Een datalek bij kredietverlener AutoCash heeft ervoor gezorgd dat de persoonsgegevens van 20.000 mensen openbaar is geweest. Wat is eigenlijk de rol van de OR als het gaat om de veilige verwerking van persoonsgegevens?
AutoCash is een kredietverlener in de autobranche en het lek bevond zich op de plek waar autodealers klanten invoeren. De gegevens van personen kwamen tevoorschijn bij het veranderen van een paar tekens in het webadres. Zo kwamen naast basisgegevens ook andere privégegevens tevoorschijn als salaris, bankrekeningnummers maar ook alimentatie- en hypotheekgegevens. Inmiddels is het lek gedicht en lijken er geen nieuwe gegevens gelekt te zijn. Wel is er een melding gedaan bij de Autoriteit Persoonsgegevens.
Rol van de OR bij verwerking van persoonsgegevens
De ondernemingsraad in een organisatie heeft bevoegdheden als het gaat om het wijzigen, vaststellen of intrekken van regelingen omtrent het verwerken alsmede de bescherming van persoonsgegevens van de in de onderneming werkzame personen. Dit staat in artikel 27 lid1k van de WOR. Daarnaast heeft de OR instemmingsrecht als het gaat om een regeling betreffende voorzieningen die gericht zijn of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de medewerkers (artikel 27 lid1 l WOR).
De OR doet er goed aan met de bestuurder overleg te voeren over de systemen en de huidige regelingen binnen de organisatie waarbij persoonsgegevens verwerkt worden. Zeker nu er op dit gebied ook wijzigingen aankomen in het kader van Europese regelgeving. De Wbp (Wet bescherming persoonsgegevens) gaat plaatsmaken voor een Europese privacy verordening, de ‘Algemene Verordening Gegevensbescherming’ (AVG). Veel organisaties zijn al bezig met de implementatie hiervan en hierbij heeft de OR ook verschillende bevoegdheden. Al eerder schreven wij over de gevolgen Europese Privacyverordening.
Bron: NRC