De AVG en de OR

De AVG en het instemmingsrecht van de OR

Het belang van de AVG – Wat kan de OR doen om op te komen voor de privacy rechten van werknemers?

16 maart 2018 – Monique Helderman

Het belang van de AVG

Om deze vraag te kunnen beantwoorden, is het belangrijk om te realiseren dat elke Europese burger, en dus werknemer, klant en zakenrelatie het grondrecht op privacy heeft. 

Door de komst van het internet, sociale media, etc. en de snelle ontwikkeling hierin (de digitalisering van de samenleving) is er een toename van het verzamelen en delen van gegevens door partijen. De Algemene Verordening Gegevensbescherming (AVG) is in het leven geroepen om persoonsgegevens van Europese burgers en dus van werknemers, klanten en zakenrelaties, etc. beter te beschermen.

Voorkomen moet worden dat fraudeurs aan de haal gaan met persoonsgegevens en dat zij schade aanrichten (cybercrime). Bedrijven moeten daarom onder meer duidelijk zijn over welke gegevens worden verzameld, met welk doel, wat ermee gebeurt en waar ze worden bewaard en hoe zij worden beveiligd.

Per 25 mei 2018 moet elk bedrijf voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Met een Uitvoeringswet wordt de AVG in Nederland ingevoerd. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG. Op 8 maart 2018 heeft de Tweede Kamer de invoering van de AVG en de Uitvoeringswet besproken. Daaruit is het volgende naar voren gekomen.

Met ingang van 25 mei 2018 kan de Autoriteit Persoonsgegevens onderzoek doen, de AVG handhaven en hoge boetes tot 20 miljoen opleggen in geval van bewuste schending van de privacy. Dit sluit aan bij het standpunt van de Autoriteit Persoonsgegevens dat een “waakhond moet kunnen bijten”.

Maar, in het eerste jaar, de fase waarin nog veel vragen zijn over de privacyregels, dient de overheid en dus de Autoriteit Persoonsgegevens zich volgens de Tweede Kamer zo hulpvaardig mogelijk op te stellen en zich primair te richten op voorlichting en hulp bij de interpretatie en uitvoering van de regelgeving. De Eerste Kamer is in een motie van de Tweede Kamer verzocht om dit bij de Autoriteit Persoonsgegevens te benadrukken.
Het ziet er derhalve naar uit dat bedrijven enigszins de ruimte zullen krijgen om kennis te vergaren en om vorm te geven aan de wijze waarop zij zullen voldoen aan de AVG. Maar, minder streng handhaven, is nog steeds handhaven! Er bestaat geen discussie over het feit dat bedrijven aan de privacywetgeving moeten voldoen. Voldoet het bedrijf al aan de Wet bescherming persoonsgegevens (Wbp – de wet die geldt totdat de AVG in werking treedt), dan zullen een aantal wijzigingen volgen binnen het bedrijf. Voldoet het bedrijf nog niet aan die wet, dan heeft het bedrijf een behoorlijke inhaalslag te maken op het gebied van bescherming van persoonsgegevens.
Wat kan de OR doen om op te komen voor de privacy rechten van werknemers?

De OR kan twee dingen doen. Bewustzijn creëren onder de werknemers van het bedrijf en gebruik maken van de vier bevoegdheden die hij heeft.

  1. Bewustzijn creëren onder werknemers!

Het is belangrijk dat alle werknemers binnen het bedrijf ervan op de hoogte zijn dat zij per 25 mei 2018 zorgvuldig moeten omgaan met persoonsgegevens van klanten, zakelijke relaties, maar ook met die van elkaar.

Wat zijn nu precies persoonsgegevens?
Persoonsgegevens zijn gegevens (informatie) die direct over iemand gaan of indirect naar een persoon zijn te herleiden. Directe persoonsgegevens zijn: NAW-gegevens, telefoonnummers, emailadressen en bankrekeningnummers. Indirecte gegevens zijn: WOZ-waarde, kentekennummer en IP-adres. Daarnaast bestaan er nog gevoelige c.q. bijzondere persoonsgegevens, zoals: Burgerservicenummer (BSN), ras (pasfoto), godsdienst, politieke voorkeur, seksuele leven, gezondheid en strafrechtelijk verleden.

