Het belang van vertrouwelijke klokkenluidersmeldingen

Een ziekenhuis in een EU-land heeft een IT-bedrijf ingeschakeld om een klokkenluidersmeldsysteem te leveren. De oplossing was bedoeld om medewerkers in staat te stellen melding te maken van wangedrag en andere verontrustende praktijken, zodat een onderzoeksteam in het ziekenhuis deze vervolgens op een vertrouwelijke manier kon opvolgen. 

Het programma van het IT-bedrijf was echter niet in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en zou ook niet hebben voldaan aan de vertrouwelijkheidseisen van de EU-richtlijn inzake klokkenluiders. Dit laatste was ook een vereiste omdat, op het moment dat de toezichthouder beide partijen beboette voor hun rol in het incident, de richtlijn al was omgezet in de nationale wetgeving van dit land. 

Achtergrond 

Klokkenluiders zijn essentieel voor het aan het licht brengen van wangedrag binnen bedrijven en organisaties. Degenen die ter plekke illegale of gevaarlijke activiteiten waarnemen, kunnen de leiding waarschuwen voor dergelijke incidenten voordat ze zich verspreiden en verankeren. Dit kan de kans op nalevingssancties, reputatieschade en, vooral in het geval van een ziekenhuis, ziekte of zelfs overlijden verminderen.

Het ziekenhuis werkte samen met het IT-bedrijf om een intern meldsysteem te ontwikkelen. Het doel was om werknemers en andere belanghebbenden in staat te stellen wangedrag te melden, wat een onderzoek in gang zou zetten dat de feiten kon vaststellen en een koers zou kunnen bepalen om eventuele problemen te herstellen. 

De software die het IT-bedrijf echter installeerde, was in strijd met de AVG. Het logde gebruikers die toegang hadden tot de software door hun activiteit op te nemen en op te slaan in firewalllogs. 

Dit betekende dat iedereen met toegang tot de logs de gebruikers, inclusief klokkenluiders, kon identificeren. Op geen enkel moment hebben beide partijen de gebruikers geïnformeerd over dit aspect van de verwerking van hun gegevens. 

Toen dit aan het licht kwam, betekende dit dat beide partijen sancties onder ogen zagen voor het niet naleven van de AVG. Maar de bijkomende impact zou kunnen zijn dat iedereen die wangedrag meldde, zijn gegevens zou kunnen laten blootstellen aan de daders van de vermeende misdrijven, waardoor ze kwetsbaar werden voor vergelding. 

Beide partijen kregen boetes van €40.000. 

Belang van vertrouwelijkheid 

Het is cruciaal dat uw meldsysteem de gegevens van klokkenluiders beschermt. Dit is belangrijk voor zowel het volgen van de AVG-regels als voor het geven van het vertrouwen dat melders nodig hebben om wangedrag te melden zonder angst voor vergelding. 

Alleen bevoegd personeel dient toegang te hebben tot een klokkenluidersrapport via uw interne meldsysteem. Daarnaast kunnen melders, indien de bedrijfsregels en de nationale wetgeving dit toestaan, anoniem blijven, zodat geen andere partij hun identiteit kent. 

In veel gevallen is dit nodig om klokkenluiders aan te moedigen om naar voren te komen met hun meldingen en bewijsmateriaal. 

De oplossing