De AVG, wat moet je er als ondernemingsraad mee?

In mei 2018 werd de Algemene Verordening Gegevensbescherming (AVG) dwingend van kracht. Inmiddels is dat alweer drie jaar geleden. De verplichtingen uit de AVG bracht veel commotie teweeg. Veel ondernemers ervaren het nog steeds als lastige en onnodige ballast voor de bedrijfsvoering. De recente nieuwsberichten over incidenten en datalekken laten echter zien dat de beveiliging van persoonsgegevens serieus genomen moet worden en nog veel te wensen overlaat. Met deze blog wil ik zeer beknopt de AVG-onderdelen belichten die voor iedere ondernemer, van eenmanszaak tot multinational, in meer of mindere mate van toepassing zijn en welke rol er voor de medezeggenschap is weggelegd. De AVG eist aantoonbaarheid, dus alles moet uitgeschreven of op een andere manier inzichtelijk zijn.

Beleid en uitvoering

Belangrijk is natuurlijk dat je een beleid voert wat erop gericht is dat de verwerking van persoonsgegevens overeenkomstig de AVG plaatsvindt. Dit beleidsstuk hoeft geen immens boekwerk te zijn. Op enkele A4’tjes is te beschrijven wat je nastreeft.

In het privacyprotocol wordt specifieker beschreven hoe en op welke wijze het beleid wordt uitgevoerd. Met het protocol geef je tevens instructies aan medewerkers om persoonsgegevens in navolging van het beleid te verwerken. Het beleid en protocol zijn instemmingsplichtige regelingen onder artikel 27 lid 1 onder k WOR omdat deze gaan over de verwerking en bescherming van persoonsgegevens van de in de onderneming werkzame personen.

Inzicht in de verwerking

Alle bedrijfsprocessen waarmee persoonsgegevens worden verwerkt moeten zijn opgenomen in het Register van verwerkingsactiviteiten (dataregister). De vorm van dit register laat de AVG vrij. De inhoud van het register moet aan de vereisten uit artikel 30 AVG voldoen. Het dataregister is een inventarisatie van alle verwerkingen van persoonsgegevens en moet op eerste verzoek van de Autoriteit Persoonsgegevens (AP) kunnen worden overlegd. De ondernemingsraad heeft ten aanzien van dit register geen advies- of instemmingsrecht. Het is wel een belangrijke informatiebron. De informatie hieruit kan je gebruiken bij het bevorderen van het naleven van voorschriften op het gebied van arbeidsomstandigheden, artikel 28 lid 1 WOR.

De AVG regelt dat de verwerking van persoonsgegevens met passende technische en organisatorische maatregelen wordt beveiligd. Ondanks deze inspanningen gaat het toch vaak mis. In de onderneming moet daarom in een protocol geregeld zijn op welke wijze beveiligingsincidenten en datalekken overeenkomstig de AVG worden afgehandeld. Het niet juist opvolgen van datalekken kan door de AP zwaar worden beboet. Omdat dit een regeling is ter bescherming van persoonsgegevens van de in de onderneming werkzame personen, heeft de ondernemingsraad hierop eveneens instemmingsrecht.

In sommige gevallen moet voorafgaand aan de verwerking een risicobeoordeling worden uitgevoerd (DPIA). Een DPIA geeft een goed beeld van de verwerking en eventuele tekortkomingen in de beveiliging. De AP heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA verplicht is. Er is hierover ook een richtlijn van de Europese Artikel 29 werkgroep. Een DPIA is een inventarisatie van risico’s, een bron van informatie. Op het plan van aanpak wat hieruit kan volgen heeft de ondernemingsraad (net als bij de RI&E) instemmingsrecht.

Informatie en transparantie

De ondernemer moet zijn websitebezoekers, klanten, relaties en eventuele werknemers informeren over de verwerking van hun persoonsgegevens, op welke wijze dit gebeurt en hoe zij hun rechten hierop kunnen uitoefenen. Het informeren van klanten en relaties kan uitstekend met een privacyverklaring of -policy op je website. Het informeren van medewerkers gebeurt bij voorkeur met een privacyverklaring voor medewerkers. De ondernemingsraad heeft hierop geen

Toezicht op de verwerking van persoonsgegevens

De Autoriteit Persoonsgegevens is de nationale toezichthouder op naleving van de AVG. In sommige situaties zijn organisaties verplicht om een interne toezichthouder aan te stellen, een Functionaris voor gegevensbescherming (FG). Het aanstellen van en de regeling die daarmee samenhangt is ter bescherming van de persoonsgegevens en dus ook weer instemmingsplichtig. Dit instemmingsrecht geldt niet, zoals bij de Preventiemedewerker, ten aanzien van de persoon, maar wel op de regeling.

Overige regelingen

Op grond van de artikelen 27 lid 1 onder k en l WOR, heeft de ondernemingsraad instemmingsrecht op talloze andere regelingen die de privacy van medewerkers raken of kunnen raken. Ieder systeem wat de mogelijkheid biedt om medewerkers te volgen/controleren is instemmingsplichtig. Ook als dit (nog)niet als zodanig gebruikt wordt.

Training De AVG in de or-praktijk

Ten aanzien van privacy en in relatie tot de AVG hoort er dus nogal wat de ondernemingsraad te passeren. De praktijk wijst uit dat dit lang niet altijd gebeurt. En als het gebeurt, dan ontbreekt het de ondernemingsraad vaak aan inhoudelijke kennis van de AVG. Het is daarom belangrijk om ook de AVG een vast onderdeel te laten zijn van de jaarlijkse OR-scholing.
Op 16 september Open training  Training AVG in de OR-Praktijk  

Via Zeeland Retreats beveel ik , Jan Faasse van Faasse Juridische dienstverlening graag de training  De AVG in de OR-praktijk aan. Tijdens deze dagvullende training leer je als OR-lid op welke wijze je de privacybelangen van je collega’s kan behartigen. Bij veel instemmingsrechtelijke zaken speelt immers de verwerking van persoonsgegevens een rol. In de ochtend krijg je de juridische bagage mee. In de middag wordt dat toegepast op enkele realistische casussen en worden nog enkele voor de werkgever verplichte AVG-onderdelen besproken. In overleg en alleen bij een bedrijfs-or-training, is het ook mogelijk om tijdens de training een casus uit de eigen or-praktijk te behandelen. Al met al een leerzame training die ook voor HRM-medewerkers interessant is.