Ga naar de hoofdinhoud Wettelijk verplicht in de EU voor organisaties met 50 of meer werknemers

Interpretaties van Richtlijn (EU) 2019/1937 #

Dit document legt vast hoe EthicsPortal bepalingen van Richtlijn (EU) 2019/1937 interpreteert die meer dan één redelijke lezing toelaten. Het is geschreven voor compliance officers, functionarissen voor gegevensbescherming en juridisch adviseurs die verdedigbare operationele beslissingen moeten nemen bij gebrek aan gezaghebbende interpretatieve richtsnoeren van de Europese Commissie of het Hof van Justitie.

Het is een levend document. Wanneer het Hof van Justitie, het Europees Comité voor gegevensbescherming of een bevoegde nationale autoriteit een bindende interpretatie uitvaardigt die afwijkt van de onderstaande standpunten, wordt dit document herzien en wordt het eerdere standpunt bewaard in het wijzigingslogboek.

Voor het overzicht van functie naar eis — welke EthicsPortal-functie aan elke bepaling van de richtlijn voldoet — zie het dekkingsoverzicht van Richtlijn (EU) 2019/1937 . De twee documenten zijn complementair: het dekkingsoverzicht documenteert wat het product doet; dit document documenteert hoe wij de wet lezen.

Laatst bijgewerkt: april 2026.

§1. Reikwijdte en bronnen #

Deze methodologie behandelt Richtlijn (EU) 2019/1937 zoals omgezet in het nationale recht van de 27 EU-lidstaten. Wanneer de nationale omzetting strenger is dan de richtlijn, geldt de nationale regel voor organisaties die in die jurisdictie actief zijn (zie §9).

Gezaghebbende bronnen, in volgorde van voorrang:

  1. De tekst van de richtlijn zelf — Richtlijn (EU) 2019/1937 van 23 oktober 2019, met inbegrip van de overwegingen.
  2. Nationale omzettingswetten — bindend binnen elke lidstaat. Zie klokkenluiderswetten per land voor specifieke wetsnamen en handhavingsautoriteiten.
  3. Uitspraken van het Hof van Justitie van de Europese Unie — bindend in de hele Unie.
  4. Richtsnoeren van het Europees Comité voor gegevensbescherming — voor gegevensbeschermingsaspecten (artikel 17, AVG-laag).
  5. Richtsnoeren van nationale bevoegde autoriteiten — overtuigend binnen de uitvaardigende staat.

Dit document is operationele methodologie. Het is geen juridisch advies. Organisaties dienen interpretaties te valideren bij bevoegd juridisch adviseur in hun jurisdictie voordat zij erop vertrouwen bij audit of geschillen.

§2. Conventies #

De richtlijn bepaalt introduceert een verklaring van wat de tekst van de richtlijn vereist.

In de praktijk betekent dit introduceert de interpretatie van EthicsPortal waar de tekst meer dan één lezing toelaat.

EthicsPortal implementeert dit door introduceert hoe de interpretatie zich manifesteert in het product. Exploitanten die een andere interpretatie kiezen, moeten mogelijk de configuratie of procedures dienovereenkomstig aanpassen.

Alle artikelverwijzingen verwijzen naar Richtlijn (EU) 2019/1937, tenzij anders vermeld.

§3. De drempel van 50 werknemers (art. 8) #

De vraag. Artikel 8, lid 3, verplicht entiteiten met “50 of meer werknemers” tot het instellen van interne meldkanalen. De richtlijn definieert niet hoe het personeelsbestand wordt berekend, hoe deeltijd- en tijdelijke werknemers meetellen, of de drempel per rechtspersoon of per concern geldt.

De richtlijn bepaalt dat “juridische entiteiten in de private sector met 50 of meer werknemers” moeten voldoen (art. 8, lid 3). Overweging 48 verduidelijkt dat de drempel wordt berekend “overeenkomstig het nationale recht tot omzetting van het toepasselijke Unierecht”.

