Praktische uitdagingen bij de implementatie van de Europese klokkenluidersrichtlijn

Deel 3 – Eisen voor algemeen adviseurs en functionarissen voor gegevensbescherming

In deel 1 en deel 2 van deze reeks van drie blogs hebben we gekeken naar wat de nieuwe Europese klokkenluidersrichtlijn (EU 2019/1937) (“de Richtlijn” of “EUWBD”) heeft veranderd – en wat er niet is veranderd. We hebben ook gekeken naar het te verwachten gedrag van klokkenluiders in het licht van de richtlijn.

Hieronder gaan we wat dieper in op de acties die de algemeen adviseurs en functionarissen voor de gegevensbescherming moeten ondernemen om aan de richtlijn te voldoen. We zullen ook de praktische volgende stappen schetsen die nodig zijn om aan de richtlijn te voldoen.

Creativiteit van algemeen adviseurs en functionarissen voor de gegevensbescherming

De medewerkers van de afdeling juridische zaken en naleving zullen de duidelijkheid van de delen van de richtlijn op prijs stellen en zullen ook een aantal voordelen zien die de richtlijn biedt.

De richtlijn maakt het mogelijk om eerst intern een melding te doen. Dit is geen vereiste, maar de lidstaten zijn verplicht dit te “stimuleren” (artikel 7(2)). Dit is een erkenning dat klachten vaak het beste door organisaties zelf kunnen worden afgehandeld, en zo dicht bij de problematiek als mogelijk. Ik hoop dat de autoriteiten zaken die niet eerst een adequaat intern proces hebben doorlopen, terug zullen sturen in de veronderstelling dat het probleem intern kan worden opgelost. Zo krijgen we de kans om de kwestie eerst zelf goed aan te pakken voordat de autoriteiten erbij betrokken worden en voordat er sprake is van publieke toetsing. Hoe dit zich precies zal ontwikkelen is op dit moment onduidelijk, aangezien de lidstaten nog niet in detail hebben aangegeven hoe ze de richtlijn ten uitvoer zullen brengen.

Organisaties moeten de ontvangst van een verslag binnen zeven dagen “bevestigen” (artikel 9(1)(b)) en vervolgens binnen een relatief korte termijn van drie maanden “feedback” geven aan de melder (artikel 9(1)(f)). Dit is prima voor het merendeel van de zaken, maar veel te kort voor complexe zaken, wat meer dan een jaar aan zorgvuldig werk kan vergen om het tot een goed einde te brengen. Ook al betekent “feedback” gewoon “in contact blijven” met de klokkenluider, moet dergelijke communicatie ongelooflijk zorgvuldig worden beheerd.

Het hele idee achter de richtlijn is vermoedelijk gericht op complexe gevallen, niet de kleine meldingen die alleen maar moeten worden verwerkt. Men zal de flexibiliteit achter de zinsnede “feedback” en de opname van “voorgenomen actie” (artikel 5(13)) moeten erkennen.

Algemeen adviseurs en functionarissen voor de gegevensbescherming zullen hun creativiteit moeten blijven tonen om problemen op een natuurlijke manier aan het licht te brengen door de gang van zaken binnen het bedrijf. Wellicht dat er door middel van regelmatige audits, beoordelingen of risicobeoordelingen andere middelen zullen zijn om de bevindingen vast te stellen en ermee om te gaan zonder dat de identiteit van een melder wordt onthuld (of zelfs het feit dat er een melding is).

Algemeen adviseurs en functionarissen voor de gegevensbescherming moeten ook creativiteit tonen om ervoor te zorgen dat de verantwoordingsplicht gehandhaafd blijft omdat kwesties op deze manier het beste kunnen worden aangepakt. Beter gebruik door managers van tools voor de afhandeling van kwesties of middelen voor centrale naleving is echt een uitdaging op administratief gebied, maar kan nodig zijn als we echt alle gevallen die zich voordoen in de organisatie willen vastleggen en op de juiste manier willen verwerken.

Cultureel gezien hebben we medewerkers nodig die samen met hun manager problemen aanpakken en ze niet groter maken dan nodig is. Natuurlijk is er een uitlaatklep om druk af te laten die niet lokaal kan worden behandeld, hetzij door slecht presterende managers, hetzij doordat ze te groot zijn om goed te kunnen worden afgehandeld. Het trainen van managers om met problemen om te gaan moet een prioriteit blijven voor de nalevingsteams.

Wat nu?

