Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking. De ondernemingsraad wordt in de AVG niet genoemd, maar de or kan wel degelijk een belangrijke positie bekleden bij de introductie en naleving van de AVG.
Door Lieke van den Eijnden en Stefan Jansen
Iedereen heeft recht op bescherming van zijn persoonlijke levenssfeer en privéleven. Dit fundamentele recht op privacy is terug te vinden in verschillende Europese en internationale verdragen. Het recht op privacy omvat tevens het recht op bescherming van jouw persoonsgegevens.
Tot 25 mei 2018 zijn de regels hiervoor opgenomen in de Europese Privacyrichtlijn [1] en de nationale Wet Bescherming Persoonsgegevens (Wbp).
Die regels dateren uit de jaren ’90. Toen was het internet in opkomst en konden wij ons niet voorstellen dat de gehele maatschappij digitaal zou worden ingericht. De samenleving automatiseert, digitaliseert en robotiseert. Interessante en handige ontwikkelingen die gepaard gaan met gevaren en risico’s die niet altijd even zichtbaar zijn.
Gegevensverwerking gebeurt vaak onbewust
Mensen delen gegevens zonder te weten welke partij erachter zit en wat er precies met de gegevens gebeurt. Zeker wanneer er een ‘incentive’ tegenover staat, een beloning zoals een korting, is het belang van privacy voor velen ineens ondergeschikt.
Daarbij vindt gegevensverwerking vaak onbewust plaats. Tijdens het downloaden van een app of het bezoeken van een website worden je gegevens bijvoorbeeld ongemerkt aan diverse partijen verstrekt.
Overheidsinstanties, Facebook en Google
De huidige regels beschermen het individu niet voldoende tegen deze ontwikkelingen. De zwakkere partij dient beter beschermd te worden tegen de sterkere partij, zoals overheidsinstanties, Facebook en Google. De AVG moet deze bescherming gaan bieden.
De AVG is een verordening en werkt, in tegenstelling tot de richtlijn, rechtstreeks in de lidstaten van de Europese Unie. Met inwerkingtreding van de AVG komen de Wbp en bijbehorende regels te vervallen. Wel biedt de AVG op enkele plaatsen de mogelijkheid om op nationaal niveau aanvullende regels te stellen. Hiervoor zal de Uitvoeringswet AVG[2] tegelijk met de AVG in werking treden.
Het systeem van de AVG
De AVG is, evenals de huidige regelgeving, van toepassing op ‘verwerking’ van ‘persoonsgegevens’. Onder ‘verwerking’ wordt alles verstaan wat je met persoonsgegevens kunt doen, zoals opslaan, doorzenden, raadplegen enzovoort.
Een ‘persoonsgegeven’ is een gegeven dat een natuurlijk persoon identificeert. Denk aan een naam of emailadres, maar ook aan beelden van een bewakingscamera.
Voor de verwerking van persoonsgegevens dient de verwerkingsverantwoordelijke (de organisatie die het doel en de middelen van de gegevensverwerking vaststelt) zich te houden aan een aantal basisbeginselen. Zo dient de gegevensverwerking rechtmatig, behoorlijk en transparant plaats te vinden. Ook mag de verwerking alleen plaatsvinden voor een vooraf omschreven doel.
Het bankrekeningnummer van de werknemer
In het kader van de uitvoering van de arbeidsovereenkomst zal een werkgever bijvoorbeeld het bankrekeningnummer van de werknemer in zijn administratie opslaan, met als doel het loon te betalen. Daarbij geldt dat gegevens vervolgens niet mogen worden verwerkt voor een ander doel dan het doel waarvoor ze zijn verstrekt.
Als er bijvoorbeeld camera’s op de werkvloer hangen om diefstal te voorkomen, mag een werkgever deze beelden niet gebruiken om een werknemer op zijn (dis)functioneren aan te spreken.
Bovendien dient de verwerkingsverantwoordelijke te zorgen voor dataminimalisatie en opslagbeperking. Dit betekent dat zo min mogelijk data moeten worden verwerkt, en dat altijd de minst inbreukmakende optie moet worden gekozen.
