English courses
English courses

Hoe bescherm je de privacy van medewerkers als OR?

24 juni 2025

Als ondernemingsraad (OR) heb je een belangrijke rol in het beschermen van de privacy van medewerkers. De Algemene Verordening Gegevensbescherming (AVG) geeft werknemers specifieke rechten, en de OR heeft wettelijke bevoegdheden om deze te bewaken. Privacybescherming is een complex maar essentieel onderdeel van medezeggenschap, vooral bij de introductie van nieuwe technologieën en personeelsvolgsystemen. Deze gids helpt je als OR-lid om effectief toezicht te houden op privacykwesties binnen je organisatie.

Wat zijn de privacyrechten van medewerkers die de OR moet beschermen?

Medewerkers hebben onder de AVG verschillende fundamentele privacyrechten die de OR moet helpen beschermen. Deze rechten omvatten het recht op inzage in persoonsgegevens, correctie van onjuiste gegevens, verwijdering (‘recht op vergetelheid’), beperking van verwerking, dataportabiliteit en het recht om bezwaar te maken tegen gegevensverwerking.

De OR heeft een wettelijke basis om deze rechten te bewaken via het instemmingsrecht zoals vastgelegd in artikel 27 van de Wet op de ondernemingsraden (WOR). Dit artikel bepaalt dat de werkgever instemming van de OR nodig heeft voor regelingen omtrent het verwerken en beschermen van persoonsgegevens van medewerkers.

Specifieke privacyrechten die de OR moet bewaken zijn:

  • Transparantie over welke gegevens worden verzameld en waarom
  • Doelbinding – gegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn verzameld
  • Dataminimalisatie – alleen noodzakelijke gegevens mogen worden verwerkt
  • Bewaartermijnen – gegevens mogen niet langer worden bewaard dan nodig
  • Beveiliging van persoonsgegevens tegen ongeoorloofde toegang

De OR moet erop toezien dat deze rechten worden gerespecteerd in alle personeelsregelingen en bij de implementatie van systemen die persoonsgegevens verwerken.

Welke rol heeft de OR bij het opstellen van privacybeleid?

De OR heeft een cruciale rol bij het opstellen en beoordelen van privacybeleid door middel van het instemmingsrecht. Volgens artikel 27 van de WOR heeft de OR instemmingsrecht bij regelingen rondom de verwerking van persoonsgegevens en personeelsvolgsystemen, zoals cameratoezicht, toegangscontrole en monitoringssoftware.

De formele bevoegdheden van de OR bij privacybeleid omvatten:

  • Instemmingsrecht bij de invoering of wijziging van systemen die medewerkers monitoren of volgen
  • Instemmingsrecht bij regelingen rondom het verwerken en beschermen van personeelsgegevens
  • Instemmingsrecht bij regelingen omtrent klachtenprocedures en whistleblowing
  • Recht op informatie over voorgenomen besluiten die impact hebben op privacy

De OR kan proactief meedenken in plaats van alleen reactief te toetsen. Dit betekent dat de OR al in een vroeg stadium betrokken kan worden bij de ontwikkeling van privacybeleid. Hierdoor kunnen privacyrisico’s vroegtijdig worden geïdentificeerd en aangepakt, voordat formele instemming nodig is.

Voor effectieve betrokkenheid is het belangrijk dat de OR niet alleen reageert op voorstellen, maar ook eigen initiatieven neemt door bijvoorbeeld privacybescherming als speerpunt op te nemen in het jaarplan.

Hoe herken je privacyrisico’s bij nieuwe technologieën op de werkvloer?

Bij de implementatie van nieuwe technologieën op de werkvloer kunnen verschillende privacyrisico’s ontstaan. Als OR-lid moet je alert zijn op deze risico’s om de privacy van medewerkers effectief te beschermen.

Veelvoorkomende privacyrisico’s bij nieuwe technologieën zijn:

  • Biometrische toegangscontrole (vingerafdrukken, gezichtsherkenning) waarbij gevoelige persoonsgegevens worden verwerkt
  • Personeelsvolgsystemen die bewegingen of activiteiten van medewerkers registreren
  • AI-tools die gedrag analyseren of prestaties voorspellen zonder transparantie
  • Monitoring van e-mail, internet of telefoongebruik zonder duidelijke grenzen
  • Dashcams in bedrijfsvoertuigen die ook de chauffeur kunnen filmen
  • Wearables die gezondheidsgegevens verzamelen voor vitaliteitsprogramma’s

Een praktische checklist voor OR-leden om privacyrisico’s te beoordelen:

  1. Is duidelijk welke persoonsgegevens worden verzameld?
  2. Is het doel van de gegevensverwerking specifiek en legitiem?
  3. Worden alleen de noodzakelijke gegevens verzameld (dataminimalisatie)?
  4. Zijn er duidelijke bewaartermijnen vastgesteld?
  5. Is de beveiliging van de gegevens adequaat geregeld?
  6. Hebben medewerkers toegang tot hun eigen gegevens?
  7. Is er een privacy impact assessment (DPIA) uitgevoerd?
  8. Is er een balans tussen bedrijfsbelang en privacy van medewerkers?

Door systematisch deze vragen te doorlopen, kan de OR potentiële privacyrisico’s identificeren en aankaarten voordat nieuwe technologieën worden geïmplementeerd.

Wat moet in een Data Protection Impact Assessment (DPIA) staan?

Een Data Protection Impact Assessment (DPIA) is een verplichte risicoanalyse die moet worden uitgevoerd wanneer een verwerking waarschijnlijk een hoog privacyrisico oplevert voor medewerkers. Als OR-lid moet je weten wat hierin moet staan om de kwaliteit te kunnen beoordelen.

Een volledige DPIA bevat de volgende elementen:

  1. Een systematische beschrijving van de voorgenomen verwerkingen en doeleinden
  2. Een beoordeling van de noodzaak en evenredigheid van de verwerkingen
  3. Een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen
  4. De beoogde maatregelen om de risico’s aan te pakken

Een DPIA is verplicht bij:

  • Systematische en uitgebreide beoordeling van persoonlijke aspecten (inclusief profilering)
  • Grootschalige verwerking van bijzondere persoonsgegevens
  • Stelselmatige monitoring van openbaar toegankelijke ruimten
  • Gebruik van nieuwe technologieën met hoog privacyrisico

De OR kan de DPIA controleren door te verifiëren of:

  • Alle relevante stakeholders zijn betrokken bij de beoordeling
  • Alle risico’s volledig zijn geïdentificeerd en beoordeeld
  • Mitigerende maatregelen concreet en toereikend zijn
  • Er een duidelijk plan is voor implementatie van de maatregelen
  • Er evaluatiemomenten zijn gepland om de effectiviteit te beoordelen

De OR heeft een belangrijke rol bij het beoordelen van de uitkomsten van een DPIA en kan aanvullende maatregelen voorstellen als de privacyrisico’s onvoldoende worden aangepakt.

Hoe ga je als OR om met datalekken en privacyincidenten?

Als OR-lid moet je weten hoe te handelen bij (mogelijke) datalekken of privacyincidenten om de belangen van medewerkers te beschermen. Een datalek kan grote impact hebben op de privacy van medewerkers en vereist snelle en adequate actie.

