Aanwerving en uitdiensttreding van werknemers, medewerkers en stagiairs
Het advocatenkantoor-werkgever moet de privacy van (kandidaat) werknemers, medewerkers en stagiairs op de werkvloer beschermen vanaf het sollicitatieproces tot aan de uitdiensttreding en voor bepaalde verwerkingsdoeleinden zelfs langer.
Ook bij de beëindiging zijn er enkele bijkomende aandachtspunten. Zo moet het advocatenkantoor de desbetreffende mailbox blokkeren uiterlijk op het tijdstip van het einde van de samenwerking.
We geven u onder meer een antwoord op de vraag of er aan een kandidaat een uittreksel uit zijn blanco strafregister mag worden opgevraagd. We stelden voor u ook reeds ingevulde verwerkingsfiches en privacyverklaringen op in het kader van de aanwerving van werknemers, medewerkers en stagiairs en delen ook mee wat de GBA reeds heeft gepubliceerd over dit thema.
Wat u moet weten
Het advocatenkantoor-werkgever moet de privacy van (kandidaat) werknemers, medewerkers en stagiairs op de werkvloer beschermen vanaf het sollicitatieproces, gedurende de samenwerking en tot aan de uitdiensttreding of de beëindiging daarvan (en voor bepaalde verwerkingsdoeleinden zelfs langer).
Dat houdt vooreerst in dat het advocatenkantoor alle kandidaten moet informeren over de verwerking van hun persoonsgegevens.
Verder hebben werkgevers/opdrachtgevers veelal de ambitie om zoveel mogelijk informatie over kandidaten te verzamelen om een zo geïnformeerd mogelijke beslissing te kunnen maken.
Vanuit het principe van minimale gegevensbescherming, mag het advocatenkantoor evenwel enkel die persoonsgegevens verzamelen en opslaan die strikt noodzakelijk zijn voor de selectie van de kandidaten. De vragen die daarbij worden gesteld, mogen alleen betrekking hebben op de aard en de voorwaarden van de functie waarvoor de persoon in kwestie zich kandidaat stelt.
De verwerking van persoonsgegevens in het kader van de aanvang van de samenwerking met medewerkers (inclusief zomer- en andere stagiairs) en indiensttreding van werknemers kan in principe worden gestoeld op het sluiten van een overeenkomst met de betrokken kandidaat, conform art. 6.1 b) AVG.
Voor het bijhouden van een databank van potentiële kandidaten (‘talenten databank’) en voor referentie checks is evenwel de toestemming van de betrokken kandidaat noodzakelijk, conform art. 6.1 a) AVG of het verzoek van de potentiële kandidaten om stappen te ondernemen voorafgaand aan het sluiten van een overeenkomst, conform artikel 6.1 b) AVG.
Vanzelfsprekend gelden deze principes van transparantie, minimale gegevensbescherming en rechtmatigheid ook ten aanzien van werknemers of medewerkers voor de verwerking van hun persoonsgegevens gedurende de tewerkstelling of samenwerking.
Ook bij de uitdiensttreding / beëindiging samenwerking zijn er enkele aandachtspunten. Zo moet het advocatenkantoor de desbetreffende mailbox blokkeren uiterlijk op het tijdstip van uitdiensttreding / beëndiging samenwerking.
Die blokkering moet gebeuren nadat de medewerker of werknemer daarvan vooraf is verwittigd en desgevallend nadat een automatisch bericht werd ingesteld.
Dat bericht waarschuwt alle correspondenten dat de betrokken medewerker of werknemer zijn of haar functie binnen het kantoor niet meer uitoefent en verstrekt de contactgegevens van de persoon (of een algemeen e-mailadres) die in zijn plaats moet worden gecontacteerd. Dat bericht mag worden gebruikt gedurende een redelijke periode van één maand, eventueel te verlengen tot drie maanden. Het ontvangen bericht wordt in elk geval niet automatisch doorgestuurd naar de opvolger.
Na deze periode moet het e-mailadres worden afgesloten en de mailbox definitief verwijderd worden. Het doel van de verwerking van die persoonsgegevens is dan immers irrelevant.