Tot slot zal de verwerkingsverantwoordelijke zich ervan moeten vergewissen dat de gegevens juist zijn. Wanneer een werkgever informatie van internet haalt, mag hij er niet automatisch vanuit gaan dat dit juist is.
Verwerkingsgrondslagen
Los van deze basisbeginselen, zal de verwerkingsverantwoordelijke een verwerkingsgrondslag moeten hebben om persoonsgegevens te verwerken. Eén van deze grondslagen is de toestemming van de betrokkene.
Toestemming moet in vrijheid worden gegeven, hetgeen in het kader van de arbeidsrelatie onder druk staat. Want hoe vrij is een werknemer? Hij staat in een afhankelijke relatie tot zijn werkgever en is wellicht bang dat het consequenties heeft wanneer bepaalde gegevens niet worden verstrekt. Met het toestemmingsvereiste dient daarom zeer terughoudend te worden omgegaan in de arbeidsrelatie.
Uitvoering van de arbeidsovereenkomst
Een andere verwerkingsgrondslag betreft de uitvoering van de (arbeids-)overeenkomst. Wanneer de verwerking van persoonsgegevens in verband staat met het bestaan van de arbeidsovereenkomst, is verwerking toegestaan. Denk bijvoorbeeld aan de registratie van de geboortedatum voor het bepalen van de pensioengerechtigde leeftijd.
Een laatste verwerkingsgrondslag betreft de belangenafweging. Wanneer het gerechtvaardigd belang van de werkgever bij verwerking van de persoonsgegevens zwaarder weegt dan het privacybelang van de werknemer, is verwerking toegestaan.
Een trackingsysteem in de bedrijfsauto
Een voorbeeld. Indien een werkgever een trackingsysteem plaatst in de bedrijfsauto van werknemers, met het doel bij een oproep van een klant de dichtstbijzijnde werknemer naar de klant te kunnen sturen, dan zal de belangenafweging waarschijnlijk in het voordeel van de werkgever uitvallen.
Dit is mogelijk anders wanneer de werkgever met dit trackingssysteem wil controleren of werknemers niet te lang pauze houden. Elke belangenafweging zal anders zijn en afhangen van alle omstandigheden.
De basisbeginselen en verwerkingsgrondslagen vormen de kern van de gegevensverwerking. Dit is echter niet nieuw. We kennen dit systeem ook al onder de huidige regelgeving.
Nieuwe rechten en plichten
Wat brengt de AVG dan wel voor nieuwe rechten en plichten met zich mee? Allereerst krijgen betrokkenen (degenen van wie de persoonsgegevens worden verwerkt) meer rechten. De huidige rechten blijven bestaan, zoals het recht op inzage/kopie, het recht op rectificatie, het recht op beperking van de verwerking, het recht van bezwaar en het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming.
Daarbovenop komen het recht op gegevenswissing (het recht om ‘vergeten’ te worden) en het recht op overdraagbaarheid van gegevens (dataportabiliteit: de gegevens van de ene naar de andere partij kunnen overzetten).
Plichten
De AVG legt de verwerkingsverantwoordelijke ook meer verplichtingen op. Sommige organisaties zijn verplicht een functionaris voor de gegevensbescherming te benoemen. Deze houdt (kortgezegd) toezicht op de naleving van de AVG en geeft intern advies.
Overheidsinstanties, organisaties die regelmatig en stelselmatig observeren en organisaties die bijzondere persoonsgegevens (gegevens omtrent ras, gezondheid enz.) en/of gegevens omtrent strafrechtelijke veroordelingen verwerken, zijn verplicht om deze functionaris te benoemen. Andere organisaties kunnen hier vrijwillig voor kiezen.
Passende maatregelen nemen
Daarnaast dient een verwerkingsverantwoordelijke passende technische en organisatorische maatregelen te nemen om ervoor te zorgen dat de gegevens goed beveiligd worden. Belangrijke begrippen hierbij zijn ‘Privacy by design’ (bij het ontwerpen van producten en diensten moet je ervoor zorgen dat persoonsgegevens goed worden beschermd) en ‘Privacy by default’ (de technische en organisatorische maatregelen moeten ervoor zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel).
