Multinational. Advies vergunningaanvraag ex. art. 77 lid 2 WBP

Vergelijkbare documenten
verklaring omtrent rechtmatigheid

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

Secretariaat De Eendracht (BETA) Voorafgaand onderzoek Verklaring omtrent rechtmatigheid Definitief besluit. Geachte A,

Zorgverzekeraars Nederland Definitieve bevindingen Ambtshalve onderzoek aangaande toepassing Controle op Verzekering van VECOZO B.V.

Bevindingen De bevindingen van het CBP luiden als volgt:

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z

Bij brief heeft het CBP u laten weten de beslissing op het bezwaarschrift te verdagen.

Stichting Waarschuwingsregister Logistieke Sector. z Postbus KS ZOETERMEER

Stichting RDC. Informatieverplichting

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

De minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus EC Den Haag Ministeriële regeling afsluitingen

Ons kenmerk z Onderwerp Wetgevingsadvies Tijdelijk besluit experiment vervroegde inzet no-risk polis

Het CBP voldoet hierbij aan dit verzoek. Kader

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking van screeningsgegevens van Curriculum Vitae Zeker B.V.; z

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

Nederlands Instituut van Psychologen inzagerecht testgegevens

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

In de werkgroep over DIS/TTP heeft het CBP in meerdere instanties nadrukkelijk op deze aandachtspunten gewezen.

PRIVACY REGLEMENT

Ons kenmerk z Contactpersoon

De minister van Infrastructuur en milieu

Regeling melden (vermoedens) van misstanden

Ons kenmerk z Contactpersoon Onderwerp Wetgevingsadvies Wet wijziging financieringsstelsel kinderopvang

Wettelijke kaders voor de omgang met gegevens

KLOKKENLUIDERSREGELING ROTTERDAMS MONTESSORI LYCEUM

Regeling omgaan met melden vermoeden misstand of onregelmatigheid

8.50 Privacyreglement

Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

Privacyreglement Hulp bij ADHD

Bestuurlijk Overleg Almere. onderzoek Digidoor; eindoordeel

PRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen

Winkelier. Winkelier creditcard; definitieve bevindingen

De Minister van Economische Zaken. Advies over de novelle behorende bij het wetvoorstel 31374

Privacy reglement / Geheimhouding

Privacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

TVDW ADMINISTRATIEVE BEGELEIDING. Privacy document. Beveiligingsmaatregelen en privacyverklaring. Twan van de Wiel B.V

de bank ambtshalve onderzoek de bank Definitieve Bevindingen

Arbodienst. Klacht; verzoeker/arbodienst

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

verklaring omtrent rechtmatigheid

Op drie punten uit uw brief van 23 februari 2006 zal het CBP hieronder nog nader ingaan.

Privacyreglement. ALTRA Jeugd- en Opvoedhulp

Privacyreglement van Stichting 070Watt;

KLACHTEN- EN PRIVACYREGLEMENT NEW TARGET VISION BV (met betrekking tot verwerking persoonsgegevens)

De Minister van Veiligheid en Justitie. Postbus EH Den Haag. Advies wetsvoorstel toevoegen gegevens aan procesdossier minderjarige

Op grond van de verstrekte informatie concludeert het CBP dat de FAD voornemens is het Protocol op een aantal punten te wijzigen.

Privacyreglement Picos B.V.

Privacyverklaring Stichting Speelotheek Pinoccio

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacy document. Beveiligingsmaatregelen en privacyverklaring. Opgesteld door: Edwin Klijn

PROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag

Rapport. Een onderzoek naar een klacht over informatieverstrekking aan derden. Oordeel

de Minister van Justitie de heer mr. E.H.M. Hirsch Ballin Postbus EH DEN HAAG

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 60. TEL FAX INTERNET

Klokkenluidersregeling. Regeling inzake het omgaan met een vermoeden van een ernstige misstand (klokkenluidersregeling)

Privacyreglement Work4People Privacyreglement

Gegevensverzameling: verzameling van persoonsgegevens over een cursisten of medewerkers met daaraan ten grondslag een bepaald doel.

