Gepubliceerd op

Ondernemingsraad speelt cruciale rol bij privacy op de werkvloer

Nederlanders maken zich in toenemende mate zorgen over hun privacy. Privacy is een grondrecht en een voorwaarde om vrij te zijn in wie je bent en wat je doet. Privacy op de werkvloer gaat er met name over dat de werknemer zeggenschap over zijn of haar eigen persoonsgegevens houdt. Persoonsgegevens worden onder meer verwerkt bij de screening van personeel, personeelsdossiers, camera’s op de werkvloer en registratie van ziekteverzuim. Rekening houden met de privacy van werknemers is daarbij uiteraard van groot belang. De ondernemingsraad (OR) kan hierin een cruciale rol vervullen.

Instemmingsrecht OR

De Wet op de Ondernemingsraden (WOR) bepaalt dat een werkgever de OR moet vragen om instemming bij een voorgenomen besluit over een regeling ter zake van:

  • het verwerken van persoonsgegevens (artikel 27 lid 1 onder k van de WOR)
  • personeelsvolgsystemen (artikel 27 lid 1 onder l van de WOR)

De OR is dus medeverantwoordelijk voor de omvang en de bescherming van persoonsgegevens op het werk.

Regelingen met betrekking tot het verwerken van persoonsgegevens

Regelingen voor het verwerken van persoonsgegevens van medewerkers komen in elke organisatie voor. Denk bijvoorbeeld aan het registreren van verzuim, de salarisadministratie en de gegevens die worden bewaard in personeelsdossiers.

Persoonsgegevens

Een “persoonsgegeven” in de zin van de Algemene Verordening Gegevensbescherming (AVG) is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Het kan om allerlei soorten informatie gaan: niet alleen om voor de hand liggende gegevens als iemands naam, adres en telefoonnummer, maar ook om eigenschappen van deze persoon, opvattingen of gedrag.

Voorbeelden van persoonsgegevens zijn:

  • naam, adres, burgerservicenummer;
  • een video-opname van een persoon;
  • gegevens over iemands telefoon- of computergebruik;
  • het kentekennummer van een auto.

Van een persoonsgegeven is pas sprake als de identiteit van de persoon over wie de informatie gaat ook redelijkerwijs kan worden vastgesteld. Dat kan direct, maar ook indirect: bijvoorbeeld wanneer door het combineren van verschillende gegevens over een persoon kan worden afgeleid om wie het gaat. De informatie moet individualiseerbaar zijn.

Geen persoonsgegevens zijn bijvoorbeeld: gegevens over het telefoongebruik binnen de organisatie die niet tot individuele werknemers te herleiden zijn en gegevens die tot een geheel zijn samengevoegd (geaggregeerde gegevens) over het personeelsbestand van een bedrijf met een redelijke omvang.

Bijzondere persoonsgegevens

Naast “gewone” persoonsgegevens kent de AVG ook “bijzondere persoonsgegevens”. Dat zijn persoonsgegevens die door hun aard bijzonder gevoelig zijn. Deze persoonsgegevens krijgen extra bescherming in de AVG. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens waaruit iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of lidmaatschap van een vakbond blijken. Daarnaast kan het gaan om genetische gegevens, biometrische gegevens (gebruikt om iemand te identificeren), gegevens over iemands gezondheid of gegevens over iemands seksueel gedrag of seksuele gerichtheid.

Voorbeelden van bijzondere persoonsgegevens op het werk zijn:

  • gegevens over ziekteverzuim;
  • gegevens over alcohol-, medicijn- of drugsgebruik;
  • gegevens over lidmaatschap van een vakbond of politieke partij;
  • een irisscan, vingerafdruk of gezichtsscan (biometrische gegevens).

De verwerking van bijzondere persoonsgegevens is verboden, tenzij de onderneming zich kan beroepen op een wettelijke uitzondering (zoals genoemd in artikel 9 lid 2 AVG).

Regeling met betrekking tot personeelsvolgsysteem

Werkgevers kunnen systemen gebruiken die gericht zijn op – of geschikt zijn voor – waarneming van werknemers of controle van hun aanwezigheid, gedrag of prestaties. Dit noemen we personeelsvolgsystemen. Voorbeelden hiervan zijn cameratoezicht, gps-systemen in (vracht)auto’s, wearables (zoals een smartwatch) en software die bijvoorbeeld toetsaanslagen, e-mailverkeer en/of internetgebruik van werknemers registreert. Gebruikt een werkgever een bepaald systeem hier niet voor, maar zou dit wel kunnen? Ook dan is dit een personeelsvolgsysteem.

Wanneer is sprake van verwerking en wie is verwerkingsverantwoordelijke?

Van verwerking van persoonsgegevens is bijvoorbeeld sprake als er gegevens worden verzameld, vastgelegd, geordend, gestructureerd, opgeslagen, bijgewerkt, gewijzigd, opgevraagd, geraadpleegd, gebruikt, doorgestuurd, verspreid, gecombineerd, afgeschermd, gewist of vernietigd.

