Ondernemende advocaten voor de ondernemer

Welke rol speelt de ondernemingsraad bij uitvoering van de AVG?

Als gevolg van de komst van de AVG hebben al veel ondernemers hun beleid aangepast om te voldoen aan de verplichtingen van de AVG. Nog lang niet alle bedrijven hebben echter (geschreven) beleid op het gebied van privacy. Ook zien we dat niet altijd duidelijk is dat de ondernemingsraad betrokken moet worden bij de implementatie van de AVG. Wat is precies de rol van de ondernemingsraad bij de implementatie van de AVG?

De ondernemingsraad

Namens het personeel voert de ondernemingsraad overleg met het bedrijf, de ondernemer. Volgens de Autoriteit Persoonsgegevens, onze nationale privacy waakhond, draagt de ondernemingsraad medeverantwoordelijkheid voor de omgang met en de bescherming van persoonsgegevens op het werk. De ondernemingsraad dient haar wettelijke bevoegdheden dan ook zo goed mogelijk te benutten.

Instemmingsrecht

Een van de instrumenten van de ondernemingsraad is het instemmingsrecht. In het kader van de AVG zijn de volgende twee bepalingen van belang:

  • Artikel 27 lid 1 sub k WOR: een besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen is instemmingsplichtig..
    Meer concreet gaat het dan om het aanleggen van een persoonsregistratie en om regelingen over het verzamelen, bewaren, gebruiken, verstrekken en beveiligen van persoonsgegevens. Privacybeleid bijvoorbeeld valt onder deze definitie, zodat een dergelijke regeling ter instemming aan de ondernemingsraad moet worden voorgelegd. Als de inhoud van een dergelijk intern beleidsdocument echter eenmaal goed met de ondernemingsraad is afgestemd, zullen vervolghandelingen ter uitvoering van dat beleid, in beginsel zonder instemming van de ondernemingsraad kunnen worden uitgevoerd.
  • Artikel 27 lid 1 sub l WOR: een besluit tot vaststelling, wijziging of intrekking van een regeling inzake voorzieningen die gericht zijn op of het geschikt zijn voor de waarneming van of de controle op de aanwezigheid, het gedrag of de prestaties van de werknemers is instemmingsplichtig..
    Meer concreet gaat het dan om personeelsvolgsystemen, zoals het ophangen van camera’s, het plaatsen van GPS systemen en rittenregistratie. In dergelijke gevallen geldt dus ook dat de ondernemingsraad om instemming moet worden gevraagd. Wordt een besluit zoals hierboven omschreven zonder instemming van de ondernemingsraad genomen, dan is dit besluit nietig als de ondernemingsraad hierop binnen een maand na mededeling van het besluit een beroep doet. In dat geval kan de ondernemer geen uitvoering of toepassing geven aan het besluit.

Adviesrecht

Een ander instrument van de ondernemingsraad is het adviesrecht. Aan de ondernemingsraad dient – in het kader van de AVG – om advies te worden gevraagd als sprake is van invoering of wijziging van een belangrijke technologische voorziening (artikel 25 lid 1 sub k WOR).

Juist vanwege de strenge eisen die de nieuwe privacywetgeving stelt in het kader van beveiliging zullen sommige werkgevers gebruik willen maken van nieuwe technologieën en bijvoorbeeld voor een nieuw softwarepakket kiezen. Dan is dus van belang de ondernemingsraad hierover advies te vragen.

Wordt dit advies niet gevraagd of niet opgevolgd, dan kan de ondernemingsraad in een voorkomend geval zelfs beroep instellen bij de Ondernemingskamer.

Initiatiefrecht

De ondernemingsraad kan ook zelf initiatief nemen en een voorstel doen voor een privacybeleid als de werkgever geen voorzieningen treft om het beleid binnen de onderneming in lijn te brengen met de nieuwe privacywetgeving.

Tot slot

Houd bij de implementatie van de AVG dus rekening met de belangrijke rol van de ondernemingsraad. En heeft u nog geen (intern) privacybeleid opgesteld? Ons advies is om dit alsnog in orde te maken. Daarin kan onder meer worden neergelegd hoe u als werkgever omgaat met de persoonsgegevens van uw werknemers.

Niet alleen zijn werkgevers op basis van de nieuwe privacywetgeving verplicht om hun werknemers te informeren over de verwerking van hun persoonsgegevens, maar werkgevers zijn ook juist gebaat bij een intern beleid. Door werknemers goed te instrueren over het correct verwerken van persoonsgegevens en bijvoorbeeld een duidelijke procedure te beschrijven voor de afhandeling van een datalek worden problemen voorkomen en kan eventuele schade aanzienlijk worden beperkt.

Meer informatie
Voor vragen over dit onderwerp kunt u contact opnemen met Sabine van Loon of een van onze andere privacyspecialisten.

Read also

Negeren Corona reisadvies: mag dat?
Annemieke Siebrand, 10-07-2020
Arbeidsrecht
Onjuiste informatie in CV – ontslag van bedriegende werknemer
Sabine van Loon, 26-05-2020
Arbeidsrecht
De tijdelijke Noodmaatregel Overbrugging voor behoud van Werkgelegenheid (NOW): details en uitvoering
Madelein van der Velden, 31-03-2020
Arbeidsrecht, Ondernemingsrecht
Corona en privacy op de werkvloer: hoe zit dit?
Sabine van Loon, 19-03-2020
Arbeidsrecht, IE/ICT/Privacy