PARTNERCONTENT

GDPR en Offboarding: Wat elke HR-professional moet weten

Het beëindigen van een arbeidsrelatie brengt in de praktijk veel met zich mee. Een essentieel onderdeel dat vaak over het hoofd wordt gezien, zijn de GDPR-verplichtingen. Dit geldt vooral wanneer de partijen met onenigheid uit elkaar gaan. Door gedurende het hele proces duidelijke afspraken te maken en informatie te verstrekken, kunnen veel problemen worden vermeden. In dit artikel worden enkele van de belangrijkste aandachtspunten besproken op basis van de beslissingen van de Belgische Gegevensbeschermingsautoriteit (GBA).

Beter voorkomen, dan genezen

Hoewel het wellicht voor de hand ligt, kan een zorgvuldig samengestelde privacy kennisgeving voor werknemers, een compleet ICT-beleid en een gedetailleerde procedure voor GDPR-verzoeken een klacht bij de GBA voorkomen of de onderneming helpen om gedurende een procedure sneller haar gelijk te krijgen.

Dit blijkt ook uit de beslissingen van de GBA die consequent wijzen op het ontbreken van de bovengenoemde documentatie en procedures. Dit jaar waren er in het bijzonder enkele beslissingen omtrent de communicatie rond ontslag, het niet tijdig verwijderen van een mailbox, de verwijdering van foto’s op de website en inzageverzoeken die niet tijdig of onvolledig werden afgehandeld.

Communicatie uitdiensttreding: less is more

Het vertrek van een medewerker wordt vaak intern gecommuniceerd om andere collega’s te informeren. Dit is begrijpelijk vanuit het oogpunt van adequaat personeelsbeheer. Echter, dergelijke communicatie moet voldoen aan het principe van minimale gegevensverwerking. Met andere woorden, er mag niet meer informatie worden gedeeld dan strikt noodzakelijk is om het doel te bereiken.

Door diverse uitspraken heeft de GBA laten zien dat zij hier een strikte interpretatie op nahoudt. Zo werd vastgesteld dat het niet toegestaan is om omstandigheden rondom het ontslag te vermelden (zoals het aantal eerdere waarschuwingen of eventuele medische redenen), of de beëindiging van het dienstverband met onmiddellijke ingang was en wie het initiatief nam.

Wat is wel toegestaan? Een neutrale mededeling die aangeeft dat de arbeidsovereenkomst is beëindigd en met vermelding van de beëindigingsdatum.

Deactiveren en verwijderen mailbox

Voor werknemers die voor hun werk een professioneel e-mailadres op naam hadden (bijvoorbeeld [email protected]), hanteert de GBA consistent enkele richtlijnen in haar beslissingen.

Het e-mailaccount dient op de laatste effectieve werkdag gedeactiveerd te worden en een automatisch bericht moet ingesteld worden om ontvangers te informeren dat de werknemer de organisatie heeft verlaten. De werkgever kan ervoor kiezen om contactgegevens van de nieuwe werknemer op te nemen of door te verwijzen naar een functioneel e-mailadres.

Na een redelijke periode dient de mailbox volledig te worden verwijderd. Volgens de GBA is deze periode in principe één maand, maar deze kan bij uitzondering verlengd worden tot drie maanden. Dit kan bijvoorbeeld relevant zijn voor medewerkers die vaak contact hadden met het publiek, zoals salesfuncties.
Het is essentieel om hiervoor duidelijke procedures op te stellen in het ICT-beleid, waarin verschillende scenario’s worden beschreven (bijvoorbeeld wat te doen bij ontslag om dringende reden). Werknemers moeten uiteraard tijdig over dit beleid worden geïnformeerd.

Lot van foto’s en ander beeldmateriaal

Een terugkerend onderwerp in de praktijk, dat recent nog is aangekaart bij de GBA en de Arbeidsrechtbank van Charleroi, betreft het gebruik van foto’s en ander beeldmateriaal na de beëindiging van de arbeidsrelatie.

Veel ondernemingen kiezen tegenwoordig voor een persoonlijke benadering door beeldmateriaal van hun eigen medewerkers op hun website en sociale media te plaatsen. Dit verhoogt de authenticiteit en bespaart kosten in vergelijking met het inschakelen van professionele modellen. Foto’s waarop een werknemer duidelijk herkenbaar is, worden onder de GDPR als persoonsgegevens beschouwd. Het publiceren van deze foto’s op de website en social media-accounts van het bedrijf is dus een verwerking van persoonsgegevens.