In de praktijk betekent dit dat de berekening de bestaande regels van elke lidstaat voor het tellen van het personeelsbestand voor arbeids- en socialezekerheidsdoeleinden volgt. Deze regels verschillen:

De drempel wordt berekend per rechtspersoon, niet per concern. Een moeder en een dochter zijn voor de toepassing van artikel 8 afzonderlijke entiteiten, tenzij het nationale recht anders bepaalt. Artikel 8, lid 6, staat het delen van middelen toe binnen een concern van maximaal 249 werknemers — maar de verplichting om een kanaal in te stellen wordt nog steeds per entiteit boven de drempel van 50 werknemers geactiveerd.

Aannemers, uitzendkrachten en stagiairs tellen over het algemeen mee voor de drempel wanneer zij vallen binnen de nationale definitie van “werknemer” — die ruimer is dan “werknemer in loondienst” onder het EU-recht. Het Hof van Justitie heeft consequent geoordeeld dat het EU-rechtelijke begrip “werknemer” elke persoon omvat die diensten verricht voor en onder leiding van een ander tegen vergoeding (zie Lawrie-Blum, C-66/85).

EthicsPortal implementeert dit door de toegang niet af te schermen op basis van het personeelsbestand. Elke organisatie kan een portaal instellen, ongeacht de omvang. Organisaties onder de drempel van 50 werknemers exploiteren vaak vrijwillig portalen — voor risicobeheer, omdat het nationale recht een lagere drempel op hun sector toepast (bijv. financiële diensten), of omdat het concernbeleid dit voorschrijft.

§4. De ontvangstbevestigingstermijn (art. 9, lid 1, onder b) #

De vraag. Artikel 9, lid 1, onder b, vereist de ontvangstbevestiging “binnen zeven dagen na die ontvangst”. De richtlijn specificeert geen kalenderdagen of werkdagen, noch wanneer de klok begint te lopen voor meldingen die buiten kantooruren worden ontvangen.

De richtlijn bepaalt de ontvangstbevestiging “binnen zeven dagen na ontvangst”. Er wordt geen verdere kwalificatie gegeven.

In de praktijk betekent dit zeven kalenderdagen, geteld vanaf het moment waarop de melding het kanaal binnenkomt. Dit volgt het algemene beginsel dat termijnen in het Unierecht in kalenderdagen lopen, tenzij uitdrukkelijk anders is bepaald (Verordening (EEG, Euratom) nr. 1182/71, art. 3). Lidstaten die de richtlijn hebben omgezet, hebben de termijn van zeven dagen consequent als kalenderdagen behandeld (HinSchG §17(1)2; D.Lgs. 24/2023 art. 5, lid 1, onder d; Loi Waserman art. 8).

Een melding die om 23:59 uur op een zondag wordt ingediend, is een melding die op die zondag is ontvangen. De klok van zeven dagen begint op de volgende dag (dag 1 = maandag) en verstrijkt aan het einde van de zevende dag. Dit volgt artikel 3, lid 1, van Verordening 1182/71, dat bepaalt dat wanneer een termijn in dagen is uitgedrukt, de dag van de gebeurtenis die de termijn doet ingaan, niet meetelt.

Ontvangstbevestiging is niet hetzelfde als een inhoudelijke reactie. De ontvangstbevestiging is een bevestiging dat de melding is ontvangen en geregistreerd. Zij hoeft geen beoordeling van de gegrondheid van de melding te bevatten, noch de naam van de persoon die de melding behandelt.

EthicsPortal implementeert dit door op het moment van indiening automatisch een ontvangstbevestiging naar de melder te sturen, weergegeven op het portaal en (waar contactgegevens zijn verstrekt) per e-mail. De ontvangstbevestiging bevat de zaakreferentie en de wettelijke terugkoppelingstermijn van drie maanden. Organisaties die zijn geconfigureerd voor handmatige ontvangstbevestiging ontvangen termijnwaarschuwingen 48 uur vóór de zevendaagse grens en op de dag van het verstrijken.

§5. De terugkoppelingstermijn (art. 9, lid 1, onder f) #

De vraag. Artikel 9, lid 1, onder f, vereist terugkoppeling “binnen een redelijke termijn van ten hoogste drie maanden vanaf de ontvangstbevestiging of, indien geen ontvangstbevestiging aan de melder werd verzonden, drie maanden vanaf het verstrijken van de zevendagentermijn na de melding”. De richtlijn definieert niet wat als “terugkoppeling” kwalificeert.

De richtlijn bepaalt dat “terugkoppeling” betekent “het verstrekken aan de melder van informatie over de als opvolging geplande of genomen maatregelen en over de redenen voor die opvolging” (art. 5, onder 13).

In de praktijk betekent dit dat de terugkoppeling inhoudelijk is. Een verdere ontvangstbevestiging of een mededeling dat de melding “in behandeling” is, is geen terugkoppeling in de zin van artikel 9, lid 1, onder f. De melder heeft het recht om uiterlijk bij de grens van drie maanden te weten welke maatregelen de organisatie voornemens is te nemen (of heeft genomen) en de redenering daarachter.

Terugkoppeling hoeft geen definitief oordeel te zijn. Een organisatie mag verklaren dat de zaak nog in onderzoek is, mits zij ook vermeldt wat tot dusver is gedaan, welke verdere stappen zijn gepland en wanneer een verdere update kan worden verwacht. Wat vereist is, is informatie die voldoende is voor de melder om te beoordelen of de organisatie de melding serieus behandelt.

De klok van drie maanden loopt vanaf de datum van de ontvangstbevestiging, niet vanaf de datum van indiening van de melding. Waar de ontvangstbevestiging is vertraagd, verkort het terugkoppelingsvenster dienovereenkomstig — de laatst toegestane terugkoppelingsdatum is drie maanden en zeven dagen na de melding.

EthicsPortal implementeert dit door beide termijnen (ontvangstbevestiging van 7 dagen, terugkoppeling van 3 maanden) per zaak te bewaken en waarschuwingen bij overschrijding zichtbaar te maken voor alle organisatiebeheerders. Terugkoppeling aan de melder wordt geleverd via de tweerichtingsberichten van het portaal, die de anonimiteit van de melder behouden waar deze zijn identiteit niet heeft bekendgemaakt.

§6. Zorgvuldige opvolging (art. 9, lid 1, onder d) #

De vraag. Artikel 9, lid 1, onder d, vereist een “zorgvuldige opvolging door de aangewezen persoon of afdeling als bedoeld in punt c”. “Zorgvuldig” is niet gedefinieerd.

De richtlijn bepaalt dat opvolging betekent “elke door de ontvanger van een melding of een bevoegde autoriteit genomen maatregel om de juistheid van de in de melding gedane beweringen te beoordelen en, in voorkomend geval, om de gemelde inbreuk aan te pakken” (art. 5, onder 12).

In de praktijk betekent dit dat zorgvuldige opvolging drie operationele minimumcomponenten kent:

  1. Beoordeling. Een gedocumenteerde evaluatie of de beweringen, indien waar, een inbreuk zouden vormen binnen het materiële toepassingsgebied van de richtlijn (art. 2) of de nationale omzetting.
  2. Onderzoek in verhouding tot de bewering. Onderzoeksstappen die in verhouding staan tot de ernst van de vermeende inbreuk, de sterkte van het bewijs en de potentiële schade. Niet elke melding rechtvaardigt een volledig onderzoek; een melding die door geen enkel concreet detail wordt ondersteund, kan worden beoordeeld en gesloten met een gedocumenteerde motivering. Een melding met specifiek, gestaafd detail rechtvaardigt meer.
  3. Gelijktijdige registratie. Genomen maatregelen, genomen beslissingen en de redenering daarachter moeten worden vastgelegd op het moment waarop zij plaatsvinden. Een zorgvuldige opvolging die geen spoor nalaat, is niet te onderscheiden van geen opvolging.

“Zorgvuldig” is een objectieve maatstaf. Er wordt niet aan voldaan door subjectieve goede trouw alleen. Een organisatie die routinematig meldingen sluit zonder beoordeling, of die maanden nodig heeft om een dossier te openen, is niet zorgvuldig, ook al meent zij van wel.

