Frank Staelens
In onderstaand artikel ga ik nader in op de nieuwe Europese klokkenluidersregeling die uiterlijk op 17 december 2021 omgezet moet worden in nationale wetgeving. Voor wie is deze regeling van toepassing? Wat zijn de vereisten? Wat zijn de risico’s? Wat kunnen de overwegingen zijn om het klokkenluidersmanagement uit te besteden? Kortom, genoeg stof om alle argumenten af te wegen om de juiste beslissing te kunnen nemen. December lijkt nog ver weg maar wilt u het onnodige risico wel lopen?
Allereerst iets over het toepassingsgebied en antwoord op de vraag welke uitbreidingen worden overwogen.
• Toepasselijkheid: alle in Europa gevestigde private en publieke organisaties, met vrijstellingen voor kleine organisaties;
• Deadline: De lidstaten hebben tot 17 december 2021 de tijd om de nieuwe regels ter bescherming van klokkenluiders om te zetten in nationale wetgeving;
• Bereik van de bescherming: alle interne en externe personen die betrokken zijn bij het melden van misstanden in een werkgerelateerde context;
• Werkingssfeer van inbreuken: bescherming van personen die inbreuken op het recht van de Unie melden. De lidstaten worden aangemoedigd de werkingssfeer uit te breiden tot inbreuken op het nationale recht;
• Sommige lidstaten hebben reeds besloten de werkingssfeer uit te breiden tot inbreuken op de boekhoudregels en/of de rechten van aandeelhouders.
Welke vereisten zijn het belangrijkst?
• Faciliteer of communiceer rond drie niveaus voor vertrouwelijke rapportering (intern, autoriteiten en publiek);
• Respecteer de vrije keuze van de melder om ofwel intern, ofwel aan de autoriteiten te rapporteren;
• Bescherm de identiteit van de melder;
• Bescherm de melder tegen vergeldingsmaatregelen en als een melder sancties opgelegd krijgt, bewijs dat er geen verband is met de melding;
• Terugkoppelingsverplichtingen: ontvangstbevestiging binnen 7 dagen, statusrapport binnen 3 maanden;
• Beginselen van goed bestuur (bekwaamheid, zorgvuldigheid en onpartijdigheid);
• AVG-compliant;
• Documentatie- en informatieplicht (werknemers, zakenpartners en bevoegde autoriteiten);
• Toegang tot rapportering voor derden (voormalige werknemers, aannemers, onderaannemers, leveranciers).
Overwegingen rond mogelijke uitbesteding
De nieuwe regelgeving komt met een omgekeerde bewijslast voor organisaties. Elke beslissing met een negatieve impact op een klokkenluider kan leiden tot hoge kosten om te bewijzen dat er geen verband is met het klokkenluiden. Een werknemer die verneemt dat hij/zij op het punt staat te worden ontslagen kan ook evolueren naar geënsceneerd klokkenluiden om zo een obstakel te creëren voor het ontslag. De oplossing om dit risico te vermijden is de uitbesteding van het identiteitsbeheer van klokkenluiders. Wij kunnen organisaties garanderen dat wij ze niet zullen informeren over de identiteit van een klokkenluider tot het moment dat de tijd rijp is om de identiteit bekend te maken met de goedkeuring van zowel de klokkenluider als de organisatie. De governance principes vereisen dat organisaties competente, zorgvuldige en onpartijdige case managers aanstellen. De interne behandeling van klokkenluiderscases kan voor ontevreden werknemers en derden met meldingsrechten (ex-werknemers, contractanten, leveranciers) aanleiding zijn om de naleving van de governance-beginselen openlijk in twijfel te trekken en hierover klachten in te dienen bij de bevoegde autoriteiten.
De nieuwe regelgeving gaat gepaard met formele termijnen, waaronder de melding van ontvangst binnen 7 dagen en de statusrapportage binnen drie maanden. Niet-naleving kan ernstige gevolgen hebben, niet alleen financieel maar ook reputatieschade. Het eerste omdat het kan leiden tot hoge proceskosten. Het laatste vooral omdat het kan leiden tot publieke onschendbaarheid. Werknemers of voormalige werknemers kunnen in dit laatste geval via de kanalen die zij geschikt achten, waaronder sociale media, in de openbaarheid treden om het wangedrag te melden met volledige bescherming en zonder dat de organisatie het recht heeft om een schadeclaim in te dienen. Uitbesteding van het klokkenluidersmanagement garandeert een aangepaste opvolging van de formele termijnen.
Gefaseerd klokkenluiden
Als een werknemer verneemt dat hij/zij in de toekomst zal worden gestraft/ontslagen of promoties/salarisverhogingen zal mislopen, kan dit hem/haar ertoe aanzetten de bescherming van een klokkenluider op te zoeken. Hoewel er een verband moet zijn tussen de melding en de nadelige behandeling, zal worden aangenomen dat deze verband houdt met het klokkenluiden indien de werkgever het ontbrekende verband niet kan aantonen. Klokkenluiders zijn ontheven van de bewijslast, wel moeten zij de waarheidsgetrouwheid kunnen uitleggen ondanks het feitelijk gegeven dat ze melding mogen doen op basis van vermoedens.
Immuniteit voor openbaarmaking
Het niet verstrekken van feedback binnen de termijn en het niet faciliteren van interne rapportering of het niet verstrekken van informatie over de drieledige rapportagestructuur kan leiden tot immuniteit voor publieke openbaarmaking voor de klokkenluider. Ik verwacht dat het moeilijk zal zijn voor EU-organisaties om de nieuwe regels te negeren, zelfs als ze gevestigd zijn in lidstaten met weinig handhaving, vanwege de blootstelling aan openbaarmakingsimmuniteit en de bijbehorende reputatierisico’s. Organisaties die besluiten de nieuwe regels niet toe te passen, zullen voortdurend het risico lopen dat personeel naar buiten treedt zonder de mogelijkheid te hebben om schadevergoeding te eisen, omdat de rechtbanken hen naar alle waarschijnlijkheid eerder zullen bestraffen dan het betrokken personeelslid.
