Privacy in de organisatie

Heeft uw onderneming een ondernemingsraad? Of zou er eigenlijk een OR moeten zijn? Houd dan rekening met de instemmingsbevoegdheid van de OR bij elk voorgenomen besluit tot vaststelling, wijziging, of intrekking van een regeling inzake het verwerken en de bescherming van persoonsgegevens van uw werknemers. 

Daarnaast geldt ook een adviesrecht van de OR bij elk voorgenomen besluit van de onderneming dat ziet op de invoering of wijzing van een belangrijke technologische voorziening. Een voorbeeld van een technologische voorziening is een pasjessysteem of cameratoezicht op de werkvloer. Wat betekent dit concreet voor uw organisatie? 

In deze factsheet geven we u meer inzicht in de (omgang met) rechten van de ondernemingsraad bij privacyvraagstukken binnen uw organisatie.

Download: Rechten van de OR en AVG/GDPR.pdf

Individuele leden van een ondernemingsraad genieten arbeidsrechtelijke ontslagbescherming. Om hun taken als OR-leden goed te kunnen uitoefenen, gelden op de werkvloer een aantal extra privacy regels voor OR-leden. 

Als werkgever dient u:

• Leden van de OR in vrijheid te laten corresponderen met elkaar. Concreet gezegd, u heeft geen toegang tot de email-accounts van OR-leden. Wel kunt u met de OR-leden afspreken dat zij voor OR zaken een aparte map of account gebruiken, zodat niet álle emailgegevens onder deze beperking vallen;

• U mag dus ook geen post voor OR-leden openen. Ook hier kunt u weer afspreken dat dit alleen geldt voor als zodanig gemarkeerde post;

• U mag ook geen internetgebruik of telefooncontact van OR-leden controleren.

Medewerkers vormen een belangrijk onderdeel van de organisatie. Dit geldt voor b.v.'s en n.v.'s, maar ook voor verenigingen en stichtingen.

De organisatie heeft privacy verplichtingen. Deze kunnen alleen worden nagekomen, als de werknemers dit ook doen. Een organisatie kan privacybeleid bedenken en opstellen, maar dit heeft alleen effect als het wordt opgevolgd. De cultuur binnen een organisatie is daarom van groot belang. Zo is het een feit dat de meeste datalekken worden veroorzaakt binnen de organisatie zelf.

Het (financiële) risico voor een organisatie of voor een bestuurder of leidinggevende in privé is dat er vanaf 1 januari 2016 een bestuurlijke boete opgelegd kan worden door de toezichthouder, de Autoriteit Persoonsgegevens. In feite is een boete voor een overtreding van de verplichtingen van de Wbp, denk aan bijvoorbeeld datalekken, slechts een (digitale) handeling van u verwijderd. Tijd dus om eens aan awarness training van medewerkers te beginnen!

Hier geven wij in een factsheet een aantal do’s and don’ts voor de training van werknemers en de cultuur binnen een organisatie. Uiteraard kunnen wij ook een training voor u verzorgen.

Download: Privacy awarness training dos donts.pdf

Binnen iedere onderneming, vereniging of stichting waarbij personeel of freelancers werkzaam zijn worden persoonsgegevens verwerkt. Dit begint bij het aannemen van een persoon. Vervolgens wordt met behulp van een administratiekantoor, een accountant of administrateur de beloning en vergoeding uitbetaald. Tijdens het dienstverband of de opdracht vinden beoordelingen plaats. De verslagen hiervan worden in het personeelsdossier bewaard. Gedurende de werkzaamheden kan het mogelijk en nodig zijn om het gedrag van de werknemers of freelancers te monitoren. In deze korte omschrijving van de dagelijkse praktijk bij veel ondernemingen, vereniging en stichting komen al direct of indirect privacy aspecten aan bod. Denk aan: grondslagen voor verwerking, verstrekking van gegevens aan derden, gebruik van gegevens voor andere doeleinden, beveiliging, rechten van betrokkene.

Wij hebben in een factsheet de belangrijkste aandachtspunten voor personeelsadministraties & privacy op een rijtje gezet.

Download: Privacy en Personeelsadministraties.pdf

Er zijn meerdere redenen denkbaar waarom een werkgever zijn werknemers zou willen controleren of monitoren of volgen. Dit kan verband houden met de beoordeling van personeel, met de nakoming van afspraken over werktijden, met de veiligheid van werknemers, met de beveiliging van goederen of met de continuïteit van de klantrelaties.

De eisen van goed werkgeverschap en de bescherming van de rechten van werknemers als betrokkene bij de verwerking van zijn persoonsgegevens stellen een aantal grenzen aan de mogelijkheid van de diverse personeelscontrole's en -volgsystemen.

Wij hebben hier in de vorm van een factsheet de nodige informatie over het gebruik van camera's binnen een organisatie en het lezen en monitoren van email- en internetverkeer voor u op een rijtje gezet.

Download: AVG en monitoring of controle van personeel.pdf

Het enkele feit dat een persoon ziek is, is op zich een gezondheidsgegeven. Ook zonder dat bekend is wat de klachten zijn of om wat voor ziekte het gaat, is een ziekmelding een gezondheidsgegeven. Voor gezondheidsgegevens geldt dat dit bijzondere gegevens zijn. Volgens de Wbp mogen gezondheidsgegevens níet worden verwerkt, tenzij sprake is van een wettelijk omschreven uitzonderingssituatie en specifieke waarborgen zijn getroffen.

Voor de verwerking van ziekte en ziekmeldingen van werknemers gelden dan ook speciale voorschriften. 

We geven u hierbij een overzicht van do’s and don’ts bij ziekte van personeel.

Download: Privacy en ziekte van werknemer.pdf

Gegevens van sollicanten zijn ook persoonsgegevens. Een ondernemer of bestuurder zal op dit punt ook conform de Wbp dienen te handelen. Het zelfde geldt bij de screening van sollicitanten. Voor de uitslag van een screening, test of keuring gelden ook de privacyregels ter bescherming van de sollicitant. Op dit laatste gebied speelt de Wet op de medische keuringen naast de Wbp ook een rol.

We hebben voor een snel begrip van dit onderwerp een lijst met do’s and don’ts gemaakt.

Download: AVG en sollicitanten.pdf