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

AVG Algemeen PRIVACYREGLEMENT

Privacyreglement Medewerkers Welzijn Stede Broec

Privacy reglement. Birtick Zorg & Welzijn

Privacyreglement van De Zaak van Ermelo

Minister van Financiën. Postbus EE Den Haag

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Privacyreglement Werkvloertaal 26 juli 2015

Privacyreglement Bureau Beckers

In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder:

PRIVACY REGELEMENT

Verder in dit document te noemen Optimaal Werk en gelieerde bedrijven of Opdrachtnemer.

REGLEMENT BESCHERMING PERSOONSGEGEVENS. Wageningen University & Research. I Algemene bepalingen II Verwerking van persoonsgegevens...

De Staatssecretaris van Volksgezondheid, Welzijn en Sport

De Minister van Sociale Zaken en Werkgelegenheid Postbus LV Den Haag

Privacyreglement Potenco

Klokkenluidersregeling a.s.r.

Gedragscode Persoonlijk Onderzoek

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10= INTERNET

PRIVACYREGLEMENT. de publieke uitvoerder van re-integratieactiviteiten in de Leidse regio, onderdeel van de gemeentelijke instelling DZB Leiden.

Universiteit Leiden Centrum voor Recht in de Informatiemaatschappij Postbus RA LEIDEN. privacyaspecten digitalisering cultureel erfgoed

Privacy reglement. Pagina 1 van 9

Uit artikel 24 Wbp volgt dat het gebruik van wettelijke identificatienummers, zoals het BSN, een wettelijke grondslag moet hebben.

KLOKKENLUIDERSREGELING LANDELIJK BUREAU VLUCHTELINGENWERK NEDERLAND

Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

PROTOCOL. Onze vereniging

Vangnetregeling huursubsidie

Klokkenluidersregeling

Artikel 3 Categorieën personen, opgenomen in het bestand Het bestand bevat uitsluitend gegevens van cliënten, opdrachtgevers en medewerkers.

PRIVACYVERKLARING. 2. De verwerkingsdoeleinden waarvoor uw persoonsgegevens zijn bestemd

Omgaan met melden vermoeden misstand (Klokkenluidersregeling)

Privacyreglement Stichting Werkcarrousel

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

Klager bevindingen en beoordeling inzake klacht verzoeker/scholengemeenschap

Privacyreglement/ Geheimhouding

1.2. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement Vakpaspoort SF-BIKUDAK Verwerking (persoons)gegevens SF-BIKUDAK.

Transcriptie:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Multinational DATUM 16 januari 2006 CONTACTPERSOON UW BRIEF VAN 27 oktober 2005 UW KENMERK C. 114641-0015 ONDERWERP Advies vergunningaanvraag ex. art. 77 lid 2 WBP Per brief van 22 september 2004 verzocht u de Minister van Justitie namens uw cliënte (hierna te noemen: verzoekster), een vergunning als bedoeld in artikel 77, tweede lid, Wet bescherming persoonsgegevens (WBP) te verlenen voor de doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt. Het betreft in dit geval de doorgifte van persoonsgegevens aan een verantwoordelijke in de Verenigde Staten. Ingevolge artikel 77, tweede lid, WBP brengt het College bescherming persoonsgegevens (CBP) advies uit aan de Minister van Justitie met betrekking tot de vergunningaanvraag. In verband hiermee is uw verzoek door het CBP in behandeling genomen en beoordeeld. Uw aanvraag gaf aanleiding tot een aantal vragen en opmerkingen, waarover met u van gedachten is gewisseld. In het navolgende zal het CBP de voorwaarden gesteld aan een kliklijn in concernverband in het algemeen alsmede de kliklijn van verzoekster en de door verzoekster ingediende vergunningaanvraag bespreken. Verloop Op 22 september 2004 heeft verzoekster een vergunningaanvraag gedaan. Op 12 oktober 2004 heeft u gesproken met het CBP over de vergunningaanvraag en op 18 oktober 2004 heeft u aanvullende informatie over de verwerking en de doorgifte verstrekt. Op 11 november 2004 heeft het CBP u per brief aanvullende vragen gesteld. Op 7 december 2004 heeft u laten weten de aanvullende informatie te verstrekken, hetgeen u op 21 december 2004 heeft gedaan. Op 15 april 2005 heeft u de brief van 21 december 2004 aangevuld ten aanzien van de toegang door buitenlandse autoriteiten tot de gegevens die uw cliënte wenst door te geven naar de VS. Op 26 mei 2005 heeft het CBP nadere vragen gesteld omtrent de rechtmatigheid van de verwerking door verzoekster. Uw collega heeft in uw afwezigheid op 1 september 2005 laten weten dat u na terugkeer op de brief van 26 mei 2005 reageert. Bij brief van 25 oktober 2005 heeft u inhoudelijk op de gestelde vragen gereageerd. BIJLAGEN BLAD 1

Feiten Verzoekster heeft een internationale interne kliklijn opengesteld voor medewerkers. De medewerkers kunnen via telefoonnummer xxxx melding maken van een aantal misstanden binnen de organisatie (te weten discriminatiekwesties, intimidatie, fraude, aangelegenheden met betrekking tot interne controle, overtreding van de ethische richtlijnen en gedragscode, diefstal, onregelmatige boekhouding of controle financiële administratie). De melding wordt behandeld door een organisatie die geen banden heeft met verzoekster. De medewerker kan de kliklijn 24 uur per dag, 7 dagen per week benaderen. De telefoon wordt beantwoord door een telefonist en een vertaler, die de melding in ontvangst nemen. De melding wordt uitgewerkt en doorgegeven aan de contactpersoon bij verzoekster. De melder krijgt een code en hoeft zich niet te identificeren, het betreft een geheel anonieme melding. Na zeven dagen kan de melder terugbellen en hoort dan wat verzoekster met de melding heeft gedaan. De melding kan ook per e-mail geschieden. De identificerende gegevens worden dan uit de e-mail gehaald en de melding wordt doorgezonden naar de contactpersoon van verzoekster. Hoewel de boodschap in beginsel anoniem is kan de organisatie toch informatie van de melder doorgeven aan verzoekster. Het is ook mogelijk niet anoniem te melden. Verzoekster geeft aan dat zij gehouden is een interne kliklijn open te stellen op grond van de Amerikaanse Sarbanes-Oxley wetgeving. Op basis van deze wet moeten werknemers op vertrouwelijke, anonieme basis het Audit Committee van de Raad van Bestuur van verzoekster op de hoogte kunnen stellen van administratieve onregelmatigheden of onjuistheden. Verzoekster is van mening dat ook andere misstanden gemeld moeten kunnen worden om zo tot een integere bedrijfsvoering te kunnen komen. Verzoekster geeft aan dat de werknemers eerst moeten proberen de problemen binnen het eigen bedrijfsonderdeel aan te kaarten alvorens de kliklijn te bellen. De werknemer wordt daarop gewezen door de telefoniste en de melding wordt niet behandeld indien deze route niet eerst is gevolgd. Verzoekster heeft aangegeven dat de ondernemingsraad heeft ingestemd met de implementatie van de kliklijn. Doorgifte Het Audit Committee van de Raad van Bestuur van verzoekster zit in de Verenigde Staten, net als In Touch, het bedrijf dat de eerste screening van de meldingen verricht. Dit heeft tot gevolg dat er persoonsgegevens worden doorgegeven aan een verantwoordelijke en een bewerker in de Verenigde Staten. Deze bewerker wordt onder een andere naam genoemd in de vergunningaanvraag. Verzoekster geeft aan dat er in beginsel geen gegevens worden verstrekt aan de Amerikaanse Public Company Accounting Oversight Board (PCAOB) of een andere Amerikaanse overheidsinstantie. Dit zou alleen kunnen gebeuren in het kader van een juridische procedure. Thans ligt ter beoordeling voor of de verwerking van persoonsgegevens in het kader van de kliklijn rechtmatig geschiedt. Indien dit het geval is zal positief geadviseerd dienen te worden ten aanzien van de vergunning voor doorgifte mits de standaardcontracten worden gehanteerd en deze op juiste wijze zijn overeengekomen. Anders dan verzoekster stelt is het enkele feit dat de BLAD 2

