Een nieuwe Europese richtlijn bepaalt dat ten laatste vanaf 17 december 2021 vele bedrijven een klokkenluiderssysteem moeten opzetten. Hierbij dient tevens de nodige aandacht te gaan naar de beveiliging van persoonsgegevens en de bescherming van de klokkenluiders zelf. Vanuit GDPR standpunt dient dan ook een diepgaande risico-analyse (DPIA) te worden uitgevoerd met het oog op de beveiliging en gegevensbescherming van deze personen.

Een Europese klokkenluidersrichtlijn ziet het licht

Een nieuwe EU-richtlijn bepaalt dat bedrijven vanaf 250 werknemers ten laatste op 17 december 2021 over een klokkenluidersregeling moeten beschikken. Twee jaar later zullen ook organisaties vanaf 50 werknemers hieraan moeten voldoen. België kan de grens van 50 werknemers trouwens nog verlagen.

De richtlijn beschermt personen zoals werknemers, voormalige medewerkers, stagiairs, aandeelhouders enz. die een inbreuk melden, met andere woorden: de zogenaamde klokkenluider. Organisaties worden verplicht om een kanaal te voorzien dat deze klokkenluiders kunnen gebruiken om een melding uit te voeren. Dat kanaal kan een emailadres zijn, maar ook een softwareplatform, een whistleblower hotline, enz. De aangeboden methode moet voldoende bescherming bieden zodat de identiteit van de klokkenluider beschermd wordt, alsook de identiteit van anderen, zoals een beklaagde die in de melding wordt vernoemd.

Aandacht voor beveiliging

Wanneer de organisatie gebruik maakt van software voor de melding en de afhandeling ervan, zullen ze dus de nodige aandacht moeten hebben voor beveiliging en gegevensbescherming. Bovendien zal vanuit een GDPR-perspectief bij het operationaliseren van een klokkenluidersregeling de uitvoering van een DPIA moeten worden overwogen.  Zo’n DPIA is een analysemethode om risico’s van een gegevensverwerking in kaart te brengen en aan te tonen dat de nodige waarborgen zijn voorzien om, onder meer, de identiteit van personen te beschermen.

Meer weten?

DPI voorziet een opleiding waarin we uitleggen hoe je een DPIA moet uitvoeren, toegepast op de case van een klokkenluiderssysteem. Aan de hand van een uitgewerkte case inclusief modeloplossing, leer je op een praktische manier hoe je een DPIA uitvoert, zodat je de geleerde methodiek ook kan toepassen in andere contexten.

Meer info? Neem gerust een kijkje op onze website. Kom naar onze ééndaagse opleiding over Data Protection Impact Assessments (DPIA), of schrijf je in voor onze tweedaagse opleiding GDPR impact assessments: DTIA & DPIA.