De AVG
Vanaf 1.1.2016 is er de Wet meldplicht datalekken, opgenomen in de Wet bescherming persoonsgegevens (WBP art.13 en 34a), en zijn bedrijven verplicht om bij de Autoriteit Persoonsgegevens te melden wanneer gevoelige persoonsgegevens van burgers, cliënten en klanten of van het eigen personeel, “op straat” terecht zijn gekomen. De privacywetgeving is 25 mei 2016 verder aangescherpt door de invoering van de Algemene Verordening Gegevensbescherming (AVG), die 25.5.2018 in werking treedt. Artikel 37 AVG verplicht een (groot) aantal organisaties en bedrijven om een Functionaris Gegevensbescherming (FG/DPO) aan te wijzen.

Datalekken
Vanaf 1.1.2016 kennen we de Wet meldplicht datalekken. Bij datalekken gaat het bijvoorbeeld om het verliezen van een stick, een gestolen laptop, gehackte databestanden. Maar ook als binnen de onderneming per abuis (gevoelige) privacygegevens van een medewerker bij een ongeautoriseerde collega of leidinggevende terechtkomen.

De Algemene Verordening Gegevensbescherming (AVG)
De privacywetgeving is verder aangescherpt door het in werking treden van de AVG per 25.5.2018. De AVG vervangt op dat moment de WBP

Functionaris Gegevensbescherming 
Artikel 37 AVG verplicht een (groot) aantal organisaties en bedrijven om een Functionaris Gegevensbescherming (FG/DPO: Data Protection Officer) aan te wijzen.
Het betreft:

a) alle overheidsinstanties en -organen;

b) alle bedrijven en organisaties die persoonsgegevens verwerken “die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen”;

c) alle bedrijven en organisaties die op grote schaal persoonsgegevens verwerken “van bijzondere categorieën van gegevens” (als ras, geloof, lidmaatschap van een vakbond e.d.) en met betrekking tot “strafrechtelijke veroordelingen en strafbare feiten”.

De WBP regelt reeds in artikel 62, 63 en 64 (een vrijwillige) aanstelling en taken van een FG.

OR en privacybeleid
De OR heeft over het privacybeleid voor zover het intern toezicht de gegevensbescherming van het personeel raakt, het instemmingsrecht.

Doel en taken van de FG (DPO)
De Functionaris Gegevensbescherming moet er voor zorgen dat de ondernemer voldoet aan zijn verplichtingen uit de AVG.

De taken van de FG (DPO) zijn onder meer:
- informeren en adviseren over de wettelijke verplichtingen en toezien op naleving daarvan
- bewustmaking en opleiding van het uitvoerend personeel dat bij de verwerking is betrokken
- adviseren over een interne gedragscode die bijdraagt aan een juiste toepassing van de wettelijke verplichtingen
-toezien op een adequate beveiliging van gegevens en adviseren over betrouwbare ICT (privacy by disign)
-bij het in gebruik willen nemen van nieuwe ICT adviseren over het uitvoeren van een voorafgaand onderzoek om de gevolgen voor de privacy in kaart te brengen - privacy impact analyse (PIA): een zogenoemde gegevensbeschermingseffectbeoordeling
-informatievoorziening naar betrokkenen over hun rechten
-organiseren van een frequente zelfevaluatie en een jaarlijkse privacy-audit
-samenwerken met de Autoriteit  Persoonsgegevens (AP)

Instemmingsrecht OR
Aan het aanstellen of aanwijzen van een FG (DPO) gaan keuzes vooraf over (de grootte van) het takenpakket en bevoegdheden (niet alleen toezicht houden, signaleren en adviseren, maar bijvoorbeeld ook concrete beleidsvoorstellen doen), contractomvang, plaats binnen of buiten de onderneming, een eigen FG aanstellen of samen met andere ondernemingen of organisaties. Deze keuzes maken onderdeel uit van de besluitvorming over het intern toezicht op gegevensbescherming.

Een FG zal vooral toezien op een veilige gegevensverwerking van derden (burgers, klanten, cliënten), echter dit ‘externe’ privacybeleid zal sterk verweven zijn met het interne privacybeleid door toegang van de FG tot persoonsgegevens van het personeel. En wanneer het gaat om datalekken kan dat zowel persoonsgegevens van derden als van het eigen personeel betreffen. Directiebesluiten over het interne toezicht dat ook gegevens van het personeel raakt of voorzieningen betreft die geschikt zijn voor het administratief of digitaal ‘volgen’ van personeel, zullen ter instemming aan de OR moeten worden voorgelegd.

Daar de keuzes over de functie en taken van de FG medebepalend zijn voor de verdere uitwerking van beleid en maatregelen, ligt het in de rede dat ook die keuzes onderdeel van het instemmingsrecht van de OR zijn en er pas na instemming van de OR een FG wordt aangewezen of aangesteld.

Cao
Op grond van artikel 88 AVG kunnen in een cao nadere bepalingen staan over de bescherming van persoonsgegevens van werknemers “in het kader van de arbeidsverhouding”. Het behoort ook tot het takenpakket van de FG dat deze er op toeziet dat de verwerkingsverantwoordelijke deze cao-afspraken naleeft.
 
OR aandachtspunten
-bijhouden relevante wetgeving (WBP art. 62 e.v., art.37 e.v. AVG, mogelijke cao-bepalingen)
-kennis hebben van de rechten van derden en van het personeel
-inzage in en meedenken over functieprofiel en (waarborgen) onafhankelijke positie FG
-afspraken maken over tijdpad en indienen van een of meerdere instemmingsverzoeken aan de OR bij voorgenomen wijzigingen t.a.v. het interne privacybeleid/regelingen en ICT-aanpassingen
-een interne klachtenprocedure die zowel voorziet in het kunnen indienen van een klacht aan de FG over privacy risico’s van het personeel als over het functioneren van de FG
-afspraken over een jaarverslag van de FG
-afspraken over het informeren van de aanwezigheid, werkzaamheden en taken van de FG bij alle (nieuwe) medewerkers

Inhoudelijke vragen?
OR Advieslijn 0343 – 473 473

Kijk ook elders op onze website voor actualiteitencolleges over OR en privacy!

Autoriteit  Persoonsgegevens: https://www.autoriteitpersoonsgegevens.nl/
NGFG (vereniging van Functionarissen Gegevensbescherming): http://www.ngfg.nl/