Onrechtmatige verwerking van persoonsgegevens door werknemer zet werkgever niet noodzakelijk uit de wind (Lydian)

Auteur: Isabel Plets (Lydian)

De Beslissing van de Geschillenkamer van 19 november 2025 bevestigt eerdere principes (bv. Geschillenkamer 94/2021 van 13 augustus 2021): onrechtmatige verwerking van persoonsgegevens door een werknemer, zet de werkgever niet noodzakelijk uit de wind als blijkt dat deze geen voldoende controlemechanismen heeft voorzien om verwerking te vermijden.

Individuele ambtenaar = verwerkingsverantwoordelijke bij misbruik van toegang tot het Rijksregister voor privédoeleinden. De werkgever (gemeente) kan daarvoor niet worden aangesproken.

Zelfs als de werknemer buiten zijn mandaat handelt, kan de werkgever aansprakelijk blijven wegens het ontbreken van technische of organisatorische maatregelen. Het louter opnemen van een clausule in het arbeidsreglement of een vertrouwelijkheidsverklaring is onvoldoende. Er moet een adequaat controlesysteem zijn om onrechtmatige verwerkingen te voorkomen.

Sanctie: berisping voor gemeente (ambtenaren waren niet betrokken in procedure, dus geen sanctie t.a.v. hen)

Takeaway

Werkgevers moeten aantonen dat zij proactief risico’s hebben beheerd:

1. Voorzie in policy duidelijke instructies en confidentialiteitsverplichtingen voor werknemers die in hun functie persoonsgegevens verwerken
2. Installeer voldoende technische waarborgen (bv. toegangsbeheer, logging, monitoring)
3. Zorg voor een adequaat controlesysteem en intern auditsysteem én
4. Zorg voor een duidelijk disciplinair kader (HR-sancties) voor werknemers die misbruik maken.

Lees hier de Beslissing 188/2025 van 19 november 2025