English courses
English courses

Welke AVG-regels gelden voor de OR?

13 augustus 2025

Als ondernemingsraad (OR) verwerk je regelmatig persoonsgegevens van collega’s. Denk aan verkiezingen, adviesaanvragen of achterbanraadpleging. De OR moet daarbij voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De belangrijkste AVG-regels voor de OR zijn rechtmatigheid, doelbinding, dataminimalisatie en beveiliging. De OR is in sommige situaties zelfstandig verwerkingsverantwoordelijke, terwijl in andere gevallen de organisatie verantwoordelijk blijft. Als OR mag je alleen persoonsgegevens verwerken die noodzakelijk zijn voor je wettelijke taken, waarbij extra voorzichtigheid geboden is bij gevoelige gegevens zoals gezondheidsgegevens.

Wat zijn de belangrijkste AVG-regels voor de ondernemingsraad?

De ondernemingsraad moet bij het verwerken van persoonsgegevens voldoen aan de kernprincipes van de AVG. De belangrijkste regels zijn:

  • Rechtmatigheid: De OR moet een wettelijke grondslag hebben voor het verwerken van persoonsgegevens. Voor de OR is dit meestal de uitvoering van een wettelijke taak op basis van de Wet op de ondernemingsraden (WOR).
  • Doelbinding: Persoonsgegevens mogen alleen worden verzameld voor specifieke, duidelijke doelen die direct verband houden met de wettelijke taken van de OR.
  • Dataminimalisatie: De OR mag niet meer gegevens verzamelen dan strikt noodzakelijk is voor het doel.
  • Opslagbeperking: Gegevens mogen niet langer worden bewaard dan nodig voor het doel waarvoor ze zijn verzameld.
  • Integriteit en vertrouwelijkheid: De OR moet zorgen voor passende beveiliging van persoonsgegevens.
  • Transparantie: De OR moet open zijn over welke gegevens worden verzameld en waarom.

Deze regels gelden voor alle verwerkingen van persoonsgegevens door de OR, of het nu gaat om verkiezingen, adviesaanvragen of communicatie met de achterban. Het naleven van deze principes is niet alleen een wettelijke verplichting, maar versterkt ook het vertrouwen van collega’s in de OR.

Wanneer is de OR een verwerkingsverantwoordelijke volgens de AVG?

De OR is een zelfstandige verwerkingsverantwoordelijke wanneer de OR zelf bepaalt waarom en hoe persoonsgegevens worden verwerkt. Dit is het geval bij activiteiten die direct voortvloeien uit de zelfstandige positie van de OR binnen de organisatie.

Situaties waarin de OR als verwerkingsverantwoordelijke optreedt zijn:

  • Het organiseren van OR-verkiezingen
  • Het raadplegen van de achterban
  • Het bijhouden van een eigen administratie van OR-leden
  • Het voeren van correspondentie namens de OR

De OR is geen verwerkingsverantwoordelijke wanneer de OR persoonsgegevens verwerkt die door de werkgever zijn verstrekt in het kader van advies- of instemmingsaanvragen. In die gevallen blijft de werkgever verantwoordelijk voor de rechtmatige verwerking van de gegevens.

Het onderscheid is belangrijk omdat het bepaalt wie verantwoordelijk is voor naleving van de AVG en wie aansprakelijk kan worden gesteld bij eventuele overtredingen. Als verwerkingsverantwoordelijke heeft de OR eigen verplichtingen, zoals het bijhouden van een verwerkingsregister en het treffen van beveiligingsmaatregelen.

Welke persoonsgegevens mag de OR verwerken onder de AVG?

