Van ‘Klokkenluidersregeling’ naar Effectieve Preventie Evita Sips Verschenen in: Handboek OR strategie en beleid. Optiek 22 Klokkenluiders en ondernemingsraad, vernieuwing van het juridisch kader ©2014 Vakmedianet
1. Inleiding In Nederland heeft de ondernemingsraad instemmingsrecht bij het invoeren van de klokkenluidersregeling. De OR is een belangrijk orgaan om de organisatie te adviseren over de beste inrichting. Dit is doorgaans niet eenvoudig doordat er veel verwarring bestaat over de terminologie. De term ‘klokkenluiden’ staat op nummer één, maar ook termen als vertrouwelijkheid en anonimiteit leiden vaak tot verwarring. Bovendien zijn er verschillende behoeftes waarvoor een ‘klokkenluidersregeling’ als oplossing naar voren wordt geschoven. Met deze bijdrage hoop ik enkele misconcepties te kunnen wegnemen en tevens enkele concrete handvatten te bieden aan de OR om een goed advies te kunnen geven over de voorgestelde klokkenluidersregeling.
2. ‘Klokkenluidersregeling’: De ballast van verkeerde terminologie Het kan niet vaak genoeg onderstreept worden: de term ‘klokkenluiden’ of ‘klokkenluidersregeling’ leidt alom tot verwarring. De term is ooit in Nederland geïntroduceerd als een vertaling van de Engelse term whistleblower. De Engelse term verwijst naar het fluitje van de straatagent, de term ‘klokkenluider’ verwijst naar degene die de klok luidt om daarmee het grote publiek te waarschuwen voor naderend gevaar. Er is inmiddels veel gezegd over de verschillen van connotatie en betekenis tussen deze twee begrippen. Veel belangrijker is wat ze overeenkomen: de klokkenluider of whistleblower slaan beide op diegene die een misstand aan de kaak stelt buiten de omgeving/organisatie waar de misstand zich afspeelt. Een element van de beschrijving van het klokkenluiden is, dat het met bombarie en veel negatieve publiciteit gepaard gaat. Niet vreemd, want dit zijn immers de gevallen die de media halen. Deze perceptie is sterk en blijft gevoed door actuele gevallen - zelfs nog sterker door nieuwe manieren - van snelle massa media. Kortom: de gekozen term ‘klokkenluidersregeling’ als onderdeel van de interne governance van organisaties is dan ook een grove fout geweest die een zuivere discussie over de problematiek en de gewenste oplossingen tot op de dag van vandaag in de weg staat. Immers, wanneer de OR wordt gevraagd zijn mening te geven over de klokkenluidersregeling, betreft het het intern melden van misstanden. Dit heeft dus helemaal
niets te maken met recente ontwikkelingen zoals het ‘huis van de klokkenluider’, dat bedoeld is om iemand buiten de organisatie hulp te bieden. In dit artikel heb ik het dus ook over de ‘interne klokkenluidersregeling’ die ik zal aanduiden als de ‘interne meldregeling’.
3. Interne meldregeling: Preventie (de getuige laten spreken) In de Code Tabaksblat wordt gesproken over een ‘klokkenluidersregeling’. In navolging van de Amerikaanse Sarbanes-Oxley (SOX) wetgeving werd de Nederlandse versie van de governance code in 2004 van kracht. SOX kende destijds een unieke positie van de klokkenluider. De achtergrond daarvan waren de schandalen (Enron en WorldCom) die voorafgingen aan SOX (of versnelde invoer daarvan). Op ontluisterende wijze lieten deze de rol van werknemers zien: enerzijds als slachtoffers, de werknemers leden grote persoonlijke verliezen door de corruptiepraktijken van het management, en anderzijds als getuigen, werknemers speelden een grote rol in de ontdekking van de schandalen12. Het idee om de klokkenluider een sterkere positie te geven had te maken met het hoofddoel: dit nooit meer. Voor veel ondernemingen is preventie steeds meer een gegeven geworden. Werknemers weten het meest af van wat er speelt op de werkvloer en hen in de gelegenheid stellen dit te melden zorgt ervoor dat misstanden in de kern gesmoord kunnen worden3. Elke organisatie is een afspiegeling van de samenleving en - ook daar - heb je te maken met 1% rotte appels. Als er iets niet goed gaat, dan wil je dit weten om actie te kunnen nemen. Dit klinkt logisch, maar