Skip to main content

De rol van de OR bij privacy op de werkvloer


Als gemeente verwerk je niet alleen persoonsgegevens van je burgers maar ook van je eigen werknemers. Denk hierbij aan gegevens die worden bewaard in personeelsdossiers, het registreren van ziekteverzuim, screening van personeel et cetera. Sommige van deze verwerkingen kunnen heel ingrijpend zijn voor de privacy van je werknemers. Het is daarom belangrijk om hier rekening mee te houden. De ondernemingsraad (OR) speelt daarbij een belangrijke rol. Welke rol dit is, leg ik in deze blog uit.

Personeelsvolgsystemen

In elke organisatie met personeel worden persoonsgegevens verwerkt. In de basis is dit nodig voor zaken zoals de salarisadministratie en het registeren van (ziekte)verzuim. Daarnaast kan je als werkgever ook systemen gebruiken die bedoeld zijn voor waarneming van werknemers of op controle van hun aanwezigheid, gedrag of prestaties. Dit worden ook wel personeelsvolgsystemen genoemd. Voorbeelden hiervan zijn camera’s op de werkplek, GPS-systemen in (vracht)auto’s, wearables (zoals een smartwatch) en software die bijvoorbeeld toetsaanslagen, e-mailverkeer en/of internetgebruik van werknemers registeren.

Gebruik je als werkgever een bepaald systeem hier niet voor, maar zou dit wel kunnen? Dan wordt dit ook gezien als een personeelsvolgsysteem. Personeelsvolgsystemen komen daarom vrijwel in alle organisaties met personeel voor. Denk bijvoorbeeld aan een systeem waarin klantcontacten worden bijgehouden of systemen waarin dossiers worden bewaard en waarin wordt geregistreerd welke werknemer op welk moment een dossier raadpleegt. Dit zijn vaak systemen die niet als personeelsvolgsystemen zijn geïmplementeerd, maar wel zo te gebruiken zijn. Concrete voorbeelden hiervan zijn zaaksystemen, maar ook systemen zoals Suwinet-inkijk, waarbij medewerkers vaak specifiek op de hoogte zijn gesteld van wat er allemaal wordt gelogd. Ook deze systemen kunnen dus gebruikt worden als personeelsvolgsystemen.

Goed werkgeverschap

Zeker nu we sinds de corona-pandemie meer thuiswerken, zien we dat steeds meer werkgevers hun werknemers willen monitoren via personeelsvolgsystemen. Dit levert bij werknemers vragen op over hun privacy. Wanneer je als werkgever overweegt personeelsvolgsystemen in te zetten, is het daarom belangrijk dat je open en duidelijk bent tegen je werknemers over hoe je omgaat met hun persoonsgegevens. De ondernemingsraad (OR) kan hierbij een groot verschil maken, zij komen namelijk op voor de belangen van het personeel in een organisatie. De OR kan door advisering of instemming invloed hebben op de bedrijfsvoering.

Instemmingsrecht OR

De Wet op de Ondernemingsraden (WOR) heeft daarnaast bepaald dat de werkgever de OR moet vragen om ‘in te stemmen met regelingen waarvoor persoonsgegevens van werknemers worden verwerkt’. Kortom, de WOR geeft de OR instemmingsrecht bij regelingen waarvoor persoonsgegevens van werknemers worden verwerkt. Het instemmingsrecht houdt in dat de werkgever eerst instemming aan de OR moet vragen als zij een bepaalde regeling wil vaststellen, wijzigen of intrekken. De OR is dus medeverantwoordelijk voor de omgang met en de bescherming van persoonsgegevens van medewerkers, vooral bij personeelsvolgsystemen. Ook het wijzigen of intrekken van een bestaande regeling valt hieronder.

