Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Hoe Duitse ondernemingsraden (Betriebsräte) de datasoevereiniteit van werknemers kunnen waarborgen bij cloud-inzet
Hoe Duitse ondernemingsraden (Betriebsräte) de datasoevereiniteit van werknemers kunnen waarborgen bij cloud-inzet

Hoe Duitse ondernemingsraden (Betriebsräte) de datasoevereiniteit van werknemers kunnen waarborgen bij cloud-inzet

by Danielle Barbour updated februari 11, 2026 Wettelijke naleving
Reading Time: 10 minutes

Volgens §87 lid 1 nr. 6 van de Wet op de ondernemingsraden (Betriebsverfassungsgesetz, BetrVG) heeft de ondernemingsraad instemmingsrecht bij elke technische uitrusting die het gedrag of de prestaties van werknemers kan monitoren. Cloudplatforms genereren logs, metadata en gebruikspatronen die volgens jurisprudentie van het Bundesarbeitsgericht (Duitse Federale Arbeidsrechtbank) kwalificeren als monitoringsystemen, waardoor ondernemingsraden directe zeggenschap krijgen over cloudadoptie.

Toch behandelen de meeste Duitse organisaties de goedkeuring van de ondernemingsraad als een formaliteit. Wanneer cloudproviders met een hoofdkantoor in de VS werknemersgegevens verwerken, stellen de CLOUD Act en FISA Section 702 Amerikaanse autoriteiten in staat om toegang tot gegevens af te dwingen, ongeacht de serverlocatie. Standaard Contractuele Clausules kunnen deze wettelijke verplichting niet opheffen, wat tot een fundamenteel conflict leidt: het goedkeuren van een door de VS beheerd cloudplatform kan werknemersgegevens blootstellen aan toezicht door buitenlandse overheden.

In deze gids leggen we uit hoe ondernemingsraden hun instemmingsrechten kunnen inzetten om daadwerkelijke datasoevereiniteit van werknemers af te dwingen, inclusief architecturale vereisten waar zij op kunnen aandringen, hoe encryptiemodellen te beoordelen en welke bepalingen in Betriebsvereinbarungen moeten worden opgenomen.

Samenvatting

Belangrijkste idee: Duitse ondernemingsraden beschikken over juridisch afdwingbare instemmingsrechten bij cloudinzet die werknemersgegevens raakt. Effectieve uitoefening van deze rechten vereist het eisen van architecturale soevereiniteitscontroles: door de klant beheerde encryptiesleutels, single-tenant Europese inzet en afdwingbare dataresidentie.

Waarom dit belangrijk is: Het Bundesarbeitsgericht interpreteert §87 lid 1 nr. 6 BetrVG ruim. Elk cloudplatform dat objectief geschikt is voor het monitoren van werknemersgedrag activeert het instemmingsrecht, ongeacht de intentie van de werkgever. Het inzetten van een door de VS beheerde cloudservice zonder een ondernemingsraadsovereenkomst die datasoevereiniteit adresseert, is juridisch aanvechtbaar. Leden van de ondernemingsraad die platforms goedkeuren zonder voldoende waarborgen, lopen het risico hun wettelijke plicht tot toezicht op naleving van werknemersbeschermingswetten te schenden.

5 Belangrijkste Punten

  1. Instemmingsrechten gelden voor vrijwel elk cloudplatform. Door de ruime interpretatie van het Bundesarbeitsgericht betekent dit dat elke software die activiteitslogs, toegangsregistraties of gebruiksmetadata genereert, de betrokkenheid van de ondernemingsraad vereist, zelfs zonder monitoringintentie van de werkgever.
  2. Serverlocatie in Duitsland betekent geen datasoevereiniteit. Cloudproviders uit de VS vallen onder de CLOUD Act en FISA 702, ongeacht waar de data wordt opgeslagen. De BfDI heeft bevestigd dat alleen de locatie van het datacenter onvoldoende is.
  3. Ondernemingsraadovereenkomsten moeten technische soevereiniteitsbepalingen bevatten. Effectieve Betriebsvereinbarungen moeten eigenaarschap van encryptiesleutels, inzetarchitectuur, afdwinging van dataresidentie en beperkingen op provider-toegang specificeren, in plaats van te vertrouwen op contractuele toezeggingen.
  4. Door de klant beheerde encryptiesleutels zijn de sterkste waarborg voor datasoevereiniteit. Wanneer de organisatie de encryptiesleutels beheert in een eigen hardwarebeveiligingsmodule (HSM), kan de provider werknemersgegevens niet ontsleutelen, zelfs niet als buitenlandse autoriteiten dit eisen.
  5. Ondernemingsraden moeten voortdurende nalevingscontrole eisen. Een eenmalige beoordeling bij inzet is onvoldoende. Overeenkomsten moeten regelmatige auditrechten, eisen voor toegangslogs en meldingsplichten bij wijzigingen in gegevensverwerking vastleggen.

