Raad van State publiceert handig vademecum voor zijn afdeling Bestuursrechtspraak
Aanwerving en uitdiensttreding van werknemers, medewerkers en stagiairs
Het advocatenkantoor-werkgever moet de privacy van (kandidaat) werknemers, medewerkers en stagiairs op de werkvloer beschermen vanaf het sollicitatieproces tot aan de uitdiensttreding en voor bepaalde verwerkingsdoeleinden zelfs langer.
Ook bij de uitdiensttreding zijn er enkele bijkomende aandachtspunten. Zo moet het advocatenkantoor de desbetreffende mailbox blokkeren uiterlijk op het tijdstip van uitdiensttreding.
We geven u onder meer een antwoord op de vraag of er aan een sollicitant een uittreksel uit zijn blanco strafregister mag worden opgevraagd. We stelden voor u ook reeds ingevulde verwerkingsfiches en privacyverklaringen op in het kader van de aanwerving van werknemers, medewerkers en stagiairs en delen ook mee wat de GBA reeds heeft gepubliceerd over dit thema.
Wat u moet weten
Het advocatenkantoor-werkgever moet de privacy van (kandidaat) werknemers, medewerkers en stagiairs op de werkvloer beschermen vanaf het sollicitatieproces tot aan de uitdiensttreding (en voor bepaalde verwerkingsdoeleinden zelfs langer).
Dat houdt vooreerst in dat het advocatenkantoor alle sollicitanten moet informeren over de verwerking van hun persoonsgegevens.
Verder hebben werkgevers veelal de ambitie om zoveel mogelijk informatie over sollicitanten te verzamelen om een zo geïnformeerd mogelijke beslissing te kunnen maken over de aanwerving.
Vanuit het principe van minimale gegevensbescherming, mag het advocatenkantoor evenwel enkel die persoonsgegevens verzamelen en opslaan die strikt noodzakelijk zijn voor de selectie van de sollicitanten. De vragen die daarbij worden gesteld, mogen alleen betrekking hebben op de aard en de voorwaarden van de functie waarvoor de sollicitant zich kandidaat stelt.
De verwerking van persoonsgegevens in het kader van de aanwerving van medewerkers en werknemers (inclusief zomer- en andere stagiairs) kan in principe worden gestoeld op het sluiten van een overeenkomst met de betrokken sollicitant, conform art. 6.1 b) AVG.
Voor het bijhouden van een databank van potentiële kandidaten (‘talenten databank’) en voor referentie checks is evenwel de toestemming van de betrokken sollicitant noodzakelijk, conform art. 6.1 a) AVG.
Vanzelfsprekend gelden deze principes van transparantie, minimale gegevensbescherming en rechtmatigheid ook ten aanzien van werknemers of medewerkers voor de verwerking van hun persoonsgegevens gedurende de tewerkstelling.
Ook bij de uitdiensttreding zijn er enkele aandachtspunten. Zo moet het advocatenkantoor de desbetreffende mailbox blokkeren uiterlijk op het tijdstip van uitdiensttreding.
Die blokkering moet gebeuren nadat de medewerker of werknemer daarvan vooraf is verwittigd en desgevallend nadat een automatisch bericht werd ingesteld.
Dat bericht waarschuwt alle correspondenten dat de betrokken medewerker of werknemer zijn of haar functie binnen het kantoor niet meer uitoefent en verstrekt de contactgegevens van de persoon (of een algemeen e-mailadres) die in zijn plaats moet worden gecontacteerd. Dat bericht mag worden gebruikt gedurende een redelijke periode van één maand, eventueel te verlengen tot drie maanden.
Daarna moet de mailbox in principe definitief afgesloten worden. Het doel van de verwerking van die persoonsgegevens is dan immers irrelevant.
Daarnaast moet de voormalige medewerker of werknemer ook zelf de mogelijkheid hebben om bij de uitdiensttreding zijn persoonlijke elektronische privécommunicatie door te sturen naar zijn privé e-mailadres en/of te wissen vóór zijn vertrek.
