Wie heeft er nog niet over gehoord? Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. Organisaties zullen dan hun zaken op orde moeten hebben om de privacy van werknemers, consumenten, patiënten etc. te beschermen. De angst voor hoge boetes opgelegd door de Autoriteit Persoonsgegeven (max. 20 mln of 4% van wereldwijde omzet) heerst. De ondernemingsraad speelt niet zozeer een rol bij het aanpassen van de bedrijfsvoering aan de nieuwe regels. Toch is de ondernemingsraad geen speler aan de zijlijn. De ondernemingsraad zal echter in veel gevallen alert moeten zijn en zijn rol als (ster?)speler op het veld moeten claimen.

In welke situaties moet de ondernemingsraad opletten, zodat hij zijn positie kan claimen?

Zoals gezegd is het omzetten van de regels van de Algemene verordening gegevensbescherming binnen de organisatie op zichzelf niet advies- of instemmingsplichtig. Privacy speelt wel een rol bij veel onderwerpen. Zo dient de ondernemingsraad alert te zijn of, in het kader van het adviesrecht, de informatie over de personele gevolgen en de opvang hiervan (artikel 25 lid 3 WOR) de privacy van werknemers raakt. Dit kan bijvoorbeeld het geval zijn als lijsten worden verstrekt waarop direct of indirect herleidbare informatie over werknemers staat. Welke afspraken worden hierover bijvoorbeeld met een extern adviesbureau gemaakt?

De interne veranderingen op het gebied van privacy zouden wel kunnen leiden tot de invoering of wijziging van een belangrijke technologische voorziening en aldus een adviesrecht met zich meebrengen. Is er bij de aanschaf van een nieuwe voorziening überhaupt wel gelet op de privacyaspecten? Wat kan dat nieuwe informaticasysteem allemaal ‘zien’? Wanneer er bijvoorbeeld bij een koeriersdienst een nieuwe bedrijfswagenvloot wordt aangeschaft (mogelijk belangrijke investering?) is het eveneens de vraag welke gegevens het nieuwe track &t race-systeem van de bedrijfswagens allemaal registreert. Is er sprake van waarneming van de werknemers? En met welk doel? De ondernemingsraad moet zich op deze wijze bij elke advies- of instemmingsaanvraag afvragen of er privacyaspecten aan het besluit vastzitten en deze meenemen in de overwegingen, de argumenten en de gevolgen voor het personeel.

Zeker bij onderwerpen onder het instemmingsrecht speelt privacy een rol. Dit is vanzelfsprekend bij een voorgenomen besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van persoonsgegevens van de in de onderneming werkzame personen. Voorbeelden hiervan zijn regelingen over hoe om te gaan met persoonsgegevens van camera’s (opslag, beveiliging, vernietiging, toegang), van ziekteverzuim, in de salarisadministratie of bij de beoordelingscyclus. Ook is instemming van de ondernemingsraad vereist indien er sprake is van een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen. Denk dan aan een camerasysteem of toegangspoortjes. Overigens is niet van belang of werknemers er mee gecontroleerd worden, maar of dit met de voorziening mogelijk is. Het betreft bovendien niet enkel instemming op de regeling, maar eveneens op de voorziening zelf.

Wil je meer weten over de AVG in het algemeen en wat de rol is van de ondernemingsraad? Kijk dan vrijdag 16 maart aanstaande naar het seminar over dit onderwerp, gegeven door mrs. Stefan Jansen en Ineke van de Pas.

WEBINAR PRIVACY-RECHT:
IS DE ORGANISATIE AL AVG-PROOF?
16 maart | 10:00 – 11:00

De nieuwe privacywetgeving: ben jij goed voorbereid? Elke organisatie kan onder het vergrootglas komen te liggen van de Autoriteit Persoonsgegevens. Veelgehoorde uitspraken de afgelopen periode waren: “2018 wordt het jaar van de waarheid”, “Als jouw bedrijf de zaken niet op orde heeft, ga je ten onder”. De Algemene Verordening Gegevensbescherming (AVG) gaat namelijk in op 25 mei 2018 en geldt dan in de hele EU..

Share This