AVG en de onzichtbare rollen - BHV’er, OR-lid en vertrouwenspersoon onder de loep

De BHV-organisatie, personeelsvereniging, Ondernemingsraad en vertrouwenspersoon. Wat is hun relatie met gegevensverwerkingen en AVG?

Binnen een organisatie kunnen medewerkers buiten hun eigenlijke functie in aanraking komen met (bijzondere) persoonsgegevens. Hoe moet je als organisatie hiermee omgaan en tot waar reikt de verwerkingsverantwoordelijkheid? Enkele rollen die een medewerker naast de eigen functie kan hebben, zijn: BHV'er, lid Ondernemingsraad, vertrouwenspersoon of bestuurslid van de personeelsvereniging. Er kunnen nog andere rollen binnen een organisatie bestaan. Deze vier rollen zullen het meest voorkomen.

Ondernemingsraad en AVG

De Ondernemingsraad heeft ten aanzien van de AVG een wettelijk vastgelegde rol. De Wet op de Ondernemingsraden (Wor) geeft in art. 27 lid 1 sub k de Ondernemingsraad instemmingsrecht als het gaat om elke 'regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen'. Ook als het gaat om 'personeelsvolgsystemen' waar art. 27 lid 1 sub l Wor naar verwijst en regelingen rondom de inrichting van Wet bescherming klokkenluiders (ex. art. 27 lid 1 sub m Wor) behoeven instemmingsrecht van de Ondernemingsraad.

Het is voor een organisatie van belang dat in het ontwikkelen van regelingen die deze wettelijke instemmingsrecht raken de Ondernemingsraad tijdig betrekken in de ontwikkeling hiervan.

De Ondernemingsraad is zelf niet te beschouwen als een verwerkingsverantwoordelijke of verwerker. De Ondernemingsraad is geen zelfstandige entiteit maar onderdeel van de verwerkingsverantwoordelijke. Ook worden er als zodanig geen persoonsgegevens door de Ondernemingsraad verwerkt. De Ondernemingsraad heeft in die zin geen verwerkingsprocessen waardoor ook een grondslag voor een verwerking van persoonsgegevens ontbreekt. Het verwerken van notulen met namen van aanwezigen en het aanschrijven van personen ten behoeve van de werkzaamheden van de Ondernemingsraad zijn niet van dien aard dat hier sprake is van een (mede-)verantwoordelijkheid of verwerker en valt binnen de verwerkingsprocessen van de verwerkingsverantwoordelijke.

De BHV-organisatie

De Arbowet geeft aan dat een organisatie verplicht is regelingen te treffen in het kader van bedrijfshulpverlening (BHV). Voor het verwerken van persoonsgegevens van de medewerkers die BHV'er zijn bestaat dan ook een grondslag en doeleind.

Maar hoe zit het met eventuele (bijzondere) persoonsgegevens die door de BHV-organisatie verwerkt wordt? Is er een grondslag voor de BHV-organisatie om (bijzondere) persoonsgegevens te mogen verwerken? Denk hierbij aan collega's die hulpbehoevend kunnen zijn, een bepaalde aandoening hebben of anderszins. Het zou een BHV'er helpen in het snel en adequaat handelen indien hij/zij deze kennis heeft. Dit helpt de betreffende collega ook doordat hij snel de juiste (medische) hulp ontvangt. Win-win-situatie, toch?!

Voor het verwerken van bijzondere persoonsgegevens (zoals ook gezondheidsgegevens) vereist naast een grondslag ook toestemming van de betreffende persoon (art. 9 AVG). De enige grondslag waar een verwerkingsverantwoordelijke op kan leunen is gerechtvaardigd belang. De zorgplicht van de werkgever over de gezondheid van haar medewerkers is een belang waarmee het verwerken van dergelijke gegevens (MET toestemming van de betreffende medewerker) te rechtvaardigen is. Hiertoe dienen wel regelingen en procedures opgesteld te worden (met instemming van de Ondernemingsraad). Omdat toestemming van de medewerker vereist is, is medewerking alleen om vrijwillige basis. Enkele aandachtspunten hierover zijn:

Het vastleggen, beheren en beveiligen van deze gegevens.

Het intrekken van de toestemming door de medewerker. De BHV'ers die deze kennis al hebben kunnen dit niet 'wissen' uit de hoofden. Alleen nieuwe BHV'ers zullen deze gegevens niet hebben.

