Dagelijks wijzer over welzijn, preventie en HR

Artikel

WhatsApp op de werkvloer is geen vrijzone: de GBA trekt een duidelijke grens

Een leidinggevende die screenshots van privégesprekken doorstuurt in een werkgerelateerde WhatsApp-groep. Een jobstudente die via een derde te weten komt dat haar berichten intern circuleren. En een werkgever die al beschikte over een Data Protection Policy, jaarlijkse GDPR-trainingen én gedragsregels rond respect en privacy, maar toch een waarschuwing krijgt van de Autorité de protection des données – Gegevensbeschermingsautoriteit.

De beslissing van de GBA van 27 januari 2026 (nr. 10/2026): algemene GDPR-maatregelen volstaan niet als je geen specifiek beleid hebt voor de manier waarop leidinggevenden omgaan met persoonsgegevens in informele communicatiekanalen.


De feiten: een ontslagbericht als aanleiding

De studente had haar ontslag meegedeeld via WhatsApp aan haar leidinggevende. Die stuurde vervolgens screenshots van dat privégesprek door naar een werkgerelateerde WhatsApp-groep met collega’s. Naam, voornaam en berichtinhoud waren zichtbaar. Geen toestemming gevraagd, geen rechtsgrond voor die verwerking; dat erkende de werkgever zelf.

Het dossier was dus feitelijk relatief eenvoudig: de GDPR-schending stond niet ter discussie. Wat de GBA wél uitgebreid onderzocht, was de vraag of de werkgever voldoende maatregelen had genomen om zoiets te voorkomen.


Wat de GBA precies vaststelt

De GBA bevestigt een principe dat juridisch al langer geldt maar in de praktijk regelmatig vergeten wordt: verwerkingen door werknemers worden geacht te gebeuren onder het gezag en toezicht van de werkgever. Wie als verwerkingsverantwoordelijke is aangemerkt, blijft dus verantwoordelijk, ook als het een individuele medewerker is die de fout maakt.

Dat betekent dat de verplichting uit artikel 24 AVG (passende technische en organisatorische maatregelen nemen) ook van toepassing is op gedrag van medewerkers in informele kanalen zoals WhatsApp, Messenger of Teams-chats.

De werkgever in kwestie had het op zich niet “slecht” gedaan: gedragsregels, tweejaarlijkse e-learning, een globale Data Protection Policy, een intranet met GDPR-toolbox, jaarlijkse privacytraining. De GBA erkende dat uitdrukkelijk. Maar ze stelde ook vast dat er géén specifiek beleid bestond voor operationeel leidinggevend personeel over het gebruik van werkgerelateerde chatgroepen. Tja.


De kern: algemene maatregelen zijn niet genoeg

Veel organisaties menen dat ze GDPR-compliant zijn zodra ze een privacybeleid hebben opgesteld, een DPO hebben aangesteld en een jaarlijkse training organiseren. De GBA nuanceert dat beeld.

Passende maatregelen zijn contextspecifiek. Als leidinggevenden structureel gebruik maken van informele communicatiekanalen voor werkgerelateerde communicatie (en dat is vandaag haast overal het geval, ik kan erover meespreken), dan horen daarbij ook concrete richtlijnen over wat wel en niet gedeeld mag worden in die kanalen.

De werkgever kondigde aan een informatieve memo te zullen opstellen voor haar operationeel leidinggevend personeel. De GBA moedigde dat voornemen uitdrukkelijk aan en hield er rekening mee bij de keuze voor een waarschuwing in plaats van een zwaardere sanctie.


Wat dit betekent voor preventieadviseurs en HR

De link naar welzijn is hier niet veraf. Leidinggevenden die informeel communiceren met medewerkers beschikken soms over gevoelige informatie: gesprekken over ziekteverlof, re-integratie, functioneringsproblemen of persoonlijke omstandigheden. Die informatie circuleert steeds vaker via chatgroepen, naast of buiten de officiële kanalen.

Dat vraagt om een dubbel bewustzijn: niet alleen over de inhoud van die gesprekken (vertrouwelijkheid, zorgplicht), maar ook over de manier waarop die worden doorgegeven en gedeeld.

Enkele concrete aanbevelingen:

  • Stel een specifiek beleid op voor werkgerelateerde chatgroepen, met minimaal: wat mag wel/niet worden gedeeld, wie beheert de groep, wat zijn de spelregels bij uitdiensttreding van een lid.
  • Veranker dit in de opleiding van leidinggevenden, als onderdeel van een breder traject rond communicatie, vertrouwelijkheid en zorgplicht.
  • Maak de koppeling met het welzijnsbeleid: leidinggevenden die begrijpen dat informele communicatie ook juridische consequenties heeft, zullen ook bewuster omgaan met gevoelige informatie over medewerkers.
  • Evalueer bestaande GDPR-maatregelen op contextspecificiteit: zijn ze voldoende afgestemd op de communicatiekanalen die in jouw organisatie daadwerkelijk worden gebruikt?
  • Documenteer die maatregelen aantoonbaar: de verantwoordingsplicht uit de AVG vereist niet alleen dat je maatregelen neemt, maar ook dat je ze kunt staven.

Een waarschuwing, maar de boodschap is duidelijk

De GBA legde in dit geval een waarschuwing op, deels omdat de werkgever zelf de fout erkende en al stappen ondernomen had. Bij een behandeling ten gronde had de uitkomst zwaarder kunnen zijn. Artikel 100 van de Wet Gegevensbeschermingsautoriteit voorziet in dat geval onder meer in de mogelijkheid van administratieve geldboetes.

Het echte risico ligt hier echter niet zozeer bij eventuele financiële sancties, maar bij de vertrouwensrelatie tussen leidinggevenden en medewerkers, en bij de reputatieschade die ontstaat wanneer privécommunicatie zomaar in een groepschat belandt.

WhatsApp is handig, snel en laagdrempelig. Maar wat in een chatgroep terechtkomt, is niet langer privé, en dat geldt ook voor de informatie die leidinggevenden daarin delen.