English courses
English courses

Wat mag de OR met vertrouwelijke personeelsgegevens?

25 juni 2025

De ondernemingsraad (OR) heeft vaak toegang nodig tot personeelsgegevens om haar taken goed uit te kunnen voeren. Tegelijkertijd moeten deze gegevens zorgvuldig worden behandeld vanwege privacywetgeving. De OR mag alleen personeelsgegevens opvragen die noodzakelijk zijn voor het uitvoeren van medezeggenschapstaken, waarbij deze gegevens bij voorkeur geanonimiseerd worden verstrekt. Zowel de OR als de werkgever hebben verantwoordelijkheden om de privacy van werknemers te beschermen en tegelijkertijd effectieve medezeggenschap mogelijk te maken.

Wat zijn de wettelijke kaders voor de OR bij het omgaan met personeelsgegevens?

De OR moet bij het verwerken van personeelsgegevens rekening houden met twee belangrijke wetten: de Wet op de ondernemingsraden (WOR) en de Algemene Verordening Gegevensbescherming (AVG). De WOR geeft de OR het recht op informatie die noodzakelijk is voor het uitvoeren van medezeggenschapstaken, terwijl de AVG grenzen stelt aan het verwerken van persoonsgegevens.

Artikel 31 van de WOR verplicht werkgevers om de OR alle informatie te verstrekken die “redelijkerwijs nodig is” voor het uitvoeren van OR-taken. Dit omvat ook personeelsgegevens, maar deze brede informatieverplichting wordt begrensd door de AVG, die eist dat persoonsgegevens alleen verwerkt mogen worden met een geldige rechtsgrond en voor een specifiek doel.

Daarnaast is artikel 20 van de WOR van groot belang. Dit artikel legt OR-leden een geheimhoudingsplicht op voor vertrouwelijke bedrijfsinformatie, waaronder personeelsgegevens. Deze geheimhoudingsplicht geldt niet alleen tijdens het OR-lidmaatschap maar blijft ook daarna van kracht. De werkgever moet bij het delen van informatie duidelijk aangeven welke gegevens vertrouwelijk zijn, voor welke periode en met wie ze eventueel gedeeld mogen worden.

Welke personeelsgegevens mag de OR opvragen bij de werkgever?

De OR heeft recht op personeelsgegevens die noodzakelijk zijn voor het uitvoeren van medezeggenschapstaken, maar niet op alle personeelsinformatie. In de praktijk betekent dit dat de OR vooral recht heeft op geanonimiseerde of geaggregeerde gegevens die inzicht geven in het personeelsbeleid.

Volgens artikel 31b van de WOR moet de werkgever jaarlijks schriftelijke informatie verstrekken over aantallen en verschillende groepen personeel, inclusief gegevens over het gevoerde sociale beleid. Deze informatie moet kwantitatief gespecificeerd worden per afdeling en functiegroep. Ook gegevens over tijdelijke arbeidskrachten moeten worden verstrekt, evenals verwachtingen over toekomstige personeelsontwikkelingen.

De OR mag in principe geen toegang krijgen tot identificeerbare persoonsgegevens zonder specifieke noodzaak. Voor bepaalde taken, zoals het controleren van de juiste toepassing van een beloningsregeling, kan de OR echter wel geanonimiseerde salarisgegevens opvragen. Bij reorganisaties kan de OR informatie opvragen over functies, afdelingen en leeftijdsopbouw, maar in principe geen namen of andere direct identificerende gegevens.

Hoe moet de OR vertrouwelijke personeelsinformatie beveiligen?

De OR heeft een wettelijke verplichting om zorgvuldig om te gaan met vertrouwelijke personeelsinformatie. Dit betekent dat de OR adequate beveiligingsmaatregelen moet treffen voor zowel digitale als fysieke opslag van gegevens. Concreet adviseren wij de volgende maatregelen:

  • Gebruik beveiligde digitale omgevingen voor het opslaan van vertrouwelijke documenten, zoals een afgeschermde OR-schijf of een beveiligde cloud-omgeving
  • Beveilig alle apparaten met sterke wachtwoorden en versleutel gevoelige bestanden
  • Deel vertrouwelijke informatie alleen binnen de OR en alleen wanneer noodzakelijk
  • Vermijd het versturen van gevoelige personeelsgegevens via onbeveiligde e-mail
  • Bewaar fysieke documenten met personeelsgegevens in afgesloten kasten
  • Maak duidelijke afspraken binnen de OR over wie toegang heeft tot welke informatie

Het is raadzaam om als OR een protocol voor gegevensverwerking op te stellen waarin staat hoe de OR omgaat met vertrouwelijke informatie. Dit protocol kan in overleg met de bestuurder en eventueel de functionaris gegevensbescherming worden opgesteld en biedt houvast voor alle OR-leden.

