Ondernemingsraden doen er goed aan om zich structureel bezig te houden met de privacy op het werk. Duidelijke afspraken met de werkgever kan onnodige incidenten voorkomen. Een praktisch overzichtsartikel.
Het moderne kantoor zit vol met systemen die personeelsgegevens bevatten en systemen die gebruikt worden of in elk geval geschikt zijn voor toezicht op aanwezigheid, gedrag en prestaties van werknemers. Is dit een probleem? Veel werknemers zullen hier geen moeite mee hebben. FNV Bondgenoten kwam in 2002 zelfs met het voorstel om in alle winkels camera’s te plaatsen als preventieve maatregel tegen agressie en geweld. Maar wanneer de werkgever vervolgens deze beelden ook gaat gebruiken om het gedrag van werknemers te controleren, zal dit door veel werknemers als onprettig worden ervaren.
De OR moet vragen stellen
Controle en toezicht door de werkgever is een onderdeel van een arbeidsrelatie. Zelfs een noodzaak wanneer we het hebben over het toezien op de naleving van de veiligheidsmaatregelen. Echter moet met de wijze waarop de controle plaats vindt wel maat worden gehouden. De ondernemingsraad kan hier vragen over stellen; is het echt nodig, wat is het doel, en kan dit niet op een minder ingrijpende manier bereikt worden? In de Wet bescherming persoonsgegevens zijn de voorwaarden vastgelegd waaraan dergelijke personeelsvolgsystemen moeten voldoen. De ondernemingraad kan vanuit haar zorgtaak toezien op de naleving hiervan.
De privacywet
Op 1 september 2001 is de “oude” Wet persoonsregistraties vervangen door de Wet beschermingpersoonsgegevens(WBP). Belangrijke wijziging is de uitbreiding van de reikwijdte van de wet. Waren vroeger alleen persoonsgegevens beschermd die opgeslagen waren in een bestand, nu vallen alle geautomatiseerde verwerkingen, zoals het verzamelen, gebruiken, doorgeven en bewaren van persoonsgegevens ook onder deze wet. Dit betekent een uitbreiding van de regelingen die onder het instemmingsrecht van de ondernemingsraad vallen. De inwerkingtreding van de WBP is echter maar een kleine accentverschuiving voor de werkzaamheden van de ondernemingsraad ten opzichte van de aanpassing van de Wet opdeOndernemingsraden (WOR) uit 1998. Daarbij werd het instemmingsrecht uitgebreid en kreeg de ondernemingraad een expliciete rol bij de bescherming van de privacy op de werkplek.
Toetsen instemmingsverzoek door de OR
Belangrijk aandachtspunt voor de OR bij de toetsing van een instemmingverzoek met betrekking tot persoonsgegevens of een personeelsvolgsysteem is doelbinding, dat wil zeggen: persoonsgegevens moeten verzameld worden voor een duidelijk omschreven en gerechtvaardigd doel en verder gebruik mag hier niet onverenigbaar mee zijn. Foto’s die verzameld zijn voor toegangscontrole mogen bijvoorbeeld niet zonder meer gebruikt worden voor een digitaal “smoelenboek”. De werkgever moet hier toestemming voor vragen aan alle werknemers.
Kijken naar noodzaak
Ook is het belangrijk om bij een instemmingsverzoek te kijken naar de noodzaak van het verzamelen en verwerken van persoonsgegevens. Door de huidige stand der techniek verzamelen veel technologische systemen en softwareprogramma’s automatisch een grote hoeveelheid personeelsgegevens. Bij tekstverwerkingsprogramma’s wordt bijvoorbeeld automatisch geregistreerd hoe lang er aan een tekst is gewerkt. De ondernemingsraad moet er op toezien dat niet de technische mogelijkheden maar de noodzaak bepalend is voor de mate waarin persoonsgegevens worden verwerkt. Tenslotte is het belangrijk om te bepalen dat er gewerkt wordt op een wijze die het minst inbreuk maakt op de privacy van werknemers. Bij fraudebestrijding zal dus eerst geprobeerd moeten worden of een slot op het magazijn werkt en pas in allerlaatste instantie mag een camera worden ingezet.