Een stappenplan voor OR-leden bij datalekken:

  1. Verzamel informatie over de aard en omvang van het datalek
  2. Controleer of de bestuurder de meldplicht aan de Autoriteit Persoonsgegevens (AP) heeft nageleefd (binnen 72 uur)
  3. Verifieer of betrokken medewerkers zijn geïnformeerd (indien hoog risico)
  4. Bespreek met de bestuurder welke maatregelen worden genomen om herhaling te voorkomen
  5. Volg de afhandeling van het incident en evalueer achteraf

Preventieve maatregelen die de OR kan voorstellen:

  • Regelmatige bewustwordingstrainingen voor alle medewerkers
  • Duidelijke procedures voor het melden van incidenten
  • Periodieke evaluatie van beveiligingsmaatregelen
  • Afspraken over transparante communicatie bij incidenten

Na een incident is het belangrijk dat de OR kritisch evalueert of de genomen maatregelen voldoende zijn om soortgelijke incidenten in de toekomst te voorkomen. Hierbij kan de OR gebruikmaken van het instemmingsrecht om verbeteringen in het privacybeleid af te dwingen.

Welke training en ondersteuning heeft de OR nodig voor privacybescherming?

Om privacyrechten van medewerkers effectief te kunnen beschermen, heeft de OR specifieke kennis en vaardigheden nodig. Investeren in training en ondersteuning is essentieel om deze complexe taak goed te kunnen uitvoeren.

De OR heeft de volgende kennis en vaardigheden nodig:

  • Basiskennis van de AVG en relevante privacywetgeving
  • Inzicht in het instemmingsrecht bij personeelsvolgsystemen
  • Vaardigheid om privacyrisico’s te identificeren en te beoordelen
  • Kennis over de rol en verantwoordelijkheden van de Functionaris Gegevensbescherming (FG)
  • Begrip van technische en organisatorische beveiligingsmaatregelen

Voor optimale ondersteuning kan de OR samenwerken met:

  • De Functionaris Gegevensbescherming als interne privacydeskundige
  • Externe juridische adviseurs voor complexe privacyvraagstukken
  • IT-beveiligingsexperts voor technische aspecten
  • Andere ondernemingsraden voor kennisuitwisseling

Het is raadzaam om als OR regelmatig OR trainingen te volgen om up-to-date te blijven met de laatste ontwikkelingen op het gebied van privacy. Specifiek kan een instemmingsrecht ondernemingsraad training helpen om je rol bij privacybescherming effectiever te vervullen. Met de juiste kennis en vaardigheden kan de OR een waardevolle bijdrage leveren aan het waarborgen van de privacyrechten van alle medewerkers.

Veelgestelde vragen

Hoe kunnen we als OR controleren of een personeelsvolgsysteem aan de AVG voldoet?

Vraag de werkgever om een overzicht van welke gegevens worden verzameld, hoe lang deze worden bewaard en wie er toegang toe heeft. Controleer of er een legitiem doel is voor elke gegevensverzameling en of er niet meer data wordt verzameld dan nodig (dataminimalisatie). Verifieer of er een DPIA is uitgevoerd als het systeem hoge privacyrisico's met zich meebrengt. Vraag ook naar de technische beveiligingsmaatregelen en of medewerkers duidelijk zijn geïnformeerd over het systeem.

Wat zijn de meest voorkomende fouten die OR's maken bij het beoordelen van privacykwesties?

Veel OR's reageren te laat en worden pas betrokken als een systeem al is geïmplementeerd, terwijl vroege betrokkenheid effectiever is. Een andere veelgemaakte fout is het niet doorvragen naar technische details uit angst om incompetent over te komen. Ook wordt vaak vergeten om te controleren of er evaluatiemomenten zijn ingepland na implementatie. Tot slot onderschatten OR's regelmatig hun instemmingsrecht en laten ze zich te snel overtuigen dat bepaalde systemen buiten hun bevoegdheid vallen.

Hoe gaan we om met een werkgever die weigert de OR te betrekken bij privacybeslissingen?

Wijs de bestuurder schriftelijk op het wettelijke instemmingsrecht van de OR bij regelingen rondom persoonsgegevens (artikel 27 WOR). Als dit niet helpt, overweeg een bemiddelingstraject met hulp van de bedrijfscommissie. Bij blijvende weigering kan de OR naar de kantonrechter stappen om het instemmingsrecht af te dwingen. Documenteer alle communicatie zorgvuldig. Probeer echter eerst in gesprek te blijven en de werkgever te overtuigen van de meerwaarde van OR-betrokkenheid voor draagvlak onder medewerkers.

