Algemene Verordening Gegevensbescherming (AVG)

Instemmingsrecht

Als ondernemingsraad (OR) heb je volgens WOR artikel 27 instemmingsrecht als het gaat om regelingen omtrent het verwerken en beschermen van persoonsgegevens van de in de onderneming werkzame personen.  Is de bestuurder van plan om processen, systemen of procedures aan te passen? Ga dan na of er daarbij persoonsgegevens verwerkt worden. Is dat het geval? Dan kun je als OR een instemmingsaanvraag verwachten.

Krijg je geen instemmingsaanvraag van de bestuurder, trek dan zelf aan de bel. Als OR beslis je mee als het gaat om regelingen die de privacybescherming betreffen.

Achterban

De AVG zorgt er niet alleen voor dat je bestuurder een hoop moet regelen voor de bescherming en verwerking van persoonsgegevens. Ook medewerkers moeten goed op de hoogte zijn van de privacywetgeving. Denk bijvoorbeeld aan de preventiemedewerker. Ga na bij de achterban in hoeverre je collega’s op de hoogte zijn van de regels die in de AVG staan. Hebben ze onvoldoende kennis? Zet dit onderwerp op de overlegagenda.

Gebruik het initiatiefrecht om een informatiebijeenkomst voor te stellen over het omgaan met privacy en persoonsgegevens.

Verwerkingsregister

Breng goed in kaart welke persoonsgegevens je organisatie allemaal verwerkt en met welk doel. De bestuurder heeft een verantwoordingsplicht. Dat betekent dat hij moet kunnen aantonen dat de organisatie zich houdt aan de regels onder de AVG. Hiervoor moet hij een  verwerkingsregister aanleggen. Een verwerkingsregister is niet voor alle organisaties verplicht, maar wel voor het merendeel.

De bestuurder moet het verwerkingsregister kunnen overhandigen aan de Autoriteit persoonsgegevens (AP) als zij hier om vraagt.

Rechten medewerkers

Medewerkers van wie persoonsgegevens worden verwerkt, hebben niet alleen het recht deze gegevens in te zien, te corrigeren en te verwijderen. In de AVG staat ook het recht op dataportabiliteit. Dat betekent dat medewerkers hun gegevens kunnen opvragen en makkelijk kunnen doorgeven aan een andere organisatie als ze dat willen. De verwerking van persoonsgegevens moet op zo’n manier zijn ingericht, dat hieraan eenvoudig kan worden voldaan.

Verwerkersovereenkomst

Als je organisatie met andere partijen samenwerkt en zij verwerken persoonsgegevens van medewerkers, denk aan de arbodienst, dan moet je organisatie een verwerkersovereenkomst hebben. In de verwerkersovereenkomst moet in ieder geval het onderwerp en de duur van de gegevensverwerking staan, de aard en het doel ervan, het soort persoonsgegevens, welke partijen erbij betrokken zijn en de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Meer weten over hoe een verwerkersovereenkomst eruitziet? Bekijk dit model.

DPIA

Een data protection impact assessment (DPIA) is een instrument dat de privacyrisico’s van gegevensverwerking in kaart brengt. Een DPIA is alleen verplicht als het verwerken van de gegevens een hoog privacyrisico oplevert voor de betrokkenen. Dit is het geval als je organisatie op grote schaal bijzondere persoonsgegevens verwerkt, systematisch mensen volgt of bijvoorbeeld aan profiling doet.

Meldplicht datalekken

De AVG bevat ook regels voor als het toch een keer fout gaat. De bestuurder moet alle datalekken binnen de organisatie registeren. Aan de hand hiervan kan de Autoriteit Persoonsgegevens (AP) controleren of aan de meldplicht is voldaan. Met een goede DPIA kunnen problemen al in een vroeg stadium vast worden gesteld, zodat de schade beperkt kan blijven.

Door een datalek kunnen gevoelige en vertrouwelijke gegevens op straat komen te liggen. Ga als OR na of je organisatie voldoende maatregelen heeft genomen om datalekken te voorkomen.