Awareness-programma's en phishing-simulaties verzamelen persoonsgegevens van medewerkers: wie klikt, wie meldt, wie volgt training. Die gegevens vallen onder artikel 27 WOR over personeelsbeleid en onder de AVG. De ondernemingsraad heeft instemmingsrecht, geen adviesrecht.
Waarom instemmingsrecht
Artikel 27 lid 1 sub k en l WOR noemen regelingen over personeelsvolgsystemen en verwerking van persoonsgegevens van werknemers. Een phishing-simulatieplatform zoals PhishWise of KnowBe4 logt klikgedrag per medewerker. Dat is een personeelsvolgsysteem, hoe vriendelijk de bedoeling ook is. Zonder OR-instemming is het besluit nietig.
Anonimiseren of pseudonimiseren
De OR vraagt vrijwel altijd om aggregatie. Werkbaar compromis: rapportages naar leidinggevenden gaan op afdelingsniveau, niet op naam. HR ziet alleen wie training niet heeft afgerond. Het IT-team ziet individuele klikken voor incident response, maar niet voor beoordeling. Leg dat schriftelijk vast in de gedragslijn.
De gedragslijn afstemmen
In het document staat: doel van de simulatie, frequentie, soort scenario's, wie welke data ziet, bewaartermijn, recht op uitleg en geen koppeling aan beoordeling of ontslag. Een medewerker die drie keer klikt, krijgt een korte training, geen functioneringsgesprek. De OR tekent voor die scheiding.
Communicatie vooraf
Aankondigen verlaagt de klikrate niet zoveel als organisaties vrezen, maar verhoogt het draagvlak fors. Vertel dat er simulaties komen, leg het doel uit, beschrijf wat met de data gebeurt. Een meldknop in Outlook werkt alleen als mensen weten dat melden gewaardeerd wordt en geen straf oplevert.
Tijdslijn
Reken op zes tot tien weken tussen voornemen en eerste simulatie. Twee weken voorbereiding van de gedragslijn, twee tot vier weken OR-overleg, twee weken communicatie aan medewerkers, twee weken inrichten van het platform. Wie sneller wil, schiet zichzelf in de voet bij het eerste klacht-incident.
Verwant: Freelance HR consultant, Cybersecurity consultant inhuren.