https://ethicsportal.eu/nl/EthicsPortal is a secure, anonymous whistleblower reporting platform that helps organizations comply with EU Directive 2019/1937.nl-NLThu, 18 Jun 2026 20:09:21 +0000https://ethicsportal.eu/images/logo.svghttps://ethicsportal.eu/https://ethicsportal.eu/nl/whistleblower-laws/netherlands/Fri, 24 Apr 2026 00:00:00 +0000https://ethicsportal.eu/nl/whistleblower-laws/netherlands/De Wet bescherming klokkenluiders: de regel van 50 werknemers, het Huis voor Klokkenluiders en de officiële Nederlandse bronnen.<h1 id="klokkenluiderswet-in-nederland"> Klokkenluiderswet in Nederland <a href="#klokkenluiderswet-in-nederland" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Nederland heeft Richtlijn (EU) 2019/1937 omgezet via de <strong>Wet bescherming klokkenluiders (Wbk)</strong>, van kracht sinds <strong>18 februari 2023</strong>. Het Nederlandse stelsel is institutioneel zichtbaar doordat het naast het <strong>Huis voor Klokkenluiders</strong> en een speciale overheidsinformatiesite voor werkgevers staat.</p> <h2 id="toepasselijke-wet"> Toepasselijke wet <a href="#toepasselijke-wet" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><a href="https://wetten.overheid.nl/BWBR0033585/2023-02-18" rel="nofollow">Wet bescherming klokkenluiders — officiële tekst</a> </li> <li><a href="https://www.wetbeschermingklokkenluiders.nl/service/english" rel="nofollow">Officiële Engelse versie van de Wet bescherming klokkenluiders</a> </li> </ul> <h2 id="wie-moet-een-intern-meldkanaal-instellen"> Wie moet een intern meldkanaal instellen <a href="#wie-moet-een-intern-meldkanaal-instellen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Werkgevers met <strong>ten minste 50 werknemers</strong> moeten een intern meldkanaal instellen. Dit geldt in de gehele Nederlandse publieke en private sector, behoudens het wettelijke kader.</p> <h2 id="externe-meldautoriteit"> Externe meldautoriteit <a href="#externe-meldautoriteit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Het belangrijkste officiële orgaan is het <a href="https://www.huisvoorklokkenluiders.nl/english" rel="nofollow">Huis voor Klokkenluiders</a> . De overheidssite voor werkgevers verwijst organisaties eveneens naar het Huis als het centrale institutionele referentiepunt.</p> <h2 id="gegevensbeschermingsautoriteit"> Gegevensbeschermingsautoriteit <a href="#gegevensbeschermingsautoriteit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Voor AVG-klachten over de verwerking van klokkenluidersgegevens is de relevante autoriteit de <a href="https://autoriteitpersoonsgegevens.nl/en/submitting-a-tip-off-or-a-complaint-to-the-dutch-dpa" rel="nofollow">Autoriteit Persoonsgegevens (AP)</a> .</p> <h2 id="belangrijke-nalevingspunten"> Belangrijke nalevingspunten <a href="#belangrijke-nalevingspunten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li>De Nederlandse overheid onderhoudt een speciale site die de wet uitlegt aan werkgevers, waardoor de markt relatief transparant is over de juridische basispositionering.</li> <li>Interne procedures moeten duidelijk uitleggen wanneer werknemers het Huis voor Klokkenluiders kunnen inschakelen en wanneer een andere bevoegde autoriteit passender is.</li> <li>De AP verwacht dat klagers de zaak waar mogelijk eerst bij de organisatie aankaarten voordat zij een gegevensbeschermingsklacht escaleren.</li> </ul> <h2 id="officiële-bronnen"> Officiële bronnen <a href="#offici%c3%able-bronnen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><a href="https://wetten.overheid.nl/BWBR0033585/2023-02-18" rel="nofollow">Wet bescherming klokkenluiders — officiële tekst</a> </li> <li><a href="https://www.wetbeschermingklokkenluiders.nl/service/english" rel="nofollow">Overheidssite — officiële Engelse versie van de wet</a> </li> <li><a href="https://www.wetbeschermingklokkenluiders.nl/service/contact" rel="nofollow">Overheidssite — contact-/servicepagina</a> </li> <li><a href="https://www.huisvoorklokkenluiders.nl/english" rel="nofollow">Huis voor Klokkenluiders</a> </li> <li><a href="https://autoriteitpersoonsgegevens.nl/en/submitting-a-tip-off-or-a-complaint-to-the-dutch-dpa" rel="nofollow">Autoriteit Persoonsgegevens — een klacht indienen</a> </li> </ul> <hr> <p><a href="/pricing/">Stel uw meldkanaal in →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/security/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/security/Technische beveiligingsmaatregelen in EthicsPortal, waaronder versleuteling, anonimiteit, toegangscontrole, auditlogging en infrastructuurdetails voor nalevingsbeoordeling.<h1 id="beveiliging"> Beveiliging <a href="#beveiliging" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>EthicsPortal verwerkt gevoelige klokkenluidersgegevens. Op deze pagina documenteren wij de specifieke technische en organisatorische maatregelen die wij hebben getroffen. Het is geschreven voor compliance officers, FG’s en juridische teams die het platform beoordelen.</p> <p>Laatst bijgewerkt: 2026-05-17.</p> <hr> <h2 id="gegevensversleuteling"> Gegevensversleuteling <a href="#gegevensversleuteling" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Alle gevoelige velden worden in rust versleuteld met Rails ActiveRecord Encryption met <strong>niet-deterministische versleuteling</strong> (elke versleuteling produceert een unieke cijfertekst, wat patroonanalyse voorkomt).</p> <table> <thead> <tr> <th>Veld</th> <th>Versleuteld</th> <th>Deterministisch</th> </tr> </thead> <tbody> <tr> <td>Meldingsbeschrijving</td> <td>Ja</td> <td>Nee</td> </tr> <tr> <td>Naam van melder</td> <td>Ja</td> <td>Nee</td> </tr> <tr> <td>Contactgegevens van melder</td> <td>Ja</td> <td>Nee</td> </tr> <tr> <td>Berichtinhoud (communicatie melder–behandelaar)</td> <td>Ja</td> <td>Nee</td> </tr> </tbody> </table> <p>Niet-deterministische versleuteling betekent dat deze velden op databaseniveau niet op waarde kunnen worden bevraagd. Zelfs met volledige databasetoegang kan een aanvaller niet zoeken naar een specifieke naam van een melder in de registraties.</p> <p>Alle verbindingen met EthicsPortal gebruiken <strong>HTTPS/TLS</strong>. Onversleutelde HTTP-verzoeken worden omgeleid.</p> <hr> <h2 id="anonimiteit-en-privacy"> Anonimiteit en privacy <a href="#anonimiteit-en-privacy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="ip-anonimisering"> IP-anonimisering <a href="#ip-anonimisering" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Portaalroutes (indiening van meldingen, opzoeken van zaken, berichten) gebruiken een SHA256-eenrichtingshash van het verzoek-IP, uitsluitend voor snelheidsbeperking. De hash is niet omkeerbaar — het is niet mogelijk het oorspronkelijke IP uit de opgeslagen waarde te herstellen.</p> <p>Op applicatieniveau wordt het ruwe IP-adres van de melder niet opgeslagen in de database, en applicatielogs voor portaalroutes worden opgeschoond om de anonimiteit van klokkenluiders te beschermen.</p> <h3 id="verwijdering-van-bestandsmetadata"> Verwijdering van bestandsmetadata <a href="#verwijdering-van-bestandsmetadata" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Geüploade bestanden worden <strong>vóór</strong> opslag automatisch ontdaan van identificerende metadata:</p> <table> <thead> <tr> <th>Bestandstype</th> <th>Verwijderde metadata</th> <th>Methode</th> </tr> </thead> <tbody> <tr> <td>Afbeeldingen (JPEG, PNG, TIFF, WebP)</td> <td>EXIF-gegevens: GPS-coördinaten, cameramodel, serienummer van apparaat, auteur, tijdstempels</td> <td>Vips-beeldverwerking</td> </tr> <tr> <td>Pdf-documenten</td> <td>Auteur, makende applicatie, wijzigingsgeschiedenis</td> <td>exiftool in de standaard productieopstelling</td> </tr> <tr> <td>Videobestanden</td> <td>GPS, apparaatinformatie, opnamesoftware</td> <td>exiftool in de standaard productieopstelling</td> </tr> <tr> <td>Audiobestanden</td> <td>Opnameapparaat, GPS, softwaretags</td> <td>exiftool in de standaard productieopstelling</td> </tr> </tbody> </table> <p>Het verwijderen van metadata wordt server-side vóór opslag uitgevoerd. Voor bestandstypen die door <code>exiftool</code> worden verwerkt, hangt dit af van de aanwezigheid van de standaard productietooling.</p> <h3 id="virusscanning"> Virusscanning <a href="#virusscanning" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Alle geüploade bestanden worden automatisch gescand op malware met <a href="https://www.clamav.net" rel="nofollow">ClamAV</a> , een opensource-antivirusengine. Het scannen gebeurt server-side in een achtergrondproces na de upload. Bestanden die de scan niet hebben doorstaan, worden geblokkeerd voor aflevering en geïnfecteerde bestanden worden automatisch verwijderd.</p> <p>Bestanden worden gescand op de infrastructuur van EthicsPortal — er worden geen bestandsgegevens naar scandiensten van derden verzonden.</p> <h3 id="anonimiteit-van-de-behandelaar"> Anonimiteit van de behandelaar <a href="#anonimiteit-van-de-behandelaar" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Klokkenluiders zien nooit de echte namen of e-mailadressen van de personen die hun melding behandelen. Alle berichten van behandelaars worden weergegeven als <strong>“Zaakbehandelaar”</strong>. Dit beschermt de identiteit van de behandelaar en voorkomt social engineering.