Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming op 25 mei zijn de meeste bedrijven met activiteiten of belangen binnen de EU onderworpen aan de nieuwe vereisten voor gegevensverwerking. Welk effect zal de AVG hebben op klokkenluiders en het meldproces?
Algemene Verordening Gegevensbescherming en klokkenluiders
Bedrijven moeten rekening houden met de nieuwe rechten van de betrokkenen. Bij het vastleggen van een klokkenluidersmelding is elk detail essentieel. Meer gedetailleerde meldingen kunnen het onderzoeksproces enorm helpen, maar het kan moeilijk zijn om te bepalen hoeveel informatie ‘te veel’ is. Hoewel een groot deel van de klokkenluidersmeldingen worden geanonimiseerd, bevatten veel van deze gegevens persoonlijke gegevens die worden verspreid als onderdeel van het meldingsproces. De verwerking van persoonlijke gegevens kan de effectieve werking van een klokkenluidersdienst enorm bevorderen, omdat hierdoor een meer gedetailleerd onderzoek kan plaatsvinden. Het stelt de ontvangende partij ook in staat om de melder feedback te geven over de uitkomst van een onderzoek.
Wat betreft de vertrouwelijkheid van de identiteit van de klokkenluider, meestal voorziet nationale klokkenluiderswetgeving hier al in. Afgezien hiervan beveelt de Artikel 29 Commissie in haar Guidelines on processing personal information within a whistleblowing procedure het volgende aan: “Onder geen beding kan de persoon beschuldigd in een klokkenluidersmelding informatie over de identiteit van de klokkenluider verkrijgen…behalve wanneer de klokkenluider kwaadwillig een valse verklaring aflegt, anders moet de vertrouwelijkheid van de klokkenluider altijd worden gegarandeerd”.
Wanneer een werknemer een misstand meldt bij een organisatie moeten hiervoor persoonsgegevens worden verwerkt. Tot 25 mei moeten organisaties op basis van de Wet bescherming persoonsgegevens (Wbp) bepaalde verwerkingen van persoonsgegevens melden bij de Autoriteit Persoonsgegevens (AP). Sommige verwerkingen zijn echter van deze melding vrijgesteld, waarvan een groot gedeelte is verzameld in het Vrijstellingsbesluit Wbp. Zo hoeft momenteel een klokkenluidersmelding, onder artikel 39 van het Vrijstellingsbesluit Wbp, daarom niet bij de AP gemeld te worden. Wanneer de verwerking echter uitgebreider was dan in artikel 39 Vrijstellingsbesluit Wbp staat beschreven, moet deze, nog steeds op basis van de huidige Wbp, wel worden gemeld bij de AP.
Bij hoog privacyrisico is DPIA verplicht
Met het van toepassing worden van de regels van de AVG krijgen organisaties meer verantwoordelijkheden en moeten zij zelf aantonen dat hun verwerkingen in overeenstemming zijn met de vereisten voor gegevensverwerking. Het algemene karakter van de bepalingen van de AVG creëert een zekere dubbelzinnigheid en doet vragen rijzen met betrekking tot mogelijke conflicten tussen vereisten ter bescherming van persoonsgegevens en klokkenluidersmechanismen. Wanneer een verwerking van persoonsgegevens bijvoorbeeld een hoog risico oplevert voor de rechten van de betrokkene, dient de organisatie een data protection impact assessment (DPIA) – of in het Nederlands: gegevensbeschermingseffectbeoordeling – uit te voeren.
Een DPIA is een tool om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en wordt beschouwd als een belangrijk instrument voor verantwoording, omdat het aantoont dat er passende maatregelen zijn getroffen om de naleving van de AVG te waarborgen.
Tenzij uit de DPIA blijkt dat de verwerking van persoonsgegevens een hoog risico oplevert en de organisatie geen maatregelen neemt dit risico te beperken, hoeft een klokkenluidersmelding volgens de AVG niet te worden gemeld bij de AP.
Komt uit uw DPIA naar voren dat een beoogde verwerking een hoog risico oplevert? En lukt het niet om maatregelen te vinden die dit risico beperken? Dan moet u met de AP overleggen, voordat u met de verwerking start. Dit wordt de voorafgaande raadpleging genoemd.
In dit verband is het verstandig een DPIA op het interne meldproces en het eventueel daarop volgende onderzoek tijdig uit te voeren. Dat stelt u in staat om te beoordelen of u vooraf de AP dient te raadplegen.
Wanneer is er sprake van een hoog privacyrisico?
Artikel 29 “Richtlijnen inzake de effectbeoordeling van gegevensbescherming” bevat negen criteria voor de verwerking van persoonsgegevens. Wanneer wordt voldaan aan minimaal twee criteria is een DPIA vereist. Afhankelijk van de aard van de melding en de omstandigheden van het vermeende wangedrag, zou het meldproces aan de volgende twee criteria kunnen voldoen:
Als aan bovenstaande criteria wordt voldaan, is het voor organisaties met een klokkenluidersregeling verplicht een DPIA uit te voeren.
AVG geeft klokkenluiders meer zeggenschap over gegevens
De nieuwe privacywet is een belangrijke stap in de richting van de bescherming van gegevens in de huidige tijd. De implementatie vereist aanzienlijke wijzigingen in de routines voor gegevensverwerking, waarbij de verwerking van gegevens bij het meldingsproces van een klokkenluider geen uitzondering vormt. In dit stadium is het duidelijk dat de AVG klokkenluiders een sterkere positie geeft ten aanzien van zeggenschap over hun eigen gegevens. Tegelijkertijd roepen de nieuwe vereisten een zekere dubbelzinnigheid op. Het is daarom wenselijk dat de nationale gegevensbeschermingsautoriteiten in de komende maanden richtlijnen uitvaardigen over de beste manieren om klokkenluidersprocedures in overeenstemming met de AVG te brengen.
Gebaseerd op:
– Transparency International
– Autoriteit Persoonsgegevens