Compliance

Wet bescherming klokkenluiders: meldregeling opzetten

Wet bescherming klokkenluiders: interne meldregeling verplicht vanaf 50 werknemers, plus de AVG-eisen aan het meldkanaal (bewaartermijnen, toegang, DPIA).

De Wet bescherming klokkenluiders verplicht werkgevers met 50 of meer werknemers om een interne meldregeling te hebben waarmee medewerkers veilig misstanden kunnen melden. De wet trad in werking in februari 2023 en zet de EU-klokkenluidersrichtlijn (Richtlijn 2019/1937) om in Nederlands recht. Waar het in de praktijk misgaat, is de privacykant: het meldkanaal zelf is een verwerking van persoonsgegevens — vaak gevoelige — en moet dus voldoen aan de AVG. Dit artikel legt uit hoe u een meldregeling opzet die aan de wet voldoet én de AVG-eisen aan het meldkanaal respecteert: bewaartermijnen, toegangsbeperking, geheimhouding en, bij grootschalige of gevoelige verwerking, een DPIA.

Key Takeaways

  • Een interne meldregeling is verplicht vanaf 50 werknemers onder de Wet bescherming klokkenluiders.
  • De wet beschermt melders tegen benadeling en waarborgt vertrouwelijkheid.
  • Het meldkanaal is een AVG-verwerking: pas dataminimalisatie, toegangsbeperking en bewaartermijnen toe.
  • Een DPIA is aan te raden — vaak vereist — vanwege de gevoelige aard van meldingen.
  • Naast de interne route bestaat de externe route via het Huis voor Klokkenluiders.

Wat de wet verplicht

De Wet bescherming klokkenluiders verplicht werkgevers vanaf 50 werknemers tot een interne meldprocedure met een aantal harde eisen:

  • Een kanaal om (schriftelijk en/of mondeling) een vermoeden van een misstand te melden.
  • Een ontvangstbevestiging binnen zeven dagen.
  • Een inhoudelijke reactie binnen een redelijke termijn (maximaal drie maanden).
  • Waarborging van de vertrouwelijkheid van de identiteit van de melder.
  • Bescherming tegen benadeling (ontslag, degradatie, pesterij) van de melder.

De ondernemingsraad heeft instemmingsrecht op de meldregeling (WOR art. 27). De reikwijdte is breed: het gaat om misstanden met een maatschappelijk belang, waaronder schendingen van Unierecht, maar ook gevaar voor de volksgezondheid, veiligheid of het milieu.

Het meldkanaal als AVG-verwerking

Hier ligt de kern voor privacyprofessionals. Zodra een melding binnenkomt, verwerkt u persoonsgegevens: van de melder, van de beschuldigde en soms van getuigen. Dat zijn vaak gevoelige gegevens, mogelijk zelfs bijzondere of strafrechtelijke gegevens. De AVG stelt daarom eisen aan het hele kanaal.

Grondslag. De verwerking steunt doorgaans op de wettelijke verplichting om een meldregeling te hebben (artikel 6 AVG, grondslag c) en op het gerechtvaardigd belang bij een integere organisatie.

Dataminimalisatie. Verzamel alleen wat nodig is om de melding te beoordelen. Anonieme meldingen moeten mogelijk zijn, maar zijn niet verplicht te behandelen.

Toegangsbeperking. Alleen een strikt beperkte kring (de meldfunctionaris, eventueel onderzoekers) mag toegang hebben. Dit is een organisatorische maatregel onder artikel 32 AVG.

Bewaartermijnen. Bewaar meldingen niet langer dan nodig. Ongegronde meldingen verwijdert u snel; gegronde meldingen bewaart u zolang de afhandeling en eventuele juridische procedures dat vereisen. Leg dit vast in uw bewaartermijnenbeleid.

De DPIA voor het meldkanaal

Gezien de gevoelige aard van de verwerking — gegevens over vermeend wangedrag, met een reële impact op de betrokkenen — is een gegevensbeschermingseffectbeoordeling (DPIA) sterk aan te raden en in veel gevallen verplicht. De DPIA brengt de risico’s voor melder én beschuldigde in kaart en onderbouwt de maatregelen (toegangsbeperking, encryptie, bewaartermijnen). De AP rekent verwerkingen rond “vermoedens van strafbare feiten of onrechtmatig gedrag” tot de categorieën waarvoor een DPIA aan de orde is.

Extern kanaal en verwerkers

Veel organisaties besteden het meldkanaal uit aan een externe dienstverlener (een klokkenluiderssoftware of vertrouwenspersoon-op-afstand). Die partij is dan verwerker in de zin van de AVG, en u sluit een verwerkersovereenkomst onder artikel 28. Let bij de keuze op EU-hosting en op waar de gegevens worden opgeslagen; internationale doorgifte van dit type gevoelige data vraagt extra zorgvuldigheid.

De externe route: Huis voor Klokkenluiders

De wet kent naast de interne meldregeling een externe route. Melders mogen zich wenden tot een bevoegde externe autoriteit, waaronder het Huis voor Klokkenluiders, dat kan adviseren en onderzoeken. Een melder mag onder voorwaarden ook direct extern melden. Een goede interne regeling is daarmee niet alleen een wettelijke plicht, maar ook uw beste kans om een misstand binnenshuis op te lossen voordat die extern wordt.

