Onlangs kregen wij het verzoek van een van onze partners om een phishingtest uit te voeren voor een pensioenuitvoerder. Bij het uitwerken van de test en het regelen van de benodigde vrijwaringen werden we er door de pensioenuitvoerder op gewezen, dat zij eerst toestemming moesten vragen aan de ondernemingsraad. Dit verraste mij, we hadden wel vaker testen gedaan voor grote organisaties, daarbij was naar mijn weten geen toestemming nodig van de ondernemingsraad.

Maar wat blijkt? In artikel 27.1 lid L van de ‘Wet op de ondernemingsraden’ is de volgende tekst opgenomen:

27.1 De ondernemer behoeft de instemming van de ondernemingsraad voor elk door hem voorgenomen besluit tot vaststelling, wijziging of intrekking van:

L. een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen;

Omdat we met een phishingtest het gedrag van medewerkers toetsen wanneer zijn een phishing e-mail ontvangen, lijkt het te kloppen dat de organisatie eerst toestemming moet hebben van de ondernemingsraad, voordat de test uitgevoerd kan worden.

Een van de nadelen van het betrekken van de ondernemingsraad bij het opzetten van een phishingtest, is dat het verrassingseffect kleiner dreigt te worden doordat meer mensen op de hoogte zijn van de op handen zijnde test. Een phishingtest wil je zo echt mogelijk laten lijken, een kwaadwillende kondigt deze ook niet aan, dus ook wij willen dat niet doen.

Of je met een bepaling in de arbeidsovereenkomst met elke individuele medewerker kunt voorkomen dat telkens toestemming van de ondernemingsraad nodig is weet ik niet, misschien dat de juristen in mijn netwerk daar antwoord op hebben?

Bronnen:

http://wetten.overheid.nl/BWBR0002747/2017-09-01