Misbruik van meldingen afdekken
Het beginsel van vrije keuze tussen interne en externe melding en de omgekeerde bewijslast die kan worden ingeroepen naar aanleiding van iedere vorm van nadelige behandeling zal aanleiding geven tot meer meldingsmisbruik. Hoewel een organisatie, die de intentie om schade te berokkenen op basis van leugens kan bewijzen, een schadeclaim zal kunnen indienen, zal het moeilijk blijven om aanzienlijke directe en indirecte verliezen op individuen te verhalen, en zal het risico van meldingsmisbruik een moeilijk te verzekeren risico blijven.
Kleinere organisaties
Van organisaties met meer dan 250 werknemers wordt verwacht dat zij volledig voldoen aan de nieuwe regelgeving zodra deze is omgezet in nationale wetgeving (deadline: 17 december 2021).
Organisaties met minder dan 250 maar meer dan 50 werknemers krijgen nog 2 jaar de tijd om hun volledige naleving van de nieuwe regelgeving te organiseren. Organisaties met minder dan 50 werknemers zijn, in tegenstelling tot wat algemeen wordt aangenomen, onderworpen aan het grootste deel van de nieuwe regelgeving. Zij zijn vrijgesteld van het installeren van interne rapporteringslijnen. Wij bevelen echter aan de invoering van interne meldlijnen te overwegen, omdat werknemers anders wellicht geen andere keuze hebben dan zich tot de bevoegde autoriteiten te wenden. Kleine organisaties met minder dan 50 werknemers zullen verplicht zijn hun werknemers te informeren over hun recht om melding te doen bij de bevoegde autoriteiten.
Volstaan de huidige rapportagekanalen via e-mail?
Standaard e-mailsystemen zijn niet veilig en kunnen leiden tot datalekken. E-mails moeten op zijn minst worden versleuteld of worden geïntegreerd in een veilig webgebaseerd platform.
De nieuwe voorschriften vereisen het faciliteren van vertrouwelijke rapportering, wat betekent dat de ontvanger de identiteit van de melder moet beschermen en een melding alleen kan doorsturen met toestemming van de melder. E-mails zijn meestal toegankelijk voor meerdere personen binnen het bedrijf en kunnen gemakkelijk worden doorgestuurd, wat tot overtredingen kan leiden. AVG-compliant zijn behoort tot de vereisten. Vanuit het oogpunt van privacy by design zijn webgebaseerde meldkanalen de beste praktijk.
Waarom anonieme meldingen toestaan?
De nieuwe voorschriften vereisen een instelling van drie niveaus van vertrouwelijke rapportering, zij vereisen niet dat anonieme meldingen worden mogelijk gemaakt. Toch wil ik benadrukken hoe belangrijk het is om anonieme meldingen toe te staan. Organisaties moeten beseffen dat klokkenluiders de vrije keuze zullen hebben om ofwel intern, ofwel rechtstreeks aan de bevoegde autoriteiten te rapporteren. Zonder werknemers te kunnen dwingen om intern te rapporteren, wordt het voor organisaties belangrijk om de ideale omstandigheden daarvoor te creëren. Door aan werknemers en derden met meldingsrechten alleen de middelen te geven om te melden met volledige bekendmaking van de identiteit, zullen zij veel sneller geneigd zijn om over te gaan tot externe rapportering.
Beveiligd platform voor externe rapportering
Zoals eerder uitgelegd hebben organisaties er belang bij om de ideale omgeving te creëren voor interne meldingen zonder deze te kunnen verplichten. Indien een werknemer zich toch rechtstreeks tot de bevoegde autoriteiten wil wenden, zal hij dit kunnen doen met volledige bescherming en rechten. Zelfs als een organisatie externe rapportering niet kan tegenhouden, is het in haar belang om het gebruik van beveiligde communicatieplatforms aan te bevelen, bij voorkeur met een beveiliging van militair niveau. Dit laatste betekent dat er een end-to-end 256bit encryptie is met gebruikmaking van de Advanced Encryption Standard, waarvan wordt aangenomen dat deze op vandaag niet te hacken is.
Het volgende praktijkgeval illustreert de noodzaak om het gebruik van beveiligde communicatieplatforms aan te bevelen voor alle externe berichtgeving. Een Exco-lid van een beursgenoteerde onderneming wil de autoriteiten op de hoogte brengen van ernstig wangedrag. Om de gevoelige informatie aan de autoriteiten door te geven, verstuurt het Exco-lid regelmatig e-mails via zijn wifi thuis en de publieke wifi van hotels. Sommige van zijn mails worden gehackt, cybercriminelen beginnen hem te chanteren, na de eerste betaling eisen ze een tweede betaling, na weigering van de tweede betaling wordt de informatie openbaar gemaakt en dit heeft een onmiddellijk negatief effect op de beurskoersen, de CEO wordt gevraagd ontslag te nemen, het bedrijf besluit het Exco-lid aan te klagen wegens nalatigheid. Het eindigt in een jarenlange rechtszaak.
De auteur Frank Staelens heeft 30 jaar werkervaring met klokkenluidersmanagement. Hij is medeoprichter van SpeakUPwise, een beveiligd platform voor externe rapportering (https://speakupwise.com ) en oprichter van WhistleblowingManagement.eu, een one-stop dienstverlener (http://whistleblowingmanagement.eu ).
J.P. van der Meij Reageren
Is dit een artikel of een advertorial?