standaard contractbepalingen worden gehanteerd niet doorslaggevend voor het al dan niet geven van een positief advies aan de Minister van Justitie. I Vereisten voor een kliklijn in concernverband Het CBP is in beginsel van mening dat concerns een gerechtvaardigd belang kunnen hebben bij het gebruik van een kliklijn of andersoortige meldingssysteem (hierna: de kliklijn). De gegevensverwerking dient echter noodzakelijk te zijn voor het gerechtvaardigd belang en er dient gekeken te worden of fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, niet prevaleert. Het instellen van een kliklijn is te rechtvaardigen door middel van een belangenafweging tussen het belang in brede zin van het concern bij de kliklijn en de inbreuk op de persoonlijke levenssfeer en de andere rechten en vrijheden van betrokkenen bij de verwerking van diens gegevens via een kliklijn. Deze belangenafweging krijgt invulling met behulp van de begrippen proportionaliteit, subsidiariteit, ernst van de misstand en de gevolgen voor de betrokkene. Voor het verkrijgen van een rechtmatige grondslag op grond van artikel 8, onder f, WBP zullen er in het kader van de belangenafweging passende waarborgen getroffen moeten worden. Naast de toets op basis van de grondslag van artikel 8, onder f, WBP moet de kliklijn ook aan andere voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens voldoen. In dit kader zijn met name de artikelen 6 t/m 14, 22 en 34 van de WBP van belang. Deze artikelen vereisen onder meer dat de verwerking behoorlijk en zorgvuldig moet zijn, persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld moeten worden, niet langer dan noodzakelijk bewaard moeten worden, en toereikend, ter zake dienend en niet bovenmatig alsmede juist en nauwkeurig moeten zijn en passend beveiligd moeten worden. Rekening moet worden gehouden met de vereisten die gesteld worden aan de verwerking van bijzondere persoonsgegevens. Daarnaast dient te worden voldaan aan de informatieplicht. Deze vereisten komen overeen met het bepaalde in Richtlijn 95/46/EG van 24 oktober 1995 (hierna: de richtlijn). In het navolgende zal het CBP de vereisten toelichten en de kliklijn van multinational in dit licht beoordelen. Grondslag De grondslag voor de verwerking moet gevonden worden in artikel 8 onder c WBP (naleving wettelijke plicht) of artikel 8 onder f WBP (gerechtvaardigd belang). Van de eerstgenoemde grondslag is geen sprake, nu een buitenlandse wettelijke plicht hier niet onder kan worden begrepen. Het moet gaan om een nationaal wettelijke verplichting. Het CBP begrijpt dat voor verzoekster, gelet op de notering aan de Amerikaanse beurs de verplichtingen opgelegd onder de Sarbanes-Oxley wetgeving van belang zijn. Artikel 301 (4) van de Sarbanes-Oxley Act behelst de verplichting dat Each Audit Committee shall establish procedures for the confidential, anonymous submission by employees of the issuer of concerns regarding questionable accounting or auditing matters. Hierbij gaat het derhalve om kliklijnen met een beperkt bereik: uitsluitend het instellen van BLAD 3

