Wat betekent de nieuwe klokkenluiderswet voor toezichthouders en inspecties?
Met de komst van de Wet bescherming klokkenluiders, kan het werkproces van sommige bevoegde autoriteiten veranderen. Ze moeten meldingen van klokkenluiders volgens de eisen van de Europese richtlijn behandelen. Aan het behandelen van deze meldingen stelt de wet specifieke eisen. Bijvoorbeeld op het gebied van communicatie met de melder. In dit artikel zetten we die eisen op een rijtje.
Over wie gaat dit?
De organisaties die ook nu al de wet handhaven op de door de richtlijn genoemde gebieden, waaronder specifieke schendingen van het Unierecht, worden door de Wet bescherming klokkenluiders aangewezen als bevoegde organisaties. Denk aan de Autoriteit Consument en Markt voor het consumentenrecht, of De Nederlandsche Bank en de Autoriteit Financiële Markten als het gaat om financieel-economische regels en de Autoriteit persoonsgegevens als het gaat om de bescherming van persoonsgegevens.
Wat wordt er anders? Aan welke eisen moeten deze toezichthouders straks voldoen?
De belangrijkste veranderingen naar aanleiding van de Wet bescherming klokkenluiders voor aangewezen autoriteiten en inspecties zijn de volgende:
- Meldingen van klokkenluiders moeten op alle mogelijke manieren kunnen worden gedaan. Daar mogen geen specifieke formaliteiten aan worden verbonden.
- De aangewezen organisaties die een melding van een klokkenluider over schending van het Unierecht ontvangen, hebben straks een feedbackplicht. Zij moeten de melder binnen zeven dagen laten weten dat de melding is ontvangen, en binnen een redelijke termijn – maximaal binnen drie, en als dit niet haalbaar is binnen zes maanden – wat er naar aanleiding van de melding is gedaan en welke stappen er nog worden genomen.
- De melder moet ook over het eindresultaat worden geïnformeerd. Hiervoor geldt geen termijn.
- De aangewezen bevoegde autoriteiten moeten een aparte webpagina inrichten waarop specifieke informatie voor klokkenluiders staat. Denk aan informatie over waar ze hun melding bij deze organisatie moeten doen en hoe, maar ook algemene informatie over hun rechtsbescherming. Voor dit laatste moeten autoriteiten een link op de pagina opnemen naar de website van het Huis, waar deze algemene informatie al staat.
- Ze moeten een aparte registratie voor meldingen van klokkenluiders bijhouden.
- Ze moeten hun werkproces elke drie jaar evalueren.
- Het personeel dat de meldingen behandelt moet daartoe worden opgeleid, en alleen deze personen hebben toegang tot de informatie. Zij dienen de identiteit van de melder geheim te houden, tenzij de melder toestemming geeft om zijn identiteit bekend te maken.
- De autoriteiten hebben nu al een doorzendplicht. Het doorzenden van de melding moet ook al voldoen aan de eisen van de AVG (bescherming persoonsgegevens). In de Wet bescherming klokkenluiders is de geheimhoudingsplicht van de identiteit van de melder aangescherpt (zie het vorige punt).
De aangewezen bevoegde autoriteiten zullen hun werkprocessen moeten aanpassen om aan deze eisen te voldoen.
Apart meldkanaal of niet?
Sommige aangewezen bevoegde autoriteiten handhaven naast het Unierecht ook (misstanden naar) nationaal recht. Deze autoriteiten hebben zelf de keuze om een apart extern meldkanaal voor schendingen van het Unierecht in te richten, of niet. De meeste aangewezen bevoegde autoriteiten hebben aangegeven een meldkanaal in te richten voor zowel meldingen over een misstand als over schendingen van het Unierecht.
Omgaan met gegevens
De werkprocessen moeten zo ingericht zijn, dat aan de geheimhoudingsplicht en feedbackplicht kan worden voldaan. Als een melding niet bij het juiste (bevoegde) personeelslid (van het externe meldpunt) terechtkomt, moeten de gegevens veilig en volgens de regels van de AVG worden overgedragen aan de bevoegde personen. Daarnaast moeten autoriteiten die (ook) meldingen over het Unierecht behandelen binnen zeven dagen een ontvangstbevestiging op de melding geven én binnen drie tot zes maanden informatie bieden over de stand van zaken en eventuele vervolgacties.