Waarom Cloudinzet Instemmingsrecht van de Ondernemingsraad Activeert

De Brede Reikwijdte van §87 lid 1 nr. 6 BetrVG

Het instemmingsrecht van de ondernemingsraad geldt voor de “invoering en het gebruik van technische uitrusting die is bedoeld om het gedrag of de prestaties van werknemers te monitoren.” Hoewel de wettelijke tekst “bedoeld” zegt, interpreteert het Bundesarbeitsgericht dit sinds het baanbrekende arrest uit 1975 (BAG, 9 september 1975, 1 ABR 20/74) ruim: objectieve geschiktheid voor monitoring is voldoende. Noch monitoringintentie, noch daadwerkelijke evaluatie van prestatiegegevens is vereist.

Dit omvat vrijwel elk cloudplatform. Productiviteitssuites, tools voor bestandsoverdracht, e-mailsystemen en samenwerkingssoftware genereren allemaal activiteitslogs, inlogtijdstempels en gebruiksanalyses die voldoen aan de geschiktheidsdrempel. De Facebook-uitspraak uit 2016 bevestigde dit door te oordelen dat zelfs een bedrijfspagina op Facebook met een reactiefunctie al monitoringdruk creëerde. Het inzetten van een cloudplatform zonder instemming van de ondernemingsraad schendt het instemmingsrecht, en de ondernemingsraad kan bij de arbeidsrechter een verbod op de inzet afdwingen.

Welke Data Compliance-standaarden zijn belangrijk?

Read Now

Waarom Dit Belangrijk Is voor Datasoevereiniteit

Instemmingsrecht beschermt werknemers tegen onevenredige inbreuk op persoonlijke rechten door technische monitoring. Wanneer apparatuur wordt beheerd door een provider die onder buitenlandse toegangsregels valt, strekt het risico zich uit tot overheidstoezicht.

Wanneer een Duitse werkgever Microsoft 365 of Google Workspace inzet, genereert elke e-mail, documentbewerking en Teams-chat werknemersgegevens op door de VS gecontroleerde infrastructuur. De CLOUD Act stelt de Amerikaanse overheid in staat deze providers te dwingen gegevens te overhandigen, ongeacht de opslaglocatie, terwijl FISA Section 702 inlichtingendiensten toestaat niet-Amerikaanse personen zonder individuele bevelen te surveilleren. De EDPB-aanbevelingen 01/2020 stellen dat wanneer een provider encryptiesleutels bezit onder zo’n juridisch regime, “geen effectieve waarborgen kunnen worden gevonden.”

Het Juridisch Kader dat Ondernemingsraden Moeten Begrijpen

GDPR- en BDSG-vereisten voor Werknemersgegevens

Artikel 88 GDPR staat lidstaten toe specifieke regels voor verwerking van werknemersgegevens vast te stellen. Duitsland deed dit via §26 BDSG, waarin staat dat verwerking van werknemersgegevens noodzakelijk moet zijn voor de arbeidsrelatie of gebaseerd op een ondernemingsraadovereenkomst.

Ondernemingsraadovereenkomsten hebben een dubbele functie: het uitoefenen van instemmingsrechten en het bieden van een wettelijke grondslag voor gegevensverwerking onder de GDPR. Een overeenkomst die cloudinzet toestaat zonder voldoende soevereiniteitswaarborgen, kan falen als geldige juridische basis voor GDPR-naleving omdat deze niet “passende en specifieke maatregelen ter bescherming van de menselijke waardigheid van de betrokkene” waarborgt volgens artikel 88(2) GDPR.

Aansprakelijkheid van de Werkgever onder §79a BetrVG

De Wet op de modernisering van ondernemingsraden uit 2021 (Betriebsrätemodernisierungsgesetz) verduidelijkte dat de werkgever de GDPR-verwerkingsverantwoordelijke is voor gegevens die door de ondernemingsraad worden verwerkt. Dit creëert gedeelde belangen: de werkgever riskeert GDPR-boetes bij onvoldoende technische maatregelen, en de ondernemingsraad loopt het risico een verwerkingsregeling te hebben goedgekeurd die werknemersgegevens blootstelt aan toegang door buitenlandse overheden. Beide partijen profiteren van architecturen die ongeautoriseerde toegang technisch onmogelijk maken.

Transfer Impact Assessments en Beoordeling door de Ondernemingsraad

Na Schrems II moeten organisaties Transfer Impact Assessments (TIA’s) uitvoeren wanneer persoonsgegevens toegankelijk kunnen zijn voor entiteiten in landen zonder passend beschermingsniveau. Ondernemingsraden moeten toegang eisen tot voltooide TIA’s voordat zij instemmen met cloudinzet. De TIA moet één vraag beantwoorden: Kan de cloudprovider door buitenlandse wetgeving worden gedwongen toegang te krijgen tot werknemersgegevens? Zo ja, dan moet worden vastgelegd welke technische maatregelen dergelijke toegang onmogelijk maken. Als dergelijke aanvullende maatregelen ontbreken, heeft de ondernemingsraad sterke gronden om instemming te weigeren.

Waar Ondernemingsraden op Moeten Aandringen bij Cloudinzet

Architecturale Vereisten voor Datasoevereiniteit van Werknemers

Ondernemingsraden die Betriebsvereinbarungen voor cloudplatforms onderhandelen, moeten zich richten op drie architecturale pijlers die verifieerbare, technische soevereiniteit bieden in plaats van contractuele beloften.

Pijler 1: Door de Klant Beheerde Encryptiesleutels

De meest effectieve waarborg voor soevereiniteit is dat de organisatie, niet de cloudprovider, de encryptiesleutels beheert. De organisatie genereert en slaat klantbeheerde encryptiesleutels op in een eigen HSM in Duitsland. De provider verwerkt versleutelde gegevens maar bezit nooit de ontsleutelsleutels. Als een buitenlandse overheid de provider dwingt gegevens te overhandigen, kan deze alleen ciphertext leveren die zonder de sleutels van de klant onleesbaar is.

Dit verschilt fundamenteel van “Bring Your Own Key” (BYOK)-regelingen waarbij klanten sleutels genereren maar deze uploaden naar de key management service van de provider. De provider behoudt toegang en kan worden gedwongen deze te gebruiken. De test is eenvoudig: als de provider een CLOUD Act-verzoek ontvangt, kan deze dan ontsleutelde werknemersgegevens leveren? Zo ja, dan is het encryptiemodel onvoldoende.

Pijler 2: Single-Tenant Europese Inzet

Multi-tenant cloudomgevingen delen infrastructuur met duizenden klanten, waarbij administratieve toegang mogelijk is voor providerpersoneel overal ter wereld, inclusief rechtsgebieden met overheidstoegangsregels. Single-tenant inzet op toegewijde Europese infrastructuur elimineert gedeelde administratieve toegang. In combinatie met klantbeheerde encryptie en toegangscontroles zorgt dit ervoor dat geen enkele providerwerknemer toegang heeft tot ontsleutelde werknemersgegevens.

Pijler 3: Beleidsmatig Afdwingen van Dataresidentie met Geofencing

Ondernemingsraden moeten eisen dat geofencing op platformniveau dataresidentieregels afdwingt in plaats van te vertrouwen op contractuele toezeggingen. Effectieve geofencing beperkt gegevensopslag tot Duitse of EU-datacenters, voorkomt replicatie naar niet-EU-locaties, blokkeert administratieve toegang van buiten goedgekeurde rechtsbevoegdheden en genereert auditlogs van alle toegangsverzoeken.

Soevereiniteitsmogelijkheden per Cloudarchitectuur

Soevereiniteitsvereiste Amerikaanse Hyperscale Provider (Standaard) Amerikaanse Hyperscale Provider (EU Data Boundary) Klantgestuurde Architectuur
Eigendom encryptiesleutel Provider beheert sleutels Provider beheert sleutels Klant beheert sleutels in eigen HSM
CLOUD Act-blootstelling Volledige blootstelling Volledige blootstelling (juridische entiteit is VS-gebaseerd) Provider kan gegevens niet ontsleutelen
Inzetmodel Multi-tenant gedeeld Multi-tenant met regionale beperkingen Single-tenant toegewijd
Afdwingen dataresidentie Contractuele belofte Configuratie-gebaseerd Beleidsmatig afgedwongen met geofencing
Beheer van administratieve toegang Wereldwijd providerpersoneel Beperkt tot EU-personeel (met uitzonderingen) Alleen klantgestuurde toegang
Auditmogelijkheid ondernemingsraad Beperkte transparantierapporten provider Iets betere zichtbaarheid Volledige audittrail onder controle van klant
Toegang buitenlandse overheid tot data Technisch mogelijk Technisch mogelijk Technisch onmogelijk zonder sleutels klant

Een Effectieve Ondernemingsraadovereenkomst voor Datasoevereiniteit in de Cloud Opstellen

Essentiële Bepalingen voor Betriebsvereinbarungen

Ondernemingsraden die cloudinzetovereenkomsten onderhandelen, moeten zorgen dat deze bepalingen zijn opgenomen, en verder gaan dan standaard IT-raamovereenkomsten (IT-Rahmenvereinbarungen) om soevereiniteitsrisico’s specifiek voor cloud computing te adresseren.

Omvang en Beperkingen van Gegevensverwerking

De ondernemingsraadovereenkomst moet specificeren welke categorieën werknemersgegevens het platform verwerkt, inclusief metadata: inlogtijden, IP-adressen, apparaat-ID’s, tijdstempels van bestandsgebruik en samenwerkingspatronen. Voor elke categorie: geef de juridische grondslag, bewaartermijn en toegangsrechten aan.

Technische Soevereiniteitsvereisten

Specificeer encryptiemodel, architectuur voor sleutelbeheer en inzetconfiguratie. Stel dat de organisatie exclusief controle heeft over de encryptiesleutels en dat de provider onder geen enkele omstandigheid toegang heeft tot ontsleutelde werknemersgegevens, ook niet bij eisen van buitenlandse overheden.

Waarborgen tegen Monitoring

Definieer wat de werkgever wel en niet mag doen met de door deze systemen gegenereerde gegevens. Verbied prestatieprofilering op basis van gebruiksdata, beperk toegang tot activiteitslogs tot gedefinieerde doeleinden via DLP-beleid zoals reactie op beveiligingsincidenten, en vereis anonimisering voor analytisch gebruik van geaggregeerde data.

Voortdurende Naleving en Auditrechten

Leg het recht van de ondernemingsraad vast om gegevensverwerking periodiek te beoordelen. Vereis dat de werkgever vooraf melding doet van wijzigingen in cloudproviders, subverwerkers, encryptie-instellingen of opslaglocaties. Definieer het recht van de ondernemingsraad om onafhankelijke technische audits te laten uitvoeren met volledige audittrail.

Melding van Incidenten

Vereis dat de werkgever de ondernemingsraad binnen een vastgestelde termijn informeert over elk datalek met betrekking tot werknemersgegevens, elk verzoek om toegang door buitenlandse overheden, of wijzigingen in het juridische kader voor providerverplichtingen tot gegevensverstrekking.

Checklist: Review van Cloudinzet door de Ondernemingsraad

Beoordelingspunt Belangrijke Vraag Aanvaardbaar Antwoord
Controle over encryptiesleutels Wie beheert de ontsleutelsleutels? Exclusief klant, in klant-eigen HSM
CLOUD Act-blootstelling Kan de provider gegevens ontsleutelen als dit wettelijk wordt geëist? Nee, provider bezit geen sleutels
Inzetarchitectuur Is de infrastructuur gedeeld of toegewijd? Single-tenant, toegewijde Europese infrastructuur
Dataresidentie Waar worden gegevens opgeslagen en kunnen ze elders worden gerepliceerd? Alleen Duitsland/EU, afgedwongen door technische controles
Transparantie subverwerkers Welke subverwerkers hebben toegang tot werknemersgegevens? Volledige lijst beschikbaar, allen EU-gebaseerd of zonder toegang tot ontsleuteling
Audirechten Kan de ondernemingsraad naleving onafhankelijk verifiëren? Ja, met onafhankelijke auditbepalingen
TIA-beschikbaarheid Is er een Transfer Impact Assessment uitgevoerd? Ja, met eerlijke CLOUD Act/FISA 702 risicobeoordeling
Melding van incidenten Wordt de ondernemingsraad geïnformeerd over toegangsverzoeken? Ja, binnen vastgestelde termijn

Implementatie: Een Praktische Aanpak voor Ondernemingsraden

Fase 1: Beoordeling (Week 1-4)

Breng alle huidige cloudservices die werknemersgegevens verwerken in kaart. Documenteer per dienst het land van vestiging van de provider, opslaglocatie van gegevens, eigendom van encryptiesleutels en status van goedkeuring door de ondernemingsraad. Op grond van §80 lid 2 BetrVG kunnen ondernemingsraden alle benodigde documentatie opvragen, waaronder cloudcontracten, gegevensverwerkingsovereenkomsten en TIA’s.