De OR mag alleen persoonsgegevens verwerken die noodzakelijk zijn voor het uitvoeren van de wettelijke taken op basis van de WOR. Welke gegevens dit zijn, verschilt per activiteit:

Bij OR-verkiezingen mag de OR verwerken:

  • Naam, functie en afdeling van kiesgerechtigden
  • Contactgegevens van kandidaten
  • Stemgedrag (anoniem)

Bij adviesaanvragen, bijvoorbeeld over reorganisaties:

  • Functiegegevens van betrokken medewerkers
  • Dienstjaren en andere objectieve criteria relevant voor de adviesaanvraag
  • Geen persoonlijke beoordelingen of gevoelige gegevens, tenzij strikt noodzakelijk

Bij achterbanraadpleging:

  • Contactgegevens voor communicatie
  • Meningen en input (bij voorkeur geanonimiseerd)

Voor alle verwerkingen geldt het principe van dataminimalisatie: verzamel niet meer gegevens dan nodig en zorg dat de gegevens niet tot individuele personen herleidbaar zijn wanneer dat niet noodzakelijk is. Verwijder gegevens zodra ze niet meer nodig zijn voor het doel waarvoor ze zijn verzameld.

Hoe moet de OR omgaan met gevoelige persoonsgegevens?

Gevoelige persoonsgegevens, in de AVG bijzondere categorieën van persoonsgegevens genoemd, vereisen extra bescherming. Hieronder vallen gegevens over:

  • Gezondheid en medische informatie
  • Ras of etnische afkomst
  • Politieke opvattingen
  • Religieuze of levensbeschouwelijke overtuigingen
  • Vakbondslidmaatschap
  • Genetische of biometrische gegevens
  • Seksuele geaardheid

De OR moet zeer terughoudend zijn met het verwerken van deze gegevens. In principe is verwerking verboden, tenzij er een specifieke wettelijke uitzondering van toepassing is. Voor de OR kan dit het geval zijn wanneer:

  • De betrokkene uitdrukkelijke toestemming heeft gegeven
  • De gegevens door de betrokkene zelf openbaar zijn gemaakt
  • De verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering

In de praktijk komt de OR soms in aanraking met gezondheidsgegevens, bijvoorbeeld bij adviesaanvragen over arbeidsongeschiktheid of re-integratie. In zulke gevallen moet de OR:

  • Alleen werken met geanonimiseerde of geaggregeerde gegevens
  • Extra beveiligingsmaatregelen nemen
  • De gegevens niet langer bewaren dan strikt noodzakelijk
  • De toegang tot deze gegevens beperken tot OR-leden die deze informatie echt nodig hebben

Wat zijn de gevolgen als de OR de AVG-regels niet naleeft?

Als de OR als verwerkingsverantwoordelijke de AVG-regels niet naleeft, kan dit verschillende consequenties hebben:

  • Boetes: De Autoriteit Persoonsgegevens (AP) kan boetes opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet. In de praktijk zullen boetes voor OR’en lager uitvallen, maar kunnen nog steeds substantieel zijn.
  • Reputatieschade: Het vertrouwen van collega’s in de OR kan ernstig worden geschaad als blijkt dat de OR onzorgvuldig omgaat met hun persoonsgegevens.
  • Aansprakelijkheid: Betrokkenen die schade hebben geleden door een AVG-overtreding kunnen een schadevergoeding eisen.
  • Handhavingsmaatregelen: De AP kan ook andere maatregelen opleggen, zoals een verwerkingsverbod of een last onder dwangsom.

Het is belangrijk te weten dat individuele OR-leden persoonlijk aansprakelijk kunnen worden gesteld bij ernstige nalatigheid. De werkgever is in principe niet verantwoordelijk voor AVG-overtredingen door de OR in situaties waarin de OR zelfstandig verwerkingsverantwoordelijke is.

De gevolgen kunnen ook de effectiviteit van de OR ondermijnen. Een OR die het vertrouwen van de achterban verliest door onzorgvuldig om te gaan met persoonsgegevens, zal minder goed in staat zijn om de belangen van werknemers te behartigen.

Welke praktische stappen kan de OR nemen voor AVG-compliance?