procedures voor het vertrouwelijk, anoniem melden van boekhoudkundige of auditing misstanden vallen hieronder. De gevolgen voor verzoekster als zij niet kan voldoen aan deze buitenlandse wettelijke plicht dienen te worden meegewogen bij een beroep op artikel 8, onder f, WBP. Het enkele bestaan van een buitenlandse wettelijke verplichting levert an sich nog geen gerechtvaardigd belang op. Verzoekster wenst de kliklijn tevens open te stellen voor andere meldingen. De medewerkers kunnen meldingen doen van overtreding van de bedrijfsregels of de van toepassing zijnde wettelijke regels. Bij het melden van een misstand via een kliklijn moet het gaan om een substantiële misstand. Dit veronderstelt een zekere mate van ernst van de gemelde feiten of situaties. De ernst hangt af van de omstandigheden van het geval. Het aan de orde stellen van een misstand moet proportioneel zijn: de aard en de ernst van de misstand beïnvloeden de wijze waarop de melding kan worden gedaan. De werknemer moet een op redelijke gronden gebaseerd vermoeden hebben dat een dergelijke misstand dreigt of bestaat. Onder normale omstandigheden zou iedere melding, van welke aard ook, binnen een organisatie via reeds bestaande kanalen moeten worden gewikkeld. Dat wil zeggen: via de gewone hierarchie (de direct leidinggevenden), vertrouwenspersonen, medewerkers van personeelszaken of de ondernemingsraad en als het gaat om boekhouding via de controller of externe auditors. Het instellen van een kliklijn zou daarmee overbodig moeten zijn. Het CBP beseft dat bestaande kanalen niet in alle gevallen goed functioneren zodat een organisatie een gerechtvaardigd belang in de zin van artikel 8 onder f WBP kan hebben bij het instellen van een kliklijn. Een kliklijn mag echter niet de plek innemen van de normale afwikkelingsmogelijkheden. Gezien de aanvullende functie van de kliklijn (subsidiaire ingang) dient het doel beperkt te zijn. Een doorgifte van gegevens aan het moederbedrijf zal alleen dan gerechtvaardigd zijn indien het substantiële misstanden betreft die het niveau van het dochterbedrijf overstijgen. Indien de melding tevens strafrechtelijke gegevens (te weten, min of meer gegronde verdenkingen van een strafbaar feit) of andere bijzondere persoonsgegevens bevat, dient verzoekster rekening te houden met het regime dat van toepassing is op de verwerking van bijzondere persoonsgegevens (artikelen 16 t/m 23 WBP). Anoniem melden De mogelijkheid van een anonieme melding brengt het risico met zich van een ongegronde melding met als doel het zwart maken van de betrokkene. Het vragen om identificerende gegevens van de melder leidt ertoe dat een melder bewuster gebruik maakt van het systeem waardoor het gevaar van lasterlijke meldingen wordt gereduceerd. Niet anonieme meldingen kennen een aantal voordelen: het voorkomen dan wel beperken van valse of lasterlijke meldingen; het beschermen van de klokkenluider tegen vergelding; het beter kunnen afhandelen van een melding doordat in een later stadium aanvullende vragen kunnen worden gesteld. BLAD 4