Privacy-waakhond
Andere wijzigingen vinden plaats in de bevoegdheden van de Autoriteit Persoonsgegevens (AP), de privacy-waakhond in Nederland. De AP krijgt veel meer instrumenten, zoals het geven van een waarschuwing of berisping, het openbaar maken van een onderzoeksrapport of het opleggen van een dwangsom. Daarnaast kan de AP boetes opleggen die maximaal €20 miljoen of 5 procent van de wereldwijde omzet bedragen.
En de ondernemingsraad?
De or vinden we in de AVG niet terug. Dat neemt echter niet weg dat de or wel degelijk een belangrijke positie kan bekleden bij de introductie en naleving van de AVG.
Op zichzelf is de invoering van de AVG niet advies- of instemmingsplichtig voor de or. Privacy speelt echter wel door veel onderwerpen heen. In het kader van het adviesrecht is een bestuurder verplicht om opgave te doen van de personele gevolgen en de opvang hiervan.
De or dient alert te zijn of de gevolgen van een besluit ook de privacy van werknemers raken. Ook heeft de or een adviesrecht over een voorgenomen besluit tot invoering of wijziging van een belangrijke technologische voorziening. Vraag je als or hierbij af of er privacyaspecten aan dit besluit vastzitten en neem dit mee in het advies.
Om instemming gevraagd worden
Daarnaast dient de ondernemingsraad om instemming gevraagd te worden, indien er sprake is van een besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van persoonsgegevens van de in de onderneming werkzame personen.
Denk dan aan vastleggen van gegevens (in een (privacy)reglement) omtrent ziekteverzuim, salarisadministratie of de beoordelingscyclus. Ook is instemming van de or vereist als het gaat om een regeling inzake voorzieningen gericht op, of geschikt voor, waarneming van of controle op aanwezigheid, gedrag of prestaties van de werknemers.
Denk dan aan een camerasysteem of toegangspoortjes, maar ook aan een softwarepakket voor monitoring van internetgebruik. Niet van belang is of werknemers ermee gecontroleerd worden, maar of dit met de voorziening mogelijk is.
Vraag je als or af welke gegevens er worden verwerkt, wie er toegang tot de gegevens heeft en hoelang de gegevens worden bewaard. Maar houd ook in de gaten of de beveiliging op orde is en waar de gegevens worden opgeslagen.
Vergeet niet het overlegrecht, informatierecht en initiatiefrecht
Vergeet ook niet het overlegrecht, informatierecht en initiatiefrecht te gebruiken. Komt de bestuurder niet met eigen plannen om de bedrijfsvoering in lijn te brengen met de AVG? Zet het onderwerp dan op de agenda. Op deze wijze kan de or een belangrijke bijdrage leveren aan het ‘privacy-proof’ worden (en blijven) van de organisatie.
Advocaten Lieke van den Eijnden en Stefan Jansen zijn werkzaam bij De Voort Advocaten.
Dit artikel is onlangs gepubliceerd in OR magazine. Ontvang gratis 3 nummers van OR magazine.
Lees ook:
- De nieuwe privacywet (AVG) in 10 stappen
- Privacywet: ken de rechten van betrokkenen
- Privacywet: Wie moet een impact assessment (DPIA) uitvoeren?
- Privacywet: Een functionaris gegevensbescherming aanstellen
- Privacyregels bij ziekte vaak geschonden
1-daagse opleiding: de nieuwe privacywetgeving voor de or
Voor de or is het van groot belang om de ins en outs van de nieuwe privacywetgeving te kennen. Tijdens de 1-daagse opleiding De nieuwe Privacywetgeving voor de or wordt de privacywet uitgebreid behandeld en komen alle specifieke punten voor de or aan de orde.
[1] Richtlijn 95/46/EG
[2] Kamerstukken II 2017/18, 34851
Geef een reactie