Waarom moeten deze gegevens worden beschermd?
Het spreekt voor zich dat niemand graag wil dat persoonsgegevens “op straat komen te liggen”. Deze gegevens moeten dan ook door bedrijven worden beschermd om misbruik c.q. fraude (cybercrime) te voorkomen. Bedrijven mogen de gegevens niet zomaar verwerken. 

Wat is precies verwerken?
Verwerken betekent: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in elk geval het: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Er is dus al snel sprake van verwerking van persoonsgegevens.

Wanneer mag een bedrijf persoonsgegevens verwerken?
Een bedrijf mag in overeenstemming met de wet persoonsgegevens verwerken, als dit gebeurt op zorgvuldige en derhalve beveiligde wijze en alleen voor zover dit noodzakelijk is voor een specifiek doel. In dat kader heeft zij derhalve uitdrukkelijke toestemming nodig van de werknemers, klanten, zakenrelaties, etc. en moet zij hier bewijs van kunnen overleggen (ook systematiek). Dit kan door middel van het overleggen van verschillende documenten. Hiermee moet ook worden aangetoond dat de persoonsgegevens niet zonder toestemming met derden zijn gedeeld en ook niet langer zijn bewaard dan strikt noodzakelijk is. Overigens moeten zij ook worden bewaard op een server binnen de EU (of een land dat eenzelfde beschermingsniveau heeft).

Wat betekent dit?
Dit betekent verandering. Een bedrijf moet meestal aanvullende maatregelen nemen om de privacy in overeenstemming met de AVG te waarborgen. Aanvullende maatregelen kunnen zijn:

Er moet mogelijk een privacy officer worden aangesteld;
Beleid moet op sommige vlakken worden veranderd;
(HR)systemen moeten worden vervangen;
Beveiliging (van persoonsgegevens, systemen en materiaal) moet worden opgeschaald (ICT en fysiek);
Verwerkingsovereenkomsten moeten worden gesloten;
Er moet mogelijk een verwerkingsregister worden bijgehouden;
Er moet een (aangescherpte) privacyverklaring worden opgesteld;

Werknemers moeten de werkwijze veranderen en bewust omgaan met persoonsgegevens. Zij gaan immers ook om met persoonsgegevens. Persoonsgegevens van elkaar (HR-afdeling/ICT-afdeling/Financiële administratie, etc.), maar van klanten en zakenrelaties, etc. (marketingafdeling/klantcontactcentrum).

Wie heeft er belang bij bescherming van persoonsgegevens?
Er is een gezamenlijk ofwel collectief (Europees) belang. Werknemers, klanten, zakenrelaties, etc. willen niet dat persoonsgegevens “op straat komen te liggen”. Zij kunnen dan immers slachtoffer worden van fraude (cybercrime). Je kan hier grote (financiële) schade door lopen. Bedrijven willen niet dat er een (data)lek is, omdat de Autoriteit Persoonsgegevens dan grote boetes kan opleggen tot wel 20 miljoen euro. Daarnaast dient het bedrijf (materiële en immateriële) schade te vergoeden en loopt zij reputatieschade.

Welke rechten hebben betrokkenen?
Betrokkenen (werknemers, klanten en zakenrelaties, etc.) hebben het recht om door hen gegeven toestemming om persoonsgegevens te verwerken in te trekken. Zij hebben:
– het recht op inzage van hun gegevens;
– het recht op rectificatie van de gegevens;
– het recht op vergetelheid;
– het recht op beperking van verwerking van persoonsgegevens;
– het recht op overdraagbaarheid van persoonsgegevens; en
– het recht van bezwaar tegen verwerking van persoonsgegevens.

