De AVG – Wat moet de OR daarmee?

Vanaf 25 mei gelden nieuwe regels voor gegevensbescherming, vastgelegd in de AVG (Algemene Verordening Gegevensbescherming) en gebaseerd op nieuwe strenge(re) door de Europese Unie vastgestelde privacyregels. Waarschijnlijk heb je het de afgelopen weken ook gemerkt in je mailbox of de apps van je smartphone. Bij nogal wat apps of nieuwsbrieven die je ontvangt word je geconfronteerd met aangescherpte (privacy)voorwaarden. Maar wat kan, mag of moet de OR hier nu verder mee? En hoe AVG-proof is de OR zelf eigenlijk?

De AVG (voluit in het Engels: General Data Protection Regulation) vervangt per 25 mei de al sinds 2000 in Nederland van kracht zijnde wet op de bescherming persoonsgegevens (Wbp). En in die wet waren al heel veel zaken geregeld, zoals die nu ook in die nieuwe AVG staan. Maar de regels zijn verder uitgebreid en aangescherpt. Was de oorspronkelijke Wbp nog een gebaseerd op een Europese richtlijn, de AVG werkt op basis van een Europese verordening. Helder toch? Ja. Helder voor wie er zich (echt) in verdiept. Maar ook complex! Het is niet voor niets dat in vele nieuwsbrieven van welke organisatie dan ook er de laatste tijd zeer veel aandacht aan wordt besteed. Blijkbaar is de materie toch lastig en blijkbaar vergt het veel tijd en aandacht om iedereen die het betreft te bereiken en doorgronden van belang en noodzaak om de eigen gehanteerde privacy-regels kritisch onder de loep te nemen en aan te passen aan de AVG. We zetten even voor je op een rijtje  wat de AVG inhoudt.

De AVG en datalekken

Veel organisaties hebben een privacyreglement gebaseerd op de Wet bescherming persoonsgegevens. Daar zijn al eerder wat zaken aan toegevoegd, zoals de meldplicht datalekken (2016) en is de boetebevoegdheid van de AP (Autoriteit Persoonsgegevens) uitgebreid. Over dat datalekken zijn de regels aangescherpt. Zodra er een inbreuk is op de beveiliging van persoonsgegevens is er sprake van een datalek. Dan gaat het om (ongeautoriseerde) toegang, vernietiging, wijziging of vrijkomen van persoonsgegevens. Iedere werkgever is verplicht een datalek te documenteren én rapporteren.

Versterking en uitbreiding privacy rechten.

Organisaties mogen pas persoonsgegevens verwerken en opslaan nadat er persoonlijk toestemming voor is gegeven. Ook krijgen individuen het recht om gegevens in te zien, te laten corrigeren of aanvullen of zelfs te laten verwijderen (recht op vergetelheid). Een nieuw begrip is Dataportaliteit.  Dat houdt zoveel in dat je kan eisen dat naar alle andere organisaties aan welke jouw persoonsgegevens zijn doorgespeeld, wordt doorgegeven dat jouw gegevens verwijderd moeten worden. Tenslotte heb je recht op een beperking van verwerking van jouw gegevens tot datgene wat noodzakelijk is (proportioneel – functioneel). En je kunt bezwaar kunt maken, waarop binnen een maand actie gezet moet worden.

Voor werknemers gelden extra waarborgen, ook omdat zij in een (mogelijk) kwetsbare en afhankelijke positie verkeren. Dus met naam en toenaam en verder antecedenten medewerkers op een website plaatsen zonder nadrukkelijke toestemming, dat kan niet meer! Voor iedere verwerking moet de werknemer expliciet om toestemming worden gevraagd.

Verplichtingen en verantwoordelijkheden voor organisaties die gegevens verwerken.

Verantwoordingsplicht en grondslagen

Naast de uitbreiding van de privacy rechten, moeten organisaties die persoonsgegevens verwerken in het kader van hun zorgplicht en verantwoordelijkheid ook aan een fors aantal eisen en voorwaarden voldoen. Allereerst geldt voor alle organisaties die persoonsgegevens verwerken, dat zij moeten kunnen aantonen dat ze zich aan de wet (AVG) houden. Dat geldt voor alle persoonsgegevens die geautomatiseerd worden verwerkt.

Deze zogenaamde verantwoordingsplicht houdt in dat een organisatie of werkgever altijd moet kunnen aantonen dat hij de gegevens mag verwerken (dus er toestemming voor heeft gevraagd en verkregen) èn dat hij de juiste maatregelen heeft genomen om die verzamelde gegevens adequaat te beschermen.

