Gegevens van werknemers zijn niet zomaar vernietigd
De privacy van werknemers is een groot goed. De OR heeft niet voor niets instemmingsrecht op alle regelingen over het verwerken of beschermen van persoonsgegevens van werknemers. De OR doet er goed aan om zich te verdiepen in het beleid van de organisatie.
Een organisatie mag data niet eindeloos bewaren. Zo mag een werkgever sollicitatiegegevens van een werknemer na uitdiensttreding maar maximaal één jaar bewaren, terwijl voor de salarisadministratie een bewaartermijn van zeven jaar na uitdiensttreding geldt. Ook zijn werkgevers verplicht om goed om te gaan met data en dragers van data, zoals usb-sticks, harde schijven en smartphones. Om te voorkomen dat een datalek ontstaat en gegevens van werknemers op straat belanden, moeten werkgevers grondig te werk gaan. Het simpelweg deleten van gegevens na het verstrijken van de bewaartermijn volstaat niet.
Er zijn drie methoden voor het vernietigen van data
Experts kunnen digitale informatie vaak nog achterhalen, ook als de data gedelete is of zelfs als de datadrager flink beschadigd is. Werkgevers kunnen zich dit risico niet veroorloven en doen er daarom goed aan om de informatie op een juiste manier te verwijderen. Daarvoor bestaan drie methoden:
- Wipen is een methode voor het verwijderen van informatie op harde schijven. Speciale software verwijdert informatie door de data te overschrijven, waardoor deze niet meer te lezen zijn. De methode is niet 100% betrouwbaar en het kost veel tijd.
- Data op een tape of bankpasje is goed te vernietigen door het te degaussen. Een speciale machine (een degausser) verstoort de magnetische lading, waardoor de data niet meer te lezen zijn.
- Tegen elkaar draaiende messen kunnen elke datadrager tot piepkleine stukjes versnipperen.
OR heeft instemmingsrecht bij verwerking persoonsgegevens
Bij een regeling die het verwerken en/of beschermen van persoonsgegevens van de in de onderneming werkzame personen betreft, heeft de OR instemmingsrecht. Dat geldt ook voor een regeling voor voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen (artikel 27, lid 1 k en l van de Wet op de ondernemingsraden). Dit biedt de OR de mogelijkheid om invloed uit te oefen op de digitale veiligheid binnen de organisatie.