Welke vragen moeten we stellen aan de Functionaris Gegevensbescherming (FG) over privacybescherming?

Vraag de FG naar de privacyrisico's die specifiek voor jullie organisatie gelden en welke maatregelen zijn genomen. Informeer naar uitgevoerde DPIA's en de resultaten daarvan. Vraag ook hoe de FG de naleving van de AVG monitort en welke incidenten of datalekken er zijn geweest. Bespreek hoe de FG de balans ziet tussen bedrijfsbelangen en privacybescherming. Tot slot, vraag welke nieuwe privacyrisico's de FG op de horizon ziet en hoe de OR kan helpen bij het creëren van privacybewustzijn.

Hoe kunnen we als OR de effectiviteit van privacymaatregelen evalueren na implementatie?

Stel een evaluatieplan op met concrete meetpunten, zoals het aantal privacyklachten van medewerkers, resultaten van steekproefsgewijze controles en feedback uit medewerkerstevredenheidsonderzoeken. Vraag periodieke rapportages over de werking van systemen en eventuele incidenten. Organiseer focusgroepen met medewerkers om hun ervaringen te verzamelen. Vergelijk de praktijk met de oorspronkelijke afspraken en doelstellingen. Bespreek de evaluatieresultaten met de bestuurder en stel waar nodig aanpassingen voor.

Wat moeten we doen als we ontdekken dat er zonder OR-instemming een personeelsvolgsysteem is ingevoerd?

Informeer de bestuurder direct schriftelijk dat het systeem zonder vereiste instemming is ingevoerd en dat dit in strijd is met artikel 27 WOR. Verzoek om onmiddellijke opschorting van het gebruik tot de OR het voorstel heeft kunnen beoordelen. Indien de bestuurder niet meewerkt, overweeg dan juridische stappen zoals het indienen van een verzoekschrift bij de kantonrechter. Let op: de OR heeft hiervoor een termijn van één maand nadat is gebleken dat de bestuurder het besluit heeft genomen zonder instemming te vragen.

Hoe bereiden we ons als OR voor op nieuwe privacyuitdagingen zoals AI en algoritmes op de werkvloer?

Investeer in kennisopbouw over AI en algoritmes door workshops of trainingen te volgen. Nodig experts uit om de OR te informeren over de specifieke privacyrisico's. Ontwikkel een beoordelingskader specifiek voor AI-toepassingen, met aandacht voor transparantie, uitlegbaarheid en het voorkomen van bias. Vraag naar testresultaten en validatiemethoden. Dring aan op menselijke tussenkomst bij belangrijke beslissingen en zorg voor duidelijke procedures waarmee medewerkers algoritmische beslissingen kunnen aanvechten.

Meer nieuws?

Schrijf je in voor de nieuwsbrief

Toestemming

Bekijk andere artikelen

Categorieën

Ga je een OR oprichten? Wil je als nieuwe OR een goede start maken?
Of wil je als bestaande OR het beste naar boven halen om zo de waarde van de OR te verhogen?
Wij helpen je graag verder!

Contact
TRAINIAC
Privacyoverzicht
TRAINIAC

Deze website maakt gebruik van cookies zodat we je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in de browser en voert functies uit zoals je herkennen wanneer je terugkeert naar onze website en ons team helpen te begrijpen welke delen van de website jou het meest interessant en nuttig vindt.

Noodzakelijke cookies

Strikt noodzakelijke cookies moeten te allen tijde zijn ingeschakeld, zodat we jouw voorkeuren voor cookie-instellingen kunnen opslaan.

Advertentiecookies

Deze website gebruikt een Facebook Pixel, een analyse tool van Facebook. Deze tool helpt ons de website te analyseren, waarmee we weer de Facebook ervaring van onze gebruikers kunnen verbeteren.

Powered by  GDPR Cookie Compliance