Is de nieuwe Privacywetgeving instemmingsplichtig?
De tijd dat je persoonlijke gegevens nog echt persoonlijk waren, lijkt al weer even geleden. Dat moet ongeveer eind jaren ’90 van de vorige eeuw zijn geweest. Sinds die tijd is er veel veranderd en zijn we allemaal misschien ook wat makkelijker geworden in het achter laten van onze gegevens. In de afgelopen decennia hebben we allemaal tal van informatie al dan niet via social media met Jan en Alleman gedeeld.
Bedrijven verzamelen tegenwoordig zo veel mogelijk data om mogelijke nieuwe klanten gevraagd en ongevraagd, liefst dagelijks, aanbiedingen onder de aandacht te brengen. Meestal sluiten die vaak verrassend goed aan op bij dat wat waar we ons op dat moment mee bezig houden.
Personeelsgegevens
Dit verzamelen van persoonlijke data raakt de privacy van ons allemaal. Om de uitwassen van deze alsmaar toenemende datahonger in te perken komt daarom per 25 mei 2018 nieuwe Europese privacywetgeving. Dit betekent dat de Wet bescherming persoonsgegevens zal verdwijnen en daarvoor in de plaats komt de zogenoemde Algemene Verordening Gegevensbescherming (AVG).
Bij de laatste grote wijziging van de Wet op de Ondernemingsraden werd het instemmingsrecht op bescherming van persoonsgegevens én het personeelscontrolesystemen van toepassing. Regelingen over privacybescherming van werknemers en personeelssystemen vallen sinds 1998 dus onder het instemmingsrecht van de ondernemingsraad. De uitwerking van deze nieuwe wetgeving is dan ook voor de OR belangrijk en met betrekking tot de verwerking van personeelsgegevens instemmingsplichtig.
Instemmingsverzoek voor 25 mei 2018
Bepaald is dat in het instemmingstraject de OR onder andere zal moeten beoordelen of de persoonsgegevens van medewerkers rechtmatig, behoorlijk en transparant worden verwerkt. Vrijwel iedere ondernemingsraad in Nederland zou dan ook ruim vóór 25 mei 2018 een instemmingsverzoek moeten ontvangen waarin wordt uitgelegd hoe hun organisatie aan de nieuwe wettelijke verplichtingen denkt te gaan voldoen.
Belangrijk hier in is dat het doel voor de verwerking van personeelsgegevens vooraf bepaald én ook nauwkeurig omschreven is. Ook dient de verwerking ervan beperkt te blijven. Daarnaast moeten er alternatieven zijn onderzocht en mogen de persoonsgegevens niet langer worden bewaard dan strikt noodzakelijk is.
Taken van de ‘AVG-functionaris’
En als of dat nog niet genoeg is, de OR zal ervoor moeten waken dat het voor de medewerkers bekend is dat hun persoonsgegevens worden verwerkt en dat zij tijdig, juist en volledig hierover worden geïnformeerd. De ondernemingsraad moet er bovendien op toezien dat er passende beveiliging plaatsvindt op de gebruikte systemen dat deze worden gewaarborgd.
Verder is ook de omschrijving van de functie en de taken van de gegevensbescherming-functionaris instemmingsplichtig, evenals het uitvoeren van een in veel gevallen verplichte ‘Data Protection Impact Assessment.’
Is de OR hiervan al op de hoogte?
Zo niet, dan bevindt u zich in goed gezelschap. Hoewel de wet er al sinds mei 2016 is, is er op dit moment sprake van een overgangsperiode om aan de nieuwe wetgeving te voldoen. Toch zijn veel organisaties die zich nog maar net aan het oriënteren zijn op de consequenties die de AVG met zich meebrengt. Maar vanaf mei van dit jaar gaat er ook echt gehandhaafd worden.
Ook zijn er genoeg organisaties en OR-en die in de veronderstelling leven dat de AVG hen helemaal niet raakt. Onterecht dus! Iedere OR zou vóór 25 mei een instemmingsverzoek moeten ontvangen die op flink wat punten bekeken zou moeten worden. Dat hier meer bij komt kijken dan je in eerste instantie verwacht, moge duidelijk zijn.
Hoge boetes
Organisaties die slordig omgaan met deze privacy kunnen een boete krijgen die kan oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet! Er kan bovendien makkelijker worden geklaagd bij de Autoriteit Persoonsgegevens als er onzorgvuldig met gegevens wordt omgegaan.
Bereid je als OR voor op alle AVG-wijzigingen
Er is op internet een oerwoud van sites waar je overstelpt wordt met allerlei algemene informatie over de AVG. Ook zijn er adviesbureaus die, net als Odyssee, dieper in gaan op concrete vragen die ondernemingsraden hebben met de invoering van de nieuwe regelgeving. Odyssee organiseert verder op 28 maart 2018 een webinar, waarin wordt uitgelegd waar de OR bij de invoering van de AVG op moet letten.
Wij denken graag met u mee voor een passende oplossing. Laat uw gegevens achter en wij nemen vrijblijvend contact met u op.