Daarnaast moet de voormalige medewerker of werknemer ook zelf de mogelijkheid hebben om bij de beëindiging zijn persoonlijke elektronische privécommunicatie door te sturen naar zijn privé e-mailadres en/of te wissen vóór zijn vertrek.
Indien toegang tot de mailbox, en handover van de berichten, noodzakelijk is om de goede werking of andere belangen van het kantoor te waarborgen, moet dat in principe eveneens gebeuren vóór het vertrek bij voorkeur door de werknemer of in aanwezigheid van de werknemer of medewerker. Eventueel kan er zelfs een akkoord worden gesloten over het gebruik van de gegevens, berichten na het vertrek of conform de procedure opgenomen in CAO nr. 81 van 26 april 2002 (in elk geval voor werknemers) en aanbeveling nr. 08/2012 van de (voormalige) Privacycommissie van 2 mei 2012 betreffende de controle door de werkgever op het gebruik van elektronische communicatie-instrumenten op de werkvloer.
Wat u moet doen
U bezorgt de kandidaat een privacyverklaring ten laatste op het ogenblik dat u de persoonsgegevens ontvangt, bijvoorbeeld via een link op uw website (waar de kandidaat zijn CV kan opladen) of via e-mail bij de (automatische) ontvangstbevestiging.
Indien u referentiechecks uitvoert of de sollicitant opneemt in een talentendatabank, kan u de kandidaat informeren via e-mail of door de overhandiging van de privacyverklaring tijdens het sollicitatiegesprek.
U informeert de kandidaat in de privacyverklaring ook over zijn rechten. Zo heeft de kandidaat het recht om te allen tijde zijn toestemming om te worden opgenomen in de talenten databank in te trekken. De kandidaat heeft ook het recht op inzage in zijn persoonsgegevens, inclusief de resultaten van enige tests, interview notities, etc.. Lees daarover meer.
U moet evenwel niet ingaan op een verzoek tot gegevenswissing, aangezien de persoonsgegevens van kandidaten tot 5 jaar na ontvangst van de persoonsgegevens noodzakelijk kunnen zijn in het kader van uw geschillenbeheer (verjaringstermijn voor buitencontractuele aansprakelijkheid).
Bij aanwerving van de werknemers of aanvang van de samenwerking met de medewerker moet u opnieuw een privacyverklaring bezorgen, namelijk op het moment dat de diensten- of arbeidsovereenkomst wordt ondertekend (bijvoorbeeld als bijlage bij de overeenkomst).
Die privacyverklaring moet alle verwerkingen in het kader van de tewerkstelling dekken.
U zorgt ervoor dat de medewerker of werknemer ook tijdens de samenwerking of tewerkstelling steeds toegang heeft tot de meest recente versie van de privacyverklaring (bijvoorbeeld via het intranet of via een afschrift van het arbeidsreglement, met inbegrip van de interne privacyverklaring).
De medewerker of werknemer heeft een recht op inzage in zijn persoonsgegevens, met inbegrip van zijn jaarlijkse evaluaties. Indien die evaluaties vertrouwelijke informatie bevatten over andere werknemers of medewerkers (bijvoorbeeld getuigenissen van collega’s), moet u die informatie anonimiseren. U kan het verzoek om die reden echter niet weigeren.
De medewerker of werknemer heeft altijd het recht om zijn toestemming in te trekken voor het publiceren van zijn afbeelding (bijvoorbeeld op de website, sociale media of op het intranet).
U moet, zoals besproken, medewerkers en werknemers die uw kantoor verlaten vooraf informeren over het blokkeren en het afsluiten van hun mailbox. Die (standaard)procedure moet bovendien worden opgenomen in een IT-beleid en een procedure voor eventuele toegang tot de mailbox. Ook een procedure voor het deactiveren en verwijderen van accounts, wachtwoorden en toegangsrechten kan nuttig blijken.
Indien u dat wenst, kan u gedurende een beperkte periode een automatisch bericht instellen, zodat alle toekomstige correspondenten op de hoogte worden gebracht van het vertrek van de medewerker of werknemer. Daarna moet de mailbox definitief afgesloten worden.
Dergelijk beleid moet met de IT-leverancier besproken worden, zodat die veiligheidsmaatregelen in de praktijk ook op een vlotte en efficiënte manier worden uitgevoerd.