Fase 2: Risicobeoordeling (Week 5-8)

Beoordeel elke dienst aan de hand van soevereiniteitsvereisten, met prioriteit voor gevoelige werknemersgegevens: HR, salarisadministratie, medische dossiers, prestatiehulpmiddelen en communicatie. Pas de belangrijkste test toe: kan de provider toegang krijgen tot ontsleutelde werknemersgegevens als een buitenlandse overheid dit eist?

Fase 3: Onderhandeling en Overeenkomst (Week 9-16)

Presenteer de bevindingen aan de werkgever met specifieke vereisten. Het doel is niet het blokkeren van digitale transformatie, maar het waarborgen van adequate zero trust-bescherming van werknemersgegevens. Stel voor bestaande diensten die niet voldoen aan soevereiniteitsvereisten transitieperiodes voor. Voor nieuwe inzet geldt: stel soevereiniteitsvereisten als voorwaarde voorafgaand aan leveranciersselectie.

Fase 4: Voortdurende Monitoring (Continu)

Cloudproviders wijzigen hun servicevoorwaarden, subverwerkers en technische architecturen. De monitoringplicht van de ondernemingsraad onder §80 lid 1 nr. 1 BetrVG vereist voortdurende verificatie dat de inzet blijft voldoen aan de afgesproken standaarden.

Instemmingsrecht is het Sterkste Instrument voor Datasoevereiniteit in de Duitse Wet

Het instemmingsrecht van de ondernemingsraad geeft echte invloed op hoe cloudplatforms omgaan met werknemersgegevens. Wanneer een door de VS beheerde provider encryptiesleutels bezit, kan geen enkel contract of SCC voorkomen dat een CLOUD Act-verzoek toegang afdwingt. De enige betrouwbare bescherming is een architectuur waarbij de provider niet kan ontsleutelen omdat de klant exclusief de sleutels beheert.

Ondernemingsraden die klantbeheerde encryptie, single-tenant Europese inzet en beleidsmatig afgedwongen dataresidentie eisen, voldoen aan hun wettelijke verantwoordelijkheid. De ondernemingsraadovereenkomst maakt deze waarborgen afdwingbaar, en de Duitse wet biedt de ondernemingsraad alle benodigde middelen.

Kiteworks Helpt Duitse Ondernemingsraden Werknemersdatasoevereiniteit Beschermen

Het Kiteworks Private Data Network biedt organisaties de architecturale controles die ondernemingsraden nodig hebben om cloudinzet met vertrouwen goed te keuren. Kiteworks werkt met een klantbeheerd encryptiemodel waarbij de organisatie encryptiesleutels genereert en bewaart in een eigen HSM. Kiteworks heeft geen toegang tot ontsleutelde inhoud en kan niet voldoen aan buitenlandse verzoeken om leesbare gegevens te leveren, omdat het de sleutels niet bezit.

Kiteworks wordt ingezet als single-tenant instantie op toegewijde Europese infrastructuur, inclusief on-premises, private cloud en hardened virtual appliance-opties. Ingebouwde geofencing dwingt dataresidentie af op platformniveau en uitgebreide auditlogging legt elk bestandsgebruik, gebruikersactie en administratieve wijziging vast voor voortdurende nalevingscontrole.

Voor organisaties die onder instemmingsrecht van de ondernemingsraad vallen, levert Kiteworks technische documentatie en architecturaal bewijs ter ondersteuning van effectieve ondernemingsraadovereenkomsten. De uniforme aanpak van het platform voor beveiligde bestandsoverdracht, e-mailbescherming, beheerde bestandsoverdracht en webformulieren betekent dat één Betriebsvereinbarung alle gevoelige gegevensuitwisselingskanalen kan dekken.

Wilt u meer weten over het waarborgen van datasoevereiniteit van werknemers bij cloudinzet? Plan vandaag nog een gepersonaliseerde demo.

Veelgestelde Vragen

Volgens vaste jurisprudentie van het Bundesarbeitsgericht: ja, als het platform objectief in staat is om het gedrag of de prestaties van werknemers te monitoren. Dit omvat vrijwel elke cloudapplicatie die gebruikersactiviteitslogs, inlogtijdstempels, bestandsgebruikregistraties of gebruiksanalyses genereert. De werkgever hoeft geen monitoringintentie te hebben voor het instemmingsrecht van toepassing is. Ondernemingsraden moeten een inventarisatie maken van alle cloudservices en controleren of voor elk een juiste Betriebsvereinbarung bestaat. Platforms die zonder instemming van de ondernemingsraad worden ingezet, kunnen via de arbeidsrechter worden aangevochten, en de ondernemingsraad kan een verbod op de inzet eisen.

Nee. Een ondernemingsraadovereenkomst kan het beschermingsniveau van gegevens niet onder de GDPR-standaard brengen. Volgens artikel 88(2) GDPR moeten ondernemingsraadovereenkomsten over werknemersgegevens “passende en specifieke maatregelen bevatten ter bescherming van de menselijke waardigheid, legitieme belangen en fundamentele rechten van de betrokkene.” Dit betekent dat een overeenkomst die cloudverwerking toestaat zonder voldoende soevereiniteitswaarborgen, zoals klantgestuurde encryptie, kan falen als geldige juridische basis voor gegevensverwerking. Ondernemingsraden moeten soevereiniteitsvereisten niet zien als concurrentie met de ondernemingsraadovereenkomst, maar als essentiële bepalingen die GDPR-naleving waarborgen.

Ondernemingsraden moeten het Transfer Impact Assessment, documentatie van encryptiearchitectuur, gegevensstroomdiagrammen en lijsten van subverwerkers opvragen. De TIA moet CLOUD Act- en FISA 702-risico’s eerlijk beoordelen en niet bagatelliseren met providerbeloften. Encryptiedocumentatie moet bevestigen of de provider onder welke omstandigheid dan ook toegang heeft tot ontsleutelsleutels. Gegevensstroomdiagrammen moeten exact laten zien waar werknemersgegevens worden opgeslagen, verwerkt en verzonden. Lijsten van subverwerkers moeten elke entiteit met potentiële toegang tot werknemersgegevens en hun rechtsbevoegdheden identificeren. Kan de werkgever deze documentatie niet leveren, dan moet de ondernemingsraad instemming uitstellen tot deze beschikbaar is.

De werkgever draagt de verantwoordelijkheid als verwerkingsverantwoordelijke voor alle gegevensverwerking, inclusief gegevens die de ondernemingsraad verwerkt bij het uitvoeren van haar taken. Dit creëert een gedeeld belang tussen werkgever en ondernemingsraad om te zorgen dat cloudplatforms echte datasoevereiniteit bieden. Als de cloudprovider wordt gedwongen werknemersgegevens aan een buitenlandse overheid te verstrekken, loopt de werkgever risico op GDPR-handhaving en risicobeoordelingsverplichtingen wegens onvoldoende technische maatregelen. Ondernemingsraden moeten soevereiniteitsvereisten framen als bescherming van de werkgever tegen aansprakelijkheid, niet als obstructie. Beide partijen profiteren van architecturen met zero trust-beveiliging waarbij toegang door buitenlandse overheden technisch onmogelijk is.

Inzet zonder vereiste instemming van de ondernemingsraad schendt het instemmingsrecht en is juridisch niet afdwingbaar. De ondernemingsraad kan bij de arbeidsrechter een verzoek indienen om de inzet te stoppen. Volgens §23 lid 3 BetrVG kan de arbeidsrechter boetes opleggen aan de werkgever voor herhaalde of ernstige schendingen van de naleving van regelgeving. Daarnaast ontbreekt bij verwerking van werknemersgegevens via een niet-goedgekeurd platform de ondernemingsraadovereenkomst als juridische basis, wat afzonderlijke GDPR-risico’s oplevert. Ondernemingsraden die ongeautoriseerde inzet ontdekken, moeten de schending documenteren, de werkgever formeel schriftelijk informeren en direct herstel eisen via een incident response-proces, waaronder het verkrijgen van juiste instemming of het stopzetten van de dienst.

Aanvullende Bronnen

  • Blog Post  
    Datasoevereiniteit: een best practice of wettelijke vereiste?
  • eBook  
    Datasoevereiniteit en GDPR
  • Blog Post  
    Voorkom deze valkuilen bij datasoevereiniteit
  • Blog Post  
    Datasoevereiniteit beste practices
  • Blog Post  
    Datasoevereiniteit en GDPR [Inzicht in gegevensbeveiliging]

    •  

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks