AVG & klokkenluiden: waarom u niet op toestemming moet vertrouwen

Mensen die een melding doen via een klokkenluiderssysteem kunnen persoonlijke gegevens in hun bericht opnemen. Organisaties die een klokkenluiderssysteem willen opzetten voor hun medewerkers, leveranciers of andere partijen moeten rekening houden met de privacyaspecten die meespelen. Hoe kan men klokkenluiden & AVG op een pragmatische manier combineren?

Artikel 6 van Verordening (EU) nr. 2016/679 (Algemene verordening inzake gegevensbescherming” of AVG) vereist een “wettelijkheid voor verwerking”. Toestemming lijkt een goede optie. Maar dat is het niet. Niet voor klokkenluiden.

Waarom niet?

Toestemming moet ‘vrijelijk’ worden gegeven, maar er is een afhankelijkheidsrelatie tussen werkgever en werknemer. Als de baas om toestemming vraagt, geven de meeste werknemers gewoon toestemming. In zijn advies 2/2017 (WP 249) stelt de Groep gegevensbescherming artikel 29 het zo: “Behalve in uitzonderlijke situaties, zullen werkgevers moeten vertrouwen op een andere rechtsgrond dan toestemming”.

Vanuit een meer praktisch oogpunt: toestemming is een onstabiele basis. Het kan op elk moment worden ingetrokken. Als u een serieus onderzoek instelt en een werknemer besluit plotseling zijn of haar toestemming in te trekken, wat doet u dan?

Stelt u zich naast de juridische en praktische aspecten een werknemer voor die seksueel is geïntimideerd. Uw klokkenluiderssysteem heeft een toestemmingsvakje dat moet worden aangevinkt voordat iemand een melding kan doen. Uw medewerker heeft eindelijk de moed gevonden om zich anoniem uit te spreken en de eerste vraag is: ‘gaat u akkoord met de verwerking van uw persoonlijke gegevens? Het risico is groot dat dit de melder afschrikt en zelfs dat ze besluiten om het openbaar te maken. U wilt geen belangrijke gevallen missen!

Dus, geen toestemming. Hoe kan men dan voldoen aan de AVG bij klokkenluiden?

Baseer uw verwerking op het legitieme belang dat u wangedrag moet opsporen dat anders misschien niet in een vroeg stadium wordt opgemerkt. Vergeet uiteindelijk niet: gegevensbescherming & privacyrechten zijn zeer belangrijk, maar het einddoel is hier het opzetten van een effectief klokkenluidersmechanisme. Mensen moeten zich vrij voelen om zich te uiten, zodat uw organisatie daadwerkelijk ernstig wangedrag kan opsporen en aanpakken!

Praat met onze experts

Meer weten, ideeën bespreken of meningen delen?

Contact opnemen

Share this page