</p> <h3 id="geen-tracking"> Geen tracking <a href="#geen-tracking" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>EthicsPortal gebruikt geen trackingcookies, reclamepixels of fingerprintingscripts van derden. Wij gebruiken <a href="https://www.cloudflare.com/web-analytics/" rel="nofollow">Cloudflare Web Analytics</a> alleen op marketingpagina’s — het is cookievrij, verzamelt geen persoonsgegevens en is volledig AVG-conform. Het meldportaal zelf heeft geen analytics.</p> <h3 id="huidige-zekerheidsstatus"> Huidige zekerheidsstatus <a href="#huidige-zekerheidsstatus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>EthicsPortal claimt op deze site momenteel geen geaccrediteerde ISO 27001-certificering. Het publiceert evenmin een onafhankelijke audit door een derde van de anonimiteitsarchitectuur. Mocht dat veranderen, dan worden de reikwijdte en de datum hier gepubliceerd.</p> <h3 id="materiaal-voor-beveiligingsbeoordeling"> Materiaal voor beveiligingsbeoordeling <a href="#materiaal-voor-beveiligingsbeoordeling" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Klanten die inkoop- of juridisch beoordelingsmateriaal nodig hebben, kunnen dit tijdens de inkoop aanvragen. Beschikbaar materiaal kan onder meer omvatten: een ondertekende verwerkersovereenkomst, register- en belastingbewijs, een ingevulde beveiligingsvragenlijst en schriftelijke antwoorden over back-up- en herstelprocedures, geprivilegieerde productietoegang en de afhandeling van incidentrespons.</p> <hr> <h2 id="toegangscontrole"> Toegangscontrole <a href="#toegangscontrole" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Autorisatie wordt op applicatieniveau afgedwongen met <a href="https://github.com/varvet/pundit" rel="nofollow">Pundit</a> -policy’s.</p> <table> <thead> <tr> <th>Rol</th> <th>Kan meldingen inzien</th> <th>Kan organisatie-instellingen beheren</th> <th>Kan behandelaars toewijzen</th> </tr> </thead> <tbody> <tr> <td>Beheerder</td> <td>Alle meldingen</td> <td>Ja</td> <td>Ja</td> </tr> <tr> <td>Behandelaar</td> <td>Meldingen waaraan hij is toegewezen of waaraan hij deelneemt</td> <td>Nee</td> <td>Nee</td> </tr> </tbody> </table> <ul> <li>Behandelaars kunnen geen meldingen inzien waaraan zij noch zijn toegewezen, noch deelnemen. Deelnemers worden uitdrukkelijk toegevoegd door een beheerder of de primaire toegewezen persoon (bijvoorbeeld om juridisch of HR te betrekken).</li> <li>Melders hebben geen gebruikersaccount — zij benaderen hun melding via een zaak-ID (<code>WB-XXXX-XXXX</code>) plus een 6-cijferige toegangscode die zij bij indiening kiezen.</li> <li>Elke controlleractie controleert de autorisatie. Ongeoorloofde toegangspogingen worden geblokkeerd en gelogd.</li> </ul> <h3 id="tweefactorauthenticatie"> Tweefactorauthenticatie <a href="#tweefactorauthenticatie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Behandelaars- en beheerdersaccounts kunnen TOTP-gebaseerde tweefactorauthenticatie inschakelen via elke standaard authenticator-app (Google Authenticator, 1Password, Authy en compatibele alternatieven). Eenmaal ingeschakeld vereist het aanmelden zowel de primaire inloggegevens als een roterende 6-cijferige code.</p> <p>Melders authenticeren zich eveneens met twee factoren: het zaak-ID (iets wat zij bezitten) en de toegangscode die zij bij indiening kozen (iets wat zij weten). De toegangscode wordt uitsluitend opgeslagen als bcrypt-digest en kan niet worden hersteld. De inbox voor opvolging en het plaatsen van berichten zijn achter deze controle aan een sessie gebonden, zodat een gelekt zaak-ID alleen de melding niet kan lezen of de melder kan nabootsen.</p> <h3 id="levenscyclus-van-de-sessie"> Levenscyclus van de sessie <a href="#levenscyclus-van-de-sessie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Elke geauthenticeerde sessie registreert <code>last_seen_at</code> bij elk verzoek (gedebounced). Gebruikers kunnen hun actieve sessies bekijken, zien wanneer elke voor het laatst actief was, elke sessie afzonderlijk intrekken of zich vanuit de accountinstellingen in één keer afmelden bij alle andere sessies.</p> <p>Sessies verlopen automatisch na <strong>14 dagen inactiviteit</strong>. Het volgende verzoek vanuit een inactieve sessie vernietigt de server-side registratie, wist de cookie en dwingt herauthenticatie via een nieuwe magic link af. Een nachtelijke taak ruimt verlaten sessies op met dezelfde time-out, zodat <code>user_agent</code> en <code>ip_address</code> niet langer dan het inactiviteitsvenster worden bewaard, zelfs als de gebruiker nooit terugkeert.</p> <p>Magic-link-authenticatie beperkt de impact van langdurige sessies: een gestolen sessiecookie levert geen herbruikbare inloggegevens op, en herauthenticatie vereist toegang tot e-mail.</p> <h3 id="toegang-en-uitdiensttreding-van-leden"> Toegang en uitdiensttreding van leden <a href="#toegang-en-uitdiensttreding-van-leden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Organisatietoegang wordt afgedwongen op de grens van het verzoek. Wanneer een lid wordt gedeactiveerd:</p> <ul> <li>Toegang tot de organisatie wordt onmiddellijk geweigerd, ook op eerder opgeslagen URL’s.</li> <li>Open zaaktoewijzingen worden ongedaan gemaakt.</li> <li>Deelnemerschappen worden verwijderd.</li> <li>De auditloggeschiedenis die aan het lid kan worden toegerekend, blijft behouden.</li> <li>Het gedeactiveerde lid wordt op de hoogte gesteld.</li> <li>Reactivering herstelt de eerdere zaaktoegang niet automatisch.</li> </ul> <p>De laatste actieve beheerder en de eigenaar van de organisatie kunnen niet worden gedeactiveerd. Alle deactiverings- en reactiveringsgebeurtenissen worden weggeschreven naar het auditlog met uitsluitend toevoegingen.</p> <p>Lidmaatschappen zonder nalevingsvoetafdruk (geen auditlogvermeldingen, geen toewijzingen, geen deelnemerschappen) worden bij verwijdering hard verwijderd; lidmaatschappen met een voetafdruk worden zacht gedeactiveerd zodat de audit trail herleidbaar blijft.</p> <h3 id="snelheidsbeperking"> Snelheidsbeperking <a href="#snelheidsbeperking" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Endpoints van het openbare portaal zijn aan snelheidsbeperking onderworpen om misbruik en opsommingsaanvallen te voorkomen:</p> <table> <thead> <tr> <th>Endpoint</th> <th>Limiet</th> </tr> </thead> <tbody> <tr> <td>Indiening van meldingen</td> <td>5 per 10 minuten per geanonimiseerd IP</td> </tr> <tr> <td>Opzoeken van zaak (zaak-ID + toegangscode)</td> <td>10 per 3 minuten per geanonimiseerd IP</td> </tr> <tr> <td>Indiening van berichten</td> <td>10 per 3 minuten per geanonimiseerd IP</td> </tr> </tbody> </table> <p>Snelheidsbeperking gebruikt de hierboven beschreven IP-eenrichtingshash — er wordt geen feitelijk IP opgeslagen.</p> <hr> <h2 id="audit-en-naleving"> Audit en naleving <a href="#audit-en-naleving" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="audit-trail-met-uitsluitend-toevoegingen"> Audit trail met uitsluitend toevoegingen <a href="#audit-trail-met-uitsluitend-toevoegingen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Elke actie in EthicsPortal wordt gelogd met:</p> <ul> <li><strong>Tijdstip</strong> (UTC)</li> <li><strong>Actor</strong> (welke gebruiker of welk systeemproces de actie uitvoerde)</li> <li><strong>Type actie</strong> (melding aangemaakt, status gewijzigd, bericht verzonden, behandelaar toegewezen, melding ingezien, melding geëxporteerd, melding verwijderd, enz.)</li> </ul> <p>Auditlogvermeldingen kennen uitsluitend toevoegingen. Ze kunnen door geen enkele gebruiker, ook niet door organisatiebeheerders, worden bewerkt of verwijderd. De volledige audit trail is opgenomen in pdf-zaakexports voor toezichthoudende controle.</p> <h3 id="gegevensbewaring"> Gegevensbewaring <a href="#gegevensbewaring" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Organisaties configureren hun eigen bewaartermijn: <strong>12, 24, 36, 48 of 60 maanden</strong> nadat een melding is gesloten. Wanneer de bewaartermijn verstrijkt, worden de melding en alle bijbehorende gegevens (berichten, bijlagen, auditlogvermeldingen) automatisch en permanent verwijderd door een achtergrondtaak.</p> <p>Dit voldoet aan de eisen inzake opslagbeperking van de AVG (art. 5, lid 1, onder e) en de registratieverplichtingen van Richtlijn (EU) 2019/1937 (art. 17–18).</p> <h3 id="csrf-bescherming"> CSRF-bescherming <a href="#csrf-bescherming" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Alle formulierindieningen zijn beschermd tegen cross-site request forgery met de ingebouwde CSRF-tokens van Rails.</p> <hr> <h2 id="veilige-ontwikkellevenscyclus"> Veilige ontwikkellevenscyclus <a href="#veilige-ontwikkellevenscyclus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal volgt een gedocumenteerde ontwikkellevenscyclus voor wijzigingen die de dienst raken. De fasen worden hier vermeld zodat een inkoopbeoordelaar ze kan koppelen aan de beheersmaatregelen A.8.25–A.8.29 van ISO/IEC 27001:2022 (zie de <a href="/iso-27001/">beheersmaatregelenmap</a> voor de volledige toewijzing).</p> <table> <thead> <tr> <th>Fase</th> <th>Praktijk</th> </tr> </thead> <tbody> <tr> <td>Architectuur en ontwerp</td> <td>Functies die nieuwe persoonsgegevensstromen, sub-verwerkers of autorisatiereikwijdten introduceren, worden vóór implementatie getoetst aan de op deze pagina gedocumenteerde toezeggingen inzake versleuteling, toegangscontrole en audit trail.