Hoe zet u een klokkenluidersregeling op in uw onderneming?

Sinds 15 februari 2023 moeten ondernemingen met 250 of meer werknemers een intern meldingskanaal aanbieden waar werknemers (een) inbreuk(en) binnen een werkgerelateerde context kunnen signaleren. Ondernemingen met 50 tot 249 werknemers hebben daarvoor nog de tijd tot 17 december 2023. Deze verplichting geldt niet voor juridische entiteiten met minder dan 50 werknemers (tenzij een Koninklijk Besluit daar later anders zou over beslissen). Voor bedrijven uit de financiële sector trad de wet al in werking op 15 februari 2023, ongeacht het aantal werknemers.

Bij een melding gaat het om mondelinge of schriftelijke informatie - waaronder redelijke vermoedens - over feitelijke of mogelijke inbreuken die hebben plaatsgevonden of zeer waarschijnlijk zullen plaatsvinden, alsook over pogingen tot verhulling van dergelijke inbreuken. Het gaat om de volgende inbreuken:

• overtredingen op het vlak van: 
  • overheidsopdrachten 
  • financiële diensten, producten en markten en het voorkomen van het witwassen van geld en terrorismefinanciering
  • productveiligheid en productconformiteit
  • vervoersveiligheid
  • milieubescherming
  • stralingsbescherming en nucleaire veiligheid
  • veiligheid van levensmiddelen en diervoeders, diergezondheid en dierenwelzijn
  • volksgezondheid
  • consumentenbescherming
  • bescherming van de persoonlijke levenssfeer en persoonsgegevens, en beveiliging van netwerk- en  informatiesystemen
  • bestrijding van belastingfraude (toegevoegd in de Belgische reglementering)
  • bestrijding van sociale fraude (toegevoegd in de Belgische reglementering)
• inbreuken waarbij de financiële belangen van de EU worden geschaad
• inbreuken met betrekking tot de interne markt, meer specifiek schendingen van de regels op het gebied van mededinging en staatssteun.

Gegevens rond onder andere nationale veiligheid, informatie gedekt door medisch beroepsgeheim, informatie van advocaten over hun cliënten en dergelijke vallen buiten het toepassingsgebied van de klokkenluidersregeling.

Het toepassingsgebied van deze regeling is heel ruim. Melders van inbreuken kunnen zowel werkzaam zijn in de private als in de publieke sector. Het gaat om een brede waaier van personen of entiteiten: 

• (ex)werknemers
• zelfstandigen
• aandeelhouders en bestuurders/leidinggevenden van een onderneming
• stagiairs
• sollicitanten
• personen die werken onder toezicht en leiding van (onder-)aannemers
• facilitators (dit zijn natuurlijke personen die melders van een inbreuk bijstaan in het meldingsproces)
• derden verbonden met de melder die het risico lopen op represailles in een werkgerelateerde context (bijvoorbeeld collega’s en familieleden),…

Ook buiten een werkgerelateerde context zijn meldingen mogelijk, bijvoorbeeld bij een schending op vlak van financiële producten, diensten en markten en ter voorkoming van het witwassen van geld en financiering van terrorisme.

De Europese richtlijn voorziet drie mogelijke meldingskanalen (zonder hierin een hiërarchie te voorzien):

• interne meldingskanalen
• externe meldingskanalen
• publieke openbaarmaking

Alle bedrijven in de privésector met minstens 50 werknemers moeten verplicht een intern meldingskanaal oprichten dat moet voldoen aan bepaalde inhoudelijke en procedurele vereisten.  
Dit moet gebeuren na raadpleging van de sociale partners. Voor de berekening van de drempel van het aantal werknemers wordt verwezen naar de Wet betreffende de sociale verkiezingen. Zo moet de melding bijvoorbeeld gebeuren via een online formulier of een spraakberichtsysteem, maar dit kan evenzeer uitbesteed worden via een externe tool. Op verzoek van de melder is ook een fysieke ontmoeting mogelijk.

Aanstelling van een meldingsbeheerder

Elke betrokken onderneming moet een meldingsbeheerder aanstellen. Dit kan intern beheerd worden of worden uitbesteed. De meldingsbeheerder is verantwoordelijk voor de ontvangst van de meldingen en staat in voor de zorgvuldige opvolging ervan. Hij is het aanspreekpunt voor de melder en dient hem of haar op de hoogte te houden van het verloop van de procedure. De meldingsbeheerder moet onafhankelijk en onpartijdig zijn, en mag geen belangenconflicten hebben. Hij mag dus geen leidinggevende zijn en ook geen deel uitmaken van het management. Voorbeelden van meldingsbeheerders zijn bijvoorbeeld een hr-manager of een Data Protection Officer.

Een melding kan ook extern gebeuren via een onafhankelijk meldingskanaal van bevoegde autoriteiten voor het gebied waarop de inbreuk is begaan. Voorbeelden van dergelijk extern meldingskanaal zijn de RVA, RSZ, RIZIV of FSMA. Hier is standaard een federale coördinator voorzien.

U bent niet verplicht om een melding eerst via een intern meldingskanaal te doen. Dit kan meteen via een extern meldingskanaal gebeuren.

Tot slot kunt u ook opteren voor de mogelijkheid van openbaarmaking van informatie (bijvoorbeeld medialekken, posten op sociale media,…).

Verwerking van persoonsgegevens

Uw onderneming moet altijd de AVG-regeling (Algemene Verordening Gegevensbescherming) respecteren. Elke verwerking van persoonsgegevens in het kader van een melding moet dus GDPR-conform gebeuren.

Persoonsgegevens die duidelijk niet relevant zijn voor de behandeling van een specifieke melding, mogen niet worden verzameld, of moeten - indien onbedoeld verzameld - onmiddellijk gewist worden. De naam, functie en contactgegevens van de melder worden beveiligd tot wanneer het gemelde strafbare feit is verjaard.

Wie geniet bescherming?

Melders die gegronde redenen hadden om aan te nemen dat de gemelde informatie over inbreuken op het moment van de melding juist was en dat die informatie binnen het toepassingsgebied van de wetgeving viel. Dit wordt beoordeeld in het licht van een referentiepersoon (persoon met een gelijkaardige situatie of gelijkaardige kennis). Bovendien moet een melder te goeder trouw zijn.

Zelfs indien informatie achteraf onjuist of ongegrond wordt bevonden, worden melders beschermd.

Deze beschermingsmaatregelen gelden ook voor andere partijen, zoals facilitators, derden, juridische entiteiten die eigendom zijn van melders,… (zie de opsomming hierboven).

Verbod op represailles

Melders van inbreuken worden beschermd tegen sancties of maatregelen als gevolg van een melding  (zogenaamde represailles).

Een represaille is een directe of indirecte handeling of nalatigheid (ook bedreigingen of pogingen tot) naar aanleiding van een interne of externe melding of openbaarmaking en die tot ongerechtvaardigde benadeling van de melder leidt of kan leiden.

Voorbeelden:

• Ontslag of soortgelijke maatregelen
• Schorsing, tijdelijke buitendienststelling, degradatie, weigering van promotie, overdracht van taken, verandering van locatie van de arbeidsplaats, loonsverlaging, verandering van de werktijden, weigering van opleiding, negatieve prestatiebeoordeling of arbeidsreferentie, het opleggen of toepassen van een disciplinaire maatregel, berisping of andere sanctie (zoals een financiële sanctie), dwang, intimidatie, pesterijen of uitsluiting,  discriminatie of ongelijke behandeling, niet-omzetting van tijdelijke arbeidsovereenkomst, niet-verlenging/vroegtijdige beëindiging tijdelijke arbeidsovereenkomst, schade (reputatieschade), met name op sociale media, financieel nadeel (met inbegrip van omzetderving en inkomstenderving), enzovoort.

Bescherming

Als het slachtoffer van represailles een werknemer is, voorziet de wet in de toekenning van een forfaitaire schadevergoeding tussen 18 en 26 weken loon (géén cumul schadevergoeding cao nr. 109 wegens kennelijk onredelijk ontslag mogelijk).

Is het slachtoffer geen loontrekkende? Dan wordt de schadevergoeding vastgesteld op de werkelijk geleden schade, waarvan het slachtoffer de omvang moet aantonen.

Bij een melding van een inbreuk financiële diensten of het witwassen van geld en de financiering van terrorisme, geldt een forfaitaire schadevergoeding van 6 maanden loon, hetzij de werkelijk geleden schade.

Voor deze inbreuken kan de melder die ontslagen werd of wiens arbeidsvoorwaarden gewijzigd werden, ook vragen om gereïntegreerd te worden of zijn of haar arbeidsvoorwaarden te respecteren.

Ondernemingen die geen correct meldingskanaal aanbieden of de procedurevoorwaarden voor meldingen niet volgen riskeren een sanctie.

Inbreuken op het gebied van interne meldingen en de opvolging ervan worden bestraft met een sanctie van niveau 4 volgens het Sociaal Strafwetboek, hetzij een gevangenisstraf van 6 maanden tot 3 jaar en/of een strafrechtelijke boete van 4.800 tot 48.000 EUR, hetzij een administratieve geldboete van 2.400 tot 24.000 EUR (per werknemer).  
Deze sancties gelden voor de werkgever, zijn aangestelde of zijn lasthebber.

Als de werkgever, zijn personeelsleden en elke natuurlijke persoon of rechtspersoon:

• de melding belemmert of tracht te belemmeren
• represailles neemt
• onnodige of hinderlijke procedures aanspant
• de geheimhoudingsplicht van de identiteit van de melders niet respecteert

kunnen de volgende sancties gelden: een gevangenisstraf van 6 maanden tot 3 jaar en/ of een boete van 4.800 tot 48.000 EUR. 

Ook melders kunnen gestraft worden. Dit is het geval wanneer wordt vastgesteld dat zij opzettelijk valse informatie hebben gemeld of openbaar gemaakt. Personen die schade lijden als gevolg van dergelijke meldingen of openbaarmakingen, hebben recht op schadevergoedingen overeenkomstig de contractuele of buitencontractuele aansprakelijkheid.

Bron: De wet van 28 november 2022 betreft de bescherming van melders van inbreuken op het Unie- of nationale recht, vastgesteld binnen een juridische entiteit in de private sector.

Meer weten?

Als klant van Baker Tilly kunt u contact opnemen met Lieven Nissens, Payroll & HR Consultancy Director of uw dossierverantwoordelijke.
Nog geen klant? Contacteer ons voor een vrijblijvend gesprek.