De organisaties zullen de richtlijn moeten beoordelen op basis van hun eigen omstandigheden, risico’s en behoeften. Hieronder staan enkele voorbeelden van wat wij als de prioriteiten zien:

  • De basis
    • Zorg ervoor dat u het juiste meldsysteem voor wangedrag hebt. Wees niet bang om het systeem te veranderen – het kan een bevrijdende ervaring zijn. Doe voldoende om aan de eisen van de richtlijn te voldoen en denk na over de vraag of u verder wilt gaan, bijvoorbeeld op basis van wat uw organisatie in de toekomst nodig zou kunnen hebben.
  • Goed bestuur & beleid
    • Zorg dat er grondbeginselen worden ingesteld door middel van beleid en zorg ervoor dat uw systemen zijn ingesteld op deze beslissingen.
    • Er zijn discussies nodig over complexe zaken als anonimiteit, rechten van klokkenluiders en (beschuldigde) betrokkenen, formele stappen om de melder te beschermen tegen vergelding, gegevensbescherming en spanningen met andere wettelijke vereisten. Er moeten glasheldere procedures zijn voor de escalatie naar het management, de CEO, het auditcomité en de Raad van Bestuur.
    • Zorg voor afstemming in een vroeg stadium om verrassingen te voorkomen, misschien midden in een spannend onderzoek. Over eigendom en verantwoording moet zo vroeg mogelijk worden beslist.
    • Denk strategisch na over zelfbehoud. Wanneer moet u uw eigen organisatie beschermen? Smaad is de keerzijde van klokkenluiden – wanneer moet u een standpunt innemen? En wanneer verliest u goodwill door het innemen van een standpunt?
    • Net als alle andere beleidslijnen zijn er controles nodig om ervoor te zorgen dat ze werken zoals bedoeld. Wat kan worden toegevoegd aan uw kader voor de controle van de naleving? Denk aan escalatie, goedkeuringen, scheiding van taken, etc. Wellicht wilt u er ook voor zorgen dat de communicatieteams actief het publieke domein in de gaten houden voor nieuwe zaken.
  • Samenwerken
    • Betrek de juiste mensen bij het klokkenluidersproces en aspecten van niet-vergelding. Werk nauw samen met alle leiders en managers in uw organisatie, HR, functionarissen voor gegevensbescherming, ondernemingsraden en vakbonden. Werknemers en hun vertegenwoordigers bij de discussie betrekken is misschien wel het meest effectieve middel om problemen voor te zijn.
  • Bewustwording
    • De trainingsprogramma’s moeten details bevatten over de richtlijn, die voorschrijft welke informatie beschikbaar moet worden gesteld.
    • Ook communicatieprogramma’s moeten aan de formele eisen voldoen en waarschijnlijk verder gaan, afhankelijk van de individuele cultuur en risico’s van uw organisatie.
    • Training op basis van dilemma’s voor belangrijke groepen zoals het uitvoerend management (of risicodragende functies) kan mensen echt aan het denken zetten over de uitdagingen die in het verschiet liggen.
  • Eerdere gevallen
    • De richtlijn is niet met terugwerkende kracht van toepassing. Maar de mogelijkheid bestaat dat er oude zaken worden aangehaald (artikel 4.2 maakt het mogelijk om een melding te doen over een eerder dienstverband). U moet er zeker van zijn dat u de zaken geloofwaardig en grondig hebt afgehandeld, ook in het verleden.
    • Een herziening van belangrijke gevallen uit het verleden in het licht van de richtlijn zou kunnen helpen om een dergelijk risico voor te zijn.
  • Observeren
    • Hierboven worden een aantal onzekerheden geschetst, en de noodzaak van onderzoek en observatie is duidelijk.
    • Het valt nog te bezien of de nationale maatregelen verder gaan (of al gaan) dan de richtlijn. De unieke positie van het Verenigd Koninkrijk valt nog te bezien.
    • De spanningen tussen gegevensbescherming en klokkenluidersrechten zullen in sommige rechtsgebieden sterker merkbaar zijn dan in andere.
    • Een andere wet – de AVG – wordt door sommigen gezien als te optimistisch, onpraktisch en deels niet-afdwingbaar. Gegevensverwerkingsovereenkomsten staan vol nutteloze informatie, zonder de middelen om dit alles aan te pakken. De richtlijn kan hetzelfde te wachten staan, tenzij deze goed wordt uitgevoerd en gehandhaafd.
    • De jurisprudentie zal zich moeten ontwikkelen en richting moeten geven aan het praktische gebruik van de richtlijn. Vooral wat betreft de handhaving en hoe groot het afschrikkingseffect zal zijn in de vorm van sancties.

Praat met onze experts

Meer weten, ideeën bespreken of meningen delen?

Contact opnemen

Share this page