</td> </tr> <tr> <td>Codereview</td> <td>Productiewijzigingen worden vóór uitrol beoordeeld tegen een schriftelijke beveiligingschecklist (dekking van versleuteling, autorisatiereikwijdte, uitgave van auditlogs, invoervalidatie, omgang met secrets). Statische analyse draait bij elke wijziging en blokkeert de merge bij een fout.</td> </tr> <tr> <td>Veilig coderen</td> <td>De codebasis gebruikt standaard verdedigingen op framework-niveau — geparametriseerde queries via ActiveRecord, strong parameters, output-escaping in views, CSRF-tokens, versleuteling op attribuutniveau, Pundit-autorisatie op de controllergrens. Afwijkingen vereisen een schriftelijke onderbouwing.</td> </tr> <tr> <td>Beveiligingstests in ontwikkeling</td> <td>Statische analyse (<a href="https://brakemanscanner.org" rel="nofollow">Brakeman</a> , <a href="https://github.com/rubysec/bundler-audit" rel="nofollow">bundler-audit</a> , <code>importmap audit</code>) draait bij elke wijziging. Tests dekken autorisatiepaden, invarianten van versleuteling in rust, uitgave van auditlogs en handhaving van snelheidsbeperking. Zie <a href="#dependency-and-patch-management">afhankelijkheids- en patchbeheer</a> voor de volledige toolchain.</td> </tr> <tr> <td>Omgevingsscheiding</td> <td>Productie- en niet-productieomgevingen zijn van elkaar gescheiden. Er worden geen productiegegevens van persoonlijke aard buiten productie gebruikt; staging en ontwikkeling gebruiken synthetische fixtures.</td> </tr> <tr> <td>Reactie op kwetsbaarheden</td> <td>Meldingen worden binnen 2 werkdagen bevestigd (zie <a href="#responsible-disclosure">responsible disclosure</a> ). Doelstellingen: kritieke problemen binnen 7 dagen verholpen, hoge binnen 30, gemiddelde binnen 90. Bevestigde problemen die uitgerolde klanten raken, worden gemeld via het <a href="/incidents/">incidentenregister</a> wanneer zij voldoen aan de reikwijdtecriteria van het register.</td> </tr> </tbody> </table> <hr> <h2 id="afhankelijkheids--en-patchbeheer"> Afhankelijkheids- en patchbeheer <a href="#afhankelijkheids--en-patchbeheer" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal rolt geen end-of-life-softwarecomponenten uit. De applicatie draait op actief ondersteunde releases van Rails, Ruby, PostgreSQL en het onderliggende besturingssysteem; upstream-beveiligingsreleases worden doorlopend toegepast.</p> <p>Afhankelijkheden worden continu gescand in continuous integration:</p> <ul> <li><strong><a href="https://brakemanscanner.org" rel="nofollow">Brakeman</a> </strong> signaleert Rails-specifieke kwetsbaarheden bij elke wijziging.</li> <li><strong><a href="https://github.com/rubysec/bundler-audit" rel="nofollow">bundler-audit</a> </strong> controleert het Gemfile tegen de Ruby Advisory Database bij elke wijziging en opnieuw volgens een dagelijks schema, zodat nieuw bekendgemaakte adviezen worden opgemerkt, zelfs wanneer er geen code is gewijzigd.</li> <li><strong><code>importmap audit</code></strong> scant JavaScript-imports op bekende kwetsbaarheden bij elke wijziging en opnieuw volgens een dagelijks schema.</li> <li><strong><a href="https://docs.github.com/en/code-security/dependabot" rel="nofollow">Dependabot</a> </strong> opent wekelijks pull requests voor verouderde Ruby-gems en GitHub Actions, gegroepeerd per minor/patch-update.</li> </ul> <p>Componenten die upstream end-of-life bereiken, worden vervangen of bijgewerkt voordat hun ondersteuningsvenster sluit.</p> <hr> <h2 id="infrastructuur"> Infrastructuur <a href="#infrastructuur" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Component</th> <th>Aanbieder</th> <th>Locatie</th> </tr> </thead> <tbody> <tr> <td>Applicatieserver en database</td> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> </td> <td>Neurenberg, Duitsland (EU)</td> </tr> <tr> <td>Bestandsopslag</td> <td><a href="https://www.hetzner.com/storage/object-storage" rel="nofollow">Hetzner Object Storage</a> </td> <td>Neurenberg, Duitsland (EU)</td> </tr> <tr> <td>Transactionele e-mail</td> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet</a> </td> <td>Frankrijk (EU)</td> </tr> <tr> <td>Betalingsverwerking</td> <td><a href="https://stripe.com" rel="nofollow">Stripe</a> </td> <td>EU</td> </tr> </tbody> </table> <ul> <li>Alle primaire gegevensverwerking vindt plaats binnen de Europese Unie.</li> <li>Er worden geen creditcardnummers of betaalgegevens opgeslagen op de servers van EthicsPortal. Alle betaalgegevens worden afgehandeld door Stripe.</li> <li>Mailjet wordt gebruikt voor transactionele e-mail (meldingen aan behandelaars, niet gericht aan klokkenluiders). Mailjet is gevestigd in Frankrijk en verwerkt alle gegevens binnen de EU.</li> <li>De marketingwebsite wordt geleverd via Cloudflare (CDN, Verenigde Staten); de meld- en behandelportalen niet. Zie de pagina <a href="/subprocessors/">sub-verwerkers</a> voor de volledige lijst en de waarborgen voor doorgifte.</li> </ul> <hr> <h2 id="back-ups-en-herstel"> Back-ups en herstel <a href="#back-ups-en-herstel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal exploiteert twee complementaire back-uplagen, beide bewaard binnen de EU:</p> <table> <thead> <tr> <th>Laag</th> <th>Wat</th> <th>Waar</th> <th>Bewaring</th> </tr> </thead> <tbody> <tr> <td>Database</td> <td>Dagelijkse versleutelde PostgreSQL-dumps via een Kamal-accessory</td> <td>Hetzner Object Storage, Neurenberg (EU)</td> <td>7 dagen</td> </tr> <tr> <td>Server</td> <td>Volledige schijfsnapshots van de applicatiehost</td> <td>Hetzner Cloud, Neurenberg (EU)</td> <td>7 dagen</td> </tr> </tbody> </table> <p><strong>Hersteldoelstellingen.</strong> De recovery point objective (RPO) is 24 uur. De recovery time objective (RTO) is 4 uur. Deze doelstellingen verschijnen ook in de <a href="/sla/#recovery-objectives">serviceniveau-overeenkomst</a> .</p> <p><strong>Hersteltests.</strong> Een herstelproef draait elke maand automatisch via een CI-workflow die de laatste dump terugzet in een wegwerpomgeving, en op aanvraag via <code>bin/backup-restore-test</code>. De versheid van de back-ups wordt continu bewaakt (waarschuwing als de meest recente dump ouder is dan 36 uur).</p> <p><strong>Versleuteling.</strong> Databasedumps worden in rust versleuteld door Hetzner Object Storage; velden op applicatieniveau die onder Rails ActiveRecord Encryption zijn versleuteld, blijven versleuteld in de dump.</p> <hr> <h2 id="operationele-beoordeling"> Operationele beoordeling <a href="#operationele-beoordeling" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Sommige operationele materialen worden tijdens de inkoopbeoordeling gedeeld in plaats van volledig op het open web te worden gepubliceerd, omdat ze infrastructuur- en responsdetails bevatten die zich beter lenen voor gecontroleerde openbaarmaking.</p> <p>Onderwerpen die op verzoek tijdens de inkoop beschikbaar zijn:</p> <ul> <li>Samenvatting van geprivilegieerde productietoegang</li> <li>Workflow voor incidentrespons en escalatiecontacten</li> <li>Bedrijfscontinuïteit en reacties op uitdiensttreding/export van klanten</li> </ul> <hr> <h2 id="responsible-disclosure"> Responsible disclosure <a href="#responsible-disclosure" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Als u een beveiligingskwetsbaarheid in EthicsPortal ontdekt, meld deze dan via <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Wij vragen u om:</p> <ol> <li>De kwetsbaarheid niet openbaar te maken voordat wij de kans hebben gehad deze aan te pakken.</li> <li>Voldoende detail te verstrekken zodat wij het probleem kunnen reproduceren en verhelpen.</li> <li>Geen gegevens van andere klanten te benaderen of te wijzigen.</li> </ol> <p>Wij bevestigen uw melding binnen 2 werkdagen en streven ernaar bevestigde kwetsbaarheden voortvarend te verhelpen.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/contact/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/contact/Neem contact op met het EthicsPortal-team voor vragen over EU-naleving voor klokkenluiders.<h1 id="contact"> Contact <a href="#contact" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Vragen over EthicsPortal of EU-naleving voor klokkenluiders? Mail ons rechtstreeks.</p> <hr> <ul> <li><strong>Algemeen:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> <li><strong>Privacy / AVG-rechten:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </li> <li><strong>Functionaris voor gegevensbescherming:</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> </li> <li><strong>Beveiligingsmeldingen:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> </li> <li><strong>Juridisch / verwerkersovereenkomst:</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> </li> <li><strong>Toegankelijkheid:</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </li> </ul> <p>Wij reageren doorgaans binnen één werkdag.</p> <hr> <h2 id="veelgestelde-vragen"> Veelgestelde vragen <a href="#veelgestelde-vragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>“Hoeveel kost het?”</strong> € 60/maand of € 500/jaar. Alles inbegrepen. Zie <a href="/pricing/">prijzen</a> .</p> <p><strong>“Kunnen we het platform beoordelen vóór de uitrol?”