EthicsPortal implementeert dit door een zaakbeheerworkflow te bieden met statusovergangen (ontvangen, bevestigd, in onderzoek, gesloten), interne notities voor samenwerking tussen behandelaars en een audit trail met uitsluitend toevoegingen die elke actie met tijdstip en actor registreert. De audit trail is het primaire bewijs van zorgvuldigheid bij een audit of toezichthoudende beoordeling.

§7. Vertrouwelijkheid van de identiteit (art. 16) #

De vraag. Artikel 16, lid 1, vereist dat de identiteit van de melder niet wordt bekendgemaakt aan iemand buiten de geautoriseerde personeelsleden. De richtlijn specificeert niet of “identiteit” zich uitstrekt tot metadata die de melder zouden kunnen identificeren (IP-adressen, browser fingerprints, metadata van bestandsauteurschap, patronen van tijdstempels).

De richtlijn bepaalt dat “de identiteit van de melder niet wordt bekendgemaakt aan iemand buiten de geautoriseerde personeelsleden die bevoegd zijn meldingen te ontvangen of op te volgen, zonder de uitdrukkelijke toestemming van die persoon” (art. 16, lid 1).

In de praktijk betekent dit dat “identiteit” functioneel wordt gelezen: zij omvat elke informatie die, alleen of in combinatie, identificatie van de melder mogelijk maakt. Deze lezing sluit aan bij de AVG-definitie van persoonsgegevens (Verordening (EU) 2016/679, art. 4, onder 1) en bij het consistente standpunt van het Europees Comité voor gegevensbescherming dat identificeerbaarheid contextafhankelijk is.

Het volgende wordt behandeld als identiteitsinformatie:

Organisaties die IP-adressen van melders bewaren, of die geüploade bestanden accepteren zonder de metadata te verwijderen, stellen zich bloot aan een vertrouwelijkheidsfout die technisch een schending van artikel 16 is, zelfs als de naam van de melder nooit wordt bekendgemaakt.

EthicsPortal implementeert dit door de IP-adressen van melders nooit op te slaan (snelheidsbeperking gebruikt onomkeerbare eenrichtingshashes), EXIF- en documentmetadata te verwijderen uit alle geüploade bestanden vóór opslag, en de identiteitsvelden van de melder in rust te versleutelen met niet-deterministische versleuteling (zodat zelfs volledige databasetoegang geen bulkopzoeking op naam mogelijk maakt).

§8. Bewaartermijn (art. 18) #

De vraag. Artikel 18, lid 1, vereist dat registraties van meldingen worden bewaard “niet langer dan noodzakelijk en evenredig is om te voldoen aan de bij deze richtlijn of bij andere Unie- of nationaalrechtelijke bepalingen opgelegde vereisten”. De richtlijn specificeert geen maximumperiode.

De richtlijn bepaalt een maatstaf van “noodzakelijk en evenredig”, verankerd aan nalevingsdoeleinden.

In de praktijk betekent dit dat de bewaring moet worden gerechtvaardigd onder verwijzing naar een concreet wettelijk of operationeel doel, in tijd beperkt en gedocumenteerd in de gegevensbeschermingsregistraties van de organisatie (art. 30 AVG). Bij gebrek aan een lopend onderzoek, geschil of specifieke wettelijke vereiste wordt bewaring na de sluiting van de zaak steeds moeilijker te rechtvaardigen.

Veelvoorkomende rechtvaardigingen en hun gebruikelijke duur:

DoelGebruikelijke bewaring
Actieve zaak (van ontvangst tot sluiting)Duur van de zaak
Vervolgonderzoek of geschilTot definitieve afhandeling
Toezichthoudende audit trailPeriode vastgesteld door sectorregelgeving (vaak 5 jaar voor financiële diensten)
Bescherming bij vordering wegens represailles (art. 21)Nationale verjaringstermijn voor arbeidsvorderingen (doorgaans 2–5 jaar)
Statistische rapportage onder art. 27, lid 2Alleen geanonimiseerde gegevens; persoonsgegevens te minimaliseren of te verwijderen

De nationale omzetting kan specifieke termijnen vaststellen. Voorbeelden:

Een algemene bewaartermijn die voor het gemak wordt gekozen (“wij bewaren alles 10 jaar”) voldoet niet aan artikel 18, noch aan artikel 5, lid 1, onder e, AVG. Bewaring moet aan een doel zijn gekoppeld.

EthicsPortal implementeert dit door configureerbare bewaartermijnen (12, 24, 36, 60 maanden) te bieden met automatische verwijdering van gesloten meldingen aan het einde van de ingestelde periode. De standaardinstelling is de kortste periode die voldoet aan de meest voorkomende vereisten van nationale omzettingen. Exploitanten in sectoren met langere wettelijke bewaarverplichtingen stellen de periode dienovereenkomstig in.

§9. Rechtsgrond voor verwerking (interactie met de AVG) #

De vraag. Artikel 17 van de richtlijn vereist dat de verwerking van persoonsgegevens voldoet aan de AVG. De richtlijn zelf is geen rechtsgrond onder artikel 6 AVG — een verwerkingsverantwoordelijke moet bepalen welke specifieke grond van toepassing is.

De richtlijn bepaalt dat de verwerking “wordt uitgevoerd overeenkomstig Verordening (EU) 2016/679” (art. 17).

In de praktijk betekent dit dat de rechtsgrond artikel 6, lid 1, onder c, AVG — wettelijke verplichting is, waar de organisatie onderworpen is aan een wettelijke verplichting om een meldkanaal in te stellen en te exploiteren. Voor organisaties boven de drempel van 50 werknemers (of daaronder waar sectorspecifieke wetgeving de verplichting oplegt) is artikel 6, lid 1, onder c, de juiste en toereikende grond. Er is geen toestemming van de melder vereist, en die moet ook niet worden gevraagd — het behandelen van de verwerking als gebaseerd op toestemming zou misleidend zijn en zou een theoretisch recht op intrekking creëren dat de verwerkingsverantwoordelijke niet kan honoreren.

Voor organisaties die een meldkanaal vrijwillig exploiteren (onder de drempel van 50 werknemers en niet onderworpen aan een sectorspecifiek mandaat) is de rechtsgrond artikel 6, lid 1, onder f — gerechtvaardigd belang, behoudens een gedocumenteerde belangenafweging. Het gerechtvaardigde belang bij het voorkomen en opsporen van wangedrag binnen de organisatie is goed gevestigd en is in nationale richtsnoeren in de lidstaten erkend.

Bijzondere categorieën persoonsgegevens (art. 9 AVG) kunnen incidenteel in meldingen voorkomen — een melding van discriminatie kan gezondheidsinformatie of etnische afkomst onthullen. De rechtsgrond voor gegevens uit artikel 9 is doorgaans artikel 9, lid 2, onder g — zwaarwegend algemeen belang, mits de verwerking evenredig is en gepaard gaat met specifieke waarborgen. Meldingen die strafbare feiten onthullen (art. 10 AVG) worden verwerkt onder de overeenkomstige grond van artikel 10 in het nationale recht.

EthicsPortal implementeert dit door artikel 6, lid 1, onder c, als standaardrechtsgrond te documenteren in de verwerkersovereenkomst en de privacyverklaring. Exploitanten onder de wettelijke drempel passen de privacyverklaring aan om artikel 6, lid 1, onder f, weer te geven en leggen hun belangenafweging afzonderlijk vast.

§10. Voorrang van nationaal recht (art. 25) #

De vraag. Artikel 25, lid 1, bepaalt dat lidstaten bepalingen kunnen invoeren of handhaven die “gunstiger zijn voor de rechten van melders” dan die welke in de richtlijn zijn vastgelegd. De richtlijn behandelt niet hoe exploitanten conflicten moeten oplossen wanneer het nationale recht strenger is.

De richtlijn bepaalt in artikel 25, lid 1, dat “de lidstaten bepalingen kunnen invoeren of handhaven die gunstiger zijn voor de rechten van melders dan die welke in deze richtlijn zijn vastgelegd, onverminderd artikel 22 [rechten van betrokken personen] en artikel 23, lid 2 [sancties voor bewust valse meldingen]”.

In de praktijk betekent dit dat waar de nationale omzetting strenger is dan de richtlijn, het nationale recht geldt voor organisaties die in die jurisdictie actief zijn. Er is geen mogelijkheid om te steunen op het minimum van de richtlijn waar de lokale regel strenger is. De richtlijn stelt een ondergrens vast, geen bovengrens.

Praktische voorbeelden van strengere nationale regels:

Voor exploitanten in meerdere landen is de operationele regel: pas in elke jurisdictie de strengste van (richtlijn, nationaal recht) toe. Dit betekent soms dat een concernbeleid een uniforme hoge standaard vaststelt die overeenkomt met de strengste nationale regel in enig land van vestiging. Dit verdient over het algemeen de voorkeur boven het bijhouden van parallel beleid per jurisdictie, dat de administratieve last en het risico van toepassing van de verkeerde regel vergroot.

EthicsPortal implementeert dit door standaard uit te gaan van de strengste gemene deler over de 27 lidstaten: kortste ontvangstbevestigings- en terugkoppelingsvensters, smalste bewaartermijn, volledigste kennisgeving over het verbod op represailles. Exploitanten in één jurisdictie kunnen specifieke standaarden versoepelen om aan de nationale regels te voldoen, maar de basis is in elk artikel waar nationale omzettingswetten het minimum van de richtlijn overstijgen, boven dat minimum gekalibreerd.

§11. Anonieme melding (art. 6, lid 2, art. 9, lid 1, onder e) #

De vraag. Moet een organisatie anonieme meldingen accepteren?

De richtlijn bepaalt in artikel 6, lid 2, dat zij “de bevoegdheid van de lidstaten om te beslissen of juridische entiteiten […] al dan niet verplicht zijn anonieme meldingen te accepteren en op te volgen, onverlet laat”. Artikel 9, lid 1, onder e, vereist “een zorgvuldige opvolging, waar voorzien in het nationale recht, met betrekking tot anonieme meldingen”.

In de praktijk betekent dit dat het nationale recht beslist. Twee houdingen:

Drie gevolgen.

Eenmaal geaccepteerd, bindend. Een organisatie die publiceert “wij accepteren anonieme meldingen” heeft artikel 9, lid 1, onder e, geactiveerd. De verplichting is verbonden aan het beleid, niet aan de individuele melding.

Bescherming tegen represailles geldt pas vanaf identificatie. Artikel 21 kan een onbekende persoon niet beschermen. Maatregelen die tijdens de anonieme periode worden genomen, vallen er niet met terugwerkende kracht onder.

Anonimiteit is een technische standaard, geen belofte. Een formulier dat een e-mail verzamelt, is niet anoniem. Een kanaal dat IP-adressen logt, is niet anoniem. De vertrouwelijkheid van artikel 16 beschermt een bekende identiteit tegen bekendmaking; anonimiteit voorkomt identificatie.

EthicsPortal implementeert dit door standaard anonieme meldingen te accepteren. Er zijn geen contactgegevens vereist. IP-adressen worden nooit opgeslagen (snelheidsbeperking gebruikt onomkeerbare eenrichtingshashes). Bestandsmetadata worden vóór opslag verwijderd. Exploitanten kunnen het portaal zo configureren dat contactgegevens vereist zijn waar het nationale recht geïdentificeerde meldingen voorschrijft. Geaccepteerde anonieme meldingen volgen dezelfde zaakworkflow, termijnen en maatstaf voor zorgvuldige opvolging als geïdentificeerde meldingen.

Wijzigingslogboek #

Correcties en vragen #

Dit document is bedoeld om te worden geciteerd en waarop kan worden vertrouwd. Als u een fout identificeert, een standpunt dat in strijd is met een uitspraak van het Hof van Justitie, een advies van het Europees Comité voor gegevensbescherming of bindende nationale richtsnoeren, neem dan contact op via legal@ethicsportal.eu . Correcties worden gepubliceerd in het wijzigingslogboek met datum en samenvatting van de wijziging.

Voor vragen over hoe een specifieke interpretatie van toepassing is op de omstandigheden van uw organisatie, is dit document geen vervanging voor juridisch advies. Neem contact op met bevoegd juridisch adviseur in uw jurisdictie.

Laatst bijgewerkt: