De nieuwe Privacywetgeving (AVG) instemmingsplichtig?

WAAR TOETST DE OR DE AVG DAN OP?

Beluister heg Luisterboek en bekijk de sheets van de AVG-cursus 

De tijd dat je persoonlijke gegevens nog echt persoonlijk waren, lijkt al weer even geleden. Dat moet ongeveer eind jaren ’90 van de vorige eeuw zijn geweest. Sinds die tijd is er veel veranderd en zijn we allemaal misschien ook wat makkelijker geworden in het achter laten van onze gegevens. In de afgelopen decennia hebben we allemaal tal van informatie al dan niet via social media met Jan en Alleman gedeeld. 

Personeelsgegevens
Het verzamelen van persoonlijke data raakt de privacy van ons allemaal. Om de uitwassen van deze alsmaar toenemende datahonger van organisaties in te perken komt daarom per 25 mei 2018 nieuwe Europese privacywetgeving. Dit betekent dat de Wet bescherming persoonsgegevens zal verdwijnen en daarvoor in de plaats komt de zogenoemde Algemene Verordening Gegevensbescherming (AVG) ook wel GDPR genoemd, dat staat voor General Data Protection Regulation. 

Instemmingsplichtig
Bij de laatste grote wijziging van de Wet op de Ondernemingsraden werd het instemmingsrecht op bescherming van persoonsgegevens én het personeelscontrolesystemen van toepassing. Regelingen over privacybescherming van werknemers en personeelssystemen vallen sinds 1998 dus onder het instemmingsrecht van de ondernemingsraad. De uitwerking van deze nieuwe wetgeving is dan ook voor de OR belangrijk en met betrekking tot de verwerking van personeelsgegevens instemmingsplichtig.

Instemmingsverzoek voor 25 mei
Bepaald is dat in het instemmingstraject de OR onder andere zal moeten beoordelen of de persoonsgegevens van medewerkers rechtmatig, behoorlijk en transparant worden verwerkt. Vrijwel iedere ondernemingsraad in Nederland zou dan ook ruim vóór 25 mei aanstaande een instemmingsverzoek moeten ontvangen waarin wordt uitgelegd hoe hun organisatie aan de nieuwe wettelijke verplichtingen denkt te gaan voldoen. 

Verwerking
Belangrijk hier in is dat het doel voor de verwerking van personeelsgegevens vooraf bepaald én ook nauwkeurig omschreven is. Ook dient de verwerking ervan beperkt te blijven. Daarnaast moeten er alternatieven zijn onderzocht en mogen de persoonsgegevens niet langer worden bewaard dan strikt noodzakelijk is.

Taken van de ‘AVG-functionaris’
En als of dat nog niet genoeg is, de OR zal ervoor moeten waken dat het voor de medewerkers bekend is dat hun persoonsgegevens worden verwerkt en dat zij tijdig, juist en volledig hierover worden geïnformeerd. De ondernemingsraad moet er bovendien op toezien dat er passende beveiliging plaatsvindt op de gebruikte systemen dat deze worden gewaarborgd.

Verder is ook de omschrijving van de functie en de taken van de gegevensbescherming-functionaris instemmingsplichtig, evenals het uitvoeren van een in veel gevallen verplichte ‘Data Protection Impact Assessment.’

Is de OR hiervan al op de hoogte?
Zo niet, dan bevindt u zich in goed gezelschap. Hoewel de wet er al sinds mei 2016 is, is er op dit moment sprake van een overgangsperiode om aan de nieuwe wetgeving te voldoen. Toch zijn veel organisaties die zich nog maar net aan het oriënteren zijn op de consequenties die de AVG met zich meebrengt. Maar vanaf mei van dit jaar gaat er ook echt gehandhaafd worden. 

Voor wie
Ook zijn er genoeg organisaties en OR-en die in de veronderstelling leven dat de AVG hen helemaal niet raakt. Onterecht dus! Iedere OR zou vóór 25 mei een instemmingsverzoek moeten ontvangen die op flink wat punten bekeken zou moeten worden. Dat hier meer bij komt kijken dan je in eerste instantie verwacht, moge duidelijk zijn.

Hoge boetes
Organisaties die slordig omgaan met deze privacy kunnen een boete krijgen die kan oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet! Er kan bovendien makkelijker worden geklaagd bij de Autoriteit Persoonsgegevens als er onzorgvuldig met gegevens wordt omgegaan. 


Bereid je als OR voor op alle AVG-wijzigingen
Er is op internet een oerwoud van sites waar je overstelpt wordt met allerlei algemene informatie over de AVG. Ook zijn er adviesbureaus die, net als Odyssee, dieper in gaan op concrete vragen die ondernemingsraden hebben met de invoering van de nieuwe regelgeving. Odyssee organiseerde op 28 maart 2018 een webinar, waarin werd uitgelegd waar de OR bij de invoering van de AVG op moet letten.

Vanaf uw eigen (werk)plek kunt u online concrete informatie verzamelen over dit onderwerp via het 'audiobook'. Voor meer informatie hierover, klikt u hier

Beluister heg Luisterboek en bekijk de sheets van de AVG-cursus 



Michèl van Doorn adviseert als organisatieadviseur ondernemingsraden, management en HR- functionarissen over medezeggenschap vraagstukken in onder andere de zakelijke dienstverlening, de zorgsector en bij verschillende productiebedrijven. Hij verzorgt daarnaast vanuit zijn expertise trainingen op het gebied van de Wet op de Ondernemingsraden, financieel-economisch-, strategisch- en sociaal beleid.

m.v.doorn@odyssee-groep.nl
06 - 46 28 26 02