</strong> Ja. Maak het organisatieaccount aan op <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">ethicsportal.eu</a> om het portaal te beoordelen en in te stellen. Voor productiegebruik is een actief abonnement vereist.</p> <p><strong>“Voldoet het aan Richtlijn (EU) 2019/1937?”</strong> Ja. Zie ons <a href="/directive-coverage/">dekkingsoverzicht van Richtlijn (EU) 2019/1937</a> voor een artikelsgewijze uitsplitsing.</p> <p><strong>“Waar worden mijn gegevens opgeslagen?”</strong> De kerngegevens van meldingen worden gehost op Hetzner-infrastructuur in Neurenberg, Duitsland. De marketingwebsite wordt geleverd via Cloudflare (Verenigde Staten); de meld- en behandelportalen niet. Zie onze pagina’s over de <a href="/dpa/">verwerkersovereenkomst</a> en <a href="/subprocessors/">sub-verwerkers</a> .</p> <p><strong>“Bieden jullie een verwerkersovereenkomst?”</strong> Ja. Zie onze <a href="/dpa/">verwerkersovereenkomst</a> of vraag per e-mail een medeondertekende pdf aan.</p> <p><strong>“Wie is de contractpartij?”</strong> Zie onze <a href="/trust/">vertrouwenspagina</a> voor gegevens over de contractpartij en inkoop.</p> <p><strong>“Kunnen jullie de inkoopbeoordeling ondersteunen?”</strong> Ja. Een ondertekende verwerkersovereenkomst, registerbewijs en aanvullend beoordelingsmateriaal zijn op verzoek beschikbaar. Zie <a href="/trust/">vertrouwen</a> .</p> <hr> <p><strong>LinkedIn:</strong> <a href="https://www.linkedin.com/company/ethicsportal" rel="nofollow">linkedin.com/company/ethicsportal</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/directive-coverage/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/directive-coverage/Artikelsgewijs overzicht van hoe EthicsPortal voldoet aan elke eis van Richtlijn (EU) 2019/1937 en de AVG voor de bescherming van klokkenluiders.<h1 id="dekkingsoverzicht-van-richtlijn-eu-20191937"> Dekkingsoverzicht van Richtlijn (EU) 2019/1937 <a href="#dekkingsoverzicht-van-richtlijn-eu-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>EthicsPortal is gebouwd om uw organisatie nalevend te houden aan Richtlijn (EU) 2019/1937, de nationale omzetting daarvan in uw land en de AVG. Elke functie sluit rechtstreeks aan op een wettelijke eis.</p> <p>Deze pagina is het overzicht van functie naar eis: elk artikel van de richtlijn wordt gekoppeld aan de specifieke EthicsPortal-functie die eraan tegemoetkomt. Voor hoe EthicsPortal de meerduidige bepalingen van die artikelen interpreteert — de drempel van 50 werknemers, wat als “zorgvuldige opvolging” geldt, onderbouwingen van bewaartermijnen, de AVG-rechtsgrond, voorrang van nationaal recht — zie de afzonderlijke <a href="/directive-interpretations/">interpretaties</a> .</p> <p>Alle 27 EU-lidstaten hebben de richtlijn in nationaal recht omgezet. Uw organisatie moet voldoen aan de nationale wet in uw land van vestiging — zie onze referentie <a href="/whistleblower-laws/">klokkenluiderswetten per land</a> voor specifieke wetsnamen, sancties en handhavingsautoriteiten. Belangrijke nationale wetten zijn onder meer <a href="/whistleblower-laws/france/">Loi Waserman</a> (Frankrijk), <a href="/whistleblower-laws/germany/">HinSchG</a> (Duitsland), <a href="/whistleblower-laws/italy/">D.Lgs. 24/2023</a> (Italië), <a href="/whistleblower-laws/spain/">Ley 2/2023</a> (Spanje) en de <a href="/whistleblower-laws/poland/">Wet van 14 juni 2024</a> (Polen).</p> <p>Laatst bijgewerkt: 2026-05-17.</p> <hr> <h2 id="1-meldkanalen-art-8"> §1. Meldkanalen (art. 8) <a href="#1-meldkanalen-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Organisaties met 50 of meer werknemers moeten veilige interne meldkanalen instellen.</p> <table> <thead> <tr> <th>Eis</th> <th>Hoe EthicsPortal dit afhandelt</th> </tr> </thead> <tbody> <tr> <td>Veilig kanaal voor het melden</td> <td>Versleuteld webportaal met een unieke URL per organisatie</td> </tr> <tr> <td>Vertrouwelijkheid van de identiteit van de melder</td> <td>End-to-end-versleuteling van alle persoonsgegevens, geen IP-registratie, automatische verwijdering van metadata uit geüploade bestanden</td> </tr> <tr> <td>Toegankelijk voor alle werknemers</td> <td>Webgebaseerd portaal werkt op elk apparaat, geen app-installatie of account vereist</td> </tr> <tr> <td>Aanpasbaar aan de organisatie</td> <td>Configureerbare categorieën, logo en welkomstboodschap</td> </tr> </tbody> </table> <hr> <h2 id="2-meldprocedures-art-9"> §2. Meldprocedures (art. 9) <a href="#2-meldprocedures-art-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Eis</th> <th>Artikel</th> <th>Hoe EthicsPortal dit afhandelt</th> </tr> </thead> <tbody> <tr> <td>Aanwijzen van een onpartijdige persoon of afdeling</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(c)</a> </td> <td>Systeem voor zaaktoewijzing met rolgebaseerde toegang — alleen geautoriseerde behandelaars zien meldingen</td> </tr> <tr> <td>Ontvangst bevestigen binnen 7 dagen</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(b)</a> </td> <td>Automatische termijnbewaking met e-mailmeldingen aan behandelaars wanneer de termijn van 7 dagen nadert of wordt gemist</td> </tr> <tr> <td>Zorgvuldige opvolging door de aangewezen persoon</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(d)</a> </td> <td>Zaakbeheer met statusworkflow (ontvangen, bevestigd, in onderzoek, gesloten), interne notities voor samenwerking tussen behandelaars en een volledige audit trail</td> </tr> <tr> <td>Terugkoppeling geven binnen drie maanden</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(f)</a> </td> <td>Automatische bewaking van de termijn van 3 maanden met waarschuwingen bij overschrijding aan alle organisatiebeheerders. Melders zien de tijdlijn op het portaal en kunnen op elk moment de status controleren met hun zaak-ID en toegangscode</td> </tr> <tr> <td>Mondelinge melding mogelijk maken (telefonisch, via voicemail, of een fysieke ontmoeting op verzoek)</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(2)</a> </td> <td>Configureerbaar telefoonnummer weergegeven op het portaal; behandelaars kunnen telefonische, persoonlijke en schriftelijke meldingen rechtstreeks in het systeem vastleggen</td> </tr> <tr> <td>Informeren over mogelijkheden voor externe melding</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(g)</a> </td> <td>Het portaal toont informatie over het recht van de melder om contact op te nemen met nationale bevoegde autoriteiten, met verwijzing naar Richtlijn (EU) 2019/1937</td> </tr> </tbody> </table> <hr> <h2 id="3-reikwijdte-van-de-bescherming-art-4"> §3. Reikwijdte van de bescherming (art. 4) <a href="#3-reikwijdte-van-de-bescherming-art-4" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De richtlijn beschermt niet alleen werknemers, maar ook aannemers, leveranciers, aandeelhouders en andere derden.</p> <p>EthicsPortal toont op het portaal duidelijke richtsnoeren dat melden openstaat voor werknemers, aannemers, leveranciers en alle andere derden.</p> <p>Het intakeformulier vraagt de melder ook — optioneel — naar zijn relatie tot de organisatie (huidige of voormalige werknemer, aannemer, leverancier, sollicitant, aandeelhouder of anderszins), als spiegel van de categorieën van het personele toepassingsgebied van art. 4, zodat behandelaars kunnen bevestigen dat de bescherming van toepassing is. De vraag is overslaanbaar, zodat anonimiteit nooit afhankelijk is van het beantwoorden ervan.</p> <hr> <h2 id="4-bescherming-tegen-represailles-art-6-1921"> §4. Bescherming tegen represailles (art. 6, 19–21) <a href="#4-bescherming-tegen-represailles-art-6-1921" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Melders moeten worden geïnformeerd dat represailles wettelijk verboden zijn.</p> <p>EthicsPortal toont op elke portaalpagina een kennisgeving over het verbod op represailles, met verwijzing naar Richtlijn (EU) 2019/1937, voordat de melder indient.</p> <p>Op het intakeformulier kan de melder bovendien optioneel aangeven of hij represailles vreest of al ondervindt. Wanneer dit is ingesteld, draagt de melding een opvallende urgentiebadge in de weergave van de behandelaar, zodat een zaak met verhoogde bescherming in één oogopslag zichtbaar is.</p> <hr> <h2 id="5-vertrouwelijkheid-van-de-identiteit-art-16"> §5. Vertrouwelijkheid van de identiteit (art. 16) <a href="#5-vertrouwelijkheid-van-de-identiteit-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Eis</th> <th>Hoe EthicsPortal dit afhandelt</th> </tr> </thead> <tbody> <tr> <td>Identiteit niet bekendgemaakt buiten geautoriseerd personeel</td> <td>Rolgebaseerde toegangscontrole — alleen beheerders, de primaire toegewezen persoon en uitdrukkelijk toegevoegde deelnemers (bijv. juridisch, HR) kunnen een melding inzien. Niet-beheerderbehandelaars zien alleen zaken die aan hen zijn toegewezen of waaraan zij als deelnemer zijn toegevoegd</td> </tr> <tr> <td>Anonimiteit van de behandelaar tegenover de melder</td> <td>Klokkenluiders zien “Zaakbehandelaar” in berichten, nooit de echte naam of het e-mailadres van de behandelaar</td> </tr> <tr> <td>Gevoelige gegevens versleuteld</td> <td>Namen van melders, contactgegevens, meldingsbeschrijvingen en berichtinhoud worden in rust versleuteld met niet-deterministische versleuteling</td> </tr> </tbody> </table> <p><strong>Geen AI-verwerking van meldingsinhoud.