Als een organisatie persoonsgegevens verzamelt moet er een zogenaamde geldige grondslag voor zijn. Daar zijn er zes van en deze houden zoveel in dat:

  1. er een rechtsgeldige toestemming moet zijn voor gegevensverwerking. En die moet expliciet zijn gevraagd en verkregen.
  2. de gegevens verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Denk aan een arbeidsovereenkomst, of een leveringsovereenkomst.
  3. het noodzakelijk is vanwege een wettelijke verplichting. Denk aan belasting plicht, kopie van een paspoort, burgerservice nummers, etc.
  4. er een noodzaak is vanwege aanmerkelijke vitale belangen. Als er levens op het spel staan mag de privacy geschonden worden!
  5. er een noodzaak is vanwege taken van algemeen belang of uitoefening van openbaar gezag
    (Grondslag 4 en 5 zullen nauwelijks voorkomen in bedrijven. Maar wel bij overheid en publieke diensten zoals de politie.)
  6. en dat de gegevensverwerking noodzakelijk is voor het behartigen van gerechtvaardigde belangen. Een lastige, maar denk aan toch zoiets eenvoudigs als een gedegen personeelsadministratie. Noodzakelijk om je bedrijfsactiviteiten te kunnen uitvoeren. Dat gaat verder dan alleen de (basis)gegevens van personeel. Ook beoordelingen, gegevens over gezondheid, pensioenen, emailadressen en wachtwoorden, lidmaatschap van vakbonden, brancheorganisaties, etc. Kortom, het kan van alles zijn. En met name de meer bijzondere persoonsgegevens vragen hier om extra zorgvuldigheid bij verwerking en opslag.

De FG: functionaris gegevensbescherming

We kennen al de preventiemedewerker, de bedrijfshulpverlener, de arbo-coördinator. En daar komt er mogelijk nog één bij: de FG’er. Dat is een functionaris, speciaal belast met de verwerking (procedures) en bescherming (systemen) van gegevens (van personen). Die zal lang niet altijd aangesteld moeten worden. Maar het geldt in ieder geval voor overheidsinstellingen (uitzondering de rechtbank), en voor organisaties die op grote(re) schaal allerlei persoonsgegevens verzamelen, met name omdat dit tot de kern van hun werkzaamheden behoort. Denk aan ziekenhuizen, verzekeraars, administratiekantoren, uitzendbureaus, etc. Hoewel het vaak niet verplicht is, adviseren we om toch iemand in de organisatie met de rol van FG’er te belasten, zich te laten specialiseren, of apart in te huren.

Data Protection Impact Assessment (DPIA)

Bij en rondom de Arbo kennen we allemaal de RIE. De risico inventarisatie en evaluatie, vertrekpunt voor arbobeleid. Iets dergelijk is ook bedacht rondom de privacy: de Data Protection Impact Assessment. Kortweg: DPIA. Hiermee worden vooraf alle risico’s voor wat betreft het verwerken van persoonsgegevens door een deskundige in kaart gebracht. En na de bestudering daarvan kan een plan van aanpak worden gemaakt om die maatregelen te treffen die (minimaal) noodzakelijk zijn.

Een DPIA is ook niet altijd verplicht. Maar wel zodra er sprake is van verwerken van gegevens met een verhoogd risico op de privacy. Uiteraard zijn ook daar weer criteria voor beschreven. In totaal negen stuks. En als er sprake is van tenminste 2 of meer van die criteria, dan moet er zo’n DPIA worden afgenomen. Overigens mag een organisatie zelf een inschatting maken of er sprake is van verhoogde risico’s.

De negen criteria:

  1. Er worden persoonskenmerken verzameld met als oogmerk om daarop mensen te beoordelen (profiling)
  2. De verzamelde gegevens kunnen leiden tot beslissingen met rechtgevolgen
  3. Stelselmatige en grootschalige monitoring
  4. Verwerking van gevoelige gegevens of van zeer persoonlijke aard.
  5. Op grote schaal verwerken van persoonsgegevens
  6. Gebruikmaken van gekoppelde databases
  7. Gegevensverwerking over kwetsbare (groepen van) personen
  8. Gebruik van nieuwe onbekende technologieën
  9. Verwerken van persoonsgegevens met als oogmerk om een recht, dienst of contract te blokkeren.

De inschatting is dat voor veel organisaties zo’n dpia niet nodig zal blijken te zijn. De toekomst zal dat moeten uitwijzen. Wees in ieder geval alert op de criteria. Bij twijfel vind je hier meer informatie.

Wat nog meer aan verplichtingen?

Privacy by Design en/of Privacy by Default

We zijn er nog niet. Het rijtje voor de ondernemer of organisatie gaat verder met zaken die moeten worden opgepakt om aan de AVG te voldoen. Stel je start vanaf de tekentafel. Als dat zo is heb je twee keuzes: Privacy by design en/of privacy by default. De eerste houdt zoveel in dat je bij het ontwerp van je systeem al voorziet in technologie en organisatie van de gegevensbescherming om de risico’s zo klein mogelijk te maken. En om uiteraard niet meer persoonsgegevens te verzamelen en op te slaan dan strikt noodzakelijk is.

De tweede houdt in dat je omgang met persoonsgegevens dusdanig privacy-proof is dat gebruikers niets aan de instellingen en/of functies hoeven te wijzigen om hun privacy optimaal te beschermen. Je verzamelt uitsluitend die persoonsgegevens die noodzakelijk zijn voor het specifieke doel, de gegevens worden niets langer bewaard dan strikt noodzakelijk is en de toegangspoort tot de gegevens is hermetisch gesloten voor iedereen die er niet doorheen mag!

Register van verwerkingsactiviteiten

Ook dat gaat tot de verplichtingen horen: het bijhouden in een register van welke persoonsgegevens, met welk doel en op welke wijze je verwerkt en opslaat. Dat geldt in ieder geval voor iedere organisatie met 250 of meer medewerkers. Maar het geldt ook voor kleine(re) organisaties, zodra er gegevens van medewerkers, klanten, patiënten, relaties, etc worden verwerkt, zeker als dat wat meer gevoelige informatie betreft.

Beveiligingsbeleid

Het gaat bij de AVG om geautomatiseerd verzamelde en verwerkte persoonsgegevens. En we weten het allemaal: voor je het weet ben je slachtoffer van een hack, of een ander lek. Dus beveiligen van de systemen hoort ook bij het AVG verhaal. Iedere organisatie die persoonsgegevens verwerkt moet een gegevensbeschermingsbeleid opstellen. Dat houdt zoveel in als: welke verwerkingen ga je doen, welke technologie ga je gebruiken, hoe ga je een en ander gaat organiseren en tenslotte hoe je er voor zorgt dat de beveiliging op orde is. Wat daar allemaal onder valt hangt uiteraard weer van de aard van de te beveiligen gegevens af. Maar denk maar aan anti-hack software, gegevens versleutelen, etc. Als criteria geldt net als bij Arbo: proportionaliteit: hoe gevoeliger de informatie – hoe beter beveiligd.  Wat kan er technisch – wat mag er bedrijfsmatig (aan investering) van een organisatie gevraagd worden.

Verwerkersovereenkomst

Als er andere partijen betrokken worden bij de verwerking (of bewerkingen) van de persoonsgegevens dan is een organisatie verplicht om een overeenkomst met die andere partijen af te sluiten. In die overeenkomst moet klip en klaar zijn geregeld om welke informatie het gaat, wat de andere partij er mee mag en zal gaan doen, wie er bij die andere partij toegang krijgt tot de gegevens, wat er na afloop met de gegevens gebeurt (wissen van bestanden), wederzijdse informatie verplichting bij calamiteiten, etc. De vertrouwelijkheid moet zijn benoemd, zoals ook de wijze van beveiligen bij die andere partij. En ook die andere partij is uiteraard gehouden aan wat de AVG voorschrijft.

De privacy verklaring

We begonnen ons overzicht met het benoemen van uw en mijn privacy-rechten. Wij hebben het recht om (vooraf) te weten wat er met onze persoonsgegevens gebeurt. Waar liggen die opgeslagen, wie heeft er toegang toe, hoelang worden ze bewaard, en met welk doel? Daarom geldt voor iedere organisatie de verplichting bij verwerking van persoonsgegevens om de betreffende personen vooraf toestemming te vragen, heldere uitleg te geven over hoe en wat en waar welke gegevens precies worden opgeslagen, hoelang ze worden bewaard, wie er toegang toe heeft, of de info ook voor andere partijen is bestemd, recht op inzien en (laten) corrigeren, of eventueel verwijderen van je gegevens en waar en hoe je je bezwaar kunt indienen.

Wat moet-mag-kan de OR hier verder mee?

Allereerst: De AVG is iets dat een werkgever moet regelen. En als een werkgever iets (wettelijk) moet, kan de OR daar uiteraard geen belemmeringen bij opwerpen. Maar wat nu als de werkgever het niet ‘goed’ doet, onvolledig of nalatig is, of slordig in de uitvoering? Ligt er dan een rol voor de OR? Dat bepaalt de OR in eerste instantie natuurlijk zelf. Vergelijk het maar met wat er in artikel 28 van de WOR staat over de stimuleringstaken van de OR. In dat artikel gaat het om een aantal daar beschreven onderwerpen: De OR bevordert naar vermogen dat de onderneming voorschriften en regels naleeft op het gebied van arbeidsvoorwaarden, arbeidstijden, milieuzorg, werkoverleg, gelijke behandeling, non-discriminatie, inschakelen gehandicapten en minderheden. Daar wordt privacy en de AVG (nog) niet genoemd. Maar wie weet zal dat er bij een volgende wetsaanpassing aan worden toegevoegd.

De AVG in de OV

Een andere ingang voor de OR is om vanuit het initiatiefrecht en het informatierecht het onderwerp AVG te laten agenderen voor de Overlegvergadering. De OR kan en mag te allen tijde vragen stellen. Al is het maar vanuit nieuwsgierigheid of zorgzaamheid. Maar ook om de gegevensbescherming van medewerkers te waarborgen. Want, al sinds de invoering van de wet bescherming persoonsgegevens (Wbp), in de WOR is in artikel 27, het instemmingsrecht onder lid 1-k opgenomen dat de ondernemer de instemming behoeft van de OR bij een voorgenomen besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van in de onderneming werkzame personen. En met de invoering van de AVG is het zeer wel denkbaar dat er in die bestaande regelingen aspecten zullen worden aangevuld of gewijzigd. Dus ook al is het een wettelijke verplichting voor een ondernemer om dit te doen, dan nog zal hij het traject met de OR van instemmingsrecht moeten bewandelen.

En hoe AVG-proof is de OR zelf?   

Resteert nog een laatste aandachtspunt: De OR zelf als orgaan dat persoonsgegevens verwerkt. Een tot nu toe nog niet of nauwelijks belicht aspect van de AVG. Ook de OR heeft een archief, en heden ten dage is dat meestal in digitale vorm. Denk alleen al aan de verslagen van OR en commissievergaderingen en de OV. Maar ook de data die worden verzameld rondom verkiezingen. Daar zitten ongetwijfeld persoonsgegevens bij die zouden kunnen vallen onder de noemer privacygevoelig. Denk aan kandidaatstelling van personen, lidmaatschap vakorganisaties, aard en lengte dienstverband, vorm arbeidscontract en eventueel verder meer vertrouwelijke aan personen gerelateerde informatie. Dat verzamelen of registreren van persoonsgegevens kan zich ook voordoen rondom de behandeling van bepaalde inhoudelijke onderwerpen. Al is het maar met een kleine (ogenschijnlijk onschuldige) verwijzing in een verslag!

AVG vastlegging tips voor de OR

Maak als OR heldere afspraken met elkaar en leg deze vast in een interne nota verwerking vertrouwelijke persoonsgegevens. Ieder OR lid conformeert zich daaraan. De secretaris of ambtelijk secretaris kan als FG’er gaan functioneren. In die nota beschrijf je dat als de OR (vertrouwelijke) persoonsgegevens verzamelt en bewaart dat gaat aan de hand van de volgende afspraken:

  1. Wat of welke informatie (1), over welke personen (2), met welk doel (3) en waar, op welke plek en hoe (4) wordt door de OR bewaard. Bepaal ook wat de bewaartermijn (5) is.
  2. De betreffende personen worden hierover geïnformeerd en om toestemming gevraagd (6). Daarbij geef je aan dat zij het recht hebben een en ander te kunnen inzien of laten corrigeren (7) of zelfs laten verwijderen (8) en hoe zij desgewenst bezwaar (9) kunnen maken.
  3. Zorg er vervolgens voor dat jullie bestanden goed zijn afgeschermd (10) en alleen toegankelijk (11) voor die personen die daartoe geautoriseerd zijn.

Daarmee is in ieder geval de ondernemingsraad AVG-proof!

Voor wie geïnteresseerd is in meer details verwijzen we graag naar de volgende bronnen: https://autoriteitpersoonsgegevens.nl/nl of: https://www.privacywet.nl/  of: https://www.personeelsnet.nl/toolsenextras/onderwerpen/privacy-avg.

Mail ons
Bel me terug
Bel (033) 434 58 00

neem gerust contact met ons op