Skip to main content

De rol van de OR bij privacy op de werkvloer


Als gemeente verwerk je niet alleen persoonsgegevens van je burgers maar ook van je eigen werknemers. Denk hierbij aan gegevens die worden bewaard in personeelsdossiers, het registreren van ziekteverzuim, screening van personeel et cetera. Sommige van deze verwerkingen kunnen heel ingrijpend zijn voor de privacy van je werknemers. Het is daarom belangrijk om hier rekening mee te houden. De ondernemingsraad (OR) speelt daarbij een belangrijke rol. Welke rol dit is, leg ik in deze blog uit.

Personeelsvolgsystemen

In elke organisatie met personeel worden persoonsgegevens verwerkt. In de basis is dit nodig voor zaken zoals de salarisadministratie en het registeren van (ziekte)verzuim. Daarnaast kan je als werkgever ook systemen gebruiken die bedoeld zijn voor waarneming van werknemers of op controle van hun aanwezigheid, gedrag of prestaties. Dit worden ook wel personeelsvolgsystemen genoemd. Voorbeelden hiervan zijn camera’s op de werkplek, GPS-systemen in (vracht)auto’s, wearables (zoals een smartwatch) en software die bijvoorbeeld toetsaanslagen, e-mailverkeer en/of internetgebruik van werknemers registeren.

Gebruik je als werkgever een bepaald systeem hier niet voor, maar zou dit wel kunnen? Dan wordt dit ook gezien als een personeelsvolgsysteem. Personeelsvolgsystemen komen daarom vrijwel in alle organisaties met personeel voor. Denk bijvoorbeeld aan een systeem waarin klantcontacten worden bijgehouden of systemen waarin dossiers worden bewaard en waarin wordt geregistreerd welke werknemer op welk moment een dossier raadpleegt. Dit zijn vaak systemen die niet als personeelsvolgsystemen zijn geïmplementeerd, maar wel zo te gebruiken zijn. Concrete voorbeelden hiervan zijn zaaksystemen, maar ook systemen zoals Suwinet-inkijk, waarbij medewerkers vaak specifiek op de hoogte zijn gesteld van wat er allemaal wordt gelogd. Ook deze systemen kunnen dus gebruikt worden als personeelsvolgsystemen.

Goed werkgeverschap

Zeker nu we sinds de corona-pandemie meer thuiswerken, zien we dat steeds meer werkgevers hun werknemers willen monitoren via personeelsvolgsystemen. Dit levert bij werknemers vragen op over hun privacy. Wanneer je als werkgever overweegt personeelsvolgsystemen in te zetten, is het daarom belangrijk dat je open en duidelijk bent tegen je werknemers over hoe je omgaat met hun persoonsgegevens. De ondernemingsraad (OR) kan hierbij een groot verschil maken, zij komen namelijk op voor de belangen van het personeel in een organisatie. De OR kan door advisering of instemming invloed hebben op de bedrijfsvoering.

Instemmingsrecht OR

De Wet op de Ondernemingsraden (WOR) heeft daarnaast bepaald dat de werkgever de OR moet vragen om ‘in te stemmen met regelingen waarvoor persoonsgegevens van werknemers worden verwerkt’. Kortom, de WOR geeft de OR instemmingsrecht bij regelingen waarvoor persoonsgegevens van werknemers worden verwerkt. Het instemmingsrecht houdt in dat de werkgever eerst instemming aan de OR moet vragen als zij een bepaalde regeling wil vaststellen, wijzigen of intrekken. De OR is dus medeverantwoordelijk voor de omgang met en de bescherming van persoonsgegevens van medewerkers, vooral bij personeelsvolgsystemen. Ook het wijzigen of intrekken van een bestaande regeling valt hieronder.

Het OR-privacyboekje

Maar wat is een persoonsgegeven precies? En wat verstaan we onder verwerken? Om te kunnen bepalen of instemmingsrecht van toepassing is, is het belangrijk om dit te weten. En als dit het geval is, dan is het belangrijk dat de OR goed voorbereid is en kritische vragen kan stellen. Om de OR op weg te helpen bij de afwegingen die zij moeten maken, heeft de Autoriteit Persoonsgegevens (AP) het ‘OR-privacyboekje’ ontwikkeld. Hierin wordt beschreven wat de rol van de OR is bij privacy op de werkvloer. De AP heeft het OR-privacyboekje gepubliceerd en aangeboden aan de Sociaal-Economische Raad (SER). De handreiking gaat in op de volgende onderwerpen:

  • Het instemmingsrecht van de OR
    Hoe weet je als OR of het instemmingsrecht van toepassing is? Om dit te bepalen moet je een aantal zaken weten, zoals: wat zijn (bijzondere) persoonsgegevens precies? Wanneer is er sprake van een verwerking van persoonsgegevens? En wie is dan de verwerkingsverantwoordelijke? De handreiking begint met een korte vragenlijst hierover. Voor de interpretatie van deze begrippen wordt gekeken naar de Algemene Verordening Gegevensbescherming (AVG).
  • De Algemene Verordening Gegevensbescherming (AVG)
    De AVG stelt strikte eisen aan het verwerken van persoonsgegevens. Deze eisen zijn uitgewerkt in een aantal basisvoorwaarden. In dit hoofdstuk worden de belangrijkste privacyregels uit de AVG toegelicht. Ook vind je hier een aantal voorbeelden en suggesties voor vragen, die je als OR kunt stellen om te checken of de plannen van de werkgever AVG-proof zijn.
  • Toetsingsvragen voor personeelsvolgsystemen
    Wanneer een werkgever zijn werknemers wil monitoren via personeelsvolgsystemen, levert dit vragen op over de privacy van de werknemers. In dit hoofdstuk worden toetsingsvragen benoemd die je als OR kunt stellen als de werkgever dit van plan is. Zoals:
    • Is er inderdaad sprake van een personeelsvolgsysteem?
    • En zo ja, is het wel nodig om dit systeem te gebruiken?
    • En hoe worden de werknemers op de hoogte gesteld van de observatie?

Je ziet, de OR speelt een cruciale rol als het gaat om privacy op de werkvloer. Het is dus belangrijk dat de OR goed op de hoogte is van de ontwikkelingen op het gebied van privacy binnen de organisatie en de gevolgen hiervan voor werknemers, zodat zij hierop kunnen acteren.

Meer informatie

Meer weten? Op de website van de Autoriteit Persoonsgegevens vind je de gehele handreiking ‘Het OR-privacyboekje’.

Heb je naar aanleiding van deze blog vragen of hulp nodig op dit vlak? Laat ons dit dan weten en neem contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.

De kracht van ambassadeurs

Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…