De rol van de OR bij privacy op de werkvloer


Als gemeente verwerk je niet alleen persoonsgegevens van je burgers maar ook van je eigen werknemers. Denk hierbij aan gegevens die worden bewaard in personeelsdossiers, het registreren van ziekteverzuim, screening van personeel et cetera. Sommige van deze verwerkingen kunnen heel ingrijpend zijn voor de privacy van je werknemers. Het is daarom belangrijk om hier rekening mee te houden. De ondernemingsraad (OR) speelt daarbij een belangrijke rol. Welke rol dit is, leg ik in deze blog uit.

Personeelsvolgsystemen

In elke organisatie met personeel worden persoonsgegevens verwerkt. In de basis is dit nodig voor zaken zoals de salarisadministratie en het registeren van (ziekte)verzuim. Daarnaast kan je als werkgever ook systemen gebruiken die bedoeld zijn voor waarneming van werknemers of op controle van hun aanwezigheid, gedrag of prestaties. Dit worden ook wel personeelsvolgsystemen genoemd. Voorbeelden hiervan zijn camera’s op de werkplek, GPS-systemen in (vracht)auto’s, wearables (zoals een smartwatch) en software die bijvoorbeeld toetsaanslagen, e-mailverkeer en/of internetgebruik van werknemers registeren.

Gebruik je als werkgever een bepaald systeem hier niet voor, maar zou dit wel kunnen? Dan wordt dit ook gezien als een personeelsvolgsysteem. Personeelsvolgsystemen komen daarom vrijwel in alle organisaties met personeel voor. Denk bijvoorbeeld aan een systeem waarin klantcontacten worden bijgehouden of systemen waarin dossiers worden bewaard en waarin wordt geregistreerd welke werknemer op welk moment een dossier raadpleegt. Dit zijn vaak systemen die niet als personeelsvolgsystemen zijn geïmplementeerd, maar wel zo te gebruiken zijn. Concrete voorbeelden hiervan zijn zaaksystemen, maar ook systemen zoals Suwinet-inkijk, waarbij medewerkers vaak specifiek op de hoogte zijn gesteld van wat er allemaal wordt gelogd. Ook deze systemen kunnen dus gebruikt worden als personeelsvolgsystemen.

Goed werkgeverschap

Zeker nu we sinds de corona-pandemie meer thuiswerken, zien we dat steeds meer werkgevers hun werknemers willen monitoren via personeelsvolgsystemen. Dit levert bij werknemers vragen op over hun privacy. Wanneer je als werkgever overweegt personeelsvolgsystemen in te zetten, is het daarom belangrijk dat je open en duidelijk bent tegen je werknemers over hoe je omgaat met hun persoonsgegevens. De ondernemingsraad (OR) kan hierbij een groot verschil maken, zij komen namelijk op voor de belangen van het personeel in een organisatie. De OR kan door advisering of instemming invloed hebben op de bedrijfsvoering.

Instemmingsrecht OR

De Wet op de Ondernemingsraden (WOR) heeft daarnaast bepaald dat de werkgever de OR moet vragen om ‘in te stemmen met regelingen waarvoor persoonsgegevens van werknemers worden verwerkt’. Kortom, de WOR geeft de OR instemmingsrecht bij regelingen waarvoor persoonsgegevens van werknemers worden verwerkt. Het instemmingsrecht houdt in dat de werkgever eerst instemming aan de OR moet vragen als zij een bepaalde regeling wil vaststellen, wijzigen of intrekken. De OR is dus medeverantwoordelijk voor de omgang met en de bescherming van persoonsgegevens van medewerkers, vooral bij personeelsvolgsystemen. Ook het wijzigen of intrekken van een bestaande regeling valt hieronder.

Het OR-privacyboekje

Maar wat is een persoonsgegeven precies? En wat verstaan we onder verwerken? Om te kunnen bepalen of instemmingsrecht van toepassing is, is het belangrijk om dit te weten. En als dit het geval is, dan is het belangrijk dat de OR goed voorbereid is en kritische vragen kan stellen. Om de OR op weg te helpen bij de afwegingen die zij moeten maken, heeft de Autoriteit Persoonsgegevens (AP) het ‘OR-privacyboekje’ ontwikkeld. Hierin wordt beschreven wat de rol van de OR is bij privacy op de werkvloer. De AP heeft het OR-privacyboekje gepubliceerd en aangeboden aan de Sociaal-Economische Raad (SER). De handreiking gaat in op de volgende onderwerpen:

  • Het instemmingsrecht van de OR
    Hoe weet je als OR of het instemmingsrecht van toepassing is? Om dit te bepalen moet je een aantal zaken weten, zoals: wat zijn (bijzondere) persoonsgegevens precies? Wanneer is er sprake van een verwerking van persoonsgegevens? En wie is dan de verwerkingsverantwoordelijke? De handreiking begint met een korte vragenlijst hierover. Voor de interpretatie van deze begrippen wordt gekeken naar de Algemene Verordening Gegevensbescherming (AVG).
  • De Algemene Verordening Gegevensbescherming (AVG)
    De AVG stelt strikte eisen aan het verwerken van persoonsgegevens. Deze eisen zijn uitgewerkt in een aantal basisvoorwaarden. In dit hoofdstuk worden de belangrijkste privacyregels uit de AVG toegelicht. Ook vind je hier een aantal voorbeelden en suggesties voor vragen, die je als OR kunt stellen om te checken of de plannen van de werkgever AVG-proof zijn.
  • Toetsingsvragen voor personeelsvolgsystemen
    Wanneer een werkgever zijn werknemers wil monitoren via personeelsvolgsystemen, levert dit vragen op over de privacy van de werknemers. In dit hoofdstuk worden toetsingsvragen benoemd die je als OR kunt stellen als de werkgever dit van plan is. Zoals:
    • Is er inderdaad sprake van een personeelsvolgsysteem?
    • En zo ja, is het wel nodig om dit systeem te gebruiken?
    • En hoe worden de werknemers op de hoogte gesteld van de observatie?

Je ziet, de OR speelt een cruciale rol als het gaat om privacy op de werkvloer. Het is dus belangrijk dat de OR goed op de hoogte is van de ontwikkelingen op het gebied van privacy binnen de organisatie en de gevolgen hiervan voor werknemers, zodat zij hierop kunnen acteren.

Meer informatie

Meer weten? Op de website van de Autoriteit Persoonsgegevens vind je de gehele handreiking ‘Het OR-privacyboekje’.

Heb je naar aanleiding van deze blog vragen of hulp nodig op dit vlak? Laat ons dit dan weten en neem contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in