GDPR stopt niet wan­neer de arbeids­over­een­komst eindigt

De Dag van de Gegevensbescherming, ook wel Dag van de Privacy genoemd, staat in het teken van bewustmaking en het stimuleren van best practices rond privacy en gegevensbescherming.

Gegevensbescherming is en blijft brandend actueel, niet in het minst op vlak van personeelszaken. Tijdens elke fase van de tewerkstelling worden persoonsgegevens verwerkt: van rekrutering tot de laatste werkdag en zelfs daarna. In de praktijk ontstaan er steeds meer discussie omtrent GDPR bij uitdiensttreding.

Bij uitdiensttreding komen namelijk heel wat GDPR‑vragen en -uitdagingen samen:

• wat mag je wel of niet communiceren over het vertrek van een werknemer?
• hoe ga je om met professionele e-mailaccounts zonder risico te lopen op inbreuken?
• welke persoonsgegevens mag of moet je nog bewaren, en welke absoluut niet meer?
• wat doe je met foto’s, accounts, logins en toegang tot interne systemen?

Wat mag je wel of niet communiceren over het vertrek van een werknemer?

Werkgevers mogen communiceren dat een werknemer de organisatie verlaat, maar enkel voor zover dit strikt noodzakelijk is. De Gegevensbeschermingsautoriteit (GBA) hanteert hierbij volgend standpunt:

• wel toegelaten: de loutere mededeling dat de samenwerking werd beëindigd;
• niet toegelaten: details over de omstandigheden van het ontslag, de initiatief nemende partij, prestatieproblemen, disciplinaire maatregelen of informatie over de gezondheidstoestand.

Het verstrekken van bijkomende informatie schendt al snel het beginsel van minimale gegevensverwerking.

Hoe ga je om met professionele e-mailaccounts zonder het risico te lopen op inbreuken?

De omgang met professionele mailboxen blijft een van de meest foutgevoelige onderdelen bij uitdiensttreding van een werknemer. De GBA formuleert hierover duidelijke richtlijnen:

• de mailbox van de ex-werknemer moet onmiddellijk gedeactiveerd worden op de laatste werkdag;
• een tijdelijk automatisch antwoord is verplicht, met een neutrale boodschap die enkel meldt dat de werknemer niet langer werkzaam is in de organisatie en met de gegevens van de nieuwe contactpersoon;
• het automatisch doorsturen van e-mails naar collega’s is in principe verboden;
• toegang tot of inzage in de mailbox kan enkel indien strikt noodzakelijk, bij voorkeur vóór het vertrek én in aanwezigheid van de werknemer.

Deze regels beogen zowel de privacy van de ex-werknemer als die van derden.

Welke persoonsgegevens mag of moet je nog bewaren, en welke absoluut niet meer?

Na uitdiensttreding vallen sommige rechtsgronden ter rechtvaardiging van de gegevensverwerking en -bewaring weg (zoals de uitvoering van een overeenkomst). Andere rechtsgronden blijven wél bestaan. Zo moet de werkgever bepaalde persoonsgegevens verplicht bewaren om te voldoen aan specifieke wettelijke verplichtingen (zoals fiscale of sociale documentatie). Andere gegevens moeten dan weer gewist worden zodra het doel van de verwerking wegvalt of geen rechtsgrond meer bestaat.

Belangrijk: ook na uitdiensttreding behoudt de ex‑werknemer zijn rechten onder de Algemene Verordening Gegevensbescherming, waaronder:

• recht op inzage en kopie;
• recht op wissing;
• én het recht op minimale gegevensverwerking.

Wat doe je met foto’s, accounts, logins en toegang tot interne systemen?

Ook ‘eenvoudige’ vragen, zoals het verwijderen van foto’s van websites, teamfoto’s of social media kanalen, leiden in de praktijk tot discussie. Het principe is eenvoudig: zodra het doel van publicatie wegvalt, bijv. de werknemer voorstellen als deel van het team, moet de foto worden verwijderd of aangepast.

Daarnaast moet de werkgever alle toegangen tot systemen, platformen en interne of externe databases tijdig intrekken, ook wanneer deze toegankelijk waren via persoonlijke toestellen. Dit is essentieel om onrechtmatige toegang en mogelijke datalekken te vermijden.

Wat kan jouw onderneming doen?

• voorzie een heldere en transparante offboardingprocedure inzake communicatie, mailboxbeheer, dataverwijdering, toegangsbeheer, ICT‑afsluitingen…;
• neem duidelijke afspraken op in een ICT‑policy en algemene privacy kennisgeving.

DELEN: