GDPR: Werknemers zijn zelf verwerkingsverantwoordelijken wanneer ze niet onder het gezag van hun werkgever handelen
De Gegevensbeschermingsautoriteit heeft een klacht over de onrechtmatige raadpleging van een medisch dossier door een werkneemster onderzocht.
De Gegevensbeschermingsautoriteit heeft een klacht over de onrechtmatige raadpleging van een medisch dossier door een werkneemster onderzocht.
Context
Een ziekenhuisassociatie ontsloeg één van haar werkneemsters. Na het ontslag ontdekte de werkneemster dat haar directe leidinggevende de dag voor de beëindiging van haar arbeidsovereenkomst haar medisch dossier had geraadpleegd. Het doel van de raadpleging was om na te gaan of de werknemer in een "geschikte toestand" verkeerde om haar ontslag te vernemen.
De werkneemster diende hierop een klacht in bij de Gegevensbeschermingsautoriteit.
Besluit van de Gegevensbeschermingsautoriteit
Volgens de Geschillenkamer is de ziekenhuisassociatie als werkgever niet de ‘verwerkingsverantwoordelijke’.
De Geschillenkamer besluit namelijk dat de betrokken leidinggevende hier alleen handelde: ze raadpleegde het medisch dossier niet onder het gezag van de werkgever, noch in het kader van haar werkzaamheden. Bovendien raadpleegde ze het dossier rond 22u50, dus buiten haar werktijd, en heeft ze toegegeven dat ze het dossier op onrechtmatige wijze heeft geraadpleegd.
De Geschillenkamer benadrukte dat een werknemer die handelingen stelt buiten de bevoegdheden die zijn werkgever hem heeft gegeven, daarvoor zelf als enige verwerkingsverantwoordelijke wordt beschouwd.
In dit geval vormt de raadpleging van het medisch dossier een inbreuk op een bijzondere categorie van persoonsgegevens. In overeenstemming met de GDPR-richtlijn had de ziekenhuisassociatie de Gegevensbeschermingsautoriteit op de hoogte moeten stellen van deze inbreuk. Als verzachtende omstandigheden wordt echter rekening gehouden met het feit dat de GDPR-wetgeving op het moment van de gebeurtenissen nog maar minder dan twee jaar van kracht was. Het kennisniveau rond gegevensbeheer lag toen ‘lager’ dan nu.
Over de technische en organisatorische maatregelen oordeelt de Geschillenkamer dat werknemers te gemakkelijk toegang hadden tot medische dossiers. Wel houdt ze er rekening mee dat de werkgever inmiddels nieuwe maatregelen heeft genomen om de toegang beter te controleren en te beperken.
Om deze redenen heeft de Geschillenkamer de zaak tegen de werkgever geseponeerd.
Te onthouden?
De werkgever is niet de ‘verwerkingsverantwoordelijke’ wanneer een werknemer buiten zijn toegekende bevoegdheden handelt. De werkgever blijft echter wel verplicht om onder meer de Gegevensbeschermingsautoriteit te informeren over de inbreuk op de gegevensbescherming door de werknemer en alle nodige maatregelen te nemen om de gegevens te beveiligen.
Bron: Gegegevensbeschermingsautoriteit, beslissing 64/2025 van 1 april 2025, te raadplegen via de website van de Gegevensbeschermingsautoriteit.