Organisaties moeten volgens de Algemene Verordening Gegevensbescherming (AVG) aan een aantal wettelijke verplichtingen voldoen. Waar komen de ondernemingsraad en het instemmingsrecht in beeld, en welke keuzes kan de or maken?
Door Peter Reinerink
Van oudsher heeft de or instemmingsrecht volgens artikel 27 WOR, bij regelingen voor het verwerken van persoonsgegevens en voor regelingen bedoeld voor, of geschikt als personeelsvolgsystemen.
De AVG verplicht organisaties te voldoen aan een aantal standaarden om de persoonsgegevens en de veilige verwerking daarvan te borgen. Deze borging vraagt meestal om het instellen van een of meerdere regelingen, waardoor het instemmingsrecht automatisch van kracht is.
Dit gebeurt vooral wanneer het de persoonsgegevens van de medewerkers betreft. Die situatie speelt onder meer bij:
- verzuimregistratie
- registratie voortzetting arbeidsdeelname allochtonen
- personeelsdossiers
- personeelsinformatiesysteem
- salarisadministratie
- managementinformatiesystemen (als deze informatie op persoonsniveau bevatten).
Personeelsvolgsystemen kunnen ook diverse stromen van persoonsgegevens opleveren. Voorbeelden van personeelsvolgsystemen zijn onder meer:
- (heimelijk) cameratoezicht
- telefooncentrales
- black box, boardcomputer of gps-systeem
- antivirussoftware of software ter voorkoming van KANS (Klachten Arm, Nek, Schouder)
- (filter)software voor de controle op e-mail- en internetgebruik
- prikklok of andere systemen van toegangscontrole
- badges of chipcards die erop gericht zijn om toegang, aanwezigheid, verplaatsingen en/of betalingen te volgen.
De documentatieplicht
De AVG legt organisaties onder meer een documentatieplicht op, waarin staat op welke manier de organisatie aan de AVG voldoet. Dit houdt in dat beschreven moet staan welke persoonsgegevens er verwerkt worden, waar deze gegevens vandaan komen en met welk doel ze verwerkt worden.
Het beschrijven van de bestaande regelingen en het daarmee voldoen aan deze documentatieplicht is op zich geen regeling volgens artikel 27 WOR, maar de gevolgen die deze documentatie kan hebben kunnen dat wel degelijk zijn.
Vanuit deze documentatie dienen de processen van gegevensverwerking namelijk beoordeeld te worden. Is het proces gevoelig voor privacyrisico’s, dan moet er mogelijk een Data Protection Impact Assessment (DPIA) uitgevoerd worden, oftewel een risico-evaluatie en bijbehorende maatregelen om risico’s te beperken.
Hier dienen zich de eerste keuzes aan voor de or
Hier dienen zich de eerste keuzes aan waarbij de or in beeld komt. Wie beoordeelt namelijk de processen en bepaalt of er een DPIA uitgevoerd moet gaan worden? En wie voert de DPIA uit? De organisatie is daarvoor verantwoordelijk en het is aan te raden daar duidelijkheid over te verschaffen.
Hier kan dus een procedure of een regeling voor in het leven worden geroepen. Hierop heeft de or dan instemmingsrecht, aangezien deze ook de verwerking van de persoonsgegevens van de medewerkers zullen gaan beoordelen.
Een passieve of actieve rol spelen?
De or kan afwachten welke regelingen ingesteld worden om aan de AVG te voldoen en hier haar instemmingsrecht op uitvoeren, en ditzelfde doen wanneer uit het DPIA blijkt dat procedures aangepast worden en daar dus ook een instemmingsverzoek uit komt. Dit is de reactieve benadering.
De or kan er ook voor kiezen om een actievere rol te spelen in het proces. Te denken valt aan een stem in de vaststelling van de commissie die de processen beoordeelt, of in de commissie die de DPIA uitvoert.
En wat betekent ‘een stem hebben’ dan precies? Wil de or dat één van de or-leden onderdeel is van deze commissie(s)? Of willen jullie op een andere manier betrokken blijven? Maak de keuze die past bij jullie organisatie en jullie or.
Functionaris Persoonsgegevens
Een andere maatregel vanuit de AVG is de aanstelling van een Functionaris Persoonsgegevens (FG). Deze is verplicht voor organisaties die voldoen aan een aantal criteria.
Wanneer een organisatie niet volledig aan deze criteria voldoet, kan hij vrijwillig een FG aanstellen. Het aanstellen van een FG en zijn of haar takenpakket is een regeling die de verwerking van persoonsgegevens raakt. Daarom valt hij onder het instemmingsrecht van de or. Zeker wanneer ook de verwerking van interne persoonsgegevens hier onderdeel van is, wat praktisch gezien vrijwel altijd het geval zal zijn.
De or doet er goed aan om te bepalen wat hij belangrijk vindt bij een dergelijke aanstelling. In het voortraject kan hij aangeven wat er onder het takenpakket dient te vallen en hoe de or een rol speelt bij de verdere invulling van dit takenpakket.
Dit aangezien het instemmingsrecht uiteraard van kracht blijft, dus ook wanneer de ene regeling (de FG) een andere regeling (maatregel vanuit een DPIA) wil invoeren of aanscherpen!
Checklist AVG voor de or
- Bespreek met de bestuurder: is de organisatie klaar voor de AVG?
- Check: zijn alle stromen persoonsgegevens opgenomen in de documentatie?
- Bepaal welke rol je als or wil nemen bij het beoordelen van de gedocumenteerde ‘processen verwerken persoonsgegevens’ en de DPIA, en bespreek dit met de bestuurder
- Indien er een FG aangesteld moet worden: bepaal welk takenpakket deze zou moeten hebben en bespreek dit met de bestuurder
- Check: instemmingsrecht op nieuwe regelingen betreffende (nieuwe) regelingen vanuit het documentatieproces, een DPIA, of de aanstelling van een FG.
Peter Reinerink is Trainer Medezeggenschap bij Trainiac (peter@trainiac.nl).
Dit artikel is gepubliceerd in OR magazine. Ontvang gratis 3 nummers van OR magazine.
Tip! download de gratis whitepaper: De Europese privacywet (AVG)
Lees ook:
- De nieuwe privacywet (AVG) in 10 stappen
- Hoe de or zich kan voorbereiden op de AVG
- Privacywet: ken de rechten van betrokkenen
- Privacywet: Wie moet een impact assessment (DPIA) uitvoeren?
- Privacywet: Een functionaris gegevensbescherming aanstellen
- Privacyregels en ziekteverzuim: tips voor de or
- ‘Werkgevers in de knel door privacyregels zieke werknemers’
- Privacyregels bij ziekte vaak geschonden
1-daagse opleiding: de nieuwe privacywetgeving voor de or
Voor de or is het van groot belang om de ins en outs van de nieuwe privacywetgeving te kennen. Tijdens de 1-daagse opleiding De nieuwe Privacywetgeving voor de or wordt de privacywet uitgebreid behandeld en komen alle specifieke punten voor de or aan de orde.
Geef een antwoord