Aanwerving en uitdiensttreding van werknemers, medewerkers en stagiairs
Het advocatenkantoor-werkgever moet de privacy van (kandidaat) werknemers, medewerkers en stagiairs op de werkvloer beschermen vanaf het sollicitatieproces tot aan de uitdiensttreding en voor bepaalde verwerkingsdoeleinden zelfs langer.
Ook bij de uitdiensttreding zijn er enkele bijkomende aandachtspunten. Zo moet het advocatenkantoor de desbetreffende mailbox blokkeren uiterlijk op het tijdstip van uitdiensttreding.
We geven u onder meer een antwoord op de vraag of er aan een sollicitant een uittreksel uit zijn blanco strafregister mag worden opgevraagd. We stelden voor u ook reeds ingevulde verwerkingsfiches en privacyverklaringen op in het kader van de aanwerving van werknemers, medewerkers en stagiairs en delen ook mee wat de GBA reeds heeft gepubliceerd over dit thema.
Wat u moet weten
Het advocatenkantoor-werkgever moet de privacy van (kandidaat) werknemers, medewerkers en stagiairs op de werkvloer beschermen vanaf het sollicitatieproces tot aan de uitdiensttreding (en voor bepaalde verwerkingsdoeleinden zelfs langer).
Dat houdt vooreerst in dat het advocatenkantoor alle sollicitanten moet informeren over de verwerking van hun persoonsgegevens.
Verder hebben werkgevers veelal de ambitie om zoveel mogelijk informatie over sollicitanten te verzamelen om een zo geïnformeerd mogelijke beslissing te kunnen maken over de aanwerving.
Vanuit het principe van minimale gegevensbescherming, mag het advocatenkantoor evenwel enkel die persoonsgegevens verzamelen en opslaan die strikt noodzakelijk zijn voor de selectie van de sollicitanten. De vragen die daarbij worden gesteld, mogen alleen betrekking hebben op de aard en de voorwaarden van de functie waarvoor de sollicitant zich kandidaat stelt.
De verwerking van persoonsgegevens in het kader van de aanwerving van medewerkers en werknemers (inclusief zomer- en andere stagiairs) kan in principe worden gestoeld op het sluiten van een overeenkomst met de betrokken sollicitant, conform art. 6.1 b) AVG.
Voor het bijhouden van een databank van potentiële kandidaten (‘talenten databank’) en voor referentie checks is evenwel de toestemming van de betrokken sollicitant noodzakelijk, conform art. 6.1 a) AVG.
Vanzelfsprekend gelden deze principes van transparantie, minimale gegevensbescherming en rechtmatigheid ook ten aanzien van werknemers of medewerkers voor de verwerking van hun persoonsgegevens gedurende de tewerkstelling.
Ook bij de uitdiensttreding zijn er enkele aandachtspunten. Zo moet het advocatenkantoor de desbetreffende mailbox blokkeren uiterlijk op het tijdstip van uitdiensttreding.
Die blokkering moet gebeuren nadat de medewerker of werknemer daarvan vooraf is verwittigd en desgevallend nadat een automatisch bericht werd ingesteld.
Dat bericht waarschuwt alle correspondenten dat de betrokken medewerker of werknemer zijn of haar functie binnen het kantoor niet meer uitoefent en verstrekt de contactgegevens van de persoon (of een algemeen e-mailadres) die in zijn plaats moet worden gecontacteerd. Dat bericht mag worden gebruikt gedurende een redelijke periode van één maand, eventueel te verlengen tot drie maanden.
Daarna moet de mailbox in principe definitief afgesloten worden. Het doel van de verwerking van die persoonsgegevens is dan immers irrelevant.
Daarnaast moet de voormalige medewerker of werknemer ook zelf de mogelijkheid hebben om bij de uitdiensttreding zijn persoonlijke elektronische privécommunicatie door te sturen naar zijn privé e-mailadres en/of te wissen vóór zijn vertrek.
Indien toegang tot de mailbox noodzakelijk is om de goede werking of andere belangen van het kantoor te waarborgen, moet dat in principe eveneens gebeuren vóór het vertrek en in aanwezigheid van de werknemer of medewerker of conform de procedure opgenomen in CAO nr. 81 van 26 april 2002 (in elk geval voor werknemers) en aanbeveling nr. 08/2012 van de (voormalige) Privacycommissie van 2 mei 2012 betreffende de controle door de werkgever op het gebruik van elektronische communicatie-instrumenten op de werkvloer.
Wat u moet doen
U bezorgt de sollicitant een privacyverklaring ten laatste op het ogenblik dat u de persoonsgegevens van de sollicitant ontvangt, bijvoorbeeld via een link op uw website (waar de sollicitant zijn CV kan opladen) of via e-mail bij de (automatische) ontvangstbevestiging.
Indien u referentie checks uitvoert of de sollicitant opneemt in een talenten databank, vraagt u toestemming. Dat kan via e-mail of door de ondertekening van een document tijdens het sollicitatiegesprek.
U informeert de sollicitant in de privacyverklaring ook over zijn rechten. Zo heeft de sollicitant het recht om te allen tijde zijn toestemming om te worden opgenomen in de talenten databank in te trekken. De sollicitant heeft ook het recht op inzage in zijn persoonsgegevens, inclusief de resultaten van enige tests, interview notities, etc.. Lees daarover meer.
U moet evenwel niet ingaan op een verzoek tot gegevenswissing, aangezien de persoonsgegevens van sollicitanten tot 5 jaar na ontvangst van de persoonsgegevens noodzakelijk kunnen zijn in het kader van uw geschillenbeheer (verjaringstermijn voor buitencontractuele aansprakelijkheid).
Bij aanwerving moet u de medewerker of werknemer opnieuw een privacyverklaring bezorgen, namelijk op het moment dat de diensten- of arbeidsovereenkomst wordt ondertekend (bijvoorbeeld als bijlage bij de overeenkomst).
Die privacyverklaring moet alle verwerkingen in het kader van de tewerkstelling dekken.
U zorgt ervoor dat de medewerker of werknemer ook tijdens de tewerkstelling steeds toegang heeft tot de meest recente versie van de privacyverklaring (bijvoorbeeld via het intranet).
De medewerker of werknemer heeft een recht op inzage in zijn persoonsgegevens, met inbegrip van zijn jaarlijkse evaluaties. Indien die evaluaties vertrouwelijke informatie bevatten over andere werknemers of medewerkers (bijvoorbeeld getuigenissen van collega’s), moet u die informatie anonimiseren. U kan het verzoek om die reden echter niet weigeren.
De medewerker of werknemer heeft altijd het recht om zijn toestemming in te trekken voor het publiceren van zijn afbeelding (bijvoorbeeld op de website of op het intranet).
U moet medewerkers en werknemers die uw kantoor verlaten vooraf informeren over het blokkeren en het afsluiten van hun mailbox. Die (standaard)procedure moet bovendien worden opgenomen in een IT-beleid en een procedure voor eventuele toegang tot de mailbox. Ook een procedure voor het desactiveren en verwijderen van accounts, wachtwoorden en toegangsrechten kan nuttig blijken.
Indien u dat wenselijk acht, kan u gedurende een beperkte periode een automatisch bericht instellen, zodat alle toekomstige correspondenten op de hoogte worden gebracht van het vertrek van de medewerker of werknemer. Daarna moet de mailbox definitief afgesloten worden.
Dergelijk beleid moet met de IT-leverancier besproken worden, zodat die veiligheidsmaatregelen in de praktijk ook op een vlotte en efficiënte manier worden uitgevoerd.
Praktische richtsnoeren
De Gegevensbeschermingsautoriteit heeft op haar website een thema uitgewerkt omtrent de aanwerving van kandidaten. U vindt er ook andere thema’s over privacy op de werkplek.
De OVB heeft verschillende verwerkingsfiches voor u opgesteld voor de verwerkingen van persoonsgegevens van sollicitanten en medewerkers/werknemers evenals modelprivacyverklaringen voor sollicitanten en voor werknemers/medewerkers.
Frequently Asked Questions
Mag ik de foto en functie van een voormalige medewerker/werknemer op mijn website laten staan?
De GBA erkent dat er een gerechtvaardigd belang kan zijn voor ondernemingen om persoonsgegevens van hun medewerkers die vaak in contact komen met klanten of het publiek te publiceren op hun website. Gelet op het principe van dataminimalisatie bestaat dit gerechtvaardigd belang wellicht enkel voor de contactgegevens en niet voor de foto’s van de medewerker, waarvoor dan toestemming moet worden gevraagd.
Van zodra een medewerker vertrekt, moeten die zijn persoonsgegevens zo snel mogelijk verwijderd worden. Het doel om websitebezoekers te informeren over wie bij het kantoor werkt en in welke hoedanigheid is in dat geval niet langer aan de orde. Bijgevolg moeten de persoonsgegevens worden gewist zodra deze gegevens niet langer noodzakelijk zijn voor deze doeleinden (artikel 5, lid 1, onder b) en e) GDPR).
De GBA stelt dat deze gegevens door de verwerkingsverantwoordelijke op eigen initiatief moeten worden gewist of geanonimiseerd, zonder dat de betrokkene om het wissen moet vragen. Wanneer een medewerker/werknemer uitdienst treedt, dan moet de werkgever zich inspannen om de volgende informatie zo snel mogelijk van zijn website te verwijderen: de identiteit, functie en foto('s) van de betrokkene. Volgens de GBA wordt deze informatie idealiter ten laatste één maand na het vertrek van een medewerker van de website verwijderd, al kan deze termijn verschillen naargelang de omstandigheden. Dit geldt ook voor groepsfoto’s.
Wanneer moet ik een mailbox van een medewerker/werknemer afsluiten?
Na het vertrek van een medewerker of werknemer kan u gedurende een beperkte periode de mailbox van die medewerker of werknemer actief houden op basis van het gerechtvaardigd belang van het advocatenkantoor, met name het verzekeren van de continuïteit van de prestaties en het goed functioneren van het kantoor.
De GBA oordeelde dat een mailbox nog gedurende een maand automatische antwoorden mag verzenden om correspondenten te informeren dat de medewerker of werknemer op dat e-mailadres niet langer kan worden bereikt. De GBA wijst erop dat – rekening houdende met de context en de graad van verantwoordelijkheid van de ex-werknemer – een langere termijn voor het automatisch bericht voorzien kan worden, maar idealiter niet langer dan 3 maanden.
Die verlenging van de termijn moet worden gemotiveerd en gebeurt best in onderling akkoord met de ex-werknemer. Minstens moet de ex-werknemer van de verlenging worden verwittigd.
De beslissing waarin de GBA de termijn van 1 tot 3 maanden vooropstelt, betreft de mailbox van een voormalig bestuurder van de betrokken onderneming. Het lijkt daarom aangewezen voorzichtig te zijn met een termijn van langer dan 3 maanden. Van de bestuurder van een vennootschap mag immers – net als van advocaten – verwacht worden dat hij betrokken is in dossiers waarin niet wekelijks wordt gecommuniceerd. Dat lijkt dan ook niet meteen een argument te zijn om de mailbox van een medewerker langer dan 3 maanden actief te houden.
Rekening houdende met de professionele beroepsuitoefening van een advocaat zou wel kunnen worden geargumenteerd dat – aangezien een advocaat bijstand moet kunnen verlenen aan cliënten in hun juridische zaken – cliënten daarom niet zonder meer het bericht kunnen krijgen dat het e-mailadres niet langer bestaat, maar dat zij weten bij wie zij wel terecht kunnen met oog op het waarborgen van hun rechten van verdediging. Een eventuele verlenging van de termijn moet in elk geval worden gemotiveerd.
Mag ik bij de uitdiensttreding de e-mails van de medewerker/werknemer automatisch doorsturen naar een ander e-mailadres van het bedrijf?
De GBA oordeelde dat de tweetrapswerkwijze, waarbij het e-mailadres eerst wordt geblokkeerd en later wordt afgesloten, de voorkeur geniet boven het automatisch doorsturen van e-mails naar een ander e-mailadres van het bedrijf.
In het geval van een automatische overdracht, a fortiori zonder informatie aan de afzender van het bericht, is er geen controle over de inkomende e-mails. Bovendien zou in dit geval potentieel gevoelige privé-informatie kunnen worden bekendgemaakt zonder dat de betrokken medewerker of werknemer en de correspondent daarvan op de hoogte zijn.
Ook interessant
Beveiliging
Gerelateerd nieuws
Peppol (e-facturatie) en beroepsgeheim: dit moet u weten
De Wet van 6 februari 2024 voert vanaf 1 januari 2026 een verplichte gestructureerde elektronische facturatie in tussen Belgische btw-plichtige ondernemingen. Deze facturatie verloopt via het Peppol-systeem. We wijzen u op het belang van uw beroepsgeheim bij het factureren aan btw-plichtige cliënten via dit systeem.
Peppol (e-facturatie) en rechtsbijstandsverzekeraars: dit moet u weten
De Wet van 6 februari 2024 voert vanaf 1 januari 2026 een verplichte gestructureerde elektronische facturatie in tussen Belgische btw-plichtige ondernemingen. Die elektronische facturatie verloopt via het Peppol-systeem. Verzekeringsmaatschappijen zijn echter voor hun verzekeringsactiviteiten niet btw-plichtig en vallen daardoor niet onder deze verplichting tot e-facturatie via Peppol.
Gelijke bewijskracht uittreksels Rijksregister en gemeentelijke attesten
Op 2 september 2025 werd een gezamenlijke omzendbrief gepubliceerd door de minister van Justitie, Annelies Verlinden, en de minister van Binnenlandse Zaken, Bernard Quintin. Deze omzendbrief heeft betrekking op de harmonisatie van de bewijskracht van de uittreksels uit het Rijksregister van het DPA enerzijds, en de gemeentelijke getuigschriften en attesten anderzijds.
Vanaf 25 augustus: inloggen enkel nog via itsme®,e-ID of wachtwoord
Vanaf 25 augustus kan u niet langer met uw advocatenkaart inloggen op de DPA- en OVB-applicaties, noch op onze website (www.ordevanvlaamsebalies.be).
Ontwikkelde u een digitale tool om uw kantoorwerking te versterken?
Steeds meer advocaten ontwikkelen zelf digitale oplossingen die hun kantoorwerking efficiënter, klantgerichter of duurzamer maken. Die innovatie willen we in de kijker plaatsen in een nieuwe rubriek op de website van de Orde van Vlaamse Balies: “AI van en voor confraters.”
Vervalt uw advocatenkaart binnenkort?
Vanaf augustus 2025 vervallen heel wat advocatenkaarten. Ook in de maanden nadien zullen nog heel wat kaarten hun geldigheid verliezen. De kans is dus reëel dat ook uw kaart binnenkort moet worden vervangen. Lees hoe u dat eenvoudig doet.
Nieuwe sessie online over AI en het opstellen van documenten
Artificiële Intelligentie wordt steeds vaker deel van onze dagelijkse praktijk. Met Expeditie Digitaal ontdekt u hoe eenvoudige AI-toepassingen uw dagelijkse praktijk kunnen versterken. In drie korte online sessies tonen we hoe u AI vandaag al kunt inzetten in de verschillende fases van een dossier. Daarmee sluiten we aan op onze bestaande AI-richtlijnen. In deze nieuwe sessie focussen we op het opstellen van documenten en hoe slimme automatisering u kan ondersteunen bij het opstellen van ontslagdocumenten en processtukken.
Nieuwe sessie online over AI en dossieronderzoek
Artificiële Intelligentie wordt steeds vaker deel van onze dagelijkse praktijk. Met Expeditie Digitaal ontdekt u hoe eenvoudige AI-toepassingen uw dagelijkse praktijk kunnen versterken. In drie korte online sessies tonen we hoe u AI vandaag al kunt inzetten in de verschillende fases van een dossier. Daarmee sluiten we aan op onze bestaande AI-richtlijnen.
Nieuwe online reeks: AI slim inzetten in uw advocatenpraktijk
Artificiële Intelligentie wordt steeds vaker deel van onze dagelijkse praktijk. Met Expeditie Digitaal ontdekt u hoe eenvoudige AI-toepassingen uw dagelijkse praktijk kunnen versterken. In drie korte online sessies tonen we hoe u AI vandaag al kunt inzetten in de verschillende fases van een dossier.