Dataprotectie is ook aandachtspunt voor OR
Vrijdag 28 januari is het Europese Dag van de Privacy oftewel Dataprotectiedag. Een goede aanleiding voor de ondernemingsraad (OR) om aandacht te vragen voor de digitale veiligheid in de organisatie. Daar gaat namelijk nogal eens iets mis.
Volgens de Algemene verordening persoonsgegevens (AVG) moet de bestuurder ervoor zorgen dat de gegevens van werknemers en alle relaties van de organisatie goed beschermd zijn. Als de digitale veiligheid niet in orde is, is het voor cybercriminelen immers een koud kunstje om computers of bedrijfsnetwerken te hacken en toegang te krijgen tot vertrouwelijke gegevens, met alle gevolgen van dien. Digitale veiligheid is daarom een belangrijk aandachtspunt voor organisaties, en voor de ondernemingsraad in het bijzonder. De OR heeft namelijk instemmingsrecht bij het privacybeleid en kan er bij de bestuurder op aandringen dat hij werk maakt van gegevensbescherming.
OR kan controleren of privacybeleid aan alle eisen voldoet
De OR heeft instemmingsrecht bij regelingen die betrekking hebben op het verwerken en beschermen van de persoonsgegevens van de in de onderneming werkzame personen (artikel 27, lid 1k WOR) en bij de invoering van voorzieningen waarmee de bestuurder de aanwezigheid, prestaties of het gedrag van de achterban kan monitoren (artikel 27, lid 1l WOR). Op die manier kan de OR zijn stempel drukken op het privacybeleid in de organisatie. De OR hoeft uiteraard niet af te wachten tot de bestuurder met een instemmingsverzoek komt, maar kan ook zelf controleren of het privacybeleid aan alle eisen voldoet (toolbox).
Weten werknemers wat zij moeten doen en laten bij een datalek?
Ziet de OR in het huidige privacybeleid mogelijkheden tot verbetering, dan kan de OR een concreet advies indienen bij de bestuurder (initiatiefrecht, artikel 23, lid 3 WOR). Heeft de organisatie bijvoorbeeld al een functionaris gegevensbescherming (FG) aangesteld en weet iedereen in de organisatie hoe hij moet handelen bij een datalek? De bestuurder doet er verstandig aan om een protocol op te stellen en hierover duidelijk te communiceren aan werknemers, zodat iedereen weet wat hij moet doen én laten bij een datalek.