Privacy, datalekken en de ondernemingsraad

Privacy en datalekken

Privacy en privacybescherming staan weer volop in de belangstelling. Aan de ene kant heeft de overheid een steeds grotere behoefte om allerlei informatie te kunnen inzien, bewaren en gebruiken. Denk maar aan uw belgegevens die iedere telefoon provider moet bewaren, de discussie of Apple moet meewerken aan het ‘kraken’ en uitlezen van een verdachte IPhone of de vraag of Whats App zijn berichten zodanig mag versleutelen dat niemand (behalve de ontvanger) nog kan achterhalen wat er in staat (z.g. ‘encryptie’). De overheid doet dit met goede bedoelingen (veiligheid, terrorisme en misdaad bestrijding) maar hoe ver mag zij daarin gaan?

Aan de andere kant horen en lezen we regelmatig over datalekken en hacken van grote databestanden waardoor b.v. allerlei persoonsgegevens met o.a. creditcard nummers openbaar worden of misschien in handen komen van criminelen. Om dit laatste te bestrijden is sinds 1 januari 2016 de Wet Melding Datalekken van kracht geworden. Deze wet is feitelijk een aanvulling op de Wet Bescherming Persoonsgegevens. Naast de verplichting die iedereen die data verzamelt heeft om deze gegevens goed te beschermen is men nu ook verplicht om ieder lek in die bescherming (per ongeluk, door een interne fout of door een ‘inbraak’) direct te melden bij de Autoriteit Persoonsgegevens voorheen het College bescherming persoonsgegevens.

Wat heeft dit alles met de ondernemingsraad te maken?

Dat hangt natuurlijk af van hoeveel data en persoonsgegevens uw organisatie beheert en hoe goed u die beveiligd hebt. De Wet meldplicht datalekken verplicht bedrijven, overheden en andere organisaties die persoonsgegevens verwerken een datalek direct te melden aan de toezichthouder, de Autoriteit Persoonsgegevens. Indien er geen melding is gedaan, of er onvoldoende maatregelen zijn genomen om het datalek te voorkomen, heeft de toezichthouder de bevoegdheid om forse boetes op te leggen tot € 810.000 of 10 procent van de nationale jaaromzet. Dat kan grote gevolgen  hebben voor Nederlandse organisaties en is dus een aandachtspunt voor de medezeggenschap. De bevoegdheden van de OR zijn geregeld in de WOR: de OR heeft instemmingsrecht (artikel 27 lid 1-k) bij ‘een regeling met betrekking tot de registratie, het omgaan met en de bescherming van persoonsgegevens van mensen die in de organisatie werkzaam zijn’;

Boete voorkomen!

Wat betekent dit voor de organisatie? De dreiging van een forse boete maakt dat men deze meldplicht niet kan negeren. Maar, moet een organisatie nu echt meer gaan doen aan het beschermen van persoonsgegevens dan ze nu al doet? De kans is groot dat het antwoord op deze vraag ja is en daarmee zal het instemmingsrecht vrijwel direct van toepassing zijn.

Wat zijn de aandachtspunten voor een OR?

Uitgebreide informatie, aandachtspunten en een uitstekende checklist voor ondernemingsraden rond privacy vindt u op de site van de  Autoriteit Persoonsgegevens. 

Ondersteuning

Hebt u vragen, of zoekt u verdere ondersteuning? Bel 020-6200696 of mail uw vraag naar Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.