Om te voldoen aan de AVG kan de ondernemingsraad de volgende praktische maatregelen nemen:

  1. Maak een verwerkingsregister: Documenteer welke persoonsgegevens de OR verwerkt, voor welke doeleinden, en hoe lang deze worden bewaard.
  2. Stel een privacybeleid op: Maak duidelijk hoe de OR omgaat met persoonsgegevens en informeer betrokkenen hierover.
  3. Implementeer beveiligingsmaatregelen: Zorg voor veilige opslag van gegevens, bijvoorbeeld door:
    • Wachtwoordbeveiliging op digitale bestanden
    • Versleuteling van gevoelige informatie
    • Fysieke beveiliging van papieren documenten
  4. Maak afspraken met de werkgever: Leg vast wie waarvoor verantwoordelijk is en welke ondersteuning de werkgever biedt bij AVG-compliance.
  5. Zorg voor bewustwording: Train OR-leden in de basisprincipes van de AVG en maak duidelijke afspraken over het omgaan met persoonsgegevens.
  6. Hanteer bewaartermijnen: Verwijder gegevens zodra ze niet meer nodig zijn.
  7. Wees transparant: Informeer betrokkenen over welke gegevens worden verzameld en waarom.

Het is raadzaam om als OR regelmatig te evalueren of de genomen maatregelen nog voldoende zijn. Overweeg om specifieke OR trainingen te volgen over dit onderwerp om up-to-date te blijven met de laatste ontwikkelingen. Vooral voor nieuwe OR-leden kan een training over de WOR helpen om de verplichtingen rond gegevensbescherming in de juiste context te plaatsen.

Door deze stappen te nemen, zorgt de OR niet alleen voor naleving van de AVG, maar versterkt ook het vertrouwen van de achterban in het werk van de ondernemingsraad.

Veelgestelde vragen

Moet de OR een verwerkingsregister bijhouden en hoe doe je dat?

Ja, als verwerkingsverantwoordelijke moet de OR een verwerkingsregister bijhouden. Maak hiervoor een eenvoudig overzicht (bijvoorbeeld in Excel) waarin je per verwerking vastlegt: het doel, welke gegevens worden verwerkt, de grondslag, bewaartermijnen, en beveiligingsmaatregelen. Begin met het inventariseren van alle OR-activiteiten waarbij persoonsgegevens worden verwerkt, zoals verkiezingen en achterbanraadplegingen. Houd het register actueel en bespreek het regelmatig in de OR-vergadering.

Wat moet de OR doen bij een datalek?

Bij een datalek moet de OR snel handelen: 1) Documenteer wat er gebeurd is en welke gegevens mogelijk zijn gelekt, 2) Neem maatregelen om het lek te dichten en verdere schade te beperken, 3) Beoordeel of het lek gemeld moet worden bij de Autoriteit Persoonsgegevens (binnen 72 uur bij risico's voor betrokkenen), 4) Informeer betrokken personen als hun rechten of vrijheden in gevaar zijn, 5) Evalueer achteraf hoe het lek kon ontstaan en hoe dit in de toekomst voorkomen kan worden. Overweeg om vooraf een datalek-procedure op te stellen.

Hoe kan de OR digitale communicatie met de achterban AVG-proof maken?

Maak digitale communicatie AVG-proof door: 1) Gebruik BCC bij e-mails naar grote groepen, 2) Overweeg een speciaal OR-communicatieplatform of intranetpagina in plaats van persoonlijke e-mailadressen, 3) Vraag bij enquêtes alleen naar noodzakelijke informatie en maak duidelijk wat ermee gebeurt, 4) Bied opt-out mogelijkheden voor nieuwsbrieven, 5) Verwijder reacties met persoonlijke informatie uit openbare fora, 6) Gebruik waar mogelijk beveiligde communicatiekanalen die de organisatie aanbiedt. Informeer altijd duidelijk over het doel van de gegevensverzameling.

Welke afspraken moet de OR maken met externe dienstverleners over persoonsgegevens?