dit is het allerminst. Toegeven aan een dergelijke houding vergt veel van de organisatie: commitment, effort en niet op de laatste plaats: budget. De laatste jaren zien we dat externe regelgeving het besef van het belang om intern zaken goed te kunnen signaleren, heeft doen toenemen4. De verhoging van het aantal schandalen dat in de pers verschijnt in deze ‘tijd van de wens naar transparantie’ versterkt deze tendens. Het tijdig signaleren van mogelijke misstanden en een adequate opvolging daarvan binnen de organisatie is een belangrijk thema voor elke organisatie. Het spreekt voor zich dat ook de werknemer baat heeft bij een gezonde onderneming met zelfreinigend vermogen. Hiermee kan de loyale werknemer zijn werkgever in staat stellen om actie te ondernemen - en voelt hij/zij zich niet gedwongen uiteindelijk extern te melden: een actie die voor de werknemer 1
Langevoort, D. (2007) The Social Construction of Sarbanes-Oxley. In: Michigan Law Review. Vol. 105, nr. 8 Juni 2007, pp. 1817- 1855, 1844 2 De klokkenluiders van deze schandalen (toevallig allemaal vrouwen: Enron, WorldCom en FBI) werden in 2002 de Times’ Persons of the Year 3 Dit werd onlangs weer bevestigd in een onderzoek van de ACFE: 34.6% van alle fraudegevallen worden ontdekt door een tip van een werknemer. Dit percentage wordt verhoogd tot 50,9% bij organisaties die een anoniem meldsysteem hebben. ACFE (2012) Report to the Nations. www.acfe.com/uploadedFiles/ACFE_Website/Content/rttn/2012-report-to-nations.pdf 4 Een goed voorbeeld hiervan is de UK Bribery Act die in 2012 van kracht werd.
zelf vaak niet goed afloopt. Hiervoor moet de organisatie de mensen in de gelegenheid stellen om zo eenvoudig en laagdrempelig mogelijk een vermoeden van een misstand te melden.
4. Vertrouwenspersoon: Het luisterend oor voor slachtoffers. In Nederland is de vertrouwenspersoon een bekend fenomeen op de werkvloer. Een vertrouwenspersoon dient een belangrijke functie: het bieden van een luisterend oor voor de werknemers. Werknemers moeten ergens terecht kunnen wanneer ze iets op vertrouwelijke basis willen bespreken, ergens over willen klankborden. In Nederland zien we dat de ‘klokkenluidersregeling’ vaak wordt vastgepind aan de bestaande vertrouwensfunctie of dat de vertrouwensfunctie hiervoor wordt opgezet. Voor de doelstelling van preventie zoals hierboven beschreven, is het echter de vraag of dat de juiste oplossing biedt. Het is immers niet altijd gezegd dat iemand die getuige is van een vermoedelijke misstand dit per se wil bespreken. Hierbij is het onderscheid tussen een slachtoffer en een getuige van belang. Een getuige heeft niets te winnen bij het doen van een melding. Niet zelden is het hebben van de kennis een enorme last. Een last omdat er onmiddellijk een loyaliteitskwestie speelt. In plaats van het te bespreken, wil je dat de melding terecht komt bij diegene die meteen actie kan ondernemen. Een vertrouwenspersoon biedt veel meer de functie van klankbord over de mogelijkheden en de last van de moeilijke situatie. Bovendien kan de vertrouwenspersoon zelf niet met elk type melding uit de voeten, en mist deze specifieke kennis die nodig is om het traject goed te kunnen begeleiden. Een recent onderzoek van Lasthuizen5 e.a. laat zien dat het ook voor de vertrouwenspersoon zelf lastig is om de functies van ‘klankbord’ en ‘meldpunt’ te combineren: het zijn wezenlijk twee verschillende functies. Het doen van een melding is niet niets. Het voelt als klikken of zelfs verraden en eerlijk is eerlijk: de klokkenluiders die we kennen, zijn ook behandeld als verraders. Het voorbeeld van Ad Bos die jarenlang in een camper heeft moeten wonen, is ons allen bekend. Het is dus heel wat om in een dergelijke situatie de stap te zetten naar het melden. Vertrouwelijkheid is het model waarbij één of een selectie van mensen de identiteit van de melder kent en deze afschermt voor derden. Helaas is vaak onderdeel van de statuten dat deze bescherming kan worden opgeheven indien het belang van de organisatie dit beginsel overstijgt.
5
De Graaf, G., K. Lasthuizen, T. Bogers, B. ter Schegget & T. Struwer (2013). Een luisterend oor. Onderzoek naar het interne meldsysteem integriteit binnen de Nederlandse overheid. pp. 90-91 Amsterdam: VU University.
Er is dan dus geen garantie dat de identiteit van de getuige beschermd blijft. Deze onzekerheid is een niet te overkomen drempel. Niet voor niets laten onderzoeken zien dat anonimiteit een voorwaarde is voor een effectieve meldregeling6. Hieronder volgt een aantal punten waarom een vertrouwenspersoon alleen niet de juiste oplossing is voor een effectieve interne meldstructuur:
6
Praktische beperkingen die de drempel verhogen. Een melding doen over een vermoeden van een misstand is niet niets. Vaak gaat er aan het doen van de eerste stap een lang traject vooraf waarin de melder goed nadenkt over de beste aanpak. Het is van groot belang dat het zo eenvoudig mogelijk is en dat elke drempel is weggenomen. Een vertrouwenspersoon is vaak een parttime functie – naast een reguliere functie - binnen het bedrijf. Hierdoor is de vertrouwenspersoon alleen tijdens vaste kantooruren beschikbaar: er kan dan een afspraak gemaakt worden met de vertrouwenspersoon. Een afspraak bij de vertrouwenspersoon wekt al snel argwaan onder leidinggevende en collega’s. Belang van de kunde en het niveau van de vertrouwenspersoon. De vertrouwenspersoon heeft traditioneel een eigen functie en eigen kunde. Wanneer we het over misstanden hebben, hebben we het over een grote variatie in typen: fraude, omkoping, mededinging, mensenrechten, pesterijen, discriminatie. Over sommige zaken (de laatste, en vaak ook waar men te maken heeft met een direct ‘slachtoffer’), kan de vertrouwenspersoon uiteraard meerwaarde bieden als klankbord. Voor de andere typen misstanden is het de vraag of de vertrouwenspersoon daar goed in thuis is. Niemand kan expert zijn op al deze vakgebieden. Voor sommige typen misstanden zal de vertrouwenspersoon niet gezien worden als een gelijkwaardige sparringpartner. Hierbij speelt uiteraard ook de achtergrond (functie en niveau) van de vertrouwenspersoon een rol, en ook zeker de achtergrond (functie en niveau) van de potentiële melder. Een getuige die hooggeplaatst is binnen de organisatie zal niet snel geneigd zijn om iemand lager in de organisatie hierover in vertrouwen te nemen – of zelfs de verantwoordelijkheid en controle over de misstand - (en daarmee zijn/haar lot) in handen te geven.
PriceWaterhouseCoopers (2007) Economic crime: people, culture and controls. The 4th biennial Global Economic Crime Survey.; Ernst & Young (2007) A Survey into Fraud Risk Mitigation in 13 Countries, (2009) European Fraud Survey ; KPMG (2007) Profile of a Fraudster. Survey 2007, Deloitte (2009) Whistleblowing and the new race to report
Geen mogelijkheid om anoniem te melden. Als er geen mogelijkheid is om anoniem te blijven, is het doen van de eerste stap een te hoge drempel. Geen 100% garantie op vertrouwelijkheid. In veel regelingen is ‘vertrouwelijkheid’ uiteindelijk beperkt tot de afweging van belangen: als het bedrijfsbelang voor gaat (en die afweging maakt het bedrijf) dan wordt de vertrouwelijkheid opgeheven.
