Op 17 december 2021 publiceerde de Vlaamse Regering het voorontwerp van decreet klokkenluiders dat een regeling uitwerkt voor de omzetting van de Europese Klokkenluidersrichtlijn (Richtlijn 2019/1937) in de publieke sector, met name voor de Vlaamse overheid en de lokale besturen. Op 18 januari 2022 bracht de Vlaamse toezichtcommissie voor de bescherming van persoonsgegevens (VTC) haar advies nr. 2022/006 op het voorontwerp uit. Dit advies belicht enkele cruciale aspecten van gegevensbescherming in het voorontwerp, die ook relevant zijn voor wie in de private sector een klokkenluidersregeling moet invoeren.
Voorontwerp van decreet klokkenluiders
Eerder berichtten we al over het voorontwerp van de wet voor ondernemingen in de private sector (zie onze bijdrage van 15 december 2021). Het voorontwerp van 17 december 2021 van de Vlaamse overheid focust op de publieke sector en moet meldingen binnen de Vlaamse overheid en lokale besturen mogelijk maken. Het decreet wijzigt het Provinciedecreet van 9 december 2005, het Decreet van 22 december 2017 over het lokaal bestuur en het Bestuursdecreet van 7 december 2018. Het Provinciedecreet en het Decreet van 22 december 2017 bevatten al een beperkte klokkenluidersregeling. Deze regelingen worden nu geschrapt en uitgebreid in het Bestuursdecreet opgenomen. Het Bestuursdecreet zal, als gevolg hiervan, in de toekomst een klokkenluidersregeling voor een zeer brede waaier aan overheden omvatten, gaande van onder meer de Vlaamse intern en extern verzelfstandigde agentschappen, over de Vlaamse gemeenten tot welzijnsverenigingen en autonome verzorgingsinstellingen.
Gegevensbescherming in het voorontwerp decreet klokkenluiders
Op 18 januari 2022 bracht de VTC een advies uit over de verwerkingen van persoonsgegevens die het voorontwerp decreet klokkenluiders met zich mee brengt.
Hoewel het decreet klokkenluiders enkel de publieke sector aanbelangt, impliceert elke klokkenluidersregeling ongeacht de sector – private of publieke – de verwerking van persoonsgegevens. In dat opzicht hebben de opmerkingen van de VTC dan ook een veel bredere relevantie en vormen ze als het ware een checklist voor iedereen die met klokkenluidersregelingen bezig is.
De VTC concludeert dat het voorontwerp voldoende waarborgen biedt voor de bescherming van persoonsgegevens, maar ze ziet toch enkele tekortkomingen. De VTC wijst op de volgende aspecten in het voorontwerp:
- Er is nood aan een duidelijkere afbakening van de melding ten opzichte van andere meldings- en klachtenprocedures. Zo kunnen melders zich immers ook tot andere kanalen wenden om aan te geven dat er in de werkomgeving wettelijke of reglementaire bepalingen niet worden nageleefd. Dat kan bijvoorbeeld de melding van een inbreuk op de Algemene Verordening Gegevensbescherming (AVG) bij de VTC zijn of – in de toekomst – een klachtenprocedure wegens discriminatie bij het Vlaams Mensenrechteninstituut.
- Het voorontwerp moet bijkomende richtlijnen opnemen om de bescherming van persoonsgegevens te garanderen wanneer de melder de vermeende inbreuk openbaar maakt. Op het moment van de openbaarmaking is er immers nog geen onderzoek gebeurd, maar kan de identiteit van betrokken personen (bijvoorbeeld de persoon over wie een melding wordt gedaan) wel al publiek worden.
- Er moet een duidelijke juridische basis zijn voor de verwerking in het kader van een melding. De verwerking is in de publieke sector in eerste instantie gebaseerd op artikel 6, lid 1, e) AVG (het vervullen van een taak van algemeen belang of in de uitvoering van het openbaar gezag), maar de VTC wijst ook op de noodzaak van een rechtsgrond in artikel 9 AVG. Er kunnen immers ook bijzondere categorieën van persoonsgegevens worden verwerkt, met name biometrische gegevens. Dat kan bijvoorbeeld een stem zijn wanneer de melding via een geluidopname zou gebeuren.
- Meldingskanalen, zowel intern (bijvoorbeeld Audit Vlaanderen of het bestuur) als extern (bijvoorbeeld de Vlaamse Ombudsdienst), zijn volgens de VTC als verwerkingsverantwoordelijke te beschouwen.
- De VTC raadt aan om een gegevensbeschermingseffectbeoordeling in de zin van artikel 35 AVG uit te voeren. Als reden daarvoor geeft de VTC aan dat de regeling een hoog risico zal inhouden voor de melder en voor andere betrokkenen die, al dan niet terecht, worden vermeld in het meldingsdossier.
- De persoonsgegevens van betrokkenen moeten tot het noodzakelijke worden beperkt. Wanneer een personeelshoofd zijn bevoegdheid om meldingen te ontvangen zou delegeren, moet het aantal personen dat toegang heeft tot de persoonsgegevens op grond van die delegatie beperkt blijven.
- De bewaartermijnen zijn in het voorontwerp vastgesteld op zes of tien jaar naargelang de gegevens al dan niet betrekking hebben op een misdrijf. Deze bewaartermijnen zijn afgestemd op de toepasselijke verjaringstermijnen voor misdrijven en inbreuken, maar zijn volgens de VTC te lang in het licht van het principe van opslagbeperking in artikel 5, lid 1, e) AVG.
- In het voorontwerp ontbreekt een bepaling dat de persoonsgegevens juist moeten zijn en moeten worden geactualiseerd, zoals vereist in artikel 5, lid 1, d) AVG.
- Het voorontwerp geeft aan dat de lijnmanager van de Vlaamse overheidsinstantie of het hoofd van het personeel van de lokale overheid of het lokale bestuur, bij wie de melding is ingediend, kan beslissen om de rechten van betrokkenen (bijvoorbeeld de melder of de persoon over wie een melding gebeurt) in de artikelen 12-21 AVG onder bepaalde voorwaarden in te perken. Net als voor andere decreten wijst de VTC erop dat de AVG enkel toelaat om de reikwijdte van de rechten te beperken, maar niet het bestaan van die rechten op zich. Ten aanzien van de melder is de VTC gekant tegen enige beperking van rechten. De melder is immers in principe al op de hoogte van het onderzoek. Wat andere betrokkenen (zoals derden die door de melder worden genoemd) betreft, volstaat de algemene verwijzing naar de bepalingen van de AVG niet en moeten de afwijkingsmogelijkheden verder worden verduidelijkt.
- Wanneer geluidsopnames van de melding worden gemaakt, is het volgens de VTC niet voldoende dat de melder daarover wordt geïnformeerd, maar beveelt de VTC aan dat de melder toestemming geeft voor die opname. Dit staat ook in de Klokkenluidersrichtlijn.
- Verder implementeert het voorontwerp het principe van data protection by design voor ontvangen meldingen zodat de vertrouwelijkheid wordt gewaarborgd van (i) de identiteit van de melder, (ii) de identiteit van derden die door de melder worden genoemd, en (iii) informatie waaruit de identiteit van de melder of een derde kan blijken. De VTC adviseert om dit toe te passen voor alle communicatie, ook voor de externe communicatie van de melding. Verder moeten ook waarborgen worden ingebouwd om de anonimiteit van de melder bij een anonieme melding te garanderen.
- Ten slotte bevat het voorontwerp een regeling voor gegevenslekken, bijvoorbeeld wanneer iemand een melding heeft gedaan bij een onbevoegd personeelslid of de melding op een onveilige manier is gebeurd. In dat geval moet het onbevoegde personeelslid de melding zo snel mogelijk op veilige wijze doorsturen naar het bevoegde personeelslid. Meldingen kunnen ook telefonisch gebeuren, waarbij iemands stem kan worden herkend. De VTC raadt aan om telefonische opnames van meldingen onmiddellijk te vervormen en om verdere maatregelen in het voorontwerp op te nemen om gegevenslekken te voorkomen. Zo refereert de VTC naar de voorbeelden van beveiligingsmaatregelen in artikel 32 AVG (bijvoorbeeld pseudonimisering en versleuteling, of nog de implementatie van een procedure om regelmatig de beveiligingsmaatregelen te testen) en in de vroegere aanbevelingen van de Commissie voor de bescherming van de persoonlijke levenssfeer. Verder benadrukt de VTC het belang van een behoorlijk gebruikers- en toegangsbeheer en documentatie van de toegang tot gegevens. Voor het gebruik van cloudtoepassingen verwijst ze naar haar eerdere adviezen en aanbevelingen.
We houden u graag verder op de hoogte van nieuwe ontwikkelingen en staan u graag bij om een klokkenluidersregeling te implementeren binnen uw organisatie.