Als gevolg van de komst van de AVG hebben al veel ondernemers hun beleid aangepast om te voldoen aan de verplichtingen van de AVG. Nog lang niet alle bedrijven hebben echter (geschreven) beleid op het gebied van privacy. Ook zien we dat niet altijd duidelijk is dat de ondernemingsraad betrokken moet worden bij de implementatie van de AVG. Wat is precies de rol van de ondernemingsraad bij de implementatie van de AVG?
Namens het personeel voert de ondernemingsraad overleg met het bedrijf, de ondernemer. Volgens de Autoriteit Persoonsgegevens, onze nationale privacy waakhond, draagt de ondernemingsraad medeverantwoordelijkheid voor de omgang met en de bescherming van persoonsgegevens op het werk. De ondernemingsraad dient haar wettelijke bevoegdheden dan ook zo goed mogelijk te benutten.
Een van de instrumenten van de ondernemingsraad is het instemmingsrecht. In het kader van de AVG zijn de volgende twee bepalingen van belang:
Een ander instrument van de ondernemingsraad is het adviesrecht. Aan de ondernemingsraad dient – in het kader van de AVG – om advies te worden gevraagd als sprake is van invoering of wijziging van een belangrijke technologische voorziening (artikel 25 lid 1 sub k WOR).
Juist vanwege de strenge eisen die de nieuwe privacywetgeving stelt in het kader van beveiliging zullen sommige werkgevers gebruik willen maken van nieuwe technologieën en bijvoorbeeld voor een nieuw softwarepakket kiezen. Dan is dus van belang de ondernemingsraad hierover advies te vragen.
Wordt dit advies niet gevraagd of niet opgevolgd, dan kan de ondernemingsraad in een voorkomend geval zelfs beroep instellen bij de Ondernemingskamer.
De ondernemingsraad kan ook zelf initiatief nemen en een voorstel doen voor een privacybeleid als de werkgever geen voorzieningen treft om het beleid binnen de onderneming in lijn te brengen met de nieuwe privacywetgeving.
Houd bij de implementatie van de AVG dus rekening met de belangrijke rol van de ondernemingsraad. En heeft u nog geen (intern) privacybeleid opgesteld? Ons advies is om dit alsnog in orde te maken. Daarin kan onder meer worden neergelegd hoe u als werkgever omgaat met de persoonsgegevens van uw werknemers.
Niet alleen zijn werkgevers op basis van de nieuwe privacywetgeving verplicht om hun werknemers te informeren over de verwerking van hun persoonsgegevens, maar werkgevers zijn ook juist gebaat bij een intern beleid. Door werknemers goed te instrueren over het correct verwerken van persoonsgegevens en bijvoorbeeld een duidelijke procedure te beschrijven voor de afhandeling van een datalek worden problemen voorkomen en kan eventuele schade aanzienlijk worden beperkt.
Meer informatie
Voor vragen over dit onderwerp kunt u contact opnemen met Sabine van Loon of een van onze andere privacyspecialisten.