Wat zijn de consequenties als de OR privacyregels overtreedt?

Wanneer OR-leden onzorgvuldig omgaan met vertrouwelijke personeelsgegevens, kan dit zowel juridische als organisatorische gevolgen hebben. De belangrijkste consequenties zijn:

Juridische gevolgen: Bij ernstige schendingen van de AVG kunnen boetes worden opgelegd door de Autoriteit Persoonsgegevens. Hoewel deze boetes doorgaans aan de organisatie worden opgelegd, kan de werkgever in sommige gevallen de OR of individuele OR-leden aansprakelijk stellen voor de schade die is ontstaan door hun onzorgvuldig handelen.

Arbeidsrechtelijke maatregelen: Schending van de geheimhoudingsplicht uit artikel 20 WOR kan leiden tot arbeidsrechtelijke maatregelen tegen individuele OR-leden, in ernstige gevallen zelfs tot ontslag op staande voet.

Vertrouwensbreuk: Misschien wel het meest ingrijpende gevolg is een vertrouwensbreuk tussen OR, bestuurder en achterban. Als personeelsgegevens uitlekken of onjuist worden gebruikt, kan dit het vertrouwen in de OR ernstig schaden, wat de effectiviteit van de medezeggenschap ondermijnt.

De kantonrechter kan worden ingeschakeld bij geschillen over de geheimhoudingsplicht. Volgens artikel 20 WOR kan de rechter een onredelijke oplegging van geheimhouding opheffen, maar ook oordelen over schendingen van de geheimhoudingsplicht door OR-leden.

Hoe kan de OR effectief werken met personeelsgegevens zonder privacyregels te schenden?

Om effectief te werken met personeelsgegevens zonder privacyregels te schenden, kan de OR de volgende praktische strategieën toepassen:

  1. Vraag om geanonimiseerde gegevens: Verzoek de werkgever om personeelsgegevens zoveel mogelijk te anonimiseren voordat ze worden gedeeld. Geanonimiseerde gegevens vallen niet onder de AVG.
  2. Maak duidelijke afspraken: Stel samen met de bestuurder een protocol op over welke gegevens de OR wanneer ontvangt en hoe deze worden beveiligd.
  3. Focus op geaggregeerde data: Werk met totalen en gemiddelden in plaats van individuele gegevens. Bijvoorbeeld: gemiddelde salarissen per functiegroep in plaats van individuele salarissen.
  4. Documenteer de noodzaak: Leg altijd vast waarom bepaalde personeelsgegevens noodzakelijk zijn voor een specifieke OR-taak.
  5. Beperk toegang: Niet alle OR-leden hoeven toegang te hebben tot alle informatie. Werk indien nodig met commissies die specifieke onderwerpen behandelen.

Het is belangrijk dat de OR zich regelmatig laat bijscholen over privacywetgeving en de juiste omgang met personeelsgegevens. Via OR trainingen kunt u uw kennis op dit gebied vergroten. Specifiek de training over de WOR biedt inzicht in de wettelijke kaders waarbinnen de OR moet opereren.

Door deze richtlijnen te volgen, kan de OR haar taken effectief uitvoeren zonder de privacy van collega’s in gevaar te brengen. Een goede balans tussen transparantie en vertrouwelijkheid versterkt uiteindelijk de positie van de OR binnen de organisatie.

Frequently Asked Questions

Wat moet een OR doen als de werkgever weigert personeelsgegevens te delen, zelfs in geanonimiseerde vorm?

Als de werkgever weigert om zelfs geanonimiseerde personeelsgegevens te delen, kunt u eerst een formeel verzoek indienen met een duidelijke onderbouwing waarom deze informatie noodzakelijk is voor uw OR-taken. Verwijs hierbij naar artikel 31 van de WOR. Leidt dit niet tot resultaat, dan kunt u bemiddeling vragen via het voorleggen van het geschil aan de bedrijfscommissie. Als laatste stap kunt u naar de kantonrechter stappen, die kan oordelen of de werkgever verplicht is de gevraagde informatie te verstrekken op basis van de WOR.

Hoe gaat de OR om met personeelsgegevens bij een reorganisatie of sociaal plan?

Bij reorganisaties heeft de OR meer gedetailleerde informatie nodig, maar ook hier geldt het principe van dataminimalisatie. Vraag om gepseudonimiseerde overzichten waarin medewerkers met codes worden aangeduid in plaats van namen. Maak duidelijke afspraken over welke gegevens worden gedeeld (functie, afdeling, dienstjaren, leeftijdscategorie) en waarom deze noodzakelijk zijn voor het beoordelen van het reorganisatieplan. Stel een tijdelijke commissie in die namens de OR deze gevoelige informatie behandelt en zorg voor beveiligde opslag van alle documenten.