Het OR-privacyboekje

Maar wat is een persoonsgegeven precies? En wat verstaan we onder verwerken? Om te kunnen bepalen of instemmingsrecht van toepassing is, is het belangrijk om dit te weten. En als dit het geval is, dan is het belangrijk dat de OR goed voorbereid is en kritische vragen kan stellen. Om de OR op weg te helpen bij de afwegingen die zij moeten maken, heeft de Autoriteit Persoonsgegevens (AP) het ‘OR-privacyboekje’ ontwikkeld. Hierin wordt beschreven wat de rol van de OR is bij privacy op de werkvloer. De AP heeft het OR-privacyboekje gepubliceerd en aangeboden aan de Sociaal-Economische Raad (SER). De handreiking gaat in op de volgende onderwerpen:

  • Het instemmingsrecht van de OR
    Hoe weet je als OR of het instemmingsrecht van toepassing is? Om dit te bepalen moet je een aantal zaken weten, zoals: wat zijn (bijzondere) persoonsgegevens precies? Wanneer is er sprake van een verwerking van persoonsgegevens? En wie is dan de verwerkingsverantwoordelijke? De handreiking begint met een korte vragenlijst hierover. Voor de interpretatie van deze begrippen wordt gekeken naar de Algemene Verordening Gegevensbescherming (AVG).
  • De Algemene Verordening Gegevensbescherming (AVG)
    De AVG stelt strikte eisen aan het verwerken van persoonsgegevens. Deze eisen zijn uitgewerkt in een aantal basisvoorwaarden. In dit hoofdstuk worden de belangrijkste privacyregels uit de AVG toegelicht. Ook vind je hier een aantal voorbeelden en suggesties voor vragen, die je als OR kunt stellen om te checken of de plannen van de werkgever AVG-proof zijn.
  • Toetsingsvragen voor personeelsvolgsystemen
    Wanneer een werkgever zijn werknemers wil monitoren via personeelsvolgsystemen, levert dit vragen op over de privacy van de werknemers. In dit hoofdstuk worden toetsingsvragen benoemd die je als OR kunt stellen als de werkgever dit van plan is. Zoals:
    • Is er inderdaad sprake van een personeelsvolgsysteem?
    • En zo ja, is het wel nodig om dit systeem te gebruiken?
    • En hoe worden de werknemers op de hoogte gesteld van de observatie?

Je ziet, de OR speelt een cruciale rol als het gaat om privacy op de werkvloer. Het is dus belangrijk dat de OR goed op de hoogte is van de ontwikkelingen op het gebied van privacy binnen de organisatie en de gevolgen hiervan voor werknemers, zodat zij hierop kunnen acteren.

Meer informatie

Meer weten? Op de website van de Autoriteit Persoonsgegevens vind je de gehele handreiking ‘Het OR-privacyboekje’.

Heb je naar aanleiding van deze blog vragen of hulp nodig op dit vlak? Laat ons dit dan weten en neem contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Veiligheid begint met inzicht: zo geef je kwetsbaarhedenbeheer vorm

Het is belangrijk om kwetsbaarheden niet ad hoc, maar structureel aan te pakken. Niet alleen binnen je eigen ICT-omgeving, maar ook daarbuiten. In deze blog leggen we uit wat kwetsbaarhedenbeheer is, waarom het zo belangrijk is en hoe je het goed …

Hoe interne audits leiden tot verbetering

Informatiebeveiliging en privacy zijn essentieel, vooral voor gemeenten die werken met gevoelige gegevens en kritieke processen. Risicobeheer, naleving van wetgeving en continue verbetering zijn hierbij onmisbaar. Naast IT- en security-experts spe…

Het algoritmeregister: Hoe gemeenten algoritmes verantwoord inzetten

Steeds meer gemeenten gebruiken algoritmes om hun werk efficiënter te maken. Handig, maar het brengt ook risico’s met zich mee voor privacy, veiligheid en transparantie. Daarom is er sinds 2022 een landelijk algoritmeregister. In deze blog lees je…

Waarom een DPIA onmisbaar is binnen gemeentelijke projecten

Vanuit de AVG en BIO moet je als gemeente allerlei (verplichte) maatregelen nemen. Zo moet je bij gegevensverwerkingen met een hoog privacyrisico een Data Protection Impact Assessment (DPIA) uitvoeren. In deze blog lees je wat een DPIA precies is …

In 5 stappen naar een succesvolle GAP-analyse van de BIO

: Een GAP-analyse geeft snel inzicht in hoeverre jouw gemeente voldoet aan de normen van de BIO. Het laat zien wat al goed geregeld is en waar nog verbeteringen nodig zijn. Maar hoe voer je een GAP-analyse effectief uit? In deze blog ontdek je het…

Wat is ethisch hacken en waarom is het belangrijk?

Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en ne…