English courses
English courses

Hoe bescherm je de privacy van medewerkers als OR?

24 juni 2025

Als ondernemingsraad (OR) heb je een belangrijke rol in het beschermen van de privacy van medewerkers. De Algemene Verordening Gegevensbescherming (AVG) geeft werknemers specifieke rechten, en de OR heeft wettelijke bevoegdheden om deze te bewaken. Privacybescherming is een complex maar essentieel onderdeel van medezeggenschap, vooral bij de introductie van nieuwe technologieën en personeelsvolgsystemen. Deze gids helpt je als OR-lid om effectief toezicht te houden op privacykwesties binnen je organisatie.

Welke privacyrechten van medewerkers moet de OR beschermen?

De OR heeft een wettelijke basis om privacyrechten te bewaken via het instemmingsrecht in artikel 27 van de Wet op de ondernemingsraden (WOR). Dit artikel bepaalt dat de werkgever instemming van de OR nodig heeft voor regelingen omtrent het verwerken en beschermen van persoonsgegevens van medewerkers.

Specifieke privacyrechten die de OR moet bewaken zijn:

  • Transparantie over welke gegevens worden verzameld en waarom
  • Doelbinding – gegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn verzameld
  • Dataminimalisatie – alleen noodzakelijke gegevens mogen worden verwerkt
  • Bewaartermijnen – gegevens mogen niet langer worden bewaard dan nodig
  • Beveiliging van persoonsgegevens tegen ongeoorloofde toegang

Hoe herken je privacyrisico’s bij nieuwe technologieën?

Bij nieuwe technologieën moet je als OR-lid alert zijn op verschillende privacyrisico’s om medewerkers effectief te beschermen.

Veelvoorkomende privacyrisico’s zijn:

  • Biometrische toegangscontrole (vingerafdrukken, gezichtsherkenning)
  • Personeelsvolgsystemen die bewegingen registreren
  • AI-tools die gedrag analyseren zonder transparantie
  • Monitoring van e-mail en internetgebruik zonder duidelijke grenzen
  • Wearables die gezondheidsgegevens verzamelen

Een praktische checklist voor OR-leden:

  1. Is duidelijk welke persoonsgegevens worden verzameld?
  2. Is het doel van de gegevensverwerking specifiek en legitiem?
  3. Worden alleen de noodzakelijke gegevens verzameld?
  4. Zijn er duidelijke bewaartermijnen vastgesteld?
  5. Is de beveiliging adequaat geregeld?
  6. Is er een privacy impact assessment uitgevoerd?
  7. Is er balans tussen bedrijfsbelang en privacy?

Wat moet er in een Data Protection Impact Assessment staan?

Een Data Protection Impact Assessment (DPIA) is verplicht wanneer een verwerking waarschijnlijk een hoog privacyrisico oplevert. Als OR-lid moet je de kwaliteit kunnen beoordelen.

Een volledige DPIA bevat:

  1. Systematische beschrijving van de voorgenomen verwerkingen en doeleinden
  2. Beoordeling van de noodzaak en evenredigheid
  3. Beoordeling van risico’s voor rechten en vrijheden van betrokkenen
  4. Beoogde maatregelen om risico’s aan te pakken

Een DPIA is verplicht bij:

  • Systematische beoordeling van persoonlijke aspecten (profilering)
  • Grootschalige verwerking van bijzondere persoonsgegevens
  • Stelselmatige monitoring van openbaar toegankelijke ruimten
  • Gebruik van nieuwe technologieën met hoog privacyrisico

De OR kan controleren of alle risico’s zijn geïdentificeerd, mitigerende maatregelen toereikend zijn en er evaluatiemomenten zijn gepland.

Hoe ga je als OR om met datalekken en privacyincidenten?

Bij datalekken moet je als OR-lid snel handelen om de belangen van medewerkers te beschermen.

Stappenplan voor OR-leden bij datalekken:

  1. Verzamel informatie over aard en omvang van het datalek
  2. Controleer of de bestuurder de meldplicht aan de Autoriteit Persoonsgegevens heeft nageleefd (binnen 72 uur)
  3. Verifieer of betrokken medewerkers zijn geïnformeerd
  4. Bespreek maatregelen om herhaling te voorkomen
  5. Volg de afhandeling en evalueer achteraf

Preventieve maatregelen die de OR kan voorstellen:

  • Regelmatige bewustwordingstrainingen voor medewerkers
  • Duidelijke procedures voor het melden van incidenten
  • Periodieke evaluatie van beveiligingsmaatregelen
  • Afspraken over transparante communicatie bij incidenten

Hoe kan TRAINIAC de OR ondersteunen bij privacybescherming?