Over het algemeen is de werkgever (de ondernemer in de zin van de WOR) de verwerkingsverantwoordelijke bij de verwerking van personeelsgegevens. De AVG schrijft voor dat de verwerkingsverantwoordelijke en de verwerker afspraken maken over de verwerking in een verwerkersovereenkomst. Voorbeelden van verwerkers zijn salarisadministratiebureaus en IT-dienstverleners.

De AVG stelt strikte eisen aan het verwerken van persoonsgegevens die zijn uitgewerkt in een aantal beginselen:

  • Doelbinding: persoonsgegevens mogen alleen voor “welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden” worden verzameld. Je mag gegevens die je voor het ene doel verzamelt dus niet voor een ander doel gebruiken.
  • Rechtmatig en behoorlijk: gegevens moeten worden verwerkt op een manier die “rechtmatig, behoorlijk en transparant” is. In de AVG staan zes gronden genoemd op basis waarvan persoonsgegevens mogen worden verwerkt bijvoorbeeld: de verwerking is noodzakelijk om een overeenkomst uit te voeren, om aan een wettelijke plicht te voldoen of om een gerechtvaardigd belang te behartigen. Een voorbeeld van een gerechtvaardigd belang kan het verhogen van de bedrijfsveiligheid zijn.
  • Juist en nauwkeurig: gegevens die niet juist zijn moet de werkgever wissen of corrigeren.
  • Informatieplicht: werknemers moeten kunnen overzien wie hun gegevens verwerkt en voor welk doel. Bijvoorbeeld: een personeelsfunctionaris moet de werknemer die in dienst informeren voordat deze formulieren voor de personeels- en salarisadministratie invult.
  • Dataminimalisatie: er mogen niet meer gegevens worden verwerkt dan nodig en de gegevens moeten tijdig worden verwijderd.
  • Beveiliging: een werkgever moet passende technische of organisatorische maatregelen nemen.

Schakel tijdig de OR in

De werkgever moet voorgenomen besluit schriftelijk aan de OR voorleggen. Daarbij geeft de werkgever de beweegredenen voor het besluit en de gevolgen die het besluit voor de werknemers zal hebben.

De OR toetst de regeling voordat zij er wel of niet mee instemt. Om door de werkgever voorgestelde regeling goed te kunnen beoordelen, is het belangrijk dat de OR goed voorbereid is. En dat de OR waar nodig kritische vragen aan de werkgever stelt. Om de OR daarbij te ondersteunen, heeft de Autoriteit Persoonsgegevens (AP) in april 2021 een handreiking gepubliceerd: het OR-privacyboekje. In dit OR-privacyboekje zijn voorbeelden opgenomen van  kritische vragen die de OR kan stellen zoals:

  • Maakt de werkgever voldoende gebruik van de mogelijkheden om persoonsgegevens te anonimiseren?
  • Moet de werkgever de gegevens op individueel niveau verzamelen of kan de werkgever volstaan met gegevens op het niveau van een afdeling of van het bedrijf als geheel (geaggregeerd niveau)?
  • Moet de werkgever over alle werknemers gegevens vastleggen? Of is het genoeg om informatie te verzamelen over werknemers in bepaalde functies of op bepaalde plaatsen?
  • Kan de werkgever volstaan met een steekproef of moet de werkgever voortdurend gegevens vastleggen?
  • Wat doet de werkgever om de risico’s tijdig in beeld te krijgen?
  • Worden de risico’s periodiek opnieuw beoordeeld?
  • Is er een procedure vastgesteld om te testen of de beveiligingsmaatregelen (nog steeds) effectief zijn?
  • Is het nodig een verwerker buiten de EU in te zetten?
  • Hoe wordt de bescherming van gegevens van werknemers gewaarborgd bij het verstrekken van hun persoonsgegevens aan de verwerker buiten de EU?

De AP adviseert de OR verder ook om met de functionaris gegevensbescherming (FG) in gesprek te gaan over de verwerking van persoonsgegevens van werknemers. Zo kan de OR het advies van de FG opvragen en de FG tijdens een OR-bijeenkomst uitnodigen om een toelichting te geven.

Na het besluit van de OR moet door de werkgever zo spoedig mogelijk schriftelijk aan de OR worden medegedeeld welk besluit is genomen en met ingang van welke datum het besluit wordt uitgevoerd.

Als de OR niet instemt met het voorgenomen besluit kan de werkgever de Kantonrechter om vervangende toestemming vragen.

Initiatiefrecht

De OR heeft overigens ook initiatiefrecht. Dit betekent dat zij zich ook op eigen initiatief, zonder dat de werkgever daar om heeft gevraagd,  kan uitspreken over het gebruik van personeelsgegevens. Bijvoorbeeld na vragen of klachten van werknemers of wanneer de OR vindt dat de werkgever actie moet ondernemen.

Conclusie

De OR is dus nauw betrokken bij de wens van een werkgever om gebruik te maken van persoonsgegevens en personeelsvolgsystemen. Als voor een besluit geen instemming van de OR of toestemming van de kantonrechter is verkregen is het ongeldig.