5. Een laagdrempelige interne meldregeling Een interne meldregeling is effectief als het - ten gevolge van een verhoogde zichtbaarheid en professionele opvolging - bijdraagt aan preventie als onderdeel van het integriteitsbeleid van de organisatie. Deze beschrijving laat zien dat je vooraf ook niet veel kunt zeggen over het aantal meldingen dat binnen moet komen om ‘effectief’ te zijn. Wel heeft Kaptein7 aangetoond dat het een goed teken is als er meldingen binnenkomen: er bestaat een positieve correlatie tussen het niveau van integriteit van de onderneming en het aantal meldingen over (vermoedens van) misstanden. Op zich niet verbazingwekkend: als de werknemer inschat dat het doen van een melding geen enkele zin heeft, zal hij/zij zwijgen. Een effectieve meldregeling moet voldoen aan een paar minimale eisen:
7
De interne meldregeling is in lijn met het gewenst gedrag. Een interne meldregeling introduceren heeft weinig kans van slagen als de werknemers niet weten wat gewenst gedrag is. Als zij niet weten wat ‘goed’ of ‘fout’ is, zullen er geen meldingen komen. Als onderdeel van de cultuur wordt een ‘Speak up’ cultuur verkondigd: het belang van transparantie en aanspreekbaarheid. De interne meldregeling wordt geen ‘klokkenluidersregeling’ genoemd. Hierboven heb ik reeds gesproken over de ballast van de gekozen term ‘klokkenluidersregeling’. Wegens de bekende verhalen van Ad Bos, Paul van Buitenen of Paul Schaap, zal niemand staan te springen om in hun voetstappen te treden. Niemand zal zich uitgenodigd voelen om een melding te doen. De interne meldregeling heeft geen (of zo min mogelijk) drempels om te melden. Het moet eenvoudig zijn om een melding achter te laten. Niet een regeling waarbij je voor misstand type A ergens anders moet zijn dan bij een misstand type B. De
Kaptein (2010) From Inaction to External Whistleblowing: The Influence of the Ethical Culture of Organizations on Employee Responses to Observed Wrongdoing. Journal of Business Ethics. Volume 98 - Issue 3 p. 513- 530
regeling moet eenduidig zijn en eenvoudig om te volgen. Praktische drempels moeten ook worden weggenomen. Als er alleen gemeld kan worden op vaste tijdstippen in de week, dan is dit eenvoudigweg niet laagdrempelig. Idealiter kan een melding gedaan worden op elk moment van de dag. Ook het aanbieden van verschillende type media (internet of telefoon) helpt. In de internationale omgeving speelt meertaligheid ook een belangrijke rol: elke werknemer moet in staat gesteld worden om de melding in de eigen taal te kunnen achterlaten. De interne meldregeling kent eenvoudige communicatie naar de werknemers. De regeling moet eenvoudig te begrijpen zijn voor elk type werknemer in de organisatie: voor de managers, maar ook voor de fabrieksmedewerkers. Hier dient rekening mee gehouden te worden in het gekozen jargon (geen juridisch document!), en tevens met de typen media die worden ingezet om de werknemers op de hoogte te stellen van de meldmogelijkheid. De interne meldregeling geeft werknemers de mogelijkheid om 100% anoniem te melden. De mogelijkheid van anonimiteit is een absolute voorwaarde om meldingen binnen te krijgen. Zonder anonimiteit is de melder niet zeker van zijn positie. Anonimiteit moet een optie zijn voor meldingen die anders (middels conventionele manieren van zaken melden/bespreken) niet gedaan zouden worden. De interne meldregeling is zo opgebouwd dat de melder ‘in control’ is. In sommige meldregelingen lees je dat er - na het doen van de melding - een automatische trein in gang wordt gezet: een traject waar de melder niets meer aan kan wijzigen. De melder heeft geen enkele manier meer om van invloed te zijn op de gevolgen voor zijn/haar positie. De interne meldregleing stelt de behandelaar in staat om met de anonieme melder te communiceren. Om goede opvolging te kunnen geven aan een anonieme melding, is het van belang om te kunnen communiceren met een anonieme melder. Hier zijn inmiddels technieken voor op de markt. Over het belang van de communicatie later meer in paragraaf 6. De interne meldregeling kent een professioneel centraal meld- en registratiepunt, gesteund door topmanagement. Binnen de organisatie bevindt zich een functionaris die de verantwoordelijkheid draagt voor de ontvangst van de meldingen, de afhandeling, de afronding en de lessons learned. Welke functionaris dit is en ook hoeveel, zal afhangen van de organisatie. De kern is dat het centrale punt moet voldoen aan de volgende criteria: onafhankelijk, objectief, deskundig en integer (inclusief integere reputatie).
1. 2. 3. 4. 5. 6. 7. 8. 9.
