De rol van de OR bij privacy op de werkvloer


Als gemeente verwerk je niet alleen persoonsgegevens van je burgers maar ook van je eigen werknemers. Denk hierbij aan gegevens die worden bewaard in personeelsdossiers, het registreren van ziekteverzuim, screening van personeel et cetera. Sommige van deze verwerkingen kunnen heel ingrijpend zijn voor de privacy van je werknemers. Het is daarom belangrijk om hier rekening mee te houden. De ondernemingsraad (OR) speelt daarbij een belangrijke rol. Welke rol dit is, leg ik in deze blog uit.

Personeelsvolgsystemen

In elke organisatie met personeel worden persoonsgegevens verwerkt. In de basis is dit nodig voor zaken zoals de salarisadministratie en het registeren van (ziekte)verzuim. Daarnaast kan je als werkgever ook systemen gebruiken die bedoeld zijn voor waarneming van werknemers of op controle van hun aanwezigheid, gedrag of prestaties. Dit worden ook wel personeelsvolgsystemen genoemd. Voorbeelden hiervan zijn camera’s op de werkplek, GPS-systemen in (vracht)auto’s, wearables (zoals een smartwatch) en software die bijvoorbeeld toetsaanslagen, e-mailverkeer en/of internetgebruik van werknemers registeren.

Gebruik je als werkgever een bepaald systeem hier niet voor, maar zou dit wel kunnen? Dan wordt dit ook gezien als een personeelsvolgsysteem. Personeelsvolgsystemen komen daarom vrijwel in alle organisaties met personeel voor. Denk bijvoorbeeld aan een systeem waarin klantcontacten worden bijgehouden of systemen waarin dossiers worden bewaard en waarin wordt geregistreerd welke werknemer op welk moment een dossier raadpleegt. Dit zijn vaak systemen die niet als personeelsvolgsystemen zijn geïmplementeerd, maar wel zo te gebruiken zijn. Concrete voorbeelden hiervan zijn zaaksystemen, maar ook systemen zoals Suwinet-inkijk, waarbij medewerkers vaak specifiek op de hoogte zijn gesteld van wat er allemaal wordt gelogd. Ook deze systemen kunnen dus gebruikt worden als personeelsvolgsystemen.

Goed werkgeverschap

Zeker nu we sinds de corona-pandemie meer thuiswerken, zien we dat steeds meer werkgevers hun werknemers willen monitoren via personeelsvolgsystemen. Dit levert bij werknemers vragen op over hun privacy. Wanneer je als werkgever overweegt personeelsvolgsystemen in te zetten, is het daarom belangrijk dat je open en duidelijk bent tegen je werknemers over hoe je omgaat met hun persoonsgegevens. De ondernemingsraad (OR) kan hierbij een groot verschil maken, zij komen namelijk op voor de belangen van het personeel in een organisatie. De OR kan door advisering of instemming invloed hebben op de bedrijfsvoering.

Instemmingsrecht OR

De Wet op de Ondernemingsraden (WOR) heeft daarnaast bepaald dat de werkgever de OR moet vragen om ‘in te stemmen met regelingen waarvoor persoonsgegevens van werknemers worden verwerkt’. Kortom, de WOR geeft de OR instemmingsrecht bij regelingen waarvoor persoonsgegevens van werknemers worden verwerkt. Het instemmingsrecht houdt in dat de werkgever eerst instemming aan de OR moet vragen als zij een bepaalde regeling wil vaststellen, wijzigen of intrekken. De OR is dus medeverantwoordelijk voor de omgang met en de bescherming van persoonsgegevens van medewerkers, vooral bij personeelsvolgsystemen. Ook het wijzigen of intrekken van een bestaande regeling valt hieronder.

Het OR-privacyboekje

Maar wat is een persoonsgegeven precies? En wat verstaan we onder verwerken? Om te kunnen bepalen of instemmingsrecht van toepassing is, is het belangrijk om dit te weten. En als dit het geval is, dan is het belangrijk dat de OR goed voorbereid is en kritische vragen kan stellen. Om de OR op weg te helpen bij de afwegingen die zij moeten maken, heeft de Autoriteit Persoonsgegevens (AP) het ‘OR-privacyboekje’ ontwikkeld. Hierin wordt beschreven wat de rol van de OR is bij privacy op de werkvloer. De AP heeft het OR-privacyboekje gepubliceerd en aangeboden aan de Sociaal-Economische Raad (SER). De handreiking gaat in op de volgende onderwerpen:

  • Het instemmingsrecht van de OR
    Hoe weet je als OR of het instemmingsrecht van toepassing is? Om dit te bepalen moet je een aantal zaken weten, zoals: wat zijn (bijzondere) persoonsgegevens precies? Wanneer is er sprake van een verwerking van persoonsgegevens? En wie is dan de verwerkingsverantwoordelijke? De handreiking begint met een korte vragenlijst hierover. Voor de interpretatie van deze begrippen wordt gekeken naar de Algemene Verordening Gegevensbescherming (AVG).
  • De Algemene Verordening Gegevensbescherming (AVG)
    De AVG stelt strikte eisen aan het verwerken van persoonsgegevens. Deze eisen zijn uitgewerkt in een aantal basisvoorwaarden. In dit hoofdstuk worden de belangrijkste privacyregels uit de AVG toegelicht. Ook vind je hier een aantal voorbeelden en suggesties voor vragen, die je als OR kunt stellen om te checken of de plannen van de werkgever AVG-proof zijn.
  • Toetsingsvragen voor personeelsvolgsystemen
    Wanneer een werkgever zijn werknemers wil monitoren via personeelsvolgsystemen, levert dit vragen op over de privacy van de werknemers. In dit hoofdstuk worden toetsingsvragen benoemd die je als OR kunt stellen als de werkgever dit van plan is. Zoals:
    • Is er inderdaad sprake van een personeelsvolgsysteem?
    • En zo ja, is het wel nodig om dit systeem te gebruiken?
    • En hoe worden de werknemers op de hoogte gesteld van de observatie?

Je ziet, de OR speelt een cruciale rol als het gaat om privacy op de werkvloer. Het is dus belangrijk dat de OR goed op de hoogte is van de ontwikkelingen op het gebied van privacy binnen de organisatie en de gevolgen hiervan voor werknemers, zodat zij hierop kunnen acteren.

Meer informatie

Meer weten? Op de website van de Autoriteit Persoonsgegevens vind je de gehele handreiking ‘Het OR-privacyboekje’.

Heb je naar aanleiding van deze blog vragen of hulp nodig op dit vlak? Laat ons dit dan weten en neem contact met ons op.

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…