet meldplichtige datalekken, en
- te overleggen over het beveiligingsbeleid inclusief een datalekprotocol.
Datalekken en cybercrime
Het debat in de Tweede Kamer is sterk gericht geweest op het falen van de ‘passende’ beveiligingsmaatregelen. Aan datalekken als gevolg van cybercrime (zoals hacken of cyberspionage) is nauwelijks aandacht besteed. Cybercrime is echter een toenemend probleem. Sinds de onthullingen van
Edward Snowden over de NSA weten we ook dat hier overheden bij betrokken zijn, en niet alleen de VS en China. Ondernemingen zijn dan in de eerste plaats slachtoffer.
Deze datalekken hebben niet alleen mogelijk ernstige nadelige gevolgen voor de bedrijfsvoering (plannen, contracten, kennis), maar ook voor de privacy van de medewerkers. Ondernemingen hebben derhalve een toenemend belang bij het treffen van meer dan ‘passende’ beveiligingsmaatregelen. De paradox is dat netwerkbeveiliging het gedetailleerd kunnen volgen van het ICT-gebruik van werknemers met zich meebrengt. Dit wordt weer ervaren als een grote inbreuk op de privacy.
Instemmingsprocedure
Op welke wijze kan de or hier – naast de noodzakelijke instemmingsprocedure bij de invoering van volgsystemen – bij betrokken worden? Een in Duitsland gebruikt model is wellicht een goed idee: een paritaire commissie die toezicht houdt op het gebruik van systemen voor netwerkmonitoring. Ook het Medical Device Privacy Consortium (waarin onder andere Philips en Siemens samenwerken) denkt in deze richting.
In Nederland zou in zo’n Security and Privacy Board, direct of indirect, de ondernemingsraad vertegenwoordigd moeten zijn. In deze Board kan ook alles wat met de meldplicht datalekken te maken heeft besproken worden: het opstellen van het datalek-protocol, de analyse van incidenten, et cetera. Aan het instellen van zo’n Security and Privacy Board zitten natuurlijk haken en ogen. Een gestructureerd overleg met de or op basis van een datalek-protocol zou al een goede eerste stap zijn.
Het volledige artikel van auteur Arjen van Halem is te lezen in OR informatie 3/2016.
Tip! Meer weten over de wet en regelgeving voor de ondernemingsraad? Schrijf je dan in voor de OR informatie Wetgeving- en Actualiteitendag op 14 juni.
Geef een antwoord