Indien toegang tot de mailbox noodzakelijk is om de goede werking of andere belangen van het kantoor te waarborgen, moet dat in principe eveneens gebeuren vóór het vertrek en in aanwezigheid van de werknemer of medewerker of conform de procedure opgenomen in CAO nr. 81 van 26 april 2002 (in elk geval voor werknemers) en aanbeveling nr. 08/2012 van de (voormalige) Privacycommissie van 2 mei 2012 betreffende de controle door de werkgever op het gebruik van elektronische communicatie-instrumenten op de werkvloer.
Wat u moet doen
U bezorgt de sollicitant een privacyverklaring ten laatste op het ogenblik dat u de persoonsgegevens van de sollicitant ontvangt, bijvoorbeeld via een link op uw website (waar de sollicitant zijn CV kan opladen) of via e-mail bij de (automatische) ontvangstbevestiging.
Indien u referentie checks uitvoert of de sollicitant opneemt in een talenten databank, vraagt u toestemming. Dat kan via e-mail of door de ondertekening van een document tijdens het sollicitatiegesprek.
U informeert de sollicitant in de privacyverklaring ook over zijn rechten. Zo heeft de sollicitant het recht om te allen tijde zijn toestemming om te worden opgenomen in de talenten databank in te trekken. De sollicitant heeft ook het recht op inzage in zijn persoonsgegevens, inclusief de resultaten van enige tests, interview notities, etc.. Lees daarover meer.
U moet evenwel niet ingaan op een verzoek tot gegevenswissing, aangezien de persoonsgegevens van sollicitanten tot 5 jaar na ontvangst van de persoonsgegevens noodzakelijk kunnen zijn in het kader van uw geschillenbeheer (verjaringstermijn voor buitencontractuele aansprakelijkheid).
Bij aanwerving moet u de medewerker of werknemer opnieuw een privacyverklaring bezorgen, namelijk op het moment dat de diensten- of arbeidsovereenkomst wordt ondertekend (bijvoorbeeld als bijlage bij de overeenkomst).
Die privacyverklaring moet alle verwerkingen in het kader van de tewerkstelling dekken.
U zorgt ervoor dat de medewerker of werknemer ook tijdens de tewerkstelling steeds toegang heeft tot de meest recente versie van de privacyverklaring (bijvoorbeeld via het intranet).
De medewerker of werknemer heeft een recht op inzage in zijn persoonsgegevens, met inbegrip van zijn jaarlijkse evaluaties. Indien die evaluaties vertrouwelijke informatie bevatten over andere werknemers of medewerkers (bijvoorbeeld getuigenissen van collega’s), moet u die informatie anonimiseren. U kan het verzoek om die reden echter niet weigeren.
De medewerker of werknemer heeft altijd het recht om zijn toestemming in te trekken voor het publiceren van zijn afbeelding (bijvoorbeeld op de website of op het intranet).
U moet medewerkers en werknemers die uw kantoor verlaten vooraf informeren over het blokkeren en het afsluiten van hun mailbox. Die (standaard)procedure moet bovendien worden opgenomen in een IT-beleid en een procedure voor eventuele toegang tot de mailbox. Ook een procedure voor het desactiveren en verwijderen van accounts, wachtwoorden en toegangsrechten kan nuttig blijken.
Indien u dat wenselijk acht, kan u gedurende een beperkte periode een automatisch bericht instellen, zodat alle toekomstige correspondenten op de hoogte worden gebracht van het vertrek van de medewerker of werknemer. Daarna moet de mailbox definitief afgesloten worden.
Dergelijk beleid moet met de IT-leverancier besproken worden, zodat die veiligheidsmaatregelen in de praktijk ook op een vlotte en efficiënte manier worden uitgevoerd.
Praktische richtsnoeren
De Gegevensbeschermingsautoriteit heeft op haar website een thema uitgewerkt omtrent de aanwerving van kandidaten. U vindt er ook andere thema’s over privacy op de werkplek.
De OVB heeft verschillende verwerkingsfiches voor u opgesteld voor de verwerkingen van persoonsgegevens van sollicitanten en medewerkers/werknemers evenals modelprivacyverklaringen voor sollicitanten en voor werknemers/medewerkers.
Frequently Asked Questions
Mag ik de foto en functie van een voormalige medewerker/werknemer op mijn website laten staan?
De GBA erkent dat er een gerechtvaardigd belang kan zijn voor ondernemingen om persoonsgegevens van hun medewerkers die vaak in contact komen met klanten of het publiek te publiceren op hun website. Gelet op het principe van dataminimalisatie bestaat dit gerechtvaardigd belang wellicht enkel voor de contactgegevens en niet voor de foto’s van de medewerker, waarvoor dan toestemming moet worden gevraagd.
Van zodra een medewerker vertrekt, moeten die zijn persoonsgegevens zo snel mogelijk verwijderd worden. Het doel om websitebezoekers te informeren over wie bij het kantoor werkt en in welke hoedanigheid is in dat geval niet langer aan de orde. Bijgevolg moeten de persoonsgegevens worden gewist zodra deze gegevens niet langer noodzakelijk zijn voor deze doeleinden (artikel 5, lid 1, onder b) en e) GDPR).
De GBA stelt dat deze gegevens door de verwerkingsverantwoordelijke op eigen initiatief moeten worden gewist of geanonimiseerd, zonder dat de betrokkene om het wissen moet vragen. Wanneer een medewerker/werknemer uitdienst treedt, dan moet de werkgever zich inspannen om de volgende informatie zo snel mogelijk van zijn website te verwijderen: de identiteit, functie en foto('s) van de betrokkene. Volgens de GBA wordt deze informatie idealiter ten laatste één maand na het vertrek van een medewerker van de website verwijderd, al kan deze termijn verschillen naargelang de omstandigheden. Dit geldt ook voor groepsfoto’s.
Wanneer moet ik een mailbox van een medewerker/werknemer afsluiten?
Na het vertrek van een medewerker of werknemer kan u gedurende een beperkte periode de mailbox van die medewerker of werknemer actief houden op basis van het gerechtvaardigd belang van het advocatenkantoor, met name het verzekeren van de continuïteit van de prestaties en het goed functioneren van het kantoor.
De GBA oordeelde dat een mailbox nog gedurende een maand automatische antwoorden mag verzenden om correspondenten te informeren dat de medewerker of werknemer op dat e-mailadres niet langer kan worden bereikt. De GBA wijst erop dat – rekening houdende met de context en de graad van verantwoordelijkheid van de ex-werknemer – een langere termijn voor het automatisch bericht voorzien kan worden, maar idealiter niet langer dan 3 maanden.
Die verlenging van de termijn moet worden gemotiveerd en gebeurt best in onderling akkoord met de ex-werknemer. Minstens moet de ex-werknemer van de verlenging worden verwittigd.
De beslissing waarin de GBA de termijn van 1 tot 3 maanden vooropstelt, betreft de mailbox van een voormalig bestuurder van de betrokken onderneming. Het lijkt daarom aangewezen voorzichtig te zijn met een termijn van langer dan 3 maanden. Van de bestuurder van een vennootschap mag immers – net als van advocaten – verwacht worden dat hij betrokken is in dossiers waarin niet wekelijks wordt gecommuniceerd. Dat lijkt dan ook niet meteen een argument te zijn om de mailbox van een medewerker langer dan 3 maanden actief te houden.
Rekening houdende met de professionele beroepsuitoefening van een advocaat zou wel kunnen worden geargumenteerd dat – aangezien een advocaat bijstand moet kunnen verlenen aan cliënten in hun juridische zaken – cliënten daarom niet zonder meer het bericht kunnen krijgen dat het e-mailadres niet langer bestaat, maar dat zij weten bij wie zij wel terecht kunnen met oog op het waarborgen van hun rechten van verdediging. Een eventuele verlenging van de termijn moet in elk geval worden gemotiveerd.
Mag ik bij de uitdiensttreding de e-mails van de medewerker/werknemer automatisch doorsturen naar een ander e-mailadres van het bedrijf?
De GBA oordeelde dat de tweetrapswerkwijze, waarbij het e-mailadres eerst wordt geblokkeerd en later wordt afgesloten, de voorkeur geniet boven het automatisch doorsturen van e-mails naar een ander e-mailadres van het bedrijf.
In het geval van een automatische overdracht, a fortiori zonder informatie aan de afzender van het bericht, is er geen controle over de inkomende e-mails. Bovendien zou in dit geval potentieel gevoelige privé-informatie kunnen worden bekendgemaakt zonder dat de betrokken medewerker of werknemer en de correspondent daarvan op de hoogte zijn.
Ook interessant
Beveiliging
Gerelateerd nieuws
Nieuwe verplichting: inloggen met itsme® wordt standaard voor advocaten
Vanaf nu wordt het voor advocaten sterk aanbevolen om gebruik te maken van sterke authenticatie via itsme® bij het inloggen op alle DPA- en OVB-applicaties, evenals op onze website (www.ordevanvlaamsebalies.be). Inloggen met een gebruikersnaam en wachtwoord blijft alleen mogelijk voor applicaties die nog zwakke authenticatie toestaan, maar de voorkeur gaat duidelijk uit naar veiligere alternatieven.
Nu ook een modelovereenkomst en informatieformulieren voor advocaten en cliënten (niet-consumenten)
We introduceren niet alleen een modelovereenkomst tussen de advocaat en de private cliënt (consument), maar ook een modelovereenkomst voor de samenwerking met de cliënt (niet-consument). Daarnaast bieden we u diverse formulieren aan die specifiek zijn ontworpen om te voldoen aan uw informatieverplichtingen.
DPA schakelt versnelling hoger
Advocaten maken steeds meer gebruik van het DPA-platform, het Digital Platform for Attorneys, opgericht door de OVB en Avocats.be. Sinds de oprichting zo’n zes jaar geleden, werd de operationele werking beheerd door een feitelijke onderneming. Door de gestage groei tot een gezonde onderneming, is besloten om van DPA een volwaardige vennootschap te maken waarin beide communautaire ordes en alle Belgische balies aandeelhouder worden. De oprichtingsakte werd op 12 juni tijdens een uitzonderlijke algemene vergadering bekrachtigd.
Toegang tot notariële registers nu mogelijk via DPA
Notariële authentieke bronnen werden geïntegreerd in het DPA-platform. Vanaf nu kunt zo u het Centraal Register van Testamenten (CRT), het Centraal Register van Huwelijksovereenkomsten (CRH), en het Centraal Erfrechtregister (CER) direct raadplegen via de "Authentic Sources"-applicatie op het DPA-platform. Die functie versnelt het opvragen van informatie aanzienlijk, waarbij de tussenkomst van de Federatie van Notarissen niet meer nodig is.
Digitaliseringswetten I, Ibis en II: een digitale bloemlezing
Tijdens de laatste maanden van deze legislatuur heeft de Kamer nog drie wetsontwerpen van de minister van Justitie goedgekeurd die bijdragen tot de digitalisering van de werking van justitie. We geven u een overzicht van de belangrijkste bepalingen die de advocatuur aanbelangen.
Update werking bewindvoering in het Centraal Inschrijvingsregister
Op 18 maart 2024 is het Centraal Inschrijvingsregister voor kandidaat-huurders van sociale woningen van start gegaan. Dat register stelt kandidaten in staat om hun inschrijving online te starten, te bekijken of aan te passen. Zij kunnen evenwel het inschrijvingsdossier niet definitief indienen of bevestigen. Dat kan alleen u als de bewindvoerder of wettelijke vertegenwoordiger. We geven u een update over de werking van het register.
GDPR-wijzer geactualiseerd
De GDPR-wijzer is een volledige toolkit voor u als advocaat over de praktische implementatie van de GDPR. De GDPR is geen statisch document. De interpretatie ervan en de concrete to do’s die daaruit volgen hebben daarom soms nood aan een herziening met een frisse blik. Om die reden zijn er recent tien GDPR-wijzeronderwerpen geüpdatet en is één extra onderwerp toegevoegd. Elk onderwerp bestaat uit een beknopte toelichting, concrete to do’s, praktische modellen en antwoorden op uw veelgestelde vragen.
Talkshow: Efficiënte klantprocessen
In de derde en laatste aflevering van drie talkshows geeft mr. Pieter-Jan Fransen een inspirerende presentatie over de inzet van digitale tools om dienstverleningsprocessen efficiënter te maken door de klant centraal te plaatsen. Denk daarbij aan een digitaal cliëntenportaal en automatische facturering.
Wat weet u over de elektronische handtekening?
We merken dat er bij advocaten vooral vragen rijzen over elektronische handtekeningen. De wetgeving is bijzonder complex en vindt u terug in de eIDAS-verordening en de Wet van 21 juli 2016 tot uitvoering en aanvulling daarvan. Hier leest u alvast de basisinformatie.