Arbeidsovereenkomsten onder de loep:
een must in 2026
Mr. Kato Aerts en mr. Sarah Witvrouw (Lydian)
Webinar op vrijdag 2 oktober 2026
Grensoverschrijdende sociale zekerheid
anno 2026: een update
Dhr. Bruno De Pauw (RSZ)
Webinar op vrijdag 20 november 2026
Generatieve AI
in de juridische praktijk
Dr. Wim De Mulder (KU Leuven)
Webinar op donderdag 25 februari 2027
Mededingingsrecht:
recente ontwikkelingen
Mr. Melissa Van Schoorisse (Covington)
Webinar op vrijdag 25 september 2026
Discriminatie op de werkvloer:
de laatste ontwikkelingen
Mr. Inger Verhelst (Claeys & Engels)
Webinar op donderdag 24 september 2026
Loontransparantie anno 2027
Mr. Dieter Dejonghe en mr. Veerle Van Keirsbilck
(Claeys & Engels)
Webinar op donderdag 18 februari 2027
Het gebruik van werkgerelateerde chatgroepen: De GBA benadrukt nood aan concrete interne richtlijnen voor leidinggevenden (Claeys & Engels)
Auteur: Claeys & Engels
De Gegevensbeschermingsautoriteit (GBA) sprak zich uit naar aanleiding van een klacht van een jobstudente nadat haar leidinggevende privé WhatsApp‑berichten had gedeeld in een werkgerelateerde WhatsApp‑groep met andere collega’s. De GBA oordeelde dat die verwerking onrechtmatig was. Hoewel de werkgever reeds tal van technische en organisatorische maatregelen had genomen om de naleving van de GDPR te waarborgen, stelde de GBA vast dat zij geen interne richtlijnen had opgesteld inzake het gebruik van werkgerelateerde WhatsApp‑groepen.
De feiten
Een jobstudente had via WhatsApp privéberichten uitgewisseld met haar leidinggevende. Nadat zij haar ontslag via WhatsApp had meegedeeld, deelde de leidinggevende screenshots van deze privégesprekken in een werkgerelateerde WhatsApp‑groep met andere collega’s. Op de screenshots waren de naam en voornaam van de studente en de inhoud van de berichten zichtbaar. De studente had hiervoor geen toestemming gegeven en kwam via een derde te weten dat haar berichten intern waren gedeeld.
De werkgever betwistte de feiten niet en bevestigde het onrechtmatig karakter ervan, maar stelde dat het delen van privéberichten in een werkgerelateerde WhatsApp‑groep niet strookt met de verwachtingen die zij heeft ten aanzien van haar leidinggevend personeel.
Beslissing van de Geschillenkamer van de GBA
De GBA oordeelde in haar beslissing van 27 januari 2026 (nr. 10/2026) dat het delen van de privéberichten in een werkgerelateerde WhatsApp-groep een onrechtmatige verwerking van persoonsgegevens vormt. Zij benadrukt dat de werkgever als verwerkingsverantwoordelijke verantwoordelijk blijft voor de naleving van de GDPR, ook wanneer de verwerking wordt verricht door een werknemer. Verwerkingen door werknemers worden immers geacht plaats te vinden onder het gezag en toezicht van de werkgever.
De GDPR verplicht verwerkingsverantwoordelijken ertoe om passende technische en organisatorische maatregelen te nemen om inbreuken op de GDPR te voorkomen en het recht op gegevensbescherming te waarborgen. Volgens de GBA kunnen dergelijke maatregelen in deze context onder meer bestaan uit duidelijke interne beleidslijnen, gerichte opleidingen en sensibilisering van werknemers rond gegevensbescherming.
De werkgever lichtte toe welke maatregelen zij al had genomen om de naleving van de GDPR te waarborgen. Zo beschikte zij over algemene gedragsregels waarin van werknemers wordt verwacht dat zij elkaar met waardigheid en respect behandelen en waarin wordt benadrukt dat de privacy van werknemers wordt gerespecteerd en beschermd. Daarnaast volgen de werknemers tweejaarlijks een verplichte e‑learning om deze principes in herinnering te brengen. Ook had de werkgever een wereldwijd geldende Data Protection Policy ingevoerd, aangevuld met een informatieve brochure en richtlijnen met “do’s‑and‑don’ts”. Verder voorzag zij in een jaarlijkse verplichte GDPR-training via e‑learning en in een intranetplatform met informatie over kernbegrippen van de GDPR, een toolbox, praktische tips en uitleg over de individuele verantwoordelijkheden van personeelsleden in het kader van de GDPR.
Naar aanleiding van de klacht besliste de werkgever bovendien om een informatieve memo op te stellen voor haar operationeel leidinggevend personeel, met specifieke instructies over het gebruik van werkgerelateerde WhatsApp‑groepen en een herhaling van de toepasselijke regels inzake gegevensbescherming.
Ondanks deze maatregelen oordeelde de GBA in deze prima facie‑beslissing – waarbij zij zich op basis van een eerste beoordeling uitspreekt, zonder een definitief oordeel te vellen ten gronde – dat er geen geldige rechtsgrond bestond om de privégesprekken te delen in een werkgerelateerde chatgroep. Volgens de GBA kan de vastgestelde inbreuk erop wijzen dat de genomen technische en organisatorische maatregelen onvoldoende zijn of onvoldoende worden geïmplementeerd. In het bijzonder stelt zij vast dat er geen specifiek beleid bestond voor het operationeel leidinggevend personeel. De GBA moedigt dan ook het voornemen van de werkgever aan om haar leidinggevenden via een memo te wijzen op hun verplichtingen onder de GDPR.
Sanctie
De GBA legde een waarschuwing op aan de werkgever. De werkgever moet er voortaan voor zorgen dat zij een beleid inzake gegevensbescherming voor leidinggevenden uitwerkt en naleeft, om gelijkaardige incidenten in de toekomst te vermijden.
Aandachtspunt
Met deze beslissing bevestigt de GBA dat werkgevers verantwoordelijk blijven voor de verwerking van persoonsgegevens door hun werknemers, ook wanneer die plaatsvindt via informele communicatiemiddelen zoals WhatsApp of Messenger. Werkgevers moeten de nodige maatregelen nemen om de naleving van de GDPR te waarborgen. Die maatregelen bestaan ook uit het opstellen van concrete interne richtlijnen over het gebruik van werkgerelateerde chatgroepen en de omgang met persoonsgegevens in die context.
Bron: Claeys & Engels
» Bekijk alle artikels: Arbeid & Sociale zekerheid, Privacy & Gegevensbescherming