Praktische richtsnoeren
De Gegevensbeschermingsautoriteit heeft op haar website een thema uitgewerkt omtrent de aanwerving van kandidaten. U vindt er ook andere thema’s over privacy op de werkplek.
De OVB heeft verschillende verwerkingsfiches voor u opgesteld voor de verwerkingen van persoonsgegevens van sollicitanten en medewerkers/werknemers evenals modelprivacyverklaringen voor sollicitanten en voor werknemers/medewerkers.
Frequently Asked Questions
Mag ik de foto en functie van een voormalige medewerker/werknemer op mijn website laten staan?
De GBA erkent dat er een gerechtvaardigd belang kan zijn voor ondernemingen om persoonsgegevens van hun medewerkers die vaak in contact komen met klanten of het publiek te publiceren op hun website. Gelet op het principe van dataminimalisatie bestaat dit gerechtvaardigd belang wellicht enkel voor de contactgegevens en niet voor de foto’s van de medewerker, waarvoor dan toestemming moet worden gevraagd.
Van zodra een medewerker vertrekt, moeten die zijn persoonsgegevens zo snel mogelijk verwijderd worden. Het doel om websitebezoekers te informeren over wie bij het kantoor werkt en in welke hoedanigheid is in dat geval niet langer aan de orde. Bijgevolg moeten de persoonsgegevens worden gewist zodra deze gegevens niet langer noodzakelijk zijn voor deze doeleinden (artikel 5, lid 1, onder b) en e) GDPR).
De GBA stelt dat deze gegevens door de verwerkingsverantwoordelijke op eigen initiatief moeten worden gewist of geanonimiseerd, zonder dat de betrokkene om het wissen moet vragen. Wanneer een medewerker/werknemer uitdienst treedt, dan moet de werkgever zich inspannen om de volgende informatie zo snel mogelijk van zijn website te verwijderen: de identiteit, functie en foto('s) van de betrokkene. Volgens de GBA wordt deze informatie idealiter ten laatste één maand na het vertrek van een medewerker van de website verwijderd, al kan deze termijn verschillen naargelang de omstandigheden. Dit geldt ook voor groepsfoto’s.
Wanneer moet ik een mailbox van een medewerker/werknemer afsluiten?
Na het vertrek van een medewerker of werknemer kan u gedurende een beperkte periode de mailbox van die medewerker of werknemer actief houden op basis van het gerechtvaardigd belang van het advocatenkantoor, met name het verzekeren van de continuïteit van de prestaties en het goed functioneren van het kantoor.
De GBA oordeelde dat een mailbox nog gedurende een maand automatische antwoorden mag verzenden om correspondenten te informeren dat de medewerker of werknemer op dat e-mailadres niet langer kan worden bereikt. De GBA wijst erop dat – rekening houdende met de context en de graad van verantwoordelijkheid van de ex-werknemer – een langere termijn voor het automatisch bericht voorzien kan worden, maar idealiter niet langer dan 3 maanden.
Die verlenging van de termijn moet worden gemotiveerd en gebeurt best in onderling akkoord met de ex-werknemer. Minstens moet de ex-werknemer van de verlenging worden verwittigd.
De beslissing waarin de GBA de termijn van 1 tot 3 maanden vooropstelt, betreft de mailbox van een voormalig bestuurder van de betrokken onderneming. Het lijkt daarom aangewezen voorzichtig te zijn met een termijn van langer dan 3 maanden. Van de bestuurder van een vennootschap mag immers – net als van advocaten – verwacht worden dat hij betrokken is in dossiers waarin niet wekelijks wordt gecommuniceerd. Dat lijkt dan ook niet meteen een argument te zijn om de mailbox van een medewerker langer dan 3 maanden actief te houden.
Rekening houdende met de professionele beroepsuitoefening van een advocaat zou wel kunnen worden geargumenteerd dat – aangezien een advocaat bijstand moet kunnen verlenen aan cliënten in hun juridische zaken – cliënten daarom niet zonder meer het bericht kunnen krijgen dat het e-mailadres niet langer bestaat, maar dat zij weten bij wie zij wel terecht kunnen met oog op het waarborgen van hun rechten van verdediging. Een eventuele verlenging van de termijn moet in elk geval worden gemotiveerd.