Bij samenwerking met externe dienstverleners (zoals trainers, adviseurs of enquêtetools) moet de OR verwerkersovereenkomsten afsluiten. Hierin leg je vast: 1) Welke gegevens worden verwerkt en met welk doel, 2) Hoe de beveiliging wordt gewaarborgd, 3) Wat er gebeurt bij een datalek, 4) Wanneer gegevens worden verwijderd, 5) Of en hoe subverwerkers worden ingeschakeld. Controleer ook of de dienstverlener AVG-compliant werkt en vraag naar hun beveiligingsmaatregelen. Kies bij voorkeur voor dienstverleners die ervaring hebben met OR-werk en de bijbehorende privacyaspecten.

Hoe gaat de OR om met verzoeken van medewerkers over hun persoonsgegevens?

Medewerkers hebben recht op inzage, correctie en verwijdering van hun persoonsgegevens. Stel een vaste procedure op voor het afhandelen van deze verzoeken: 1) Bevestig de ontvangst binnen een week, 2) Verifieer de identiteit van de verzoeker, 3) Verzamel alle relevante informatie, 4) Reageer binnen één maand inhoudelijk, 5) Documenteer het verzoek en je afhandeling. Wees transparant over welke gegevens je bewaart en waarom. Als je een verzoek niet kunt inwilligen (bijvoorbeeld vanwege wettelijke verplichtingen), leg dan duidelijk uit waarom.

Hoe kan de OR-verkiezingen organiseren met inachtneming van de AVG?

Organiseer AVG-compliant OR-verkiezingen door: 1) Gebruik alleen de noodzakelijke persoonsgegevens voor het kiesregister, 2) Informeer kiesgerechtigden over het gebruik van hun gegevens, 3) Zorg voor een veilig stemsysteem dat anonimiteit waarborgt, 4) Beperk de toegang tot kandidatenlijsten en kiesregisters tot de verkiezingscommissie, 5) Verwijder persoonsgegevens na afloop van de bezwaartermijn, 6) Bewaar alleen geanonimiseerde verkiezingsresultaten voor de langere termijn. Overweeg een digitaal stemsysteem dat specifiek is ontworpen om aan de AVG te voldoen.

Wat zijn de meest voorkomende AVG-fouten die OR'en maken en hoe voorkom je deze?

Veelvoorkomende AVG-fouten zijn: 1) Het onnodig verzamelen van persoonsgegevens bij enquêtes, 2) Het onbeveiligd opslaan van documenten met persoonsgegevens op privé-apparaten, 3) Het te lang bewaren van gegevens na OR-verkiezingen of projecten, 4) Het delen van vertrouwelijke informatie via onbeveiligde kanalen, 5) Het niet informeren van medewerkers over gegevensverwerking. Voorkom deze fouten door bewustwording binnen de OR te creëren, duidelijke procedures af te spreken, regelmatig 'opruimsessies' te houden, en gebruik te maken van beveiligde communicatiemiddelen die de organisatie biedt.

Meer nieuws?

Schrijf je in voor de nieuwsbrief

Toestemming

Bekijk andere artikelen

Categorieën

Ga je een OR oprichten? Wil je als nieuwe OR een goede start maken?
Of wil je als bestaande OR het beste naar boven halen om zo de waarde van de OR te verhogen?
Wij helpen je graag verder!

Contact
TRAINIAC
Privacyoverzicht
TRAINIAC

Deze website maakt gebruik van cookies zodat we je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in de browser en voert functies uit zoals je herkennen wanneer je terugkeert naar onze website en ons team helpen te begrijpen welke delen van de website jou het meest interessant en nuttig vindt.

Noodzakelijke cookies

Strikt noodzakelijke cookies moeten te allen tijde zijn ingeschakeld, zodat we jouw voorkeuren voor cookie-instellingen kunnen opslaan.

Advertentiecookies

Deze website gebruikt een Facebook Pixel, een analyse tool van Facebook. Deze tool helpt ons de website te analyseren, waarmee we weer de Facebook ervaring van onze gebruikers kunnen verbeteren.

Powered by  GDPR Cookie Compliance