2. Bevoegdheden waar mogelijk aanwenden!

De OR heeft vier bevoegdheden waar hij gebruik van kan maken om op te komen voor de belangen van de werknemers. Dit zijn het instemmingsrecht, het recht op informatie, het adviesrecht en het initiatiefrecht.

Instemmingsrecht
Op grond van artikel 27 WOR heeft de directie instemming van de OR nodig vóór elk voorgenomen besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in het bedrijf werkzame personen.

Als de directie een regeling wil vaststellen, wijzigen of intrekken omtrent bijvoorbeeld: zieke werknemers (patiëntgegevens, ziekteverzuim en preventie), gebruik van sociale media door werknemers op de werkvloer, cameratoezicht (in welke ruimtes, bewaren van beelden, met welk doel), alcohol- en drugscontroles, etc. dan dient de OR vooraf in te stemmen met een dergelijke regeling.

Om te kunnen instemmen met beleid heeft de OR vaak meer gegevens nodig. Die gegevens kan hij verkrijgen door gebruik te maken van het recht op informatie.

Recht op informatie
Op grond van artikel 31 WOR heeft de OR het recht om tijdig alle informatie te verkrijgen die hij redelijkerwijs voor de vervulling van haar taak nodig heeft. De OR doet er goed aan om een verzoek te doen om (op financieel en sociaal vlak) te worden geïnformeerd wat een bedrijf eraan doet om aan de AVG te voldoen. Niet alleen op het gebied van beleid (instemmingsrecht), maar ook op het gebied van bijvoorbeeld de aanschaf van belangrijke technologische voorzieningen (adviesrecht). De OR kan hieromtrent concrete vragen stellen. De directie kan vervolgens duidelijkheid geven over welke gegevens in welke systemen worden verwerkt.

Dit kan bijvoorbeeld een (software)systeem zijn voor de HR-afdeling of de salarisadministratie. Er kan vervolgens een afweging worden gemaakt of het noodzakelijk is om bepaalde gegevens te verwerken. Ook kan bekeken worden of het beveiligingsniveau volstaat.
De OR kan – als hij zelf niet direct in staat is om een oordeel te vormen – en een OR-budget heeft in het kader van het recht op informatie, zonder voorafgaande toestemming, zelfstandig advies inwinnen van een deskundige. De deskundige kan een vergadering bijwonen, inlichtingen verstrekken en (schriftelijke) adviezen verstrekken. De kosten hiervoor worden in principe (evt. door voorafgaande toestemming van de directie) door het bedrijf gedragen

Adviesrecht
De OR wordt door de directie in de gelegenheid gesteld om advies uit te brengen over voorgenomen besluiten met betrekking tot belangrijke technologische voorzieningen, zoals bijvoorbeeld het vervangen van (HR-/ ICT-) systemen voor personeelsgegevens en loonadministratie. Is het bedrijf voornemens om andere systemen aan te schaffen? Dan moet de OR dus vooraf in de gelegenheid worden gesteld om advies uit te brengen over het voorgenomen besluit aan de directie. 

Initiatiefrecht
Tot slot heeft de OR op grond van artikel 23 WOR de mogelijkheid om een voorstel doen aan de directie, als hij bemerkt dat een bedrijf in het kader van de AVG te weinig doet om het recht op bescherming van persoonsgegevens van werknemers te waarborgen. De directie moet dan ook daadwerkelijk iets met dit voorstel doen. Voordat er een beslissing genomen wordt, moet zij minimaal één keer met de OR overleggen. Daarna zal zij aan de OR melden of zij het initiatief overneemt of niet. Gezien het gezamenlijke ofwel collectieve (Europees) belang, doet de directie er verstandig aan om goed te bekijken of het bedrijf voldoet aan de AVG.

De OR kan veel doen om op te komen voor de privacy rechten van werknemers.

Heeft u vragen naar aanleiding van dit artikel?

Neem contact op! of:

Schrijf u direct in voor onze Masterclass door een mail te sturen

naar: info@clearmanlegal.nl

Beperkt plaatsen beschikbaar.