Autoriteit Persoonsgegevens nog niet klaar voor meldingen van klokkenluiders

De Autoriteit Persoonsgegevens (AP) is belast met het onderzoeken van klokkenluidersmeldingen over AVG-inbreuken. Dat betekent dat de AP verplicht is om hiervoor een goed meldkanaal in te richten en de binnengekomen meldingen snel op te volgen. Aan die verplichtingen lijkt nog niet te zijn voldaan, en te vrezen valt dat dat ook niet snel zal gebeuren. Waardoor het klokkenluiders in principe vrij staat om direct de openbaarheid te zoeken. Maar dat is niet zonder risico…

Klokkenluiden

Eind 2019 trad de EU Klokkenluidersrichtlijn in werking, die in februari 2023 door Nederland is geïmplementeerd in de Wet bescherming klokkenluiders (Wbk). Vanaf nu is in de Nederlandse wet opgenomen dat elke inbreuk op de AVG (en daaraan verwante wetten, zoals de Wet politiegegevens) ‘meldwaardig’ is. Dat betekent nogal wat.

Als een werknemer een AVG-inbreuk vermoedt – toekomstig of al gepleegd – dan kan hij die beschermd melden. Waarbij onder ‘werknemer’ ook een (al of niet voormalig) stagiair, vrijwilliger of bestuurder wordt verstaan.

Bij AVG-inbreuken, oftewel privacy-inbreuken, kun je denken aan datalekken (of een gevaar daarvoor), maar ook aan het zonder voldoende AVG-grondslag verwerken van persoonsgegevens.

De melder mag niet worden benadeeld (zoals ontslagen of gepest worden) als gevolg van de schending. Degenen die van de melding op de hoogte zijn, zijn verplicht tot geheimhouding; ook van de identiteit van de melder. Werkgevers met meer dan 50 werknemers, overheidswerkgevers, en werkgevers in een aantal specifieke sectoren, moeten voor klokkenluidersmeldingen een interne meldprocedure hebben.

Veel werkgevers hebben nog niet zo’n interne meldprocedure. Maar zelfs als dat wél het geval is, mag de klokkenluider het probleem ook meteen melden bij de aangewezen autoriteiten. Voor privacy-inbreuken is dat de Autoriteit Persoonsgegevens.

De melder mag overigens ook direct de openbaarheid zoeken, als het gaat om een dreigend of reëel gevaar voor het algemeen belang, of als er een risico bestaat op benadeling bij melding, of als het niet waarschijnlijk is dat de misstand doeltreffend wordt verholpen. Maar let op: dat kán riskant zijn. We komen daar aan het eind van dit artikel op terug.

AP moet snel aan de slag

De AP moet uiterlijk zes dagen na ontvangst van de melding een ontvangstbevestiging sturen. Vervolgens moet de AP de melder in principe binnen drie maanden informeren over de beoordeling en opvolging van de melding. Die termijn kan één maal, mits voldoende gemotiveerd, met drie maanden worden verlengd. Daarna moet de melder in kennis worden gesteld van de uitkomst van het onderzoek. De AP kan alleen afzien van ‘opvolging’ (onderzoek en maatregelen) als er sprake is van een melding die “duidelijk van geringe betekenis is”. Dit moet direct worden medegedeeld aan de melder.

Reageert de AP niet, of niet adequaat, of te laat, dan heeft de melder het recht om de openbaarheid te zoeken over de door hem vermoede privacyschending (wat, zoals hierboven gezegd, in bepaalde gevallen dus ook al eerder had gemogen).

Verder is de AP nu verplicht om een webpagina met rechten en plichten van klokkenluiders beschikbaar te stellen, en een beveiligd meldkanaal in te richten. Ook moet de AP mondelinge meldingen kunnen aannemen.

Die webpagina is er nog niet. Wel bestaat al langer de zogeheten ‘tip-mogelijkheid’ op de site van de AP, maar die voldoet bepaald niet aan de wettelijke vereisten. Het is dus de vraag of de AP voldoende doordrongen is van haar plichten in het kader van de Wbk. Uit nieuwsberichten blijkt bovendien dat er achterstanden zijn in de handhaving en het afhandelen van klachten van direct-betrokkenen. De eigen prioritering die de AP daarbij hanteert, zal het halen van de fatale Wbk-termijnen verder bemoeilijken.

Openbaarheid blijft riskant voor melders

De kans is voorlopig dus groot dat meldingen van privacyschendingen niet goed of niet tijdig worden opgepakt door de AP. Deze belanden mogelijk op de stapel met ‘tips’, waarvan niet duidelijk is of de AP hier überhaupt iets mee doet.

Melders die met goede bedoelingen hebben geprobeerd een inbreuk bij de AP aan de orde te stellen, zullen mogelijk uit frustratie hun heil gaan zoeken bij onderzoeksjournalisten, of zelf hun grieven gaan uiten op social media. Hoewel zij misschien beschermd zijn tegen benadeling, aangifte of aansprakelijkstelling door hun werkgever, kan dit toch een hachelijke kwestie zijn.

Een melder moet de claims van zijn werkgever immers aanvechten bij de rechter, met alle kosten en ellende van dien. Daarom is het verstandig dat een melder eerst contact zoekt met de ‘Afdeling Advies’ van het Huis voor klokkenluiders.