Wat betekent de Wet bescherming klokkenluiders voor niet-aangewezen toezichthouders en inspecties?
Autoriteiten die alleen meldingen over het nationaal recht behandelen, moeten ook feedback geven aan de melder. Zij mogen de termijn daarvoor zelf bepalen. Wel moet dit een redelijke termijn zijn, en moeten ze die van tevoren communiceren naar melders. Dit moet dan ook worden geborgd in het werkproces en beschikbare capaciteit. Ook wanneer een melding niet tot verdere actie leidt, moet de autoriteit dat communiceren.
Een melding niet behandelen
Er zijn drie redenen waarom een autoriteit kan besluiten een melding niet of later te behandelen. Als er veel meldingen binnenkomen, mogen zij prioriteren míts ze melders netjes binnen de gestelde termijn daarover op de hoogte brengen. Is een melding al eerder gedaan, en is er geen nieuwe informatie bijgekomen? Dan mag deze worden afgesloten, zonder vervolgstappen. Ook indien de ernst van de inbreuk gering is, hoeft daar verder geen vervolg op te worden gegeven. Ook in deze gevallen krijgt de melder een ontvangstbevestiging van de melding binnen zeven dagen en wordt hij binnen een redelijke termijn (max. drie tot zes maanden) hierover op de hoogte gesteld.
Belang van goede communicatie
Communicatie met de melder is cruciaal. Reageert de instantie die de melding aanneemt niet, onvolledig of veel te laat, dan kan dat grote gevolgen hebben. Een klokkenluider kan zich niet gehoord of serieus genomen voelen, en daarom de publiciteit opzoeken. In dat geval is de melder ook beschermd. Die publiciteit kan heel schadelijk zijn voor het imago van de organisatie waarover de melding is gedaan. Ook het onderzoek kan daardoor worden gehinderd.
Samenwerking met andere toezichthouders
Soms hebben meldingen betrekking op meerdere rechtsgebieden. Dat betekent dat er verschillende autoriteiten bij betrokken kunnen zijn. Samenwerking is daarom heel belangrijk. Denk aan een melding die deels over het milieurecht gaat, en deels over de AVG. In de werkwijze van autoriteiten zou een samenwerkingsprotocol goed passen als meldingen vaker raakvlakken hebben met dezelfde organisaties. In incidentele gevallen kunnen ook afspraken gemaakt worden over een specifieke melding die meerdere organisaties raakt. Daarbij is het ook belangrijk dat uitwisseling van (persoons)gegevens tussen die autoriteiten op een correcte manier gebeurt. Hiervoor is een juridische grondslag vastgelegd in het wetsvoorstel.
Kortom: nieuw, maar passend
De organisaties die de nieuwe wet aanwijst als bevoegde autoriteit hebben ook nu al handhavingstaken op de in de richtlijn genoemde gebieden. De nieuwe eisen voor het omgaan met klokkenluidersmeldingen (het externe meldkanaal) moeten worden ingepast in hun bestaande processen en werkwijzen . Nieuw zijn vooral de feedbackverplichting en de termijn daarvoor en de aangescherpte geheimhoudings- en informatieplicht. Zeven autoriteiten hebben voor het wetsvoorstel een uitvoerings- en handhavingstoets gedaan. Daaruit blijkt dat de meeste organisaties de nieuwe eisen goed kunnen inpassen in hun huidige werkprocessen. Mogelijk dat er meer meldingen zullen worden gedaan nu de bescherming wordt uitgebreid. Eventuele aantallen kunnen we nu nog niet inschatten. De Wet wordt elke vijf jaar geëvalueerd. Uit die evaluatie zal moeten blijken in hoeverre het aantal meldingen is toegenomen.
Daarnaast is het, net als bij andere organisaties met meer dan vijftig werknemers, belangrijk dat de autoriteiten ook zélf hun interne meldprocedure op orde hebben. Lees hierover meer op de pagina Strengere eisen interne meldprocedure.