Belangrijk detail: de wet verbiedt benadeling van de melder in brede zin. Dat gaat verder dan ontslag — ook een gemiste promotie, een overplaatsing, een negatieve beoordeling of sociale uitsluiting kan als benadeling gelden. De bewijslast is bovendien omgekeerd: benadeelt u een melder binnen een bepaalde periode na een melding, dan wordt vermoed dat die benadeling verband houdt met de melding, tenzij u het tegendeel aantoont. Dat maakt een zorgvuldig en gedocumenteerd proces niet alleen een privacyvereiste, maar ook een arbeidsrechtelijke noodzaak.

Stappenplan meldregeling opzetten

  1. Stel de meldprocedure op — kanaal, termijnen (7 dagen ontvangst, 3 maanden reactie), rollen.
  2. Wijs een meldfunctionaris aan — onafhankelijk en vertrouwelijk.
  3. Vraag instemming van de OR (WOR art. 27).
  4. Voer een DPIA uit op het meldkanaal.
  5. Regel de AVG-basis — grondslag, dataminimalisatie, toegangsbeperking, bewaartermijnen.
  6. Sluit een verwerkersovereenkomst bij uitbesteding.
  7. Communiceer de regeling naar alle medewerkers.

Een compliancetool zoals Legiscope kan helpen om de verwerking, de DPIA en de bewaartermijnen rond het meldkanaal in één register te documenteren, zodat de privacykant aantoonbaar op orde is.

De twee wettelijke kaders samengebracht

De praktische uitdaging is dat u twee regimes tegelijk moet dienen. De Wet bescherming klokkenluiders stelt eisen aan de procedure en de bescherming van de melder; de AVG stelt eisen aan de gegevensverwerking die het meldkanaal met zich meebrengt. Ze wijzen soms in verschillende richtingen: de wet wil dat u een melding grondig onderzoekt en documenteert, terwijl de AVG dataminimalisatie en beperkte bewaring voorschrijft. De oplossing zit in een doordacht ontwerp: verzamel alleen wat nodig is voor het onderzoek, scherm de identiteit van de melder af binnen het dossier, en stel per fase vast wie toegang krijgt. Zo voldoet u aan de onderzoeksplicht zonder de privacybeginselen te schenden. Wie het meldkanaal vanaf het begin met deze dubbele bril ontwerpt, voorkomt dat een goedbedoelde klokkenluidersregeling zelf een AVG-risico wordt.

FAQ

Vanaf hoeveel werknemers is een meldregeling verplicht?

Vanaf 50 werknemers moet een werkgever een interne meldregeling hebben onder de Wet bescherming klokkenluiders. Voor bepaalde sectoren (zoals financiële dienstverlening) kunnen aanvullende of strengere eisen gelden, ongeacht de omvang.

Is een DPIA verplicht voor een klokkenluidersmeldkanaal?

In veel gevallen wel. Een meldkanaal verwerkt gevoelige gegevens over vermeend wangedrag, wat de AP rekent tot de verwerkingen waarvoor een DPIA aan de orde is. Ook waar zij niet strikt verplicht is, is een DPIA sterk aan te raden om de risico’s en maatregelen te onderbouwen.

Moeten anonieme meldingen mogelijk zijn?

De wet vereist dat vertrouwelijk melden mogelijk is en beschermt de identiteit van de melder. Anonieme meldingen moet u faciliteren, maar u bent niet verplicht een volledig anonieme melding in behandeling te nemen. Regel dit expliciet in uw procedure.

Hoe lang mag ik een melding bewaren?

Niet langer dan nodig voor de afhandeling. Ongegronde meldingen verwijdert u snel; gegronde meldingen bewaart u zolang de afhandeling en eventuele juridische procedures dat vergen. Leg concrete bewaartermijnen vast in uw bewaartermijnenbeleid en documenteer de onderbouwing.

Wie mag toegang hebben tot de meldingen?

Alleen een strikt beperkte kring: de meldfunctionaris en eventueel aangewezen onderzoekers. Toegangsbeperking is een organisatorische beveiligingsmaatregel onder artikel 32 AVG en essentieel om de vertrouwelijkheid die de wet eist te waarborgen.

Conclusie

De Wet bescherming klokkenluiders verplicht werkgevers vanaf 50 werknemers tot een interne meldregeling met vaste termijnen en waarborgen voor de melder. De valkuil zit in de privacykant: het meldkanaal is een AVG-verwerking van vaak gevoelige gegevens, en vereist dataminimalisatie, strikte toegangsbeperking, doordachte bewaartermijnen en doorgaans een DPIA. Regel de OR-instemming, sluit bij uitbesteding een verwerkersovereenkomst, en documenteer de verwerking aantoonbaar. Een goede regeling voldoet niet alleen aan de wet, maar lost misstanden binnenshuis op voordat de externe route via het Huis voor Klokkenluiders in beeld komt.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →