Dekkingsoverzicht van Richtlijn (EU) 2019/1937 #
EthicsPortal is gebouwd om uw organisatie nalevend te houden aan Richtlijn (EU) 2019/1937, de nationale omzetting daarvan in uw land en de AVG. Elke functie sluit rechtstreeks aan op een wettelijke eis.
Deze pagina is het overzicht van functie naar eis: elk artikel van de richtlijn wordt gekoppeld aan de specifieke EthicsPortal-functie die eraan tegemoetkomt. Voor hoe EthicsPortal de meerduidige bepalingen van die artikelen interpreteert — de drempel van 50 werknemers, wat als “zorgvuldige opvolging” geldt, onderbouwingen van bewaartermijnen, de AVG-rechtsgrond, voorrang van nationaal recht — zie de afzonderlijke interpretaties .
Alle 27 EU-lidstaten hebben de richtlijn in nationaal recht omgezet. Uw organisatie moet voldoen aan de nationale wet in uw land van vestiging — zie onze referentie klokkenluiderswetten per land voor specifieke wetsnamen, sancties en handhavingsautoriteiten. Belangrijke nationale wetten zijn onder meer Loi Waserman (Frankrijk), HinSchG (Duitsland), D.Lgs. 24/2023 (Italië), Ley 2/2023 (Spanje) en de Wet van 14 juni 2024 (Polen).
Laatst bijgewerkt: 2026-05-17.
§1. Meldkanalen (art. 8) #
Organisaties met 50 of meer werknemers moeten veilige interne meldkanalen instellen.
| Eis | Hoe EthicsPortal dit afhandelt |
|---|---|
| Veilig kanaal voor het melden | Versleuteld webportaal met een unieke URL per organisatie |
| Vertrouwelijkheid van de identiteit van de melder | End-to-end-versleuteling van alle persoonsgegevens, geen IP-registratie, automatische verwijdering van metadata uit geüploade bestanden |
| Toegankelijk voor alle werknemers | Webgebaseerd portaal werkt op elk apparaat, geen app-installatie of account vereist |
| Aanpasbaar aan de organisatie | Configureerbare categorieën, logo en welkomstboodschap |
§2. Meldprocedures (art. 9) #
| Eis | Artikel | Hoe EthicsPortal dit afhandelt |
|---|---|---|
| Aanwijzen van een onpartijdige persoon of afdeling | Art. 9(1)(c) | Systeem voor zaaktoewijzing met rolgebaseerde toegang — alleen geautoriseerde behandelaars zien meldingen |
| Ontvangst bevestigen binnen 7 dagen | Art. 9(1)(b) | Automatische termijnbewaking met e-mailmeldingen aan behandelaars wanneer de termijn van 7 dagen nadert of wordt gemist |
| Zorgvuldige opvolging door de aangewezen persoon | Art. 9(1)(d) | Zaakbeheer met statusworkflow (ontvangen, bevestigd, in onderzoek, gesloten), interne notities voor samenwerking tussen behandelaars en een volledige audit trail |
| Terugkoppeling geven binnen drie maanden | Art. 9(1)(f) | Automatische bewaking van de termijn van 3 maanden met waarschuwingen bij overschrijding aan alle organisatiebeheerders. Melders zien de tijdlijn op het portaal en kunnen op elk moment de status controleren met hun zaak-ID en toegangscode |
| Mondelinge melding mogelijk maken (telefonisch, via voicemail, of een fysieke ontmoeting op verzoek) | Art. 9(2) | Configureerbaar telefoonnummer weergegeven op het portaal; behandelaars kunnen telefonische, persoonlijke en schriftelijke meldingen rechtstreeks in het systeem vastleggen |
| Informeren over mogelijkheden voor externe melding | Art. 9(1)(g) | Het portaal toont informatie over het recht van de melder om contact op te nemen met nationale bevoegde autoriteiten, met verwijzing naar Richtlijn (EU) 2019/1937 |
§3. Reikwijdte van de bescherming (art. 4) #
De richtlijn beschermt niet alleen werknemers, maar ook aannemers, leveranciers, aandeelhouders en andere derden.
EthicsPortal toont op het portaal duidelijke richtsnoeren dat melden openstaat voor werknemers, aannemers, leveranciers en alle andere derden.
Het intakeformulier vraagt de melder ook — optioneel — naar zijn relatie tot de organisatie (huidige of voormalige werknemer, aannemer, leverancier, sollicitant, aandeelhouder of anderszins), als spiegel van de categorieën van het personele toepassingsgebied van art. 4, zodat behandelaars kunnen bevestigen dat de bescherming van toepassing is. De vraag is overslaanbaar, zodat anonimiteit nooit afhankelijk is van het beantwoorden ervan.
§4. Bescherming tegen represailles (art. 6, 19–21) #
Melders moeten worden geïnformeerd dat represailles wettelijk verboden zijn.
EthicsPortal toont op elke portaalpagina een kennisgeving over het verbod op represailles, met verwijzing naar Richtlijn (EU) 2019/1937, voordat de melder indient.
Op het intakeformulier kan de melder bovendien optioneel aangeven of hij represailles vreest of al ondervindt. Wanneer dit is ingesteld, draagt de melding een opvallende urgentiebadge in de weergave van de behandelaar, zodat een zaak met verhoogde bescherming in één oogopslag zichtbaar is.
§5. Vertrouwelijkheid van de identiteit (art. 16) #
| Eis | Hoe EthicsPortal dit afhandelt |
|---|---|
| Identiteit niet bekendgemaakt buiten geautoriseerd personeel | Rolgebaseerde toegangscontrole — alleen beheerders, de primaire toegewezen persoon en uitdrukkelijk toegevoegde deelnemers (bijv. juridisch, HR) kunnen een melding inzien. Niet-beheerderbehandelaars zien alleen zaken die aan hen zijn toegewezen of waaraan zij als deelnemer zijn toegevoegd |
| Anonimiteit van de behandelaar tegenover de melder | Klokkenluiders zien “Zaakbehandelaar” in berichten, nooit de echte naam of het e-mailadres van de behandelaar |
| Gevoelige gegevens versleuteld | Namen van melders, contactgegevens, meldingsbeschrijvingen en berichtinhoud worden in rust versleuteld met niet-deterministische versleuteling |
Geen AI-verwerking van meldingsinhoud. Vertrouwelijkheid op grond van Art. 16 strekt zich uit tot welke derden de melding zien. EthicsPortal geeft meldingsinhoud, identiteit van melders of zaakcommunicatie niet door aan enig groot taalmodel of AI-inferentiedienst — niet voor categorisatie, niet voor samenvatting, niet voor vertaling. Geen enkele AI-aanbieder (OpenAI, Anthropic, Google, Mistral of andere) is een sub-verwerker. Dit verwijdert een categorie van openbaarmaking van sub-verwerkers uit uw verwerkersovereenkomst en verwijdert overwegingen op grond van Art. 22 (geautomatiseerde besluitvorming) uit uw GEB. Zie de lijst van sub-verwerkers voor de bijbehorende vermelding.
Twee aanvullende redenen waarom dit een keuze van vertrouwelijkheidsniveau is en geen voorkeur voor een functie:
- Geen hallucinaties in de bewijsketen voor naleving. Grote taalmodellen produceren probabilistische output. Een samenvatting die zegt “deze melding lijkt niet urgent” is een waarschijnlijkheid, geen feit, en kan niet worden gereproduceerd of gecontroleerd. EthicsPortal registreert deterministisch wie, welke actie en op welk tijdstip — het auditlog is bewijs, geen gok.
- Geen aanvalsoppervlak voor prompt injection op meldingen van melders. Invoer van melders is per definitie niet te vertrouwen. Door deze via een LLM te leiden ontstaat een categorie aanvallen waarbij instructies die in de meldtekst zijn ingebed de output richting de behandelaar kunnen manipuleren (voorgestelde antwoorden, samenvattingen, categorisatie). EthicsPortal verwijdert het oppervlak volledig door geen inferentie op meldingsinhoud uit te voeren.
§6. Registratie (art. 18) #
| Eis | Hoe EthicsPortal dit afhandelt |
|---|---|
| Registratie van elke melding bijhouden | Volledig auditlog van alle acties: indieningen, statuswijzigingen, berichten, toewijzingen en inzage van meldingen |
| Registraties veilig opslaan | Alle gevoelige velden in rust versleuteld |
| Registraties opvraagbaar | Volledige zaakexport naar pdf met metadata, berichtenketen, bijlagenlijst en audit trail. Nalevingsrapport op organisatieniveau in pdf beschikbaar voor auditors — bevat de richtlijnchecklist, SLA-cijfers en samenvatting van gegevensbescherming zonder gevoelige meldgegevens prijs te geven |
| Registraties verwijderen wanneer niet langer noodzakelijk | Configureerbare bewaartermijn (12, 24, 36 of 60 maanden) met automatische verwijdering van verlopen gesloten meldingen |
§7. AVG-naleving #
| Eis | Artikel | Hoe EthicsPortal dit afhandelt |
|---|---|---|
| Rechtsgrond voor verwerking | art. 6, lid 1, onder c | Verwerking is noodzakelijk om te voldoen aan Richtlijn (EU) 2019/1937 |
| Informatie over gegevensverwerking | art. 13/14 | Privacyverklaring weergegeven op het meldformulier voordat de melder indient |
| Minimale gegevensverwerking | art. 5, lid 1, onder c | Alleen essentiële velden verzameld; naam en contactgegevens van de melder zijn optioneel |
| Opslagbeperking | art. 5, lid 1, onder e | Configureerbare bewaartermijn per organisatie met automatische verwijdering |
| Integriteit en vertrouwelijkheid | art. 5, lid 1, onder f | Versleuteling in rust voor alle gevoelige gegevens; geen IP-registratie op portaalroutes; bestandsmetadata automatisch verwijderd |
| Recht op gegevenswissing | art. 17 | Automatische, op bewaartermijn gebaseerde verwijdering; handmatige verwijdering beschikbaar voor beheerders |
§8. Beveiligingsmaatregelen #
| Maatregel | Detail |
|---|---|
| Versleuteling in rust | Alle meldingsbeschrijvingen, namen van melders, contactgegevens en berichtinhoud worden versleuteld met niet-deterministische versleuteling |
| Geen IP-registratie | IP-adressen van melders worden nooit opgeslagen — snelheidsbeperking gebruikt onomkeerbare eenrichtingshashes |
| Verwijdering van bestandsmetadata | EXIF-gegevens (GPS-coördinaten, cameramodel, auteursinformatie) worden vóór opslag automatisch verwijderd uit geüploade afbeeldingen |
| Anonieme identiteit van de behandelaar | Klokkenluiders zien nooit de echte naam van de behandelaar — berichten tonen “Zaakbehandelaar” |
| Snelheidsbeperking | Endpoints van het openbare portaal zijn aan snelheidsbeperking onderworpen om misbruik te voorkomen |
| Toegangscontrole | Rolgebaseerde rechten zorgen ervoor dat alleen geautoriseerde behandelaars meldingen kunnen inzien; niet-beheerderbehandelaars zien alleen zaken die aan hen zijn toegewezen of waaraan zij als deelnemer zijn toegevoegd |
| Audit trail | Elke actie wordt gelogd met tijdstip, actor en type actie — uitsluitend toevoegingen en altijd beschikbaar voor toezichthoudende controle |
§9. Wat uw organisatie nog moet doen #
EthicsPortal regelt de technische eisen. Uw organisatie is verantwoordelijk voor:
- Het aanwijzen van een meldingsverantwoordelijke — wijs ten minste één persoon aan die verantwoordelijk is voor de behandeling van meldingen
- Intern beleid — stel een beleid voor de bescherming van klokkenluiders vast en communiceer dit aan werknemers
- Training — zorg ervoor dat aangewezen behandelaars hun vertrouwelijkheidsverplichtingen begrijpen
- Handhaving van het verbod op represailles — zorg ervoor dat het management begrijpt dat represailles een wetsovertreding zijn
- Toestemming voor bekendmaking van identiteit — als de identiteit van een melder buiten de geautoriseerde behandelaars moet worden gedeeld (bijv. met rechtshandhaving), verkrijg dan eerst de uitdrukkelijke toestemming van de melder (Art. 16(2) )
- Werknemers informeren — deel de portaal-URL met werknemers (EthicsPortal levert een deelbare link en QR-code)
Vragen? #
Beheerders kunnen een nalevingsrapport in pdf rechtstreeks downloaden vanaf de instellingenpagina van het portaal. Het bevat een volledige checklist voor Richtlijn (EU) 2019/1937, SLA-cijfers, gegevensbeschermingsmaatregelen en een samenvatting van de audit trail — klaar om aan een auditor te overhandigen zonder gevoelige meldgegevens prijs te geven.
Voor landspecifieke eisen (sancties, bewaartermijnen, handhavingsautoriteiten), zie onze referentie klokkenluiderswetten per land .
Voor hoe EthicsPortal de meerduidige bepalingen van de richtlijn interpreteert (de drempel van 50 werknemers, wat als “zorgvuldige opvolging” geldt, onderbouwingen van bewaartermijnen, de AVG-rechtsgrond), zie de interpretaties van Richtlijn (EU) 2019/1937 .
Als u hulp nodig hebt om naleving aan te tonen aan uw juridische team of toezichthouder, neem dan contact met ons op via legal@ethicsportal.eu .
Laatst bijgewerkt: