Privacy en de rol van ondernemingsraden

door | 4 juni 2020 | Niet gecategoriseerd | 0 Reacties

Welke rol heeft de ondernemingsraad (OR) bij de implementatie van de AVG/GDPR?

Ondernemingsraden spelen bij de  privacybescherming  van medewerkers  op  de  werkplek  een  cruciale  rol.  De Wet op de  Ondernemingsraden  bepaalt  dat  een  ondernemer  de instemming  van  de  ondernemingsraad  nodig  heeft  als  hij regelingen  voor  persoonsgegevens  van  medewerkers  wil verwerken.  Per 1 september 2001 is de Algemene Verordening Persoonsgegevens in werking getreden als de opvolger van de Wet Bescherming Persoonsgegevens. Reden voor de Autoriteit Persoonsgegevens om de “Checklist voor ondernemingsraden”, die gebaseerd was op de Wet Persoonsregistraties, aan te passen aan deze nieuwe wet.

De OR heeft diverse bevoegdheden, waaronder:

  • het recht op informatie (artikel 31 e.v. WOR)
  • het adviesrecht (artikel 25 lid WOR)
  • het beroepsrecht (artikel 26 WOR)
  • het instemmingsrecht (artikel 27 WOR)
  • het initiatiefrecht (artikel 23 WOR).

Instemmingsrecht

In artikel 27 lid 1 sub k WOR is bepaald dat een besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van, alsmede de bescherming van persoonsgegevens van de werknemers instemmingsplichtig is. Bijna elke onderneming heeft inmiddels een privacybeleid opgesteld. Uit het privacybeleid volgt onder meer op welke wijze de werkgever omgaat met persoonsgegevens van werknemers. Hoe lang worden de gegevens bewaard, hoe worden deze beveiligd en wie kan deze gegevens inzien?

Dit zijn voorbeelden van vragen die in het privacybeleid worden beantwoord.

  • Het goed regelen van informatiebeveiliging en privacy in een beleidsdocument is noodzakelijk om de gevolgen van deze risico’s tot een aanvaardbaar niveau te reduceren en de voortgang van het onderwijs en de bedrijfsvoering optimaal te kunnen waarborgen.
  • Onder informatiebeveiliging en privacy wordt verstaan het nemen en onderhouden van een hoeveelheid samenhangende maatregelen zodat de betrouwbaarheid van de informatievoorziening gegarandeerd kan worden. 

Voorbeelden van onderwerpen die onder het instemmingsrecht kunnen vallen, zijn:

het privacybeleid in het HR Handboek, een regeling waarmee invulling wordt gegeven aan de verruimde informatieverplichting die u ten opzichte van uw werknemers heeft het aanpassen van de standaard arbeidsovereenkomst of het verstrekken van persoonsgegevens van werknemers aan derden, zoals een Arbodienst of een extern bureau dat de salarisadministratie doet.

Accountability

Als verwerkingsverantwoordelijke bent u verantwoordelijk voor de rechtmatige en zorgvuldige omgang met persoonsgegevens. Deze verantwoordingsplicht (in het Engels accountability) staat centraal in de Verordening en geldt te allen tijden. Als verwerkingsverantwoordelijke bent u verplicht passende en effectieve maatregelen vast te leggen en te zorgen dat de verwerkingen in lijn met de Verordening plaatsvinden. Bij het nemen van maatregelen moet u rekening houden met de aard, de omvang, de context en het doel van de verwerking en de risico’s die uw verwerking voor de rechten en vrijheden van de betrokkene kunnen hebben.

Dit betekent dat u:

  • de plichten uit de Verordening moet naleven; en
  • dat u de goede naleving van deze plichten kunt aantonen.

De verwerkingsverantwoordelijke is degene die ‘doel en middelen’ bepaalt voor de verwerking. Met andere woorden, de verwerkingsverantwoordelijke bepaalt hoe en waarom er persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke is de (rechts)persoon die letterlijk de verantwoordelijkheid heeft voor het naleven van de Verordening. De verwerker handelt in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, zonder onder diens rechtstreeks gezag te staan.

De verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”)

Persoonsgegevens mogen alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel.

Informatiebeveiliging richt zich op de volgende aspecten:

  • Beschikbaarheid: de mate waarin gegevens en/of functionaliteiten beschikbaar zijn op de juiste momenten.
  • Integriteit: de mate waarin gegevens en/of functionaliteiten juist en volledig zijn.
  • Vertrouwelijkheid: de mate waarin de toegang tot gegevens en/of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn.

Digitale technische ondersteuning en Privacy

Digitale technische ondersteuning en Privacy vertaalt de Algemene Verordening Gegevensbescherming naar de praktijk. Het bevat afspraken over het omgaan met persoonsgegevens bij het gebruik van digitale hulpmiddelen. Dankzij het convenant weten aanbieders wat ze over en weer van elkaar mogen verwachten, zijn de afspraken werkbaar in de praktijk en heeft iedereen dezelfde gemeenschappelijke uitleg bij deze afspraken.

Voorbeeld: Een Uniforme aanpak

Het Gemeentedossier is een functionaliteit specifiek ontwikkeld met het doel technische ondersteuning te geven aan organisaties bij de verwerking- en beveiliging van persoonsgegevens voor de in deze doelbinding vastgelegde verwerkingscriteria.

Voor de aanpak is uit gegaan van een gestandaardiseerd implementatiemodel waarmee de organisatie ondersteunt wordt bij het formuleren en vastleggen van de verwerkingscriteria zoals bedoeld in de Contouren of compliance. Deze documentatie vormt de basis voor de Accountability documentatie en beschrijft alle criteria die volgens de AVG aantoonbaar moeten zijn vastgelegd.

De Privacy Management Methode (P.M.M ®)  een Uniforme, gestandaardiseerd aanpak .

Voor de aanpak is uit gegaan van een  gestandaardiseerd implementatiemodel waarmee de organisatie ondersteunt wordt bij het formuleren en vastleggen van de verwerkingscriteria zoals bedoeld in de Contouren of compliance. Deze documentatie vormt de basis voor de Accountability documentatie en beschrijft alle criteria die volgens de AVG aantoonbaar moeten zijn vastgelegd.

Het doel is het creëren van een gestandaardiseerd implementatiemodel waarin alle aspecten die noodzakelijk zijn voor het vastleggen van  beleidsprocedures waarin alle criteria van de verwerking- en beveiliging  van persoonsgegevens zijn opgenomen en gedocumenteerd zoals bedoeld in de Contouren of compliance.

De kern van dit document bestaat uit:

  1. Beschrijving van de richtlijnen voor de gegevensverwerkingen: een beschrijving van aspecten die van toepassing zijn voor de verwerking van persoonsgegevens met de AVG criteria als uitgangspunt;
  2. Beschrijving van het beveiligingskader voor de informatiebeveiliging: een beschrijving van alle aspecten voor de beveiliging van persoonsgegevens die noodzakelijk zijn om  de beveiligingsprocedures in relatie tot de verwerkingsdoeleinden vast te leggen;
  3. Beschrijving en beoordeling risico’s voor betrokkenen: een beschrijving van de beleidsprocedures ter beoordeling van de gevolgen en risico’s van de voorgenomen verwerkingen voor de rechten en vrijheden van de betrokkenen.
  4. Beschrijving voorgenomen maatregelen voor datalekken:Een beschrijving van beleidsprocedures ter beoordeling van de voorgenomen maatregelen om deze gevolgen en risico’s van de datalekken vast te leggen en te documenteren.

Met de voor deze aanpak ontwikkelde methode wordt een organisatie ondersteunt bij de uitvoer van het  implementatieproces en het op maat formuleren van beleidsdocumenten om passende en effectieve maatregelen  vast te leggen en te zorgen dat de verwerkingen in lijn met de Verordening plaatsvinden.

  • Door voormalig directeuren van de Autoriteit Persoonsgegevens (A.P) is de Privacy Management Methode (P.M.M ®) omschreven als een compleet, volledig en unieke Toolbox waarmee de functionaris ondersteunt wordt bij de realisatie en implementatie van dit proces.

De richtprijs is 95 euro per uur exclusief btw.

Voor meer informatie:

Functionaris voor de gegevensbescherming: Henk Fernald;

Email: [email protected], of  [email protected]