Dit houdt in dat werkgevers een rechtsgrond moeten hebben voor het gebruik van beeldmateriaal zowel tijdens als ná de arbeidsrelatie. Het is daarom essentieel voor de onderneming om hierover transparant te zijn en vooraf duidelijke afspraken te maken. In de beslissingen van de GBA en de Arbeidsrechtbank van Charleroi werd bevestigd dat het moeilijk is om dit achteraf nog recht te zetten. In alle gevallen moest de onderneming namelijk een gevolg geven aan het verzoek tot verwijdering van de ex-werknemer. Om dergelijke discussies te vermijden kunnen ondernemingen overwegen om hoofdzakelijk foto’s gebruiken waarop de werknemer niet herkenbaar is, omdat dit dan niet als persoonsgegevens wordt beschouwd.

Omgaan met “GDPR-verzoeken”

De bovengenoemde problemen met mailboxen en fotomateriaal komen vaak aan het licht bij een inzageverzoek van een ex-werknemer. Hierbij verzoekt de voormalig werknemer om toegang tot, inclusief een kopie van, alle persoonsgegevens die zijn voormalige werkgever nog over hem of haar verwerkt.

In de praktijk gaat het om een aanzienlijk aantal gegevens, aangezien werkgevers wettelijk verplicht zijn om veel documenten voor een bepaalde periode te bewaren (vaak vijf jaar). Zelfs als er geen bewaartermijn is vastgesteld, is het in sommige gevallen verdedigbaar om documentatie tot vijf à tien jaar na het einde van de arbeidsrelatie te bewaren in lijn met de toepasselijke burgerrechtelijke en strafrechtelijke verjaringstermijnen.

Het is daarom sterk aanbevolen om een goed uitgewerkte procedure voor inzageverzoeken op te stellen. Hierin dient de onderneming vast te leggen welke gegevens na de arbeidsovereenkomst nog moeten worden bewaard, voor hoelang, en waar deze gegevens worden bewaard. Zo kan de onderneming direct bij ontvangst van een GDPR-verzoek van een ex-werknemer een concreet overzicht maken van alle relevante gegevens.

Daarnaast moet worden gecontroleerd of het recht waarop in het GDPR-verzoek een beroep wordt gedaan daadwerkelijk van toepassing is. Er gelden namelijk specifieke voorwaarden voor de uitoefening van sommige rechten en de uitoefening ervan is vaak niet absoluut. Bij een inzageverzoek moet de onderneming vooral nagaan of er geen andere belangen zijn die in conflict kunnen zijn met het recht op inzage, zoals de bedrijfsgeheimen van de onderneming of het recht op privacy van andere werknemers. Indien dergelijke belangen aanwezig zijn, moet de organisatie een afweging maken en eventueel de documenten geanonimiseerd beschikbaar stellen of, indien dit niet mogelijk is, de documenten bij wijze van uitzondering niet delen.

In principe moet een verzoek binnen een maand worden beantwoord. In de praktijk blijkt dit echter vaak een ingewikkeld en tijdrovend proces te zijn. Een gestructureerde procedure kan hier gunstige effecten op hebben.

Actieplan

De GDPR is al meer dan zes jaar van kracht. In principe zouden alle organisaties nu moeten beschikken over de vereiste documentatie om haar gegevensbeschermingsbeleid te kaderen. Dit beleid moet regelmatig worden geüpdatet en vergezeld gaan van de nodige opleidingen en bewustmakingscampagnes. De praktijk van de GBA leert dat er nog werk aan de winkel is.

Gelukkig is het nog niet te laat om maatregelen te treffen. Door nu de nodige privacykennisgevingen, policies en procedures in te voeren, kunnen enkele van de meest voorkomende GDPR-inbreuken worden voorkomen.

Geschreven door Matthias Vandamme, Claeys & Engels

claeysengels sept 111 2023 scaled

Schrijf je in op de wekelijkse HR-nieuwsbrief

Jouw verhaal lanceren bij #ZigZagHR?

Bespreek met ons de opties om jouw branded content op onze site te zetten.

Ook interessant

LEES MEER