Per 25 mei 2018 treedt de nieuwe privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG vervangt de huidige Wet bescherming persoonsgegevens (Wbp). De AVG brengt de nodige veranderingen met zich mee, zoals de uitbreiding van de instrumenten die een betrokkene (om wiens gegevens het gaat) ter beschikking staan om in control te blijven over verwerking van zijn persoonsgegevens. Maar ook de vergaande documentatieplicht: leg vast wat u doet en waarom u dit doet.
Bewustwording Daarmee gaat ook de vraag gepaard wie nou binnen de organisatie betrokken is of moet zijn bij de naleving van de nieuwe wetgeving, ook al is dat een dynamisch en voortdurend proces. Het antwoord is eigenlijk eenvoudig: iedereen. Stap 1 is namelijk altijd bewustwording, vooral gezien het feit dat de meeste datalekken door fouten of onoplettendheden van werknemers worden veroorzaakt. Uiteraard moeten op management- of directieniveau beslissingen worden genomen en moet het beleid worden bepaald.
Wettelijke rol van de OR En daar waar veranderingen plaatsvinden in de organisatie, komt vaak de Ondernemingsraad (OR) om de hoek kijken. De OR heeft bij bepaalde kwesties adviesrecht of zelfs instemmingsrecht. Van verschillende klanten heb ik de vraag gekregen of dit advies- of instemmingsrecht ook geldt ten aanzien van de nieuwe wetgeving. Tijd om er in dit blog duidelijkheid over te geven. Instemmingsrecht, artikel 27 WOR Artikel 27 van de Wet op de ondernemingsraden (WOR) bepaalt wanneer de OR instemmingsrecht heeft. Dat is onder meer zo wanneer het gaat om een voorgenomen besluit tot wijziging, vaststelling of intrekking van een regeling omtrent het verwerken van, alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen (artikel 27 lid 1 sub k WOR). Daarvan is bijvoorbeeld sprake bij als camera’s worden opgehangen in de organisatie waarbij medewerkers worden gemonitord. De OR moet dan instemmen met het reglement. Een ander besluit dat privacygerelateerd is en waarvoor instemming van de OR nodig is, is een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen; een en ander voor zover betrekking hebbende op alle of een groep van de in de onderneming werkzame personen.
Concrete kwesties waarbij instemming van de OR nodig is:
- het verwerkingsregister - het aanstellen van een Functionaris Gegevensbescherming - het uitvoeren van een privacy impact assessment - maar ook voor het gehele interne privacybeleid, waar onder meer wordt vastgelegd hoe de procedure voor het melden van datalekken eruit ziet en hoe de toestemming voor de verwerking van persoonsgegevens van betrokken is verkregen.
Toetsing door de OR Kortom: de OR is medeverantwoordelijk voor het juist uitvoeren van de privacywetgeving en zal dus een voorgenomen besluit zoals hierboven beschreven, moeten toetsen alvorens zij instemming geven. Onder andere de AVG is het toetsingskader. Dat betekent dat de OR dus op de hoogte moet zijn van de nieuwe wetgeving en de wijzigingen die dit met zich brengt ten opzichte van de Wbp.
Uw goede voornemen voor 2018: werk aan de winkel Werk aan de winkel dus, ook voor de OR. Bent u lid van de Ondernemingsraad van uw organisatie en wilt u meer weten over hoe u met deze materie om moet gaan in uw concrete situatie? Of wilt u graag op meerdere niveaus in uw organisatie kennis opdoen van de nieuwe wetgeving? Ik geef regelmatig inhouse cursussen, speciaal toegespitst op uw situatie en de vragen die u heeft. Meer weten? Neem vrijblijvend contact met mij op, ik geef u graag meer informatie!