Zorg voor een werkbaar privacyreglement

Een privacyreglement kan té sober zijn, maar ook doorslaan naar iets onwerkbaars. De ondernemingsraad is de waakhond die controleert hoe gegevensbescherming in de praktijk uitpakt.

‘Hoe de werkgever aan de nieuwe privacywetgeving moet voldoen, dat hoeft de ondernemingsraad hem niet uit te leggen. Daar heb je een manager ict en veiligheid voor. Dus kijk uit dat je als or niet als een soort bibliothecaris zit te checken of alles van de EU-verordening tot in detail is ingevoerd.’ Dit zegt Johan Berendse, or-coach bij Metamorfase en platform woronline.nl.

De functie van waakhond
Voor de nieuwe Europese Verordening voor Gegevensbescherming (AVG) die vanaf 25 mei de Wet Bescherming Persoonsgegevens (WBP) vervangt, raadt Berendse ondernemingsraden een functie als ‘waakhond’ aan.
‘De or moet sowieso vroegtijdig vragen om de instemmingsaanvraag conform artikel 27, want daar valt het privacy-beleid onder. En de or moet aandringen op een goede informatievoorziening naar de medewerkers. Een extern bureau kan, als de or daar om vraagt, ook elk half jaar toetsen wat de impact is van de privacybescherming op de dienstverlening, op de operationele uitvoering van het bedrijf.
Je kan van een passieve privacybescherming ook naar een meer actieve bescherming. Stel dat de werkgever alleen de minimale eisen voor privacybescherming volgt, is dat dan voldoende effectief? Of wil hij het nieuwe privacyreglement zo strak regelen dat medewerkers amper normaal hun werk kunnen doen omdat ze bronnen twee, drie keer moeten controleren? Focus op de problemen en kansen van het privacyreglement. Daar heeft een or meerwaarde.’

Gegevensbescherming in de praktijk: PostNL
PostNL verwerkt jaarlijks megahoeveelheden data van medewerkers, klanten en andere externe relaties. Marisca van Ommen, beleidsadviseur medezeggenschap bij PostNL en Samuël Goldberg, secretaris van de centrale ondernemingsraad (cor): ‘PostNL is een A-merk dat betrouwbaarheid hoog in het vaandel heeft. Wij kunnen ons geen slordigheden in gegevensbescherming of datalekken veroorloven.
De cor onderhoudt contacten met de Chief Privacy Officer en de Cyber Security Office die de naleving van de privacywetgeving en de implementatie van onze Privacy Principles bewaken. De cor evalueert met hen hoe het loopt, wat er anders kan.
Veel is hier al geregeld onder de Wet Bescherming Persoonsgegevens. Maar als het bedrijf op grond van de AVG de interne afspraken over gegevensbescherming wil herzien of aanscherpen, wil de cor instemming kunnen geven.’

Hoe ver kun je gaan?
Hoe ver kun je gaan met aanscherping en controle? Goldberg: ‘Een chauffeur op een pakketjeswagen heeft gps. Daarmee is te traceren waarnaartoe hij onderweg en hoe lang hij bij een klant is. Dat heeft logistieke voordelen, maar je moet als medezeggenschap ook willen toetsen wie deze gegevens kan inzien, waarom en wat ermee kàn gebeuren. Als medezeggenschap moet je kritisch toetsen.
Ander voorbeeld: bij de overstap van PostNL naar een andere arbodienst heeft de cor kunnen regelen dat iedere medewerker schriftelijk toestemming moet geven voor het overhevelen van zijn verzuimgegevens uit het systeem van de oude arbodienst naar de nieuwe arbodienst.’
‘PostNL heeft verkoopnetwerken in Europa en bewaart ook digitaal ‘profielen’ van medewerkers over hun vaardigheden, functie enzovoort. Pure persoonsgegevens dus die op verzoek van de cor zodanig zijn beveiligd dat niets ervan op webservers buiten Europa gaat rondzweven, of door een Amerikaanse inlichtingendienst te lezen is.’

Veel vragen van or-leden over de AVG
Jurist Stefan Jansen, gespecialiseerd in arbeidsrecht, krijgt de laatste maanden veel vragen van or-leden over de implementatie van de AVG. ‘Ondanks twee jaar voorbereidingstijd op de nieuwe wet, merk ik dat veel organisaties ermee worstelen.
Ze hebben nooit iets of te weinig over privacybescherming geregeld, of het privacyreglement is verouderd. De inhoud van de AVG staat overigens ook al voor 65 procent in de Wet bescherming persoonsgegevens. Dus zo nieuw is het allemaal ook niet.’
Onder de nieuwe wetgeving volgen bij het niet naleven van de regels stevige sancties, nog los van de reputatieschade die een organisatie treft als privacygevoelige data van klanten of medewerkers op straat komen te liggen.
Als de werkgever de AVG blijft negeren of voor zich uit schuift, raadt Jansen or’s aan om het onderwerp via het recht van initiatief op de agenda te zetten.

Bij het ontwerp van een nieuw privacyreglement
‘Bij het ontwerp van een nieuw privacyreglement moet de ondernemingsraad ook kritisch kijken naar het risicogehalte van bepaalde gegevens, en welke routes deze gegevens volgen in een organisatie en daarbuiten.
Vooral verzuimgegevens komen op meerdere plekken terecht, hoewel juist bij dit thema misbruik of verkeerd omgaan met gegevens de laatste jaren behoorlijk is verminderd. Niettemin: laat je informeren waar de werkgever precies op wil toezien.
Weet de werknemer waar zijn gegevens liggen opgeslagen, en kan hij deze ook zelf inzien? Worden fouten in de informatie gerectificeerd? De or kan zijn instemming ook onthouden aan volgsystemen voor werknemers, in bedrijfsauto’s bijvoorbeeld, waarbij middel en doel niet met elkaar in verhouding staan.’

Documenten over processen en bedrijfsvoering
PostNL gebruikt SharePoint, een soort intranet dat tal van documenten over processen en bedrijfsvoering bevat, naast ook informatie over werknemers.
Or-beleidsmedewerker Marisca van Ommen: ‘Op het gebied van privacy-bewaking ziet de cor voor zichzelf ook een rol als ambassadeur. Ter voorkoming van datalekken die veel impact kunnen hebben, moeten medewerkers zich ervan bewust zijn met wie ze de data op SharePoint wel of niet delen. Voor een postbesteller zijn weer andere gegevens van belang dan voor iemand van een marketingafdeling.’
Binnenkort start PostNL dan ook een bewustwordingscampagne. Ofwel: hartstikke handig dat je informatie op SharePoint zet, maar kijk uit welke informatie en wie je daarvoor autoriseert. Klik je per ongeluk op de verkeerde site of op een phishing-mail, dan kan dat schadelijk voor het bedrijf of voor een medewerker zijn.
Trouwens, ook via Twitter, Instagram of Facebook kan, ook onbedoeld, de privacy van collega’s geschaad worden. Dus is voortdurende bewustwording noodzakelijk. De cor heeft ook aangehaakt bij het camerabeleid van PostNL. Camera’s moeten ten dienste staan van het voorkomen en opsporen van diefstal en inbraak. De afspraak met de cor is dat camera’s zich niet mogen richten op het volgen van medewerkers.’

Bron: www.ornet.nl
Datum: 17 april 2018