gegevensbescherming

Het effect van de Algemene Verordening Gegevensbescherming op klokkenluiders

Lotte RooijendijkAlgemeen, Europees, Feature, Internationaal, Klokkenluiders, Nationaal, Nieuws, Wetgeving

Amsterdam, 8 mei 2018 – Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG, 2016/679) op 25 mei zijn de meeste bedrijven met activiteiten of belangen binnen de EU onderworpen aan de nieuwe vereisten voor gegevensverwerking. Ondanks dat de AVG bijna twee jaar geleden is aangenomen (april 2016), voorspellen analisten dat tegen het einde van 2018 meer dan 50 procent van de onderworpen bedrijven niet volledig zullen voldoen aan de vereisten. Bedrijven moeten bij het bewaren en opslaan van persoonsgegevens ook rekening houden met de nieuwe rechten van de betrokkenen. Welk effect zal de AVG hebben op klokkenluiders en het meldproces?

Volgens een peiling van een riskconsultant zou in Nederland slechts 25 procent van de bedrijven met meer dan 500 werknemers, voldoen aan de nieuwe privacywet die eind deze maand in werking treedt. Bij het MKB zou dit percentage volgens sommigen zelfs op 80 tot 90 procent liggen. De consequenties voor het niet halen van de deadline kunnen groot zijn. De boete voor het niet naleven van de nieuwe Europese privacywet GDPR, in Nederland AVG, kan €20 miljoen of 4% van de jaarlijkse omzet bedragen, afhankelijk van welke hoger is.

Algemene Verordening Gegevensbescherming en klokkenluiders

Bedrijven moeten ook rekening houden met de nieuwe rechten van de betrokkenen. Welk effect zal de AVG hebben op klokkenluiders en het meldproces? Bij het vastleggen van een klokkenluidersmelding is elk detail essentieel. Meer gedetailleerde meldingen kunnen het onderzoeksproces enorm helpen, maar het kan moeilijk zijn om te bepalen hoeveel informatie ’te veel’ is. Hoewel een groot deel van de klokkenluidersmeldingen worden geanonimiseerd, bevatten veel van deze gegevens persoonlijke gegevens die worden verspreid als onderdeel van het meldingsproces. De verwerking van persoonlijke gegevens kan de effectieve werking van een klokkenluidersdienst enorm bevorderen, omdat hierdoor een meer gedetailleerd onderzoek kan plaatsvinden. Het stelt de ontvangende partij ook in staat om de melder feedback te geven over de uitkomst van een onderzoek.

Wat betreft de vertrouwelijkheid van de identiteit van de klokkenluider, meestal voorziet nationale klokkenluiderswetgeving hier al in. Afgezien hiervan beveelt de Artikel 29 Commissie in haar Guidelines on processing personal information within a whistleblowing procedure het volgende aan: “Onder geen beding kan de persoon beschuldigd in een klokkenluidersmelding informatie over de identiteit van de klokkenluider verkrijgen … behalve wanneer de klokkenluider kwaadwillig een valse verklaring aflegt, anders moet de vertrouwelijkheid van de klokkenluider altijd worden gegarandeerd”.

Wanneer een werknemer een misstand meldt bij een organisatie moeten hiervoor persoonsgegevens worden verwerkt. Onder de Wet bescherming persoonsgegevens (Wbp) moeten organisaties bepaalde verwerkingen van persoonsgegevens melden bij de Autoriteit Persoonsgegevens (AP). Sommige verwerkingen zijn echter van deze melding vrijgesteld, waarvan een groot gedeelte is verzameld in het Vrijstellingsbesluit Wbp. Een klokkenluidersmelding valt onder artikel 39 van het Vrijstellingsbesluit Wbp en hoeft daarom niet bij de AP gemeld te worden. Wanneer de verwerking echter uitgebreider is dan in artikel 39 Vrijstellingsbesluit Wbp staat beschreven, moet deze wel worden gemeld bij de AP.

Bij hoog privacyrisico is DPIA verplicht

Met het van toepassing worden van de regels van de AVG krijgen organisaties meer verantwoordelijkheden en moeten zij zelf aantonen dat hun verwerkingen in overeenstemming zijn met de vereisten voor gegevensverwerking. Het algemene karakter van de bepalingen van de AVG creëert een zekere dubbelzinnigheid en doet vragen rijzen met betrekking tot mogelijke conflicten tussen vereisten ter bescherming van persoonsgegevens en klokkenluidersmechanismen. Wanneer een verwerking van persoonsgegevens bijvoorbeeld een hoog risico oplevert voor de rechten van de betrokkene, dient de organisatie een data protection impact assessment (DPIA) – of in het Nederlands: gegevensbeschermingseffectbeoordeling – uit te voeren.

Een DPIA is een tool om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en wordt beschouwd als een belangrijk instrument voor verantwoording, omdat het aantoont dat er passende maatregelen zijn getroffen om de naleving van de AVG te waarborgen. Tenzij uit de DPIA blijkt dat de verwerking van persoonsgegevens een hoog risico oplevert en de organisatie geen maatregelen neemt dit risico te beperken, hoeft een klokkenluidersmelding volgens de AVG niet te worden gemeld bij de AP. Omdat de meldplicht en het Vrijstellingsbesluit Wbp per 25 mei 2018 komen te vervallen, handhaaft de AP momenteel niet meer op de naleving van deze meldplicht.

Wanneer is er sprake van een hoog privacyrisico?

Artikel 29 “Richtlijnen inzake de effectbeoordeling van gegevensbescherming” bevat negen criteria voor de verwerking van persoonsgegevens. Wanneer wordt voldaan aan minimaal twee criteria is een DPIA vereist. Afhankelijk van de aard van de melding en de omstandigheden van het vermeende wangedrag, zou het meldproces aan de volgende twee criteria kunnen voldoen:

  1. Gevoelige gegevens of gegevens van zeer persoonlijke aard die persoonsgegevens bevatten met betrekking tot strafrechtelijke veroordelingen of strafbare feiten als gedefinieerd in Artikel 10.
  2. Gegevens betreffende kwetsbare informatie (overweging 75): dit is van toepassing op situaties waarin betrokkenen mogelijk niet gemakkelijk toestemming kunnen geven of zich verzetten tegen de verwerking van hun gegevens.

Als aan bovenstaande criteria wordt voldaan, is het voor organisaties met een klokkenluidersregeling verplicht een ​​DPIA uit te voeren.

AVG geeft klokkenluiders meer zeggenschap over gegevens

De nieuwe privacywet is een belangrijke stap in de richting van de bescherming van gegevens in de huidige tijd. De implementatie vereist aanzienlijke wijzigingen in de routines voor gegevensverwerking, waarbij de verwerking van gegevens bij het meldingsproces van een klokkenluider geen uitzondering vormt. In dit stadium is het duidelijk dat de AVG klokkenluiders een sterkere positie geeft ten aanzien van zeggenschap over hun eigen gegevens. Tegelijkertijd roepen de nieuwe vereisten een zekere dubbelzinnigheid op. Het is daarom wenselijk dat de nationale gegevensbeschermingsautoriteiten in de komende maanden richtlijnen uitvaardigen over de beste manieren om klokkenluidersprocedures in overeenstemming met de AVG te brengen.