|||
FR NL EN
-
Reglementering
19 maart 2026

GDPR : verduidelijking van de verantwoordelijkheid van werkgever en werknemer bij gegevensverwerking

De Gegevensbeschermingsautoriteit (GBA) verduidelijkt dat een werknemer zelf verantwoordelijk voor de gegevensverwerking kan worden wanneer hij de grenzen van zijn functie overschrijdt.Dat ontslaat de werkgever niet van zijn eigen verplichtingen. Hij blijft verantwoordelijk voor de beveiliging van de persoonsgegevens die binnen zijn organisatie worden verwerkt en moet daarvoor passende technische en organisatorische maatregelen treffen.

Feiten 

Een kinesitherapeute die in een ziekenhuis werkt, deelt aan een zwangere patiënte het geslacht van haar ongeboren kind mee, terwijl de patiënte deze informatie niet wilde weten. 

Na uitoefening van haar recht op inzage stelt de patiënte vast dat de kinesitherapeute haar medisch dossier meermaals heeft geraadpleegd, waaronder ook de resultaten van een prenatale bloedtest. 

De patiënte dient vervolgens een klacht in bij de GBA tegen het ziekenhuis. 

Beslissing van de GBA 

1) Verantwoordelijkheid van de werknemer 

In principe is de werkgever verantwoordelijk voor de gegevensverwerkingen die zijn werknemers uitvoeren in het kader van hun functie. 

Wanneer een werknemer gegevens verwerkt buiten de bevoegdheden die hem zijn toegekend, kan hij als verwerkingsverantwoordelijke worden aangemerkt. 

In dit geval geldt binnen het ziekenhuis de duidelijke regel dat medewerkers enkel toegang mogen hebben tot de medische gegevens die noodzakelijk zijn voor de uitoefening van hun functie. 

De raadpleging van de resultaten van de prenatale test is hier niet nodig voor kinesitherapeutische handelingen. 

De geschillenkamer is dan ook van oordeel dat de werkneemster als enige verantwoordelijk is voor deze specifieke gegevensverwerking.  

2) Aansprakelijkheid van het ziekenhuis 

Het ziekenhuis blijft verantwoordelijk voor de organisatie van het toegangsbeheer tot de medische dossiers van patiënten. 

Het is aan het ziekenhuis om passende technische en organisatorische maatregelen te nemen om de vertrouwelijkheid en veiligheid van medische gegevens te waarborgen. 

De GBA stelt onder meer vast dat alle personeelsleden toegang hebben tot het volledige medische dossier van de patiënten, ongeacht hun functie. Daarnaast werd de onrechtmatige toegang pas ontdekt nadat de patiënte een klacht had ingediend. 

Volgens de GBA zijn de bestaande maatregelen onvoldoende. Het spreekt dus een berisping uit tegen het ziekenhuis. 

3) Best practices die de GBA aanraadt 

De GBA formuleert een aantal concrete aanbevelingen voor werkgevers in de medische sector: 

  • Patiënten moeten op transparante wijze worden geïnformeerd over het toegangsbeheer tot hun medisch dossier.  
  • Werkgevers doen er daarnaast goed aan om een gedifferentieerd beheer van toegangsrechten in te voeren, afhankelijk van de rol en noden van elke medewerker. Ruimere toegang kan, wanneer dat gerechtvaardigd is.  
  • Om ongeoorloofde toegang op te sporen kunnen er willekeurige en periodieke controles worden uitgevoerd. 

Te onthouden? 

Wanneer de werknemer buiten de hem toegekende bevoegdheden handelt, kan hij als verwerkingsverantwoordelijke worden beschouwd. De werkgever blijft wel gehouden zijn eigen verplichtingen na te leven. Hij moet met name adequate maatregelen nemen om de gegevens te beschermen. 

Bron: Gegevensbeschermingsautoriteit, beslissing 209/2025 van 18 december 2025, beschikbaar op www.gegevensbeschermingsautoriteit.be 

 


We use cookies to track usage and preferences Legal terms I Understand