Mag ik bij de uitdiensttreding de e-mails van de medewerker/werknemer automatisch doorsturen naar een ander e-mailadres van het bedrijf?
De GBA oordeelde dat de tweetrapswerkwijze, waarbij het e-mailadres eerst wordt geblokkeerd en later wordt afgesloten, de voorkeur geniet boven het automatisch doorsturen van e-mails naar een ander e-mailadres van het bedrijf.
In het geval van een automatische overdracht, a fortiori zonder informatie aan de afzender van het bericht, is er geen controle over de inkomende e-mails. Bovendien zou in dit geval potentieel gevoelige privé-informatie kunnen worden bekendgemaakt zonder dat de betrokken medewerker of werknemer en de correspondent daarvan op de hoogte zijn.
Ook interessant
Beveiliging
Gerelateerd nieuws
Deontologische en antiwitwasverplichtingen? Ask Lidia!
Steeds meer advocaten ontwikkelen zelf digitale oplossingen die hun kantoorwerking efficiënter, klantgerichter of veiliger maken. Zo ontwikkelde advocatenkantoor Wanted Law Ask Lidia, een AI-ondersteunde tool die advocaten helpt bij deontologische compliance en antiwitwasverplichtingen. Wij spraken met mr. Joachim Vanspeybrouck en mr. Sharryn-Chill Hermy over de werking van de tool, de meerwaarde voor grote én kleine kantoren, en de rol van AI in een vertrouwelijke juridische context.
Tweede editie GDPR-roadshow: praktijkgerichte inzichten voor advocaten
Na het succes van de GDPR-roadshows in 2024 organiseert onze Commissie GDPR dit jaar een tweede editie. Deze interactieve sessies bij elke lokale balie bieden u een update over de belangrijkste ontwikkelingen op het vlak van GDPR en de opmars van artificiële intelligentie (AI).
Recente arresten wijzen op gevaar van AI voor rechtzoekenden
Twee recente arresten, van de Raad van State en van het Antwerpse hof van beroep, wijzen op het gevaar van het gebruik van artificiële intelligentie door rechtzoekenden.
Seminarie AI & juridische beroepen
Tijdens de derde editie van het gezamenlijk seminarie brengen advocaten, bedrijfsjuristen en magistraten hun inzichten samen over de concrete impact van artificiële intelligentie op de juridische praktijk.
Let op phishing: hoe uw @advocaat.be-mail veilig te houden
We ontvingen de laatste weken en maanden meerdere meldingen van gerichte phishingpogingen op mailboxen met een @advocaat.be-adres. Waakzaamheid is daarom geboden.
Kompenso berekent uw schadedossiers in enkele minuten
Steeds meer advocaten ontwikkelen zelf digitale oplossingen die hun kantoorwerking efficiënter, klantgerichter of duurzamer maken. Zo ontwikkelde advocatenkantoor Konsilio Advocaten Kompenso, een schadeberekeningstool die complexe schadedossiers berekend in slechts enkele minuten. Wij interviewden mr. Andy Verhaegen over deze tool, en wat ze kan betekenen voor de advocatuur.
Elektronische procesvoering binnenkort ook bij het Grondwettelijk Hof
Advocaten zullen in principe vanaf 1 maart 2026 ook elektronisch stukken kunnen indienen bij het Grondwettelijk Hof via zijn nieuwe digitaal platform eProConst. Dat heeft het Hof meegedeeld tijdens een overleg met de OVB op 22 januari 2026.
Nieuwe machtiging verlengt uitbreiding toegang tot het Rijksregister voor advocaten
Op 17 december 2025 heeft de minister van Binnenlandse Zaken de toegang van advocaten tot het Rijksregister met één jaar verlengd, met ingang van 23 december 2025. Deze toegangsrechten zijn geregeld bij machtiging nr. 049/2024 van 23 december 2024, en de verlenging gebeurde bij beslissing nr. 043/2025.
Raad van State schakelt over naar nieuw elektronisch platform
De Raad van State neemt vanaf 1 januari 2026 een vernieuwde versie van het elektronisch platform e-ProAdmin in gebruik. Deze modernisering vereist een omvangrijke migratie van de bestaande gegevens naar het nieuwe systeem.