Weten wanneer je de bek open moet doen zodat de vis naar binnen zwemt

Geplaatst op 19 mei 2020

Leestijd 15 min

“Weten wanneer je de bek open moet doen zodat de vis naar binnen zwemt”. Zo vat ik samen wat ik kortgeleden meemaakte als adviseur van een ondernemingsraad bij een adviestraject over een fusieplan. De ondernemingsraad had behoefte om zich een beeld te vormen over hoe een fusieproces kan verlopen en wat dan voor een ondernemingsraad belangrijke aandachtspunten zijn. De ondernemingsraad realiseerde zich dat de eigen organisatie de kleine partner in het fusieproces was en er leefde angst dat het wellicht eerder over een overname zou gaan dan om een fusie.

1. Veiligheid

Het is inmiddels waarschijnlijk dat uw organisatie wordt gehackt. Het gebeurt met grote regelmaat, en af en toe bemachtigen de hackers daarbij gegevens waarmee ze uw werkgever onder druk kunnen zetten. Dat is ook voor de medewerkers niet zonder risico’s. Soms worden er personeelsgegevens bemachtigd, die voor de hackers op twee manieren interessant kunnen zijn.

Ze kunnen dreigen de buitgemaakte gegevens op internet te zetten, zodat alle privacygevoelige gegevens van uw collega’s op straat liggen. En ze kunnen de bestanden door verkopen aan bendes die daarmee allerlei vormen van identiteitsfraude kunnen plegen. Met alle gevolgen van dien voor de medewerker die daardoor getroffen wordt.

Nu kun je stellen dat de kans dat dit gebeurt niet heel groot is, maar het effect voor de betrokken medewerker is wel heel groot. Die kan met grote schulden en dure juridische procedures te maken krijgen. Alle reden om vanuit de OR te kijken hoe de personeelsgegevens beheerd en beveiligd worden. En het risico tot een minimum te beperken.

2. Checks and balances

De AVG schrijft voor hoe de werkgever met privacygevoelige gegevens om moet gaan. Het principe is dat je terughoudend moet zijn met wat je aan gegevens verzamelt, bewaart en bewerkt. Als het niet nodig is, dus ook niet registreren en opslaan.

Een tweede uitgangspunt is dat het voor de betrokkenen duidelijk moet zijn welke gegevens, waarom onder welke condities worden opgeslagen en verwerkt. Om dat waar te maken is het nodig voor iedere registratie een regeling op te stellen, waarin is vastgelegd wie, waarom met welke gegevens aan de slag kan.

Een derde aandachtspunt is de zorgvuldigheid. Is voldoende geborgd dat onbevoegden geen toegang hebben tot de gegevens, dat misbruik is uitgesloten en dat voldoende wordt gedaan om kwaadaardige pogingen om toegang te krijgen te voorkomen?

De AVG gaat er vanuit dat de medewerkers van wie we gegevens opslaan hier zicht op hebben en hierbij betrokken worden. In de praktijk is het vaak de OR die dat namens de medewerkers doet. De OR heeft dus een belangrijke rol in de checks and balances. De OR moet toezien op terughoudendheid, transparantie en zorgvuldigheid.

In sommige organisaties is er een functionaris gegevensbescherming (FG) aangesteld, die een onafhankelijke rol heeft en ook toeziet op het zorgvuldig bewerken van privacygevoelige gegevens, van klanten en medewerkers. Het is natuurlijk handig om de FG een stevige plek in het netwerk van de OR te geven. Want dat is een expert, die de OR-leden de ins- en outs van de regelgeving kan bijbrengen. En omgekeerd kan de FG kan soms een zetje in de rug gebruiken van een OR. Want de FG heeft een weliswaar een stevige onafhankelijke positie, maar niet een instrument als het instemmingsrecht.

OR aan de slag!

Er zijn dus drie goede redenen om actief met de privacy van de medewerkers bezig te zijn. Dat kan je doen door te vragen naar de regelingen die er zijn rond de registraties. En als die niet bestaan, erop aan te dringen dat die worden gemaakt. Je kan een discussie starten met de medewerkers over wat zij als billijk, zorgvuldig en veilig ervaren en op grond daarvan wijzigingen in de regelingen voorstellen. Bij nieuwe of gewijzigde regelingen heb je het instemmingsrecht om je inbreng kracht bij te zetten.

Het is handig om een aantal OR-leden zich in de materie te laten verdiepen, zodat je kennis opbouwt over de spelregels, en ervaring opdoet waar je bij het instemming verlenen op letten moet. Die OR-leden kunnen dan ook het netwerk van de OR versterken door medewerkers van IT en HRM die met deze materie bezig zijn regelmatig te spreken. Zo blijf je op de hoogte en krijg je professionele input.

Het is een beetje zoals veel ondernemingsraden nu de arbo-zaken aanpakken.

Over de beveiliging van digitale gegevens is specialistische kennis nodig. Die zal niet in de OR voorhanden zijn. Ook de werkgever zal hiervoor experts inhuren. Vraag dan of je hun adviezen kunt inzien, of huur zelf contra-expertise in. Daarvoor is het belangrijk genoeg.