English courses
English courses

Welke AVG-regels gelden voor de OR?

13 augustus 2025

Als ondernemingsraad (OR) verwerk je regelmatig persoonsgegevens van collega’s. Denk aan verkiezingen, adviesaanvragen of achterbanraadpleging. De OR moet daarbij voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De belangrijkste AVG-regels voor de OR zijn rechtmatigheid, doelbinding, dataminimalisatie en beveiliging. De OR is in sommige situaties zelfstandig verwerkingsverantwoordelijke, terwijl in andere gevallen de organisatie verantwoordelijk blijft. Als OR mag je alleen persoonsgegevens verwerken die noodzakelijk zijn voor je wettelijke taken, waarbij extra voorzichtigheid geboden is bij gevoelige gegevens zoals gezondheidsgegevens.

Wat zijn de belangrijkste AVG-regels voor de ondernemingsraad?

De ondernemingsraad moet bij het verwerken van persoonsgegevens voldoen aan de kernprincipes van de AVG:

  • Rechtmatigheid: De OR heeft een wettelijke grondslag via de Wet op de ondernemingsraden (WOR)
  • Doelbinding: Verzamel alleen gegevens voor specifieke doelen die verband houden met OR-taken
  • Dataminimalisatie: Niet meer gegevens verzamelen dan strikt noodzakelijk
  • Opslagbeperking: Gegevens niet langer bewaren dan nodig
  • Beveiliging: Passende bescherming van persoonsgegevens
  • Transparantie: Open communicatie over welke gegevens worden verzameld en waarom

Wanneer is de OR verwerkingsverantwoordelijke volgens de AVG?

De OR is zelfstandig verwerkingsverantwoordelijke bij activiteiten die voortvloeien uit de onafhankelijke positie binnen de organisatie:

  • Organiseren van OR-verkiezingen
  • Raadplegen van de achterban
  • Bijhouden van eigen OR-administratie
  • Voeren van correspondentie namens de OR

De OR is geen verwerkingsverantwoordelijke bij het verwerken van gegevens die de werkgever verstrekt voor advies- of instemmingsaanvragen. Dan blijft de werkgever verantwoordelijk.

Welke persoonsgegevens mag de OR verwerken onder de AVG?

De OR mag alleen persoonsgegevens verwerken die noodzakelijk zijn voor wettelijke taken:

Bij OR-verkiezingen:

  • Naam, functie en afdeling van kiesgerechtigden
  • Contactgegevens van kandidaten
  • Stemgedrag (anoniem)

Bij adviesaanvragen:

  • Functiegegevens van betrokken medewerkers
  • Dienstjaren en objectieve criteria relevant voor de adviesaanvraag

Bij achterbanraadpleging:

  • Contactgegevens voor communicatie
  • Meningen en input (bij voorkeur geanonimiseerd)

Gevoelige persoonsgegevens zoals gezondheidsgegevens vereisen extra voorzichtigheid. Werk waar mogelijk met geanonimiseerde of geaggregeerde gegevens en neem extra beveiligingsmaatregelen.

Hoe zorgt TRAINIAC voor AVG-bewuste OR-leden?

TRAINIAC helpt ondernemingsraden met praktische OR trainingen over gegevensbescherming en andere OR-onderwerpen. Onze ervaren trainers met stevige praktijkachtergrond zorgen voor direct toepasbare kennis over AVG-compliance.

We bieden maatwerk per organisatie, zodat de training aansluit bij jouw specifieke situatie en uitdagingen. Door interactieve sessies leren OR-leden door doen, met ruimte voor reflectie en concrete actiepunten. Vooral voor nieuwe OR-leden is een training over de WOR waardevol om alle verplichtingen in de juiste context te plaatsen.

Onze persoonlijke aanpak zorgt voor duurzame ontwikkeling in plaats van een eenmalige impuls. We werken resultaatgericht met duidelijke doelen en zichtbare ontwikkeling. Wil je weten hoe we jouw OR kunnen ondersteunen? Neem vrijblijvend contact op voor een kennismakingsgesprek.

Veelgestelde vragen

Moet de OR een verwerkingsregister bijhouden en hoe doe je dat?

Ja, als verwerkingsverantwoordelijke moet de OR een verwerkingsregister bijhouden. Maak een overzicht waarin je per verwerking vastlegt: het doel, welke gegevens worden verwerkt, de grondslag en bewaartermijnen. Houd het register actueel en bespreek het regelmatig.

Wat moet de OR doen bij een datalek?

Documenteer het incident, dicht het lek, beoordeel of melding bij de Autoriteit Persoonsgegevens nodig is (binnen 72 uur), en informeer betrokkenen bij risico's. Evalueer achteraf hoe herhaling voorkomen kan worden.

Hoe kan de OR digitale communicatie AVG-proof maken?

Gebruik BCC bij groepsmails, overweeg een OR-communicatieplatform, vraag alleen noodzakelijke informatie bij enquêtes, en gebruik beveiligde kanalen. Informeer altijd duidelijk over het doel van gegevensverzameling.

Welke afspraken moet de OR maken met externe dienstverleners?

Sluit verwerkersovereenkomsten af waarin je vastlegt: welke gegevens worden verwerkt, beveiligingsmaatregelen, wat er gebeurt bij een datalek, en wanneer gegevens worden verwijderd. Kies dienstverleners met OR-ervaring en AVG-kennis.

Meer nieuws?

Schrijf je in voor de nieuwsbrief

Toestemming

Bekijk andere artikelen

Categorieën

Ga je een OR oprichten? Wil je als nieuwe OR een goede start maken?
Of wil je als bestaande OR het beste naar boven halen om zo de waarde van de OR te verhogen?
Wij helpen je graag verder!

Contact
TRAINIAC
Privacyoverzicht
TRAINIAC

Deze website maakt gebruik van cookies zodat we je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in de browser en voert functies uit zoals je herkennen wanneer je terugkeert naar onze website en ons team helpen te begrijpen welke delen van de website jou het meest interessant en nuttig vindt.

Noodzakelijke cookies

Strikt noodzakelijke cookies moeten te allen tijde zijn ingeschakeld, zodat we jouw voorkeuren voor cookie-instellingen kunnen opslaan.

Advertentiecookies

Deze website gebruikt een Facebook Pixel, een analyse tool van Facebook. Deze tool helpt ons de website te analyseren, waarmee we weer de Facebook ervaring van onze gebruikers kunnen verbeteren.

Powered by  GDPR Cookie Compliance