De AVG legt organisaties verschillende verplichtingen op om de bescherming van persoonsgegevens te waarborgen, waarover wij al eerder schreven in ons Stappenplan AVG. Niet alleen als ondernemer draagt u een verantwoordelijkheid voor de omgang met en de bescherming van persoonsgegevens op het werk. Ook de ondernemingsraad draagt een verantwoordelijkheid. Maar wat is nu precies de rol van de ondernemingsraad bij het implementatietraject van de AVG binnen de organisatie?

Rol van de ondernemingsraad

De ondernemingsraad vertegenwoordigt het personeel in uw onderneming en beschermt de belangen van uw werknemers. De ondernemingsraad heeft daarvoor verschillende rechten en bevoegdheden, zoals het recht op informatie, het adviesrecht, het instemmingsrecht en het initiatiefrecht. Met name het adviesrecht, instemmingsrecht en het initiatiefrecht spelen een rol bij de uitvoering van de AVG.

Adviesrecht ondernemingsraad

Het kan zijn dat u nieuwe technische maatregelen treft om te voldoen aan de AVG. Denk bijvoorbeeld aan technische maatregelen om persoonsgegevens te beveiligen of om ervoor te zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het verwerkingsdoel.

Op grond van de Wet op de Ondernemingsraden (WOR) dient een besluit tot het invoeren of wijzigen van een technologische voorziening ter advies aan de ondernemingsraad te worden voorgelegd. Dus als u wilt over gaan tot de aanschaf van nieuwe ICT ter beveiliging van de persoonsgegevens, dan is het van belang dat u de ondernemingsraad hierbij betrekt.

Instemmingsrecht ondernemingsraad

Een besluit tot vaststelling, wijziging of intrekking van een regeling over het verwerken van, alsmede de bescherming van de in uw onderneming werkzame personen is instemmingsplichtig. Het moet dus gaan om een regeling die tot doel heeft persoonsgegevens te verzamelen, bewaren, gebruiken, verstrekken of beveiligen. 
 

Wij zien in de praktijk vaak dat ondernemers een intern privacybeleid opstellen om de uitvoering van de AVG in goede banen te leiden. In het privacybeleid worden zoal de volgende procedures en regelingen in kaart gebracht:
 

  • Regeling over het opslaan van persoonsgegevens, zoals het opslaan van personeelsgegevens en klantgegevens op het computernetwerk, in het e-mail archief en een bestandopslag zoals “Google Drive” en “Dropbox”
  • Procedure voor de afhandeling van verzoeken van werknemers en klanten op grond van hun rechten onder de AVG
  • Procedure voor de afhandeling van datalekken;
  • Regeling over de informatieverstrekking aan werknemers;
  • Regeling over bewaartermijnen;
  • Regeling op het gebied van de bescherming van persoonsgegevens
  • Procedure voor het sluiten van een verwerkersovereenkomst met een derde partij. 
     

Een privacybeleid beschrijft dus hoe u als ondernemer omgaat met de persoonsgegevens van uw werknemers, wat tot gevolg heeft dat u instemming dient te krijgen van de ondernemingsraad voor het vaststellen of wijzigen van het privacybeleid. 
 

Is het privacybeleid eenmaal vastgesteld en wordt uitvoering gegeven aan het privacybeleid, dan is het in principe niet nodig de ondernemingsraad hierbij te betrekken. Denk hierbij bijvoorbeeld aan het informeren van de werknemers over de gegevensverwerking middels een privacyverklaring en het melden van een datalek aan de Autoriteit Persoonsgegevens. 
 

Initiatiefrecht ondernemingsraad
 

Neemt u geen actie om uw bedrijfsvoering in overeenstemming te brengen met de AVG, dan kan de ondernemingsraad gebruikmaken van haar initiatiefrecht. Zo kan de ondernemingsraad bijvoorbeeld een voorstel doen voor een privacybeleid. 
 

Betrek ondernemingsraad bij implementatietraject AVG
 

Bent u ondernemer of lid van de ondernemingsraad en wilt u graag meer informatie over de rechten van de ondernemingsraad of de verplichtingen uit de AVG, neem dan gerust contact op met mij of één van mijn mede AVG-specialisten.