Vrijwilligheid aan de medewerking. Vrijwillig meewerken is een lastig begrip tussen werkgever en werknemer (zeker gezien de rechtspraak). Er kan altijd een bepaalde druk ontstaan om 'vrijwillig' mee te werken. Hierdoor is vrijwillig nooit helemaal vrijwillig. Denk ook aan de (emotionele) gevolgen van het wel of niet verlenen van deze toestemming doordat pas na een gebeurtenis de gevolgen van het wel of niet hebben gegeven van toestemming inzichtelijk worden.

Vertrouwenspersoon

De vertrouwenspersoon is een unieke rol binnen een organisatie. Niet alleen bij het ontvangen en verwerken van klachten, maar ook op allerlei vlakken waarbij gevoelige gegevens van en over medewerkers bij deze persoon bekend worden. Dit betekent een vrij uniek verwerkingsproces. Een vertrouwenspersoon moet hier zorgvuldig mee omgaan maar hoe dan?

Net zoals een FG en een lid Ondernemingsraad is het van belang dat de vertrouwenspersoon voldoende bescherming geniet om druk van de organisatie te kunnen weerstaan om informatie door te geven die hij/zij vertrouwelijk heeft ontvangen. Ook is het van belang dat de toegang tot de registraties in het systeem voldoende afgedicht zijn en dat de vertrouwenspersoon hier controle op kan uitoefenen (als dan niet via een aanwezige FG). Belangrijk is dat er regelingen aanwezig zijn die de verwerkte persoonsgegevens voldoende beschermen. Ook de betrokkenheid van de Ondernemingsraad (Zijn ze weer!) is hierin belangrijk. De werkgever blijft als verwerkingsverantwoordelijke verantwoordelijk voor deze verwerking. Het neerzetten van waarborgen dat deze gegevens beschermd worden en alleen beschikbaar voor de vertrouwenspersoon is wel noodzakelijk.

De Personeelsvereniging

Feestje? Bij de wat grotere organisaties zal dit via een personeelsvereniging georganiseerd worden. Zo ook het eindejaarsgeschenk en andere activiteiten. Met het inhouden van een stukje salaris betaalt een medewerker (na aanmelding) de contributie. Vaak zijn deze Personeelsverenigingen een apart opgericht rechtspersoon (zijnde een vereniging). Een vereniging is een rechtspersoonlijkheid waarop de AVG van toepassing is. Een vereniging is in de basis zelf de verwerkingsverantwoordelijke. Maar bij een personeelsvereniging kan dit anders liggen. De faciliteiten (ruimte, contributie) en algemene samenwerking tussen werkgever en de personeelsvereniging zijn zo nauw in elkaar verweven dat de personeelsvereniging binnen haar activiteiten te beschouwen is als een mede-verwerkingsverantwoordelijke. Het gevolg hiervan is dat bij een datalek niet alleen de werkgever maar ook de personeelsvereniging verantwoordelijk (en aansprakelijk) is. Om deze mede-verwerkingsverantwoordelijkheid goed te regelen is een goede samenwerkingsovereenkomst belangrijk. Hierin moet beschreven worden welke partij waarvoor verantwoordelijk is. Ook is het belangrijk te beschrijven in welke mate elke partij verantwoordelijk is. Is het realistisch te kunnen stellen dat zowel werkgever als personeelsvereniging elk 50% draagt van de verantwoordelijkheid (en aansprakelijkheid)? Wellicht is het te regelen dat de werkgever de personeelsvereniging volledig vrijwaart. Let wel dat deze regelingen alleen een interne werking hebben. De toezichthouder of rechtbank kan de personeelsvereniging (of het bestuur) aansprakelijk blijven stellen of een boete opleggen. Tussen werkgever en personeelsvereniging vindt er vervolgens een interne verrekening plaats.

Het is aan te raden om de statuten van de personeelsvereniging eens na te lezen en beoordeel of aanvullende afspraken gemaakt moeten worden. Niet elke personeelsvereniging is het zelfde. Maak inzichtelijk welke gegevens de vereniging verwerkt, bepaal grondslag en doeleind en inventariseer de afhankelijkheid van de werkgever in deze gegevensverwerkingen (Denk aan gebruik van IT, systemen, fysieke ruimtes, financieel, etc.). Leg alle afspraken schriftelijk vast.