Klokkenluiders Europees beschermd

De Europese Commissie heeft een voorstel gedaan voor wetgeving die klokkenluiders beschermd. Het belang van een goede bescherming voor klokkenluiders is recentelijk weer onder de aandacht gebracht door onder meer de onthullingen in de fipronil-affaire en het lekken van data aan Cambridge Analytica. De Commissie wil de bescherming van klokkenluiders daarom op Europees niveau regelen.

Klokkenluidersbescherming

Het voorstel dat de Europese Commissie heeft gepubliceerd is een richtlijn en stelt minimumstandaarden voor. Lidstaten mogen dus ook een hoger niveau van klokkenluidersbescherming instellen indien ze dat wensen. Onder het nieuwe voorstel van de Commissie worden klokkenluiders beschermd wanneer ze rapporteren over onder andere de volgende gebieden: aanbesteding, financiële diensten, productveiligheid, milieubescherming, privacy, gegevensbescherming en beveiliging van netwerk- en informatiesystemen. De Europese Commissie gaf eerder al aan dat de bescherming van klokkenluiders die misstanden bij aanbestedingen aankaarten wenselijk is.

Voorwaarden

De nieuwe Europese richtlijn geldt voor bedrijven die meer dan 50 werknemers of een jaarlijkse omzet van meer dan € 10 miljoen hebben. Daarnaast geldt de richtlijn voor alle nationale en regionale overheden met meer dan 10.000 inwoners.

Alle organisaties die onder deze criteria vallen zijn verplicht om interne protocollen op te stellen over het rapporteren van wantoestanden. De protocollen moeten zo ingericht worden dat de identiteit van de klokkenluider wordt beschermd. Daarnaast moet er een persoon of afdeling aangewezen worden die deze meldingen afhandelt en er dient binnen drie maanden follow-up te worden gegeven aan de melding. Bovendien dient er zorg voor te worden gedragen dat de klokkenluider een terugkoppeling ontvangt. Indien de interne procedures geen effect hebben of er geen navolging wordt gegeven aan een melding, dan mag een klokkenluider in het uiterste geval informatie publiekelijk vrijgeven.

De Wet Huis voor klokkenluiders

Nederland is een van de tien lidstaten die, sinds 2016, zijn eigen klokkenluidersregeling heeft: de Wet Huis voor klokkenluiders (Wet Hvk). De Wet Hvk verplicht alle organisaties die meer dan 50 werknemers in dienst hebben tot het opzetten van een interne procedure waar misstanden kunnen worden gemeld. De Nederlandse klokkenluiderswetgeving richt zich met name op misstanden met een maatschappelijk belang. Te denken valt aan bescherming op het gebied van volksgezondheid, veiligheid van personen en risico’s voor het goed functioneren van een overheidsorganisatie of bedrijf als gevolg van een onbehoorlijke wijze van handelen.

Gegevensbescherming


Wet bescherming persoonsgegevens (Wbp)

Wanneer een werknemer een misstand meldt bij een organisatie moeten hiervoor persoonsgegevens worden verwerkt. Onder de Wet bescherming persoonsgegevens (Wbp) moeten organisaties bepaalde verwerkingen van persoonsgegevens melden bij de Autoriteit Persoonsgegevens (AP). Sommige verwerkingen zijn echter van deze melding vrijgesteld, waarvan een groot gedeelte is verzameld in het Vrijstellingsbesluit Wbp. Een klokkenluidersmelding valt onder artikel 39 van het Vrijstellingsbesluit Wbp en hoeft daarom niet bij de AP gemeld te worden. Wanneer de verwerking uitgebreider is dan in artikel 39 Vrijstellingsbesluit Wbp staat beschreven, moet deze wel worden gemeld bij de AP. Lees hier meer over klokkenluiders en melding bij de AP.

Algemene verordening gegevensbescherming (AVG)

Met het van toepassing worden van de regels van de Europese Algemene verordening gegevensbescherming (AVG) krijgen organisaties meer verantwoordelijkheden en moeten zij zelf aantonen dat hun verwerkingen in overeenstemming zijn met de vereisten voor gegevensverwerking. Wanneer een verwerking van persoonsgegevens een hoog risico oplevert voor bijvoorbeeld de rechten van de betrokkene dient de decentrale overheid een data protection impact assessment (DPIA) uit te voeren. Tenzij uit de DPIA blijkt dat de verwerking van persoonsgegevens een hoog risico oplevert en de organisatie geen maatregelen neemt dit risico te beperken, hoeft een klokkenluidersmelding volgens de AVG niet te worden gemeld bij de AP. Omdat de meldplicht en het Vrijstellingsbesluit Wbp per 25 mei 2018 komen te vervallen, handhaaft de AP momenteel niet meer op de naleving van deze meldplicht.

Hier leest u meer over de meldplicht en de DPIA onder de AVG. Voor algemene informatie over de AVG kunt u terecht op onze themapagina Privacy.

Door:

Fabian Wondergem & Marieke Merkus, Europa decentraal

Bron:

Proposal on the protection of persons reporting on breaches of Union law, European Commission
Wet Huis voor klokkenluiders, Rijksoverheid

Meer informatie:

Europese ombudsman dringt aan op betere bescherming klokkenluiders, nieuwsbericht Europa decentraal
Huis voor Klokkenluiders, Huis voor Klokkenluiders
Regeling klokkenluiders – melden of niet?, Autoriteit Persoonsgegevens
Procedures van autoriteit persoonsgegevens aangepast, nieuwsbericht Europa decentraal
Privacy, Europa decentraal