De interne meldregeling kent een afhandeling volgens het model: centraal meldpunt, decentrale afhandeling. Het professionele punt zoals hierboven beschreven is niet altijd de functionaris die ook de afhandeling (of ‘het onderzoek’) op zich neemt. Het is simpelweg niet mogelijk om een functionaris te vinden die kundig is om onderzoek te doen naar zaken uiteenlopend van fraude tot seksuele intimidatie. Onderzoek moet gedaan worden door de best geëquipeerde persoon. Eventueel kan dit iemand zijn die van buiten de organisatie komt. Een kerntaak van dit centrale meldpunt is het bewaken van de identiteit van alle betrokkenen. Ook wanneer een melder anoniem meldt, moet er nog steeds heel zorgvuldig omgegaan worden met het verspreiden van de gegevens (in het kader van het onderzoek) om te voorkomen dat de identiteit door derden kan worden achterhaald. De beste bescherming die je een melder kunt geven, is - wanneer er voldoende steunbewijs is gevonden - door de melding uit de stukken te verwijderen. De interne meldregeling is in lijn met het gewenst gedrag. De interne meldregeling wordt geen ‘klokkenluidersregeling’ genoemd. De interne meldregeling heeft geen (of zo min mogelijk) drempels om te melden De interne meldregeling kent eenvoudige communicatie naar de werknemers. De interne meldregeling geeft werknemers de mogelijkheid om 100% anoniem te melden. De interne meldregeling is zo opgebouwd dat de melder ‘in control’ is De interne meldregeling stelt de behandelaar in staat om met de anonieme melder te communiceren. De interne meldregeling kent een professioneel centraal meld en registratiepunt – gesteund door topmanagement. De interne meldregeling kent een afhandeling volgens het model: centraal meldpunt, decentrale afhandeling.
Checklist I: Waar moet een effectieve meldregeling aan voldoen?
6. Privacy aspecten van de melder en van mogelijk beschuldigden Privacy aspecten spelen een grote rol bij het invoeren van een interne meldregeling. Veel zien wij dat de OR in Duitsland toetst of privacy aspecten goed in ogenschouw worden genomen. Bij elke interne meldregeling - ongeacht de techniek die daarvoor wordt gebruikt zullen mogelijk persoonsgegevens worden verwerkt. Dit kunnen persoonsgegevens zijn van de ‘melder’, de ‘beschuldigden’ of van andere betrokkenen. In Europa bestaat er op dit moment een Europese privacy richtlijn uit 2006, Nederland heeft dit verwerkt in haar eigen
wetgeving over privacy: de WBP. In tegenstelling tot andere landen, zoals Frankrijk, heeft het CBP (Nederlandse toezichthouder van de privacy wet) geen specifieke opinie of richtlijn uitgegeven over specifieke vereisten aan de interne meldregeling. Doorgaans geldt de regel: ‘voorafgaand aan de verwerking van persoonsgegevens, dient deze verwerking te worden gemeld bij het CBP’8. Anonimiteit is een gevoelig onderwerp op dit gebied. Hier geldt de argumentatie dat doordat communicatie met de anonieme melder niet mogelijk is, de verkregen informatie niet voldoet aan vereisten van nauwkeurigheid. Hierbij speelt een grote (en terechte) zorg voor valse meldingen. Met name in Europa spelen hierbij herinneringen aan historische gebeurtenissen van totalitaire regimes - waarbij burgers verlinkt werden - een grote rol. De Europese privacy autoriteiten hebben deze zorg uitgesproken in een opinie in 2006 9. Het is goed om te weten dat deze opinie een reactie was op de ‘McDonalds case’ in 2005: McDonalds had zonder goedkeuring vooraf van de Franse privacy autoriteit, de CNIL, de anonieme meldlijn ingevoerd voor alle werknemers in Frankrijk - wegens hun wettelijke verplichting aan SOX. Als reactie op de snelle invoering van deze Amerikaanse praktijken, verbood de CNIL in eerste instantie de anonieme ‘hotline’. Niet snel daarna realiseerde de CNIL dat het een onwenselijke situatie was dat een bedrijf als McDonalds nu ofwel in overtreding van SOX of van de Franse privacy wetgeving was. Een zwak compromis volgde. Een lijn die min of meer werd gevolgd op Europees niveau – in de opinie uit 2006. Het is goed om zich twee dingen te realiseren: 1) anonimiteit is niet verboden (wordt soms verkeerd verondersteld), maar moet proportioneel (als een laatste redmiddel) worden ingezet, en 2) de zorgen omtrent anonimiteit die de privacy-autoriteiten uiten, zijn gebaseerd op verkeerde aannames. De belangrijkste zijn dat er niet gecommuniceerd kan worden met een anonieme melder en dat anonimiteit automatisch een Amerikaans callcenter model10 betreft. Maar er is een meer gebalanceerde manier om met anonimiteit om te gaan.
8
Er bestaan uitzonderingen waarbij deze formaliteit niet nodig is. Bovendien zal de aanmeldingsplicht worden vervangen door een documentatieplicht. Een reden voor de organisatie om de processen goed vast te leggen. 9 EU Article Data Protection Working Party (2006) Opinion 1/2006 on the application of EU data protection rules to internal whistleblowing schemes in the fields of accounting, internal accounting controls, auditing matters, fight against bribery, banking and financial crime. 00195/06/EN WP 117. 10 Hier ga ik verder niet op in. Kern hiervan is dat de oorspronkelijke aanbieders van een anonieme meldlijn de Amerikaanse callcenters zijn. In de VS geldt ten aanzien van het melden van misstanden een compleet andere mentaliteit dan in Europa - hetgeen zichtbaar wordt in de opzet van ‘callcenters’. Een belangrijk verschil is dat het in de VS heel normaal is dat alles gemeld wordt middels een anonieme meldlijn. In Europa streven we doorgaans meer een open bespreekcultuur na, waarbinnen een anonieme meldmogelijkheid als laatste redmiddel geldt.
7. Een evenwichtig gebruik van anonimiteit11 Als een getuige van een misstand niet 100% veilig kan melden, dan zal diegene de melding niet doen. Er zijn uitzonderingen, de zogenaamde ‘helden’. Helaas zijn er hier niet veel van. Anonimiteit neemt de angst voor repercussies weg en kan het laatste zetje betekenen dat iemand nodig heeft om de stap te wagen. Werknemers weten het meest van wat er zich afspeelt op de werkvloer en om die reden is een organisatie erbij gebaat om die werknemers in staat te stellen om zo veilig en laagdrempelig mogelijk een vermoeden van een misstand te melden. Dit is de eerste stap richting correctie van de misstand en bovendien van het voorkomen van het uitbreiden van de misstand. Als het intern niet veilig kan, dan kan van de werknemer ook niet redelijkerwijs verwacht worden dat hij zijn positie op het spel zet. Anonimiteit is de enige manier om de werknemer in staat te stellen veilig te melden. Echter wegens angst voor anonimiteit bij organisaties wordt vaak gekozen voor het model van vertrouwelijkheid. Bij het model van vertrouwelijkheid bewaakt of bewaken één of meerdere personen de identiteit van de melder (zie paragraaf 4), waarbij bij anonimiteit niemand de identiteit van de melder weet. De keuze voor vertrouwelijkheid is zonde, want daarmee mist de organisatie een belangrijk preventiemiddel. Bovendien kan anonimiteit op zo’n manier worden gebruikt, dat de mogelijke negatieve gevolgen worden uitgeschakeld.
Anonimiteit als een laatste redmiddel Anonimiteit moet ingezet worden als een laatste redmiddel. Alleen voor zaken die anders niet gemeld zouden worden, zou anonimiteit een oplossing moeten bieden. Idealiter spreek je eerst de overtreder aan (dit hangt uiteraard af van aard/omvang misstand), of bespreek je het in eerste instantie met je direct leidinggevende. Daarnaast zijn er nog vaak andere mogelijkheden binnen een organisatie om een melding te doen (bijvoorbeeld HR of Compliance). Op deze manier voorkom je een klikcultuur en een afbreuk aan directe aanspreekbaarheid. Veel meer zien we ook dat organisaties ervoor kiezen om dit hele traject van bespreekbaarheid - met als laatste redmiddel anonimiteit - onderdeel te maken van de gedragscode12.
Anonimiteit als een tijdelijke stap in het proces De drempel om een melding te doen van een misstand is hoog. Dit wordt ook wel het ‘bystander effect’ genoemd: getuigen kijken liever de andere kant op. Vooral als er een risico 11
Nederlandstalige bewerking van eerder verschenen publicatie: Sips, E. (2013) The Bureaucratic Hassle of making an internal misconduct reporting system privacy compliant. Privacy & Compliance, 03 2013 12 Een mooi voorbeeld is Hoffmann La Roche die spreken van een ‘speakup’ cultuur. Zie Code of Conduct, de introductie van de CEO en pagina 13. Te downloaden via: http://www.roche.com/about_roche/corporate_governance/code_of_conduct.htm (januari 2014)
is dat ze er zelf (negatief) bij betrokken worden. Deze getuigen, de mensen die alleen maar iets te verliezen hebben bij het doen van de melding, moeten de mogelijkheid hebben om zo laagdrempelig mogelijk een melding te kunnen doen. Anoniem melden zou ook een eerste tijdelijke stap in het proces kunnen zijn; op het moment dat de getuige vertrouwen heeft gekregen over de gevolgen van het doen van de melding en de bescherming van zijn/haar persoon, kan diegene alsnog besluiten om door te gaan op vertrouwelijke basis.
Professionele interne afhandeling Een essentieel element van een goede interne meldregeling, is het opzetten van een professioneel centraal punt voor de ontvangst van de meldingen. De vereisten aan de omvang van een dergelijk punt zullen afhangen van de omvang van de organisatie. Hier worden de meldingen ontvangen, ingeschat en wel of niet doorgestuurd voor afhandeling. Deze mensen zijn ook getraind om in het contact met de anonieme melder op een zeker moment te kunnen beoordelen of de melding waarde heeft om mee verder te gaan, of dat de melding geen gronden heeft om door te gaan. In dit laatste geval zullen alle persoonsgegevens onmiddellijk worden verwijderd. Steeds vaker zien we bij grote Europese ondernemingen de oprichting van een Compliance afdeling, die de rol van een professioneel meldpunt op zich neemt. Voor organisaties die (te) klein zijn, is het te overwegen om dit punt extern te laten faciliteren.
Anonieme communicatie De angst voor anonimiteit bij organisaties heeft veelal te maken met de angst voor valse meldingen. Heden ten dage bestaan er echter technieken waardoor communicatie met de anonieme melder mogelijk wordt. Deze maken het mogelijk om vervolgvragen te stellen aan de melder, feiten te verifiëren, de melder te wijzen op zijn/haar rechten en de melder (proportioneel) op de hoogte te houden van de (status van de) afhandeling. Met behulp van deze techniek, in combinatie met de juiste procedures over de afhandeling, worden de negatieve gevolgen van anonimiteit weggenomen.
1. De verwerking van persoonsgegevens is aangemeld bij het CBP (of Functionaris Persoonsgegevens). 2. Er is een procedure voor het bewaren en verwijderen van persoonsgegevens. 3. Er is een procedure voor het recht op informatie door betrokkenen. 4. Er is een procedure voor het recht op verzet door betrokkenen. 5. Er is een procedure voor het informeren van betrokkenen. 6. Er is een procedure waarin de afhandeling van de melding is vastgelegd. 7. Het verspreiden van persoonsgegevens gebeurt op een strikte need-to-know basis. 8. Er is een onafhankelijke functie die verantwoordelijk is voor de ontvangst en distributie van de meldingen, het anonimiseren van gegevens en het beschermen van identiteiten van betrokkenen. En die bekijkt of het gebruik van anonimiteit proportioneel is ten opzichte van aard en omvang van de melding. 9. Een afzonderlijke entiteit (bijvoorbeeld een ‘Ethics Committee’) geeft advies. 10. Er zijn heldere regels omtrent rapportage vanuit het centrale meldpunt (naar raad van bestuur, of indien aanwezig: naar de Functionaris Persoonsgegevens). 11. Anonimiteit is onderdeel van de regeling, maar alleen als een laatste redmiddel. 12. De regeling maakt het mogelijk om met een anonieme melder te communiceren. 13. Er zijn voldoende zekerheden over de beveiliging van de persoonsgegevens, zowel bij de betrokken interne afdelingen als bij mogelijke externe partijen. 14. Er bestaat een document waarin de interne procedures – inclusief privacy aspecten - begrijpelijk staan beschreven, dat beschikbaar is voor alle betrokkenen. Checklist II: Waar moet een interne meldregeling aan voldoen om in de geest van de privacy wetgeving te opereren (afhankelijk van de omvang en capaciteiten van de organisatie).
8. Afsluitend Rondom de ‘klokkenluidersregeling’ heerst vaak nog verwarring. De term klokkenluider is helemaal verkeerd, maar helaas ingeburgerd, dus we zullen het ermee moeten doen. Bij het invoeren van een klokkenluidersregeling, is het goed om het doel ervan helder voor ogen te houden. Het doel is om een interne meldregeling zodanig in te bedden in de organisatie dat deze bijdraagt aan preventie als onderdeel van het integriteitsbeleid van de organisatie. Voorwaarde hierbij is een verhoogde transparantie. En uiteraard moeten de meldingen ook professioneel worden opgevolgd.