Om privacyrechten effectief te beschermen, heeft de OR specifieke kennis en vaardigheden nodig. TRAINIAC biedt praktische OR trainingen die direct toepasbaar zijn in de praktijk. Onze ervaren trainers hebben een stevige praktijkachtergrond en begrijpen de uitdagingen waarmee OR-leden dagelijks worden geconfronteerd.

Een instemmingsrecht ondernemingsraad training helpt je om je rol bij privacybescherming effectiever te vervullen. We werken resultaatgericht en bieden maatwerk per organisatie, zodat de training aansluit bij jouw specifieke context en uitdagingen. Door leren door doen en interactieve sessies zorg je voor duurzame ontwikkeling van je vaardigheden.

Wil je weten hoe TRAINIAC jouw OR kan ondersteunen bij privacyvraagstukken? Neem contact op voor een vrijblijvend kennismakingsgesprek waarin we samen verkennen welke ondersteuning het beste bij jullie situatie past.

Veelgestelde vragen

Hoe kunnen we als OR controleren of een personeelsvolgsysteem aan de AVG voldoet?

Vraag de werkgever om een overzicht van welke gegevens worden verzameld, hoe lang deze worden bewaard en wie er toegang toe heeft. Controleer of er een legitiem doel is voor elke gegevensverzameling en of er niet meer data wordt verzameld dan nodig (dataminimalisatie). Verifieer of er een DPIA is uitgevoerd als het systeem hoge privacyrisico's met zich meebrengt.

Wat zijn de meest voorkomende fouten die OR's maken bij privacykwesties?

Veel OR's reageren te laat en worden pas betrokken als een systeem al is geïmplementeerd. Ook wordt vaak vergeten om te controleren of er evaluatiemomenten zijn ingepland na implementatie. Tot slot onderschatten OR's regelmatig hun instemmingsrecht en laten ze zich te snel overtuigen dat bepaalde systemen buiten hun bevoegdheid vallen.

Hoe gaan we om met een werkgever die weigert de OR te betrekken bij privacybeslissingen?

Wijs de bestuurder schriftelijk op het wettelijke instemmingsrecht van de OR bij regelingen rondom persoonsgegevens (artikel 27 WOR). Als dit niet helpt, overweeg een bemiddelingstraject. Bij blijvende weigering kan de OR naar de kantonrechter stappen om het instemmingsrecht af te dwingen.

Wat moeten we doen als er zonder OR-instemming een personeelsvolgsysteem is ingevoerd?

Informeer de bestuurder direct schriftelijk dat het systeem zonder vereiste instemming is ingevoerd en dat dit in strijd is met artikel 27 WOR. Verzoek om onmiddellijke opschorting van het gebruik tot de OR het voorstel heeft kunnen beoordelen. Let op: de OR heeft hiervoor een termijn van één maand.

Meer nieuws?

Schrijf je in voor de nieuwsbrief

Toestemming

Bekijk andere artikelen

Categorieën

Ga je een OR oprichten? Wil je als nieuwe OR een goede start maken?
Of wil je als bestaande OR het beste naar boven halen om zo de waarde van de OR te verhogen?
Wij helpen je graag verder!

Contact
TRAINIAC
Privacyoverzicht
TRAINIAC

Deze website maakt gebruik van cookies zodat we je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in de browser en voert functies uit zoals je herkennen wanneer je terugkeert naar onze website en ons team helpen te begrijpen welke delen van de website jou het meest interessant en nuttig vindt.

Noodzakelijke cookies

Strikt noodzakelijke cookies moeten te allen tijde zijn ingeschakeld, zodat we jouw voorkeuren voor cookie-instellingen kunnen opslaan.

Advertentiecookies

Deze website gebruikt een Facebook Pixel, een analyse tool van Facebook. Deze tool helpt ons de website te analyseren, waarmee we weer de Facebook ervaring van onze gebruikers kunnen verbeteren.

Powered by  GDPR Cookie Compliance