In verband met de bescherming van de klokkenluider is het uiteraard noodzakelijk dat zijn gegevens vertrouwelijk worden behandeld en dat de identificerende gegevens niet aan de in de melding genoemde betrokkene ter beschikking worden gesteld, ook niet in het kader van een verzoek om inzage ex artikel 35 WBP. De huidige praktijk leert dat veel meldingen anoniem gebeuren en dat het voor veel bedrijven niet eenvoudig is deze meldingen te negeren. Het behandelen van deze anonieme meldingen vereist dat bijzondere waarborgen worden getroffen met name met betrekking tot de eerste beoordeling van de melding. Een organisatie mag het gebruik van anonieme meldingen niet aanmoedigen en dient een systeem in het leven te roepen waarbij het uitgangspunt is dat de identiteit van de melder wordt vastgesteld. De meldingen zelf dienen uit te gaan van feiten, niet van individuen. Het mogelijk maken van confidentiële meldingen waarbij de melder zijn identiteit slechts kenbaar maakt aan een vertrouwenspersoon of op andere wijze zijn identiteit confidentieel wordt gehouden, verdient naar het oordeel van het CBP de voorkeur. Op 24 juni 2003 heeft de Stichting van de Arbeid (Star) een Verklaring inzake het omgaan met vermoedens van misstanden in onderneming vastgesteld. De commissie Arbeid, Onderneming en Medezeggenschap van de Sociaal Economische Raad (SER) heeft op 22 december 2004 een advies uitgebracht aan de Minister van SZW inzake Klokkenluiders. De commissie heeft de verklaring van de Star tot uitgangspunt genomen bij zijn advies. Noch de Star, noch de SER gaat uit van anoniem melden. Uitgangspunt is melden bij een direct of een andere leidinggevende en in voorkomende gevallen bij een vertrouwenspersoon waarbij wel teruggekoppeld moet kunnen worden aan de melder. De SER ondersteunt de suggestie van het aanstellen van een vertrouwenspersoon nadrukkelijk. De regeling van de Star impliceert dat een anonieme melding moet worden voorkomen. De SER stelt dit expliciet vanwege het openhouden van de mogelijkheid de melder aan te spreken en om nadere uitleg te vragen. Naleven informatieplicht De informatieplicht ziet niet alleen op het informeren van de betrokkene dat hem betreffende gegevens worden verwerkt, maar tevens op heldere en transparante communicatie naar de medewerkers over het bestaan en de werkwijze van het systeem. Hierbij moet duidelijk worden gemaakt wie de verantwoordelijke is voor de verwerking en welke doeleinden de verwerking heeft. Hierbij verdient de reikwijdte van het systeem bijzondere aandacht. Bovendien moet gecommuniceerd worden dat misbruik van het systeem kan leiden tot de toepassing van disciplinaire maatregelen. Dit geldt uiteraard niet voor meldingen die een klokkenluider met de juiste intenties heeft gedaan en uiteindelijk ongegrond zijn gebleken. De in een melding genoemde personen dienen op de hoogte te worden gebracht dat hen betreffende gegevens worden verwerkt in het systeem, niet later dan op het moment van vastlegging van de gegevens. De betrokkene wordt op deze manier in staat gesteld zijn rechten uit te oefenen (artikel 35-41 WBP). Zolang dit met het oog op het veiligstellen van bewijsmateriaal noodzakelijk is kan het inlichten van betrokkene evenwel ex artikel 43 WBP tijdelijk worden opgeschort. Deze uitzonderingsmogelijkheid dient restrictief geïnterpreteerd te worden. BLAD 5

Toepassing van de uitzondering dient van geval tot geval beargumenteerd te worden. Zoals al eerder is aangegeven mag het inzagerecht niet worden gebruikt om achter de identiteit van de melder of andere betrokkenen te komen. Nauwkeurige, juiste en ter zake dienende informatie De melding moet objectief zijn, direct gerelateerd aan de reikwijdte van de kliklijn en de informatie mag uitsluitend gebruik worden om de vermoedelijke gedragingen te beoordelen. Uit de bewoordingen van het rapport over de melding moet duidelijk blijken dat het gaat om een vermoeden. Afhandelen van meldingen Het afhandelen van de meldingen dient te geschieden door een specifiek daartoe aangewezen (onderdeel van de) organisatie. Het verdient daarbij de voorkeur een organisatie buiten de eigen organisatie aan te wijzen voor de eerste afhandeling. De externe organisatie kan de meldingen reeds bij eerste kennisneming van de gegevens schiften op relevantie met het oog op de reikwijdte van de kliklijn en de overige vereisten voor een rechtmatige verwerking. Op deze wijze wordt voorkomen dat de opdrachtgever toch (mondeling) kennis neemt van gegevens waarvan de verwerking onrechtmatig wordt geacht. De toegang tot de meldingen en bijbehorende gegevens dient beperkt te zijn. De medewerkers die toegang hebben, dienen gebonden te zijn aan een geheimhoudingsplicht. Hierbij kan de doorgifte van persoonsgegevens naar een derde land aan de orde zijn. Deze doorgifte moet voldoen aan de eisen die de WBP daaraan stelt. Klachtafhandeling Er dient een standaard procedure te zijn voor het afhandelen van klachten over de kliklijn. In het bijzonder dient hierbij aandacht te worden besteed aan het afhandelen van klachten waarbij de rechten van betrokkenen (artikel 35 e.v. WBP) in het geding zijn. Bewaartermijn De verwerking van gegevens in het kader van een ongegronde melding dient onmiddellijk te worden gestaakt en de gegevens dienen te worden verwijderd. Gegevens die gerelateerd zijn aan een onderzoek mogen niet langer dan twee maanden na afronding van het onderzoek worden bewaard, tenzij disciplinaire maatregelen worden getroffen tegen de melder (valselijke melding) of de persoon over wie werd gemeld (gegronde melding). II Kliklijn multinational Het voorgaande betekent dat het CBP onder het navolgende voorbehoud uit gaat van een gerechtvaardigd belang van verzoekster ex artikel 8, onder f, WBP voor het openstellen van een kliklijn door het moederbedrijf voor het melden van dubieuze accounting en auditing BLAD 6

aangelegenheden (artikel 301(4) SOX) alsmede andere overtredingen van de bedrijfsregels of van de van toepassing zijnde wettelijke regels. Gelet op het feit dat de kliklijn is opengesteld teneinde het moederbedrijf te informeren, dienen uitsluitend die persoonsgegevens te worden doorgegeven die betrekking hebben op misstanden waarvan duidelijk is dat de afhandeling van de melding niet naar behoren op lager niveau kan plaatsvinden. De aard en de ernst van de misstand bepalen de wijze waarop de melding kan worden gedaan. Hierbij zal het veelal meldingen over ernstige misdragingen van het hoger management betreffen. Bij uitzondering kunnen echter ook ernstige misstanden begaan door lager geplaatste functionarissen voor melding via een kliklijn in aanmerking komen. Hierbij spelen de omstandigheden van het individuele geval een doorslaggevende rol. Deze beperkingen inzake de reikwijdte van de kliklijn dienen te zijn verdisconteerd in het systeem. Bovendien dient verzoekster maatregelen te treffen die het vertrouwelijk melden stimuleren en het anoniem melden afremmen, dan wel voorkomen. De poster die verzoekster heeft meegezonden als bijlage 4 bij de brief van 25 oktober 2005 gaat uit van de situatie dat een werknemer een anonieme melding bij een externe organisatie doet. Het CBP verzoekt u deze poster aan te passen aan de werkwijze zoals die door het CBP in het voorgaande is omschreven, waarbij met name de mededeling Uw boodschap is geheel anoniem aangepast dient te worden. Bovendien maakt de poster ten onrechte geen gewag van de reeds bestaande kanalen om misstanden te melden. Het is aan verzoekster om binnen de organisatie het vertrouwen te kweken dat ook vertrouwelijke meldingen op een adequate wijze worden afgehandeld. Verzoekster dient te voldoen aan de hiervoor onder I en II opgenomen vereisten, waarbij het CBP in het bijzonder aandacht vraagt voor de informatieplicht en de bewaartermijn. Indien aan het voorgaande wordt voldaan, waarbij het aanvraagformulier en de onderliggende documenten worden aangepast en aan het CBP worden gezonden, zal het CBP aan het ministerie van Justitie adviseren de vergunning af te geven. Ik vertrouw erop u hiermee voldoende te hebben geïnformeerd. Hoogachtend, mw. mr. dr. J. Beuving Collegelid BLAD 7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback