Het gebruik van werkgerelateerde chatgroepen: De GBA benadrukt nood aan concrete interne richtlijnen voor leidinggevenden
De Gegevensbeschermingsautoriteit (GBA) sprak zich uit naar aanleiding van een klacht van een jobstudente nadat haar leidinggevende privé WhatsApp‑berichten had gedeeld in een werkgerelateerde WhatsApp‑groep met andere collega’s. De GBA oordeelde dat die verwerking onrechtmatig was. Hoewel de werkgever reeds tal van technische en organisatorische maatregelen had genomen om de naleving van de GDPR te waarborgen, stelde de GBA vast dat zij geen interne richtlijnen had opgesteld inzake het gebruik van werkgerelateerde WhatsApp‑groepen.
De feiten
Een jobstudente had via WhatsApp privéberichten uitgewisseld met haar leidinggevende. Nadat zij haar ontslag via WhatsApp had meegedeeld, deelde de leidinggevende screenshots van deze privégesprekken in een werkgerelateerde WhatsApp‑groep met andere collega’s. Op de screenshots waren de naam en voornaam van de studente en de inhoud van de berichten zichtbaar. De studente had hiervoor geen toestemming gegeven en kwam via een derde te weten dat haar berichten intern waren gedeeld.
De werkgever betwistte de feiten niet en bevestigde het onrechtmatig karakter ervan, maar stelde dat het delen van privéberichten in een werkgerelateerde WhatsApp‑groep niet strookt met de verwachtingen die zij heeft ten aanzien van haar leidinggevend personeel.
Beslissing van de Geschillenkamer van de GBA
De GBA oordeelde in haar beslissing van 27 januari 2026 (nr. 10/2026) dat het delen van de privéberichten in een werkgerelateerde WhatsApp-groep een onrechtmatige verwerking van persoonsgegevens vormt. Zij benadrukt dat de werkgever als verwerkingsverantwoordelijke verantwoordelijk blijft voor de naleving van de GDPR, ook wanneer de verwerking wordt verricht door een werknemer. Verwerkingen door werknemers worden immers geacht plaats te vinden onder het gezag en toezicht van de werkgever.
De GDPR verplicht verwerkingsverantwoordelijken ertoe om passende technische en organisatorische maatregelen te nemen om inbreuken op de GDPR te voorkomen en het recht op gegevensbescherming te waarborgen. Volgens de GBA kunnen dergelijke maatregelen in deze context onder meer bestaan uit duidelijke interne beleidslijnen, gerichte opleidingen en sensibilisering van werknemers rond gegevensbescherming.
De werkgever lichtte toe welke maatregelen zij al had genomen om de naleving van de GDPR te waarborgen. Zo beschikte zij over algemene gedragsregels waarin van werknemers wordt verwacht dat zij elkaar met waardigheid en respect behandelen en waarin wordt benadrukt dat de privacy van werknemers wordt gerespecteerd en beschermd. Daarnaast volgen de werknemers tweejaarlijks een verplichte e‑learning om deze principes in herinnering te brengen. Ook had de werkgever een wereldwijd geldende Data Protection Policy ingevoerd, aangevuld met een informatieve brochure en richtlijnen met “do’s‑and‑don’ts”. Verder voorzag zij in een jaarlijkse verplichte GDPR-training via e‑learning en in een intranetplatform met informatie over kernbegrippen van de GDPR, een toolbox, praktische tips en uitleg over de individuele verantwoordelijkheden van personeelsleden in het kader van de GDPR.
Naar aanleiding van de klacht besliste de werkgever bovendien om een informatieve memo op te stellen voor haar operationeel leidinggevend personeel, met specifieke instructies over het gebruik van werkgerelateerde WhatsApp‑groepen en een herhaling van de toepasselijke regels inzake gegevensbescherming.
Ondanks deze maatregelen oordeelde de GBA in deze prima facie‑beslissing – waarbij zij zich op basis van een eerste beoordeling uitspreekt, zonder een definitief oordeel te vellen ten gronde – dat er geen geldige rechtsgrond bestond om de privégesprekken te delen in een werkgerelateerde chatgroep. Volgens de GBA kan de vastgestelde inbreuk erop wijzen dat de genomen technische en organisatorische maatregelen onvoldoende zijn of onvoldoende worden geïmplementeerd. In het bijzonder stelt zij vast dat er geen specifiek beleid bestond voor het operationeel leidinggevend personeel. De GBA moedigt dan ook het voornemen van de werkgever aan om haar leidinggevenden via een memo te wijzen op hun verplichtingen onder de GDPR.
Sanctie
De GBA legde een waarschuwing op aan de werkgever. De werkgever moet er voortaan voor zorgen dat zij een beleid inzake gegevensbescherming voor leidinggevenden uitwerkt en naleeft, om gelijkaardige incidenten in de toekomst te vermijden.
Aandachtspunt
Met deze beslissing bevestigt de GBA dat werkgevers verantwoordelijk blijven voor de verwerking van persoonsgegevens door hun werknemers, ook wanneer die plaatsvindt via informele communicatiemiddelen zoals WhatsApp of Messenger. Werkgevers moeten de nodige maatregelen nemen om de naleving van de GDPR te waarborgen. Die maatregelen bestaan ook uit het opstellen van concrete interne richtlijnen over het gebruik van werkgerelateerde chatgroepen en de omgang met persoonsgegevens in die context.