Aanpak door de OR
Veel ondernemingsraden zijn op ad hoc-basis met privacy op de werkplek bezig. Bijvoorbeeld naar aanleiding van een klacht vanuit de achterban omdat werknemers worden aangesproken over hun belgedrag met de GSM van het bedrijf. Of omdat de werkgever met een voorstel komt om de ziekteverzuimcijfers te publiceren om zo het ziekteverzuim in te perken. Taak voor de ondernemingsraad daarbij is om te toetsen of deze verwerkingen van persoonsgegevens wel voldoen aan de normen van de WBP. Daarnaast zal zij ook een inhoudelijk oordeel over het instemmingverzoek moeten vellen. Bijvoorbeeld of de OR het voorstel wel noodzakelijk dan wel wenselijk vindt. Ook zijn er ondernemingsraden die zich op een meer systematische manier met dit onderwerp bezig houden. Bijvoorbeeld door deel te nemen aan een paritaire privacycommissie binnen de organisatie. In de meeste gevallen wordt er dan gestart met een inventarisatie van alle persoonsregistraties en personeelsvolgsystemen in de organisaties. Om vervolgens, veelal in de vorm van een privacyreglement, afspraken te maken over de omgang en bescherming van deze persoonsgegevens. Slechts enkele ondernemingsraden toetsen vervolgens of de gemaakte afspraken ook in de praktijk worden nageleefd.
Wat mag de werkgever controleren?
Er is veel onduidelijkheid over wat de werkgever nu mag controleren en de mate waarin de werknemer recht heeft op vertrouwelijke communicatie op het internet en via de email. Het College Bescherming Persoonsgegevens (CBP) heeft daarom het rapport “ Goed werken in netwerken” uitgebracht met daarin vuistregels over controle op het email- en internetgebruik van werknemers. In veel bedrijven zijn in overleg met de ondernemingsraad regels opgesteld over het gebruik van en de controle op internet en email. Om hiermee een goede balans tussen verantwoord gebruik en de bescherming van de privacy te bereiken, alsook een manier om incidenten op dit terrein te voorkomen.
Raamregeling en checklist
Het CBP heeft op grond van de vuistregels uit zijn rapport “Goed werken in netwerken” een raamregeling ontwikkeld. Deze is onderdeel van dit rapport. De regeling is een hulpmiddel voor bedrijven en ondernemingsraden om hierover binnen de eigen organisatie nadere afspraken over te maken.
Daarnaast heeft het CBP een checklist voor de ondernemingsraad samengesteld. Hierin staan 25 toetsingsvragen met voorbeelden waarmee een ondernemingsraad privacyregelingen kan beoordelen.
Controle en toezicht door de werkgever is een onderdeel van een arbeidsrelatie. Zelfs een noodzaak wanneer we het hebben over het toezien op de naleving van de veiligheidsmaatregelen. Echter moet met de wijze waarop de controle plaats vindt wel maat worden gehouden. De ondernemingsraad kan hier vragen over stellen; is het echt nodig, wat is het doel, en kan dit niet op een minder ingrijpende manier bereikt worden? In de Wet bescherming persoonsgegevens zijn de voorwaarden vastgelegd waaraan dergelijke personeelsvolgsystemen moeten voldoen. De ondernemingraad kan vanuit haar zorgtaak toezien op de naleving hiervan.
De privacywet
Op 1 september 2001 is de “oude” Wet persoonsregistraties vervangen door de Wet beschermingpersoonsgegevens(WBP). Belangrijke wijziging is de uitbreiding van de reikwijdte van de wet. Waren vroeger alleen persoonsgegevens beschermd die opgeslagen waren in een bestand, nu vallen alle geautomatiseerde verwerkingen, zoals het verzamelen, gebruiken, doorgeven en bewaren van persoonsgegevens ook onder deze wet. Dit betekent een uitbreiding van de regelingen die onder het instemmingsrecht van de ondernemingsraad vallen. De inwerkingtreding van de WBP is echter maar een kleine accentverschuiving voor de werkzaamheden van de ondernemingsraad ten opzichte van de aanpassing van de Wet opdeOndernemingsraden (WOR) uit 1998. Daarbij werd het instemmingsrecht uitgebreid en kreeg de ondernemingraad een expliciete rol bij de bescherming van de privacy op de werkplek.
Toetsen instemmingsverzoek door de OR
Belangrijk aandachtspunt voor de OR bij de toetsing van een instemmingverzoek met betrekking tot persoonsgegevens of een personeelsvolgsysteem is doelbinding, dat wil zeggen: persoonsgegevens moeten verzameld worden voor een duidelijk omschreven en gerechtvaardigd doel en verder gebruik mag hier niet onverenigbaar mee zijn. Foto’s die verzameld zijn voor toegangscontrole mogen bijvoorbeeld niet zonder meer gebruikt worden voor een digitaal “smoelenboek”. De werkgever moet hier toestemming voor vragen aan alle werknemers.
Kijken naar noodzaak
Ook is het belangrijk om bij een instemmingsverzoek te kijken naar de noodzaak van het verzamelen en verwerken van persoonsgegevens. Door de huidige stand der techniek verzamelen veel technologische systemen en softwareprogramma’s automatisch een grote hoeveelheid personeelsgegevens. Bij tekstverwerkingsprogramma’s wordt bijvoorbeeld automatisch geregistreerd hoe lang er aan een tekst is gewerkt. De ondernemingsraad moet er op toezien dat niet de technische mogelijkheden maar de noodzaak bepalend is voor de mate waarin persoonsgegevens worden verwerkt. Tenslotte is het belangrijk om te bepalen dat er gewerkt wordt op een wijze die het minst inbreuk maakt op de privacy van werknemers. Bij fraudebestrijding zal dus eerst geprobeerd moeten worden of een slot op het magazijn werkt en pas in allerlaatste instantie mag een camera worden ingezet.
Aanpak door de OR
Veel ondernemingsraden zijn op ad hoc-basis met privacy op de werkplek bezig. Bijvoorbeeld naar aanleiding van een klacht vanuit de achterban omdat werknemers worden aangesproken over hun belgedrag met de GSM van het bedrijf. Of omdat de werkgever met een voorstel komt om de ziekteverzuimcijfers te publiceren om zo het ziekteverzuim in te perken. Taak voor de ondernemingsraad daarbij is om te toetsen of deze verwerkingen van persoonsgegevens wel voldoen aan de normen van de WBP. Daarnaast zal zij ook een inhoudelijk oordeel over het instemmingverzoek moeten vellen. Bijvoorbeeld of de OR het voorstel wel noodzakelijk dan wel wenselijk vindt. Ook zijn er ondernemingsraden die zich op een meer systematische manier met dit onderwerp bezig houden. Bijvoorbeeld door deel te nemen aan een paritaire privacycommissie binnen de organisatie. In de meeste gevallen wordt er dan gestart met een inventarisatie van alle persoonsregistraties en personeelsvolgsystemen in de organisaties. Om vervolgens, veelal in de vorm van een privacyreglement, afspraken te maken over de omgang en bescherming van deze persoonsgegevens. Slechts enkele ondernemingsraden toetsen vervolgens of de gemaakte afspraken ook in de praktijk worden nageleefd.
Wat mag de werkgever controleren?
Er is veel onduidelijkheid over wat de werkgever nu mag controleren en de mate waarin de werknemer recht heeft op vertrouwelijke communicatie op het internet en via de email. Het College Bescherming Persoonsgegevens (CBP) heeft daarom het rapport “ Goed werken in netwerken” uitgebracht met daarin vuistregels over controle op het email- en internetgebruik van werknemers. In veel bedrijven zijn in overleg met de ondernemingsraad regels opgesteld over het gebruik van en de controle op internet en email. Om hiermee een goede balans tussen verantwoord gebruik en de bescherming van de privacy te bereiken, alsook een manier om incidenten op dit terrein te voorkomen.
Raamregeling en checklist
Het CBP heeft op grond van de vuistregels uit zijn rapport “Goed werken in netwerken” een raamregeling ontwikkeld. Deze is onderdeel van dit rapport. De regeling is een hulpmiddel voor bedrijven en ondernemingsraden om hierover binnen de eigen organisatie nadere afspraken over te maken.
Daarnaast heeft het CBP een checklist voor de ondernemingsraad samengesteld. Hierin staan 25 toetsingsvragen met voorbeelden waarmee een ondernemingsraad privacyregelingen kan beoordelen.