Welke concrete technische beveiligingsmaatregelen kan een OR implementeren voor het beschermen van personeelsgegevens?

Naast de maatregelen genoemd in het artikel, kan de OR overwegen om gebruik te maken van end-to-end versleutelde communicatietools zoals Signal of ProtonMail voor het delen van gevoelige informatie. Overweeg ook het gebruik van wachtwoordbeheerders voor sterke, unieke wachtwoorden en tweefactorauthenticatie waar mogelijk. Voor fysieke documenten is een papierversnipperaar essentieel. Vraag de IT-afdeling om een beveiligde digitale OR-omgeving op te zetten met beperkte toegang en automatische logging van wie welke gegevens raadpleegt.

Hoe kan de OR controleren of salarisregelingen correct worden toegepast zonder individuele salarisgegevens in te zien?

Vraag de HR-afdeling om geanonimiseerde rapportages waarin per functiegroep en schaal de verdeling van salarissen wordt weergegeven, zonder dat individuen identificeerbaar zijn. Laat de afdeling HR of een externe partij een steekproefsgewijze controle uitvoeren op de correcte toepassing van de regeling en rapporteer hierover aan de OR zonder individuele gegevens te delen. Bij specifieke vragen over individuele gevallen kan een vertrouwenspersoon of commissie worden aangesteld die onder strikte geheimhouding werkt en alleen de conclusies (zonder persoonsgegevens) deelt met de voltallige OR.

Wat zijn de belangrijkste aandachtspunten bij het opstellen van een OR-protocol voor gegevensverwerking?

Een effectief OR-protocol voor gegevensverwerking moet minimaal de volgende elementen bevatten: 1) Een duidelijke beschrijving van welke typen personeelsgegevens de OR verwerkt en voor welke doeleinden, 2) Concrete bewaartermijnen voor verschillende soorten gegevens, 3) Beveiligingsmaatregelen en toegangsrechten binnen de OR, 4) Procedures voor het veilig delen van informatie, 5) Afspraken over het vernietigen van gegevens na afloop van de bewaartermijn, en 6) Een procedure voor het melden van eventuele datalekken. Betrek de Functionaris Gegevensbescherming bij het opstellen van dit protocol voor extra juridische zekerheid.

Hoe kan de OR zorgen dat nieuwe OR-leden goed geïnformeerd zijn over de privacyregels?

Neem privacybewustzijn op als vast onderdeel van het inwerkprogramma voor nieuwe OR-leden. Laat hen het OR-protocol voor gegevensverwerking doorlopen en tekenen voor ontvangst en naleving. Organiseer jaarlijks een korte opfriscursus over privacyregels voor de gehele OR. Overweeg om één OR-lid aan te wijzen als privacy-coördinator die op de hoogte blijft van de nieuwste ontwikkelingen en als eerste aanspreekpunt fungeert bij vragen over de omgang met personeelsgegevens. Zorg dat nieuwe OR-leden ook deelnemen aan relevante trainingen over de WOR en privacywetgeving.

Wat moet de OR doen bij een datalek waarbij personeelsgegevens betrokken zijn?

Bij een datalek moet de OR direct handelen: 1) Breng de situatie in kaart en beperk waar mogelijk de schade, 2) Informeer onmiddellijk de bestuurder en de Functionaris Gegevensbescherming, 3) Documenteer wat er is gebeurd, welke gegevens betrokken zijn en welke maatregelen zijn genomen, 4) Werk mee aan het officiële meldingsproces aan de Autoriteit Persoonsgegevens indien nodig, 5) Evalueer na afloop hoe het datalek kon ontstaan en pas procedures aan om herhaling te voorkomen. Transparantie en snelheid zijn essentieel om de schade te beperken en vertrouwen te behouden.

Meer nieuws?

Schrijf je in voor de nieuwsbrief

Toestemming

Bekijk andere artikelen

Categorieën

Ga je een OR oprichten? Wil je als nieuwe OR een goede start maken?
Of wil je als bestaande OR het beste naar boven halen om zo de waarde van de OR te verhogen?
Wij helpen je graag verder!

Contact
TRAINIAC
Privacyoverzicht
TRAINIAC

Deze website maakt gebruik van cookies zodat we je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in de browser en voert functies uit zoals je herkennen wanneer je terugkeert naar onze website en ons team helpen te begrijpen welke delen van de website jou het meest interessant en nuttig vindt.

Noodzakelijke cookies

Strikt noodzakelijke cookies moeten te allen tijde zijn ingeschakeld, zodat we jouw voorkeuren voor cookie-instellingen kunnen opslaan.

Advertentiecookies

Deze website gebruikt een Facebook Pixel, een analyse tool van Facebook. Deze tool helpt ons de website te analyseren, waarmee we weer de Facebook ervaring van onze gebruikers kunnen verbeteren.

Powered by  GDPR Cookie Compliance