De OR en AVG: OR let op uw zaak!

Het is inmiddels waarschijnlijk dat uw organisatie wordt gehackt. Het gebeurt met grote regelmaat, en af en toe bemachtigen de hackers daarbij gegevens waarmee ze uw werkgever onder druk kunnen zetten. Dat is ook voor de medewerkers niet zonder risico’s. Soms worden er personeelsgegevens bemachtigd, die voor de hackers op twee manieren interessant kunnen zijn.

Ze kunnen dreigen de buitgemaakte gegevens op internet te zetten, zodat alle privacygevoelige gegevens van uw collega’s op straat liggen. En ze kunnen de bestanden door verkopen aan bendes die daarmee allerlei vormen van identiteitsfraude kunnen plegen. Met alle gevolgen van dien voor de medewerker die daardoor getroffen wordt.

Nu kun je stellen dat de kans dat dit gebeurt niet heel groot is, maar het effect voor de betrokken medewerker is wel heel groot. Die kan met grote schulden en dure juridische procedures te maken krijgen. Alle reden om vanuit de OR te kijken hoe de personeelsgegevens beheerd en beveiligd worden. En het risico tot een minimum te beperken.

De AVG schrijft voor hoe de werkgever met privacygevoelige gegevens om moet gaan. Het principe is dat je terughoudend moet zijn met wat je aan gegevens verzamelt, bewaart en bewerkt. Als het niet nodig is, dus ook niet registreren en opslaan.

Een tweede uitgangspunt is dat het voor de betrokkenen duidelijk moet zijn welke gegevens, waarom onder welke condities worden opgeslagen en verwerkt. Om dat waar te maken is het nodig voor iedere registratie een regeling op te stellen, waarin is vastgelegd wie, waarom met welke gegevens aan de slag kan.

Een derde aandachtspunt is de zorgvuldigheid. Is voldoende geborgd dat onbevoegden geen toegang hebben tot de gegevens, dat misbruik is uitgesloten en dat voldoende wordt gedaan om kwaadaardige pogingen om toegang te krijgen te voorkomen?

De AVG gaat er vanuit dat de medewerkers van wie we gegevens opslaan hier zicht op hebben en hierbij betrokken worden. In de praktijk is het vaak de OR die dat namens de medewerkers doet. De OR heeft dus een belangrijke rol in de checks and balances. De OR moet toezien op terughoudendheid, transparantie en zorgvuldigheid.

In sommige organisaties is er een functionaris gegevensbescherming (FG) aangesteld, die een onafhankelijke rol heeft en ook toeziet op het zorgvuldig bewerken van privacygevoelige gegevens, van klanten en medewerkers. Het is natuurlijk handig om de FG een stevige plek in het netwerk van de OR te geven. Want dat is een expert, die de OR-leden de ins- en outs van de regelgeving kan bijbrengen. En omgekeerd kan de FG kan soms een zetje in de rug gebruiken van een OR.  Want de FG heeft een weliswaar een stevige onafhankelijke positie, maar niet een instrument als het instemmingsrecht.

De digitalisering is natuurlijk een geleidelijk proces. In de afgelopen decennia hebben we papieren dossiers in digitale bestanden zien veranderen, hebben we de verspreiding van smartphones, tablets en laptops meegemaakt, en gezien hoe inlogcodes en toegangspasjes ingevoerd werden. Meer onlangs zijn zaken als digitale personeelsplanning, e-HRM en het werken in de cloud gemeengoed geworden. Al die bewegingen leidden tot nieuwe vormen waarop persoonsgegevens worden verzameld, gelogd en bewerkt.

Maar de afgelopen jaren hebben we een ware digitale spurt beleefd door de pandemie en het gedwongen op afstand werken. In no-time werd software ingevoerd gericht op digitaal vergaderen, het delen van gegevens in de cloud en het delen van agenda’s, workflows, enz. De grote tech-bedrijven als Microsoft en Google hebben onze werkgevers allerlei vormen van de z.g.  bedrijfsportals verkocht.

En dus is het opletten geblazen voor de ondernemingsraad. Er zijn hier twee vragen van belang. De eerste is: wat loggen deze toepassingen als het gaat om tot de persoon te herleiden gegevens? Waar we zijn? Wanneer we in- en uitloggen? Welke websites we bezoeken in werktijd, of misschien ook na werktijd? De mogelijkheden voor deze portals zijn bijna onbegrensd, omdat alle devices van alle medewerkers aan alle data geknoopt worden. Het is natuurlijk niet gezegd dat de werkgever er op uit is de medewerkers zo dicht op de huid te zitten, maar als de mogelijkheden er zijn, dan moeten we voor iedereen transparant regelen wat wel en niet verzameld en gebruikt wordt.  En in veel organisaties ontbreekt dat nog.

Een tweede is: welke persoonsgegevens zijn voor de tech-bedrijven beschikbaar? En wat mogen zij er mee doen? Hier gaat het er dus om welke op de persoon gerichte commercials de medewerkers kunnen verwachten als ze van de bedrijfsportals gebruik maken. Dit ligt vast in de leveranciersovereenkomst. In de praktijk zijn er maar enkele arrangementen waar de werkgever gebruik van kan maken en die komen erop neer dat veel van de data door de tech-bedrijven voor allerlei doeleinden gebuikt kan worden. Misschien is er voor de werkgever dus niet veel keuze, maar hoe dan ook moeten de gemaakte keuzes voor de medewerkers transparant worden. Ze moeten weten waar ze aan toe zijn.

Er zijn dus drie goede redenen om actief met de privacy van de medewerkers bezig te zijn. Dat kan je doen door te vragen naar de regelingen die er zijn rond de registraties. En als die niet bestaan, erop aan te dringen dat die worden gemaakt. Je kan een discussie starten met de medewerkers over wat zij als billijk, zorgvuldig en veilig ervaren en op grond daarvan wijzigingen in de regelingen voorstellen. Bij nieuwe of gewijzigde regelingen heb je het instemmingsrecht om je inbreng kracht bij te zetten.

Het is handig om een aantal OR-leden zich in de materie te laten verdiepen, zodat je kennis opbouwt over de spelregels, en ervaring opdoet waar je bij het instemming verlenen op letten moet. Die OR-leden kunnen dan ook het netwerk van de OR versterken door medewerkers van IT en HRM die met deze materie bezig zijn regelmatig te spreken. Zo blijf je op de hoogte en krijg je professionele input.

Het is een beetje zoals veel ondernemingsraden nu de arbo-zaken aanpakken.

Over de beveiliging van digitale gegevens is specialistische kennis nodig. Die zal niet in de OR voorhanden zijn. Ook de werkgever zal hiervoor experts inhuren. Vraag dan of je hun adviezen kunt inzien, of huur zelf contra-expertise in. Daarvoor is het belangrijk genoeg.