</strong> Vertrouwelijkheid op grond van <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16</a> strekt zich uit tot <em>welke derden</em> de melding zien. EthicsPortal geeft meldingsinhoud, identiteit van melders of zaakcommunicatie niet door aan enig groot taalmodel of AI-inferentiedienst — niet voor categorisatie, niet voor samenvatting, niet voor vertaling. Geen enkele AI-aanbieder (OpenAI, Anthropic, Google, Mistral of andere) is een sub-verwerker. Dit verwijdert een categorie van openbaarmaking van sub-verwerkers uit uw verwerkersovereenkomst en verwijdert overwegingen op grond van <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 22</a> (geautomatiseerde besluitvorming) uit uw GEB. Zie de <a href="/subprocessors/">lijst van sub-verwerkers</a> voor de bijbehorende vermelding.</p> <p>Twee aanvullende redenen waarom dit een keuze van vertrouwelijkheidsniveau is en geen voorkeur voor een functie:</p> <ul> <li><strong>Geen hallucinaties in de bewijsketen voor naleving.</strong> Grote taalmodellen produceren probabilistische output. Een samenvatting die zegt “deze melding lijkt niet urgent” is een waarschijnlijkheid, geen feit, en kan niet worden gereproduceerd of gecontroleerd. EthicsPortal registreert deterministisch wie, welke actie en op welk tijdstip — het auditlog is bewijs, geen gok.</li> <li><strong>Geen aanvalsoppervlak voor prompt injection op meldingen van melders.</strong> Invoer van melders is per definitie niet te vertrouwen. Door deze via een LLM te leiden ontstaat een categorie aanvallen waarbij instructies die in de meldtekst zijn ingebed de output richting de behandelaar kunnen manipuleren (voorgestelde antwoorden, samenvattingen, categorisatie). EthicsPortal verwijdert het oppervlak volledig door geen inferentie op meldingsinhoud uit te voeren.</li> </ul> <hr> <h2 id="6-registratie-art-18"> §6. Registratie (art. 18) <a href="#6-registratie-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Eis</th> <th>Hoe EthicsPortal dit afhandelt</th> </tr> </thead> <tbody> <tr> <td>Registratie van elke melding bijhouden</td> <td>Volledig auditlog van alle acties: indieningen, statuswijzigingen, berichten, toewijzingen en inzage van meldingen</td> </tr> <tr> <td>Registraties veilig opslaan</td> <td>Alle gevoelige velden in rust versleuteld</td> </tr> <tr> <td>Registraties opvraagbaar</td> <td>Volledige zaakexport naar pdf met metadata, berichtenketen, bijlagenlijst en audit trail. Nalevingsrapport op organisatieniveau in pdf beschikbaar voor auditors — bevat de richtlijnchecklist, SLA-cijfers en samenvatting van gegevensbescherming zonder gevoelige meldgegevens prijs te geven</td> </tr> <tr> <td>Registraties verwijderen wanneer niet langer noodzakelijk</td> <td>Configureerbare bewaartermijn (12, 24, 36 of 60 maanden) met automatische verwijdering van verlopen gesloten meldingen</td> </tr> </tbody> </table> <hr> <h2 id="7-avg-naleving"> §7. AVG-naleving <a href="#7-avg-naleving" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Eis</th> <th>Artikel</th> <th>Hoe EthicsPortal dit afhandelt</th> </tr> </thead> <tbody> <tr> <td>Rechtsgrond voor verwerking</td> <td>art. 6, lid 1, onder c</td> <td>Verwerking is noodzakelijk om te voldoen aan Richtlijn (EU) 2019/1937</td> </tr> <tr> <td>Informatie over gegevensverwerking</td> <td>art. 13/14</td> <td>Privacyverklaring weergegeven op het meldformulier voordat de melder indient</td> </tr> <tr> <td>Minimale gegevensverwerking</td> <td>art. 5, lid 1, onder c</td> <td>Alleen essentiële velden verzameld; naam en contactgegevens van de melder zijn optioneel</td> </tr> <tr> <td>Opslagbeperking</td> <td>art. 5, lid 1, onder e</td> <td>Configureerbare bewaartermijn per organisatie met automatische verwijdering</td> </tr> <tr> <td>Integriteit en vertrouwelijkheid</td> <td>art. 5, lid 1, onder f</td> <td>Versleuteling in rust voor alle gevoelige gegevens; geen IP-registratie op portaalroutes; bestandsmetadata automatisch verwijderd</td> </tr> <tr> <td>Recht op gegevenswissing</td> <td>art. 17</td> <td>Automatische, op bewaartermijn gebaseerde verwijdering; handmatige verwijdering beschikbaar voor beheerders</td> </tr> </tbody> </table> <hr> <h2 id="8-beveiligingsmaatregelen"> §8. Beveiligingsmaatregelen <a href="#8-beveiligingsmaatregelen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Maatregel</th> <th>Detail</th> </tr> </thead> <tbody> <tr> <td>Versleuteling in rust</td> <td>Alle meldingsbeschrijvingen, namen van melders, contactgegevens en berichtinhoud worden versleuteld met niet-deterministische versleuteling</td> </tr> <tr> <td>Geen IP-registratie</td> <td>IP-adressen van melders worden nooit opgeslagen — snelheidsbeperking gebruikt onomkeerbare eenrichtingshashes</td> </tr> <tr> <td>Verwijdering van bestandsmetadata</td> <td>EXIF-gegevens (GPS-coördinaten, cameramodel, auteursinformatie) worden vóór opslag automatisch verwijderd uit geüploade afbeeldingen</td> </tr> <tr> <td>Anonieme identiteit van de behandelaar</td> <td>Klokkenluiders zien nooit de echte naam van de behandelaar — berichten tonen “Zaakbehandelaar”</td> </tr> <tr> <td>Snelheidsbeperking</td> <td>Endpoints van het openbare portaal zijn aan snelheidsbeperking onderworpen om misbruik te voorkomen</td> </tr> <tr> <td>Toegangscontrole</td> <td>Rolgebaseerde rechten zorgen ervoor dat alleen geautoriseerde behandelaars meldingen kunnen inzien; niet-beheerderbehandelaars zien alleen zaken die aan hen zijn toegewezen of waaraan zij als deelnemer zijn toegevoegd</td> </tr> <tr> <td>Audit trail</td> <td>Elke actie wordt gelogd met tijdstip, actor en type actie — uitsluitend toevoegingen en altijd beschikbaar voor toezichthoudende controle</td> </tr> </tbody> </table> <hr> <h2 id="9-wat-uw-organisatie-nog-moet-doen"> §9. Wat uw organisatie nog moet doen <a href="#9-wat-uw-organisatie-nog-moet-doen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal regelt de technische eisen. Uw organisatie is verantwoordelijk voor:</p> <ul> <li><strong>Het aanwijzen van een meldingsverantwoordelijke</strong> — wijs ten minste één persoon aan die verantwoordelijk is voor de behandeling van meldingen</li> <li><strong>Intern beleid</strong> — stel een beleid voor de bescherming van klokkenluiders vast en communiceer dit aan werknemers</li> <li><strong>Training</strong> — zorg ervoor dat aangewezen behandelaars hun vertrouwelijkheidsverplichtingen begrijpen</li> <li><strong>Handhaving van het verbod op represailles</strong> — zorg ervoor dat het management begrijpt dat represailles een wetsovertreding zijn</li> <li><strong>Toestemming voor bekendmaking van identiteit</strong> — als de identiteit van een melder buiten de geautoriseerde behandelaars moet worden gedeeld (bijv. met rechtshandhaving), verkrijg dan eerst de uitdrukkelijke toestemming van de melder (<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16(2)</a> )</li> <li><strong>Werknemers informeren</strong> — deel de portaal-URL met werknemers (EthicsPortal levert een deelbare link en QR-code)</li> </ul> <hr> <h2 id="vragen"> Vragen? <a href="#vragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Beheerders kunnen een <strong>nalevingsrapport in pdf</strong> rechtstreeks downloaden vanaf de instellingenpagina van het portaal. Het bevat een volledige checklist voor Richtlijn (EU) 2019/1937, SLA-cijfers, gegevensbeschermingsmaatregelen en een samenvatting van de audit trail — klaar om aan een auditor te overhandigen zonder gevoelige meldgegevens prijs te geven.</p> <p>Voor landspecifieke eisen (sancties, bewaartermijnen, handhavingsautoriteiten), zie onze referentie <a href="/whistleblower-laws/">klokkenluiderswetten per land</a> .</p> <p>Voor hoe EthicsPortal de meerduidige bepalingen van de richtlijn interpreteert (de drempel van 50 werknemers, wat als “zorgvuldige opvolging” geldt, onderbouwingen van bewaartermijnen, de AVG-rechtsgrond), zie de <a href="/directive-interpretations/">interpretaties van Richtlijn (EU) 2019/1937</a> .</p> <p>Als u hulp nodig hebt om naleving aan te tonen aan uw juridische team of toezichthouder, neem dan contact met ons op via <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/en-301-549-conformance/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/en-301-549-conformance/Clausulegewijze conformiteitsbeoordeling van EthicsPortal tegen EN 301 549 V3.2.3 en WCAG 2.2 niveau AA.<h1 id="en-301-549-conformiteitsrapport"> EN 301 549-conformiteitsrapport <a href="#en-301-549-conformiteitsrapport" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Laatst bijgewerkt: 2026-05-24.</p> <p>Dit rapport is een gestructureerde zelfbeoordeling van EthicsPortal tegen de toegankelijkheidseisen in <strong>EN 301 549 V3.2.3</strong> (en, daarmee, <strong>WCAG 2.2 niveau AA</strong>). Het is bedoeld voor inkoopbeoordelaars die een clausulegewijs antwoord nodig hebben dat verder gaat dan de <a href="/accessibility/">toegankelijkheidsverklaring</a> .</p> <table> <thead> <tr> <th>Veld</th> <th>Waarde</th> </tr> </thead> <tbody> <tr> <td>Product</td> <td>EthicsPortal — EU-nalevingsplatform voor klokkenluiders</td> </tr> <tr> <td>Productversie</td> <td>Continu uitgerold; dit rapport beschrijft de staat per de opstellingsdatum</td> </tr> <tr> <td>Norm</td> <td>EN 301 549 V3.2.3 (inclusief WCAG 2.2 niveau AA)</td> </tr> <tr> <td>Conformiteitsaanpak</td> <td>Zelfbeoordeling</td> </tr> <tr> <td>Opstellingsdatum</td> <td>14 mei 2026</td> </tr> <tr> <td>Volgende herziening</td> <td>augustus 2026 (per kwartaal)</td> </tr> <tr> <td>Contact</td> <td><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </td> </tr> </tbody> </table> <p>Een pdf-versie van dit rapport kan op verzoek voor inkoop worden verstrekt.</p> <h2 id="reikwijdte"> Reikwijdte <a href="#reikwijdte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Dit rapport behandelt drie uitrolomgevingen:</p> <ol> <li><strong>Webapplicatie</strong> — <code>secure.ethicsportal.eu</code>, de geauthenticeerde interface voor zaakbehandelaars</li> <li><strong>Openbare meldportalen</strong> — <code>*.ethicsportal.eu</code>, de indiening van meldingen en het volgen van zaken voor klokkenluiders</li> <li><strong>Marketingwebsite</strong> — <code>ethicsportal.eu</code>, de met Hugo gerenderde openbare site (inclusief deze pagina)</li> </ol> <p>Het behandelt ook downloadbare documenten en ondersteuningsdiensten die via deze omgevingen worden geleverd.</p> <p>EthicsPortal is een webgebaseerd SaaS-product. Het biedt geen native mobiele apps, kioskhardware, tweeweg-spraak-ICT, video-uitvoer voor media of realtimetekst. De clausules 6, 7, 8 en 13 van EN 301 549 zijn daarom grotendeels <strong>niet van toepassing</strong>.</p> <h2 id="samenvatting"> Samenvatting <a href="#samenvatting" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Clausulegebied</th> <th>Status</th> </tr> </thead> <tbody> <tr> <td>§5 Algemene eisen</td> <td>Conform, met uitzonderingen vermeld in §5.4</td> </tr> <tr> <td>§6 ICT met tweeweg-spraakcommunicatie</td> <td>Niet van toepassing</td> </tr> <tr> <td>§7 ICT met videomogelijkheden</td> <td>Niet van toepassing</td> </tr> <tr> <td>§8 Hardware</td> <td>Niet van toepassing</td> </tr> <tr> <td>§9 Web</td> <td>Gedeeltelijk conform (zie details §9)</td> </tr> <tr> <td>§10 Niet-webdocumenten</td> <td>Niet conform — zie §10.1</td> </tr> <tr> <td>§11 Software</td> <td>Gedeeltelijk conform (zie details §11)</td> </tr> <tr> <td>§12 Documentatie en ondersteuningsdiensten</td> <td>Conform</td> </tr> <tr> <td>§13 ICT die toegang biedt tot relais- of nooddiensten</td> <td>Niet van toepassing</td> </tr> </tbody> </table> <h2 id="clausulegewijze-beoordeling"> Clausulegewijze beoordeling <a href="#clausulegewijze-beoordeling" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="5-algemene-eisen"> §5 Algemene eisen <a href="#5-algemene-eisen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <table> <thead> <tr> <th>Clausule</th> <th>Eis</th> <th>Status</th> <th>Aantekeningen</th> </tr> </thead> <tbody> <tr> <td>5.1.2.2 / 5.1.3</td> <td>Activering van toegankelijkheidsfuncties</td> <td>Conform</td> <td>Het platform stelt toegankelijkheidsfuncties beschikbaar via standaard-HTML en ARIA. Er is geen propriëtaire activeringsstap vereist</td> </tr> <tr> <td>5.2</td> <td>Activering van toegankelijkheidsfuncties</td> <td>Conform</td> <td>Toegankelijkheidsinstellingen op browser- en OS-niveau (zoom, contrast, verminderde beweging, schermlezer) worden gerespecteerd</td> </tr> <tr> <td>5.3</td> <td>Biometrie</td> <td>Niet van toepassing</td> <td>Authenticatie verloopt via magic link of eenmalige code met optionele TOTP; er is geen biometrische invoer vereist</td> </tr> <tr> <td>5.4</td> <td>Behoud van toegankelijkheidsinformatie bij conversie</td> <td>Gedeeltelijk conform</td> <td>Applicatie-inhoud behoudt toegankelijkheidsinformatie; pdf-exports niet (zie §10.1)</td> </tr> <tr> <td>5.5</td> <td>Bedienbare onderdelen</td> <td>Conform</td> <td>Alle interactieve elementen zijn bedienbaar met toetsenbord en aanwijzer; de doelgrootte voldoet aan §2.5.8</td> </tr> <tr> <td>5.6</td> <td>Vergrendelings- of schakelstatus</td> <td>Conform</td> <td>Schakelstatussen worden blootgesteld via <code>aria-pressed</code> / <code>aria-expanded</code></td> </tr> <tr> <td>5.7</td> <td>Toetsherhaling</td> <td>Niet van toepassing</td> <td>De software configureert de toetsherhaling van het systeem niet</td> </tr> <tr> <td>5.8</td> <td>Acceptatie van dubbelaanslag</td> <td>Niet van toepassing</td> <td>De software configureert de toetsacceptatie van het systeem niet</td> </tr> <tr> <td>5.9</td> <td>Gelijktijdige gebruikersacties</td> <td>Conform</td> <td>Geen enkele interactie vereist gelijktijdige gebruikersacties</td> </tr> </tbody> </table> <h3 id="9-web-omvat-wcag-22-niveau-a-en-aa"> §9 Web (omvat WCAG 2.2 niveau A en AA) <a href="#9-web-omvat-wcag-22-niveau-a-en-aa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>EthicsPortal richt zich op WCAG 2.2 niveau AA. De nieuwe criteria die in WCAG 2.2 zijn toegevoegd, worden afzonderlijk gerapporteerd zodat beoordelaars de dekking verder dan WCAG 2.1 kunnen bevestigen.</p> <p><strong>Principe 1 — Waarneembaar</strong></p> <table> <thead> <tr> <th>SC</th> <th>Titel</th> <th>Niveau</th> <th>Status</th> <th>Aantekeningen</th> </tr> </thead> <tbody> <tr> <td>1.1.1</td> <td>Niet-tekstuele content</td> <td>A</td> <td>Conform</td> <td>Afbeeldingen en SVG-iconen hebben alt-tekst of zijn als decoratief gemarkeerd. Knoppen met alleen een icoon dragen een <code>aria-label</code>. Status die alleen met een icoon wordt aangegeven, heeft een tekstequivalent in <code>sr-only</code></td> </tr> <tr> <td>1.2.x</td> <td>Op tijd gebaseerde media</td> <td>A/AA</td> <td>Niet van toepassing</td> <td>Geen audio- of video-inhoud</td> </tr> <tr> <td>1.3.1</td> <td>Info en relaties</td> <td>A</td> <td>Conform</td> <td>Semantische HTML; tabellen gebruiken <code><th scope></code>; formulieren gebruiken <code><label></code></td> </tr> <tr> <td>1.3.2</td> <td>Betekenisvolle volgorde</td> <td>A</td> <td>Conform</td> <td>DOM-volgorde komt overeen met visuele volgorde</td> </tr> <tr> <td>1.3.3</td> <td>Zintuiglijke eigenschappen</td> <td>A</td> <td>Conform</td> <td>Instructies steunen niet alleen op vorm, grootte of locatie</td> </tr> <tr> <td>1.3.4</td> <td>Weergavestand</td> <td>AA</td> <td>Conform</td> <td>Lay-out werkt in portret en landschap</td> </tr> <tr> <td>1.3.5</td> <td>Identificeer het doel van de invoer</td> <td>AA</td> <td>Conform</td> <td>Invoervelden die overeenkomen met WCAG-invoerdoelen gebruiken <code>autocomplete</code></td> </tr> <tr> <td>1.4.1</td> <td>Gebruik van kleur</td> <td>A</td> <td>Conform</td> <td>Kleur is nooit het enige signaal — gekoppeld aan tekst of iconen</td> </tr> <tr> <td>1.4.3</td> <td>Contrast (minimum)</td> <td>AA</td> <td>Conform</td> <td>Bodytekst ≥ 4,5:1, grote tekst ≥ 3:1, intern beoordeeld</td> </tr> <tr> <td>1.4.4</td> <td>Herschalen van tekst</td> <td>AA</td> <td>Conform</td> <td>Lay-out herschikt bij 200% zoom zonder verlies van inhoud</td> </tr> <tr> <td>1.4.5</td> <td>Afbeeldingen van tekst</td> <td>AA</td> <td>Conform</td> <td>Het merklogo is de enige afbeelding van tekst; alle UI-labels zijn HTML</td> </tr> <tr> <td>1.4.10</td> <td>Herschikken</td> <td>AA</td> <td>Conform</td> <td>Herschikt bij 320 CSS-pixels breed (tabellen en codeblokken uitgezonderd zoals toegestaan)</td> </tr> <tr> <td>1.4.11</td> <td>Niet-tekstueel contrast</td> <td>AA</td> <td>Conform</td> <td>UI-componenten en grafische objecten voldoen aan 3:1</td> </tr> <tr> <td>1.4.12</td> <td>Tekstafstand</td> <td>AA</td> <td>Conform</td> <td>Door de gebruiker overschreven tekstafstand verstoort de lay-out niet</td> </tr> <tr> <td>1.4.13</td> <td>Content bij hover of focus</td> <td>AA</td> <td>Conform</td> <td>Tooltips zijn afsluitbaar (Escape), aanwijsbaar en blijven bestaan totdat de trigger de focus verliest</td> </tr> </tbody> </table> <p><strong>Principe 2 — Bedienbaar</strong></p> <table> <thead> <tr> <th>SC</th> <th>Titel</th> <th>Niveau</th> <th>Status</th> <th>Aantekeningen</th> </tr> </thead> <tbody> <tr> <td>2.1.1</td> <td>Toetsenbord</td> <td>A</td> <td>Conform</td> <td>Alle functionaliteit is met het toetsenbord bedienbaar</td> </tr> <tr> <td>2.1.2</td> <td>Geen toetsenbordval</td> <td>A</td> <td>Conform</td> <td>Modals vangen de focus alleen terwijl ze open zijn en herstellen die bij sluiten</td> </tr> <tr> <td>2.1.4</td> <td>Sneltoetsen met letterteken</td> <td>A</td> <td>Niet van toepassing</td> <td>Geen sneltoetsen met één teken geïmplementeerd</td> </tr> <tr> <td>2.2.1</td> <td>Timing aanpasbaar</td> <td>A</td> <td>Conform</td> <td>De time-out bij inactiviteit van de sessie is 30 dagen, wat voldoet aan de uitzondering van 20 uur</td> </tr> <tr> <td>2.2.2</td> <td>Pauzeren, stoppen, verbergen</td> <td>A</td> <td>Conform</td> <td>Geen automatisch bijgewerkte inhoud beweegt, knippert of scrolt langer dan 5 seconden zonder een knop om te pauzeren</td> </tr> <tr> <td>2.3.1</td> <td>Drie flitsen of minder</td> <td>A</td> <td>Conform</td> <td>Geen flitsende inhoud</td> </tr> <tr> <td>2.4.1</td> <td>Blokken omzeilen</td> <td>A</td> <td>Conform</td> <td>Skip-link naar de hoofdinhoud aanwezig op elke lay-out</td> </tr> <tr> <td>2.4.2</td> <td>Pagina getiteld</td> <td>A</td> <td>Conform</td> <td>Elke pagina heeft een gelokaliseerde, beschrijvende <code><title></code></td> </tr> <tr> <td>2.4.3</td> <td>Focusvolgorde</td> <td>A</td> <td>Conform</td> <td>Focus volgt de DOM-volgorde</td> </tr> <tr> <td>2.4.4</td> <td>Linkdoel (in context)</td> <td>A</td> <td>Conform</td> <td>Linktekst beschrijft de bestemming</td> </tr> <tr> <td>2.4.5</td> <td>Meerdere manieren</td> <td>AA</td> <td>Conform</td> <td>Sitezoeken, navigatie en broodkruimels zijn beschikbaar</td> </tr> <tr> <td>2.4.6</td> <td>Koppen en labels</td> <td>AA</td> <td>Conform</td> <td>Eén <code><h1></code> per pagina; koppen lopen af zonder over te slaan</td> </tr> <tr> <td>2.4.7</td> <td>Focus zichtbaar</td> <td>AA</td> <td>Conform</td> <td><code>:focus-visible</code> is globaal ingeschakeld; focusringen worden niet uitgeschakeld</td> </tr> <tr> <td>2.4.11</td> <td>Focus niet verborgen (minimum)</td> <td>AA <em>(nieuw in 2.2)</em></td> <td>Conform</td> <td>Gefocuste elementen worden niet volledig bedekt door plakkende headers of andere content van de auteur</td> </tr> <tr> <td>2.5.1</td> <td>Aanwijzergebaren</td> <td>A</td> <td>Conform</td> <td>Geen meerpunts- of padgebaseerde gebaren vereist</td> </tr> <tr> <td>2.5.2</td> <td>Aanwijzerannulering</td> <td>A</td> <td>Conform</td> <td>Alle klikacties voltooien bij <code>up-event</code></td> </tr> <tr> <td>2.5.3</td> <td>Label in naam</td> <td>A</td> <td>Conform</td> <td>Toegankelijke namen bevatten het zichtbare label</td> </tr> <tr> <td>2.5.4</td> <td>Bewegingsactivering</td> <td>A</td> <td>Niet van toepassing</td> <td>Geen invoer op basis van apparaatbeweging</td> </tr> <tr> <td>2.5.7</td> <td>Sleepbewegingen</td> <td>AA <em>(nieuw in 2.2)</em></td> <td>Conform</td> <td>Geen flows met alleen slepen; uploads accepteren klik- en toetsenbordalternatieven</td> </tr> <tr> <td>2.5.8</td> <td>Doelgrootte (minimum)</td> <td>AA <em>(nieuw in 2.2)</em></td> <td>Conform</td> <td>Interactieve doelen ≥ 24×24 CSS-px</td> </tr> </tbody> </table> <p><strong>Principe 3 — Begrijpelijk</strong></p> <table> <thead> <tr> <th>SC</th> <th>Titel</th> <th>Niveau</th> <th>Status</th> <th>Aantekeningen</th> </tr> </thead> <tbody> <tr> <td>3.1.1</td> <td>Taal van de pagina</td> <td>A</td> <td>Gedeeltelijk conform</td> <td>Applicatie- en portaalpagina’s stellen <code><html lang></code> in op de actieve taal. Statische fallback-foutpagina’s zijn alleen in het Engels — zie <a href="/accessibility/#non-accessible-content">toegankelijkheidsverklaring</a> </td> </tr> <tr> <td>3.1.2</td> <td>Taal van onderdelen</td> <td>AA</td> <td>Conform</td> <td>Inline anderstalige strings gebruiken waar nodig <code>lang</code>-attributen</td> </tr> <tr> <td>3.2.1</td> <td>Bij focus</td> <td>A</td> <td>Conform</td> <td>Focus veroorzaakt geen contextwijziging</td> </tr> <tr> <td>3.2.2</td> <td>Bij invoer</td> <td>A</td> <td>Conform</td> <td>Invoer veroorzaakt geen contextwijziging zonder waarschuwing</td> </tr> <tr> <td>3.2.3</td> <td>Consistente navigatie</td> <td>AA</td> <td>Conform</td> <td>De navigatievolgorde is consistent in de hele applicatie</td> </tr> <tr> <td>3.2.4</td> <td>Consistente identificatie</td> <td>AA</td> <td>Conform</td> <td>Iconen en componenten worden consistent gebruikt</td> </tr> <tr> <td>3.2.6</td> <td>Consistente hulp</td> <td>A <em>(nieuw in 2.2)</em></td> <td>Conform</td> <td>Contact voor ondersteuning en hulplinks verschijnen op dezelfde locatie op elke geauthenticeerde pagina (voettekstgebied van de zijbalk) en in de voettekst van het portaal</td> </tr> <tr> <td>3.3.1</td> <td>Foutidentificatie</td> <td>A</td> <td>Conform</td> <td>Fouten worden weergegeven via <code>role="alert"</code> en aan de gebruiker beschreven</td> </tr> <tr> <td>3.3.2</td> <td>Labels of instructies</td> <td>A</td> <td>Conform</td> <td>Invoervelden zijn gelabeld; hints gebruiken <code>aria-describedby</code></td> </tr> <tr> <td>3.3.3</td> <td>Foutsuggestie</td> <td>AA</td> <td>Conform</td> <td>Fouten geven aan wat er mis is en hoe het te verhelpen</td> </tr> <tr> <td>3.3.4</td> <td>Foutpreventie (juridisch, financieel, gegevens)</td> <td>AA</td> <td>Conform</td> <td>Omkeerbare handelingen of expliciete bevestiging voor destructieve acties</td> </tr> <tr> <td>3.3.7</td> <td>Overbodige invoer</td> <td>A <em>(nieuw in 2.2)</em></td> <td>Conform</td> <td>Eerder ingevoerde informatie (e-mail, organisatie) wordt automatisch ingevuld waar deze in dezelfde sessie opnieuw vereist is</td> </tr> <tr> <td>3.3.8</td> <td>Toegankelijke authenticatie (minimum)</td> <td>AA <em>(nieuw in 2.2)</em></td> <td>Conform</td> <td>Authenticatie gebruikt magic links en eenmalige codes die geplakt kunnen worden; er zijn geen cognitieve functietests vereist</td> </tr> </tbody> </table> <p><strong>Principe 4 — Robuust</strong></p> <table> <thead> <tr> <th>SC</th> <th>Titel</th> <th>Niveau</th> <th>Status</th> <th>Aantekeningen</th> </tr> </thead> <tbody> <tr> <td>4.1.2</td> <td>Naam, rol, waarde</td> <td>A</td> <td>Conform</td> <td>Bedieningselementen stellen naam, rol en status bloot</td> </tr> <tr> <td>4.1.3</td> <td>Statusberichten</td> <td>AA</td> <td>Conform</td> <td>Flashberichten, meldingen en asynchrone resultaten gebruiken <code>aria-live</code>-regio’s</td> </tr> </tbody> </table> <h3 id="10-niet-webdocumenten"> §10 Niet-webdocumenten <a href="#10-niet-webdocumenten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <table> <thead> <tr> <th>Clausule</th> <th>Eis</th> <th>Status</th> <th>Aantekeningen</th> </tr> </thead> <tbody> <tr> <td>10.1</td> <td>Niet-webdocumenten (pdf’s)</td> <td>Niet conform</td> <td>Nalevingsrapporten, certificaten, beleidssjablonen, posters, het handboek voor zaakbehandelaars en zaakexports worden geproduceerd als niet-getagde pdf’s. Toegankelijke HTML-alternatieven zijn op verzoek beschikbaar via <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> . Een pijplijn voor getagde pdf’s staat op de roadmap.</td> </tr> <tr> <td>10.2</td> <td>DOCX-beleidssjablonen</td> <td>Gedeeltelijk conform</td> <td>Gegenereerde DOCX-bestanden (klokkenluidersbeleid, privacyverklaring) dragen hun structuur, maar zijn niet beoordeeld tegen aan PDF/UA gelijkwaardige verwachtingen voor bewerkbare documenten. HTML-alternatieven zijn op verzoek beschikbaar.</td> </tr> </tbody> </table> <h3 id="11-software"> §11 Software <a href="#11-software" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De webapplicatie kwalificeert als software onder §11. §11 omvat WCAG (hierboven beoordeeld onder §9) plus softwarespecifieke clausules:</p> <table> <thead> <tr> <th>Clausule</th> <th>Eis</th> <th>Status</th> <th>Aantekeningen</th> </tr> </thead> <tbody> <tr> <td>11.5</td> <td>Interoperabiliteit met hulptechnologie</td> <td>Conform</td> <td>Gebouwd op semantische HTML en ARIA; getest met VoiceOver, NVDA en toetsenbordnavigatie van het platform</td> </tr> <tr> <td>11.6</td> <td>Gedocumenteerd toegankelijkheidsgebruik</td> <td>Conform</td> <td>Deze pagina en de <a href="/accessibility/">toegankelijkheidsverklaring</a> documenteren toegankelijkheidsfuncties en bekende beperkingen</td> </tr> <tr> <td>11.7</td> <td>Gebruikersvoorkeuren</td> <td>Conform</td> <td>Voorkeuren op OS-niveau (verminderde beweging, kleurenschema, tekstschaling) worden gerespecteerd</td> </tr> <tr> <td>11.8</td> <td>Auteurstools</td> <td>Gedeeltelijk conform</td> <td>De interface voor zaakbehandelaars is een auteurstool onder §11.8 omdat behandelaars inhoud creëren die door klokkenluiders wordt geconsumeerd. Bijlage-uploads accepteren beschrijvingen; rich-textfuncties (wanneer geïntroduceerd) worden beoordeeld tegen <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </td> </tr> </tbody> </table> <h3 id="12-documentatie-en-ondersteuningsdiensten"> §12 Documentatie en ondersteuningsdiensten <a href="#12-documentatie-en-ondersteuningsdiensten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <table> <thead> <tr> <th>Clausule</th> <th>Eis</th> <th>Status</th> <th>Aantekeningen</th> </tr> </thead> <tbody> <tr> <td>12.1.1</td> <td>Toegankelijkheids- en compatibiliteitsfuncties</td> <td>Conform</td> <td>Dit rapport en de <a href="/accessibility/">toegankelijkheidsverklaring</a> beschrijven de ondersteunde hulptechnologieën en platformcombinaties</td> </tr> <tr> <td>12.1.2</td> <td>Toegankelijke documentatie</td> <td>Conform</td> <td>Documentatie wordt geleverd als semantische HTML op de marketingwebsite en via in-app-hulp</td> </tr> <tr> <td>12.2.2</td> <td>Informatie over toegankelijkheidsfuncties</td> <td>Conform</td> <td>Ondersteuningspersoneel en de gepubliceerde verklaring kunnen toegankelijkheidsvragen beantwoorden</td> </tr> <tr> <td>12.2.3</td> <td>Effectieve communicatie</td> <td>Conform</td> <td>Het feedbackkanaal voor toegankelijkheid wordt elke werkdag bewaakt; bevestiging binnen 2 werkdagen</td> </tr> <tr> <td>12.2.4</td> <td>Toegankelijke documentatie (ondersteuning)</td> <td>Gedeeltelijk conform</td> <td>Documenten die in reactie op ondersteuningsverzoeken worden geleverd, erven dezelfde status als de onderliggende artefacten — pdf’s worden gemarkeerd; HTML-alternatieven zijn beschikbaar</td> </tr> </tbody> </table> <h2 id="bekende-beperkingen"> Bekende beperkingen <a href="#bekende-beperkingen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De onderstaande punten worden bijgehouden, niet verborgen:</p> <ol> <li><strong>Niet-getagde pdf’s.</strong> Grootste hiaat. Vandaag de dag ondervangen door toegankelijke HTML-alternatieven op verzoek; gepland om te worden vervangen door een pijplijn met getagde pdf of HTML als canoniek formaat.</li> <li><strong>Statische foutpagina’s alleen in het Engels.</strong> Zelden tegengekomen; dezelfde informatie wordt in de taal van de gebruiker binnen de applicatie gepresenteerd.</li> <li><strong>Ingesloten content van derden (Crisp, door Stripe gehoste pagina’s)</strong> valt buiten onze directe controle; de toegankelijkheidsdocumentatie van de aanbieder wordt jaarlijks herzien.</li> </ol> <h2 id="testmethodologie"> Testmethodologie <a href="#testmethodologie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De zelfbeoordeling combineerde:</p> <ul> <li><strong>Geautomatiseerd</strong>: <code>axe-core-capybara</code> draait tegen de flows van het openbare meldportaal (startpagina, indiening van meldingen, opzoeken) in CI via <code>test/system/portal_accessibility_system_test.rb</code>; elke overtreding laat de build mislukken. Het uitbreiden van de geautomatiseerde dekking naar de geauthenticeerde flows van zaakbehandelaars staat op de roadmap</li> <li><strong>Handmatige toetsenbordtests</strong> in de meldflow van het portaal, de workflow van zaakbehandelaars, het accountbeheer en de authenticatie</li> <li><strong>VoiceOver (macOS, Safari)</strong> en <strong>NVDA (Windows, Firefox)</strong> schermlezer-doorlopen op dezelfde flows</li> <li><strong>200% zoom</strong> herschikkingscontrole op elke lay-out bij 1280×800</li> <li><strong>Verminderde beweging</strong> geverifieerd door de OS-voorkeur in te schakelen</li> <li><strong>Simulatie van kleurenblindheid</strong> met Coblis</li> <li><strong>Codereview</strong> tegen de interne <a href="https://github.com/yshmarov/ethicsportal.eu/blob/main/docs/accessibility.md" rel="nofollow">engineeringgids voor toegankelijkheid</a> </li> </ul> <h2 id="contact-en-feedback"> Contact en feedback <a href="#contact-en-feedback" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Toegankelijkheidszorgen, verzoeken om alternatieve formaten en inkoopvragen:</p> <ul> <li><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — elke werkdag bewaakt</li> <li>Zie de <a href="/accessibility/">toegankelijkheidsverklaring</a> voor de volledige feedback- en handhavingsprocedure</li> </ul> <h2 id="normen-en-referenties"> Normen en referenties <a href="#normen-en-referenties" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> </li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> (geharmoniseerde versie)</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016L2102" rel="nofollow">Richtlijn (EU) 2016/2102</a> </li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L0882" rel="nofollow">Richtlijn (EU) 2019/882</a> — Europese toegankelijkheidsakte</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018D1523" rel="nofollow">Uitvoeringsbesluit (EU) 2018/1523</a> </li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 niveau AA</a> </li> <li><a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/product/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/product/Stel een veilig intern meldkanaal in voor naleving van Richtlijn (EU) 2019/1937, inclusief portaalconfiguratie, zaakbeheer en audit-exports.<h1 id="hoe-ethicsportal-werkt"> Hoe EthicsPortal werkt <a href="#hoe-ethicsportal-werkt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <h2 id="uitrolproces"> Uitrolproces <a href="#uitrolproces" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="1-stel-uw-portaal-in"> 1. Stel uw portaal in <a href="#1-stel-uw-portaal-in" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Maak het organisatieaccount aan en stel vervolgens in:</p> <ul> <li><strong>Organisatienaam en logo:</strong> uw portaal, uw identiteit</li> <li><strong>Meldcategorieën:</strong> fraude, intimidatie, veiligheid, of definieer uw eigen categorieën</li> <li><strong>Bewaartermijn:</strong> 12, 24, 36 of 60 maanden, daarna automatisch verwijderd</li> </ul> <p>Aan het portaal wordt een unieke URL toegewezen zodra de configuratie is opgeslagen.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-portal-edit.png" alt="Scherm voor portaalconfiguratie" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="2-deel-de-link"> 2. Deel de link <a href="#2-deel-de-link" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Elk portaal krijgt een <strong>deelbare link</strong> en een <strong>QR-code</strong>. Plaats de QR-code in pauzeruimtes, toiletten, het personeelshandboek en onboardingpakketten. Werknemers openen het portaal vanuit elke browser. Geen app, account of bedrijfsnetwerk vereist.</p> <p>Bekijk het eigen meldkanaal van EthicsPortal in productie: <a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">secure.ethicsportal.eu/p/BiPdmk</a> .</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-portal-public-desktop.png" alt="Portaallink en QR-code delen" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="3-beheer-de-zaakworkflow"> 3. Beheer de zaakworkflow <a href="#3-beheer-de-zaakworkflow" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Wanneer een melding binnenkomt, ontvangt u een e-mailmelding. Vanuit het dashboard beheert u elke zaak in één overzicht:</p> <ul> <li><strong>Toewijzen en triëren:</strong> stuur zaken naar de juiste behandelaar</li> <li><strong>Filteren en zoeken:</strong> vind zaken op status, categorie of termijn</li> <li><strong>Externe meldingen vastleggen:</strong> een melding ontvangen per telefoon, e-mail of persoonlijk? Maak deze handmatig aan zodat alles op één plek staat</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-reports.png" alt="Dashboard met meldingen, zaaklijst, filters en status" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <p>Open een zaak om deze van begin tot eind te behandelen:</p> <ul> <li><strong>Lees de volledige melding:</strong> beschrijving, categorie, gestructureerde intakeantwoorden en geüploade bestanden. Meldingen waarin een zorg over represailles wordt gesignaleerd, dragen een opvallende urgentiebadge (art. 19 van de richtlijn)</li> <li><strong>Bevestig de ontvangst:</strong> de richtlijn vereist dit binnen 7 dagen. EthicsPortal bewaakt de termijn en signaleert te late zaken automatisch</li> <li><strong>Communiceer met de melder:</strong> veilige tweerichtingsberichten via toegangscode. De melder blijft anoniem en de namen van uw behandelaars worden nooit onthuld</li> <li><strong>Geef terugkoppeling:</strong> de richtlijn vereist dit binnen 3 maanden. Automatisch bewaakt</li> <li><strong>Voeg interne notities toe:</strong> notities die onzichtbaar zijn voor de melder en zichtbaar voor uw team</li> <li><strong>Exporteer naar pdf:</strong> genereer een volledig zaakdossier voor juridische beoordeling, auditors of nalevingsdocumentatie</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-report.png" alt="Weergave van een individuele zaak met veilige berichten, termijnen en audit trail" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="wat-melders-ervaren"> Wat melders ervaren <a href="#wat-melders-ervaren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De ervaring van de melder doet ertoe, want die bepaalt of mensen het kanaal daadwerkelijk gebruiken.</p> <ul> <li><strong>Geen account, geen app, geen login.</strong> Gewoon een browser op elk apparaat, ook een persoonlijke telefoon op mobiele data</li> <li><strong>Standaard volledig anoniem.</strong> Geen IP-registratie. Bestandsmetadata (EXIF, GPS, auteur) worden automatisch verwijderd vóór opslag</li> <li><strong>Optionele bekendmaking van identiteit.</strong> Melders kunnen hun naam delen als ze dat willen. Het is nooit verplicht</li> <li><strong>Optionele geleide vragen.</strong> Een korte, overslaanbare reeks vragen die aansluiten op de richtlijn — relatie tot de organisatie (art. 4), hoe zij ervan weten, wanneer het gebeurde, of het eerder is gemeld en of zij represailles vrezen (art. 19) — helpt behandelaars bij het triëren. Elke vraag is optioneel, zodat de anonimiteit nooit in het gedrang komt door een verplicht antwoord</li> <li><strong>Tweefactortoegang tot de zaak.</strong> De melder kiest bij indiening een 6-cijferige toegangscode en ontvangt een zaak-ID (<code>WB-XXXX-XXXX</code>). Beide zijn vereist om de status te controleren en op berichten van de behandelaar te reageren</li> <li><strong>Namen van behandelaars worden nooit getoond.</strong> De melder ziet “Zaakbehandelaar” en niets meer</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-new-report-desktop.png" alt="Anoniem meldformulier" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <p>Wanneer melders terugkomen om hun zaak te controleren, voeren zij hun zaak-ID en 6-cijferige toegangscode in en zien zij alleen wat ze nodig hebben: status, berichten van de behandelaar en alle bestanden die zij hebben geüpload. De identiteit van behandelaars blijft verborgen achter een algemene aanduiding “Zaakbehandelaar”.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-public-report-desktop.png" alt="Weergave van de melder van zijn ingediende zaak met veilige tweerichtingsberichten" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="wat-er-onder-de-motorkap-zit"> Wat er onder de motorkap zit <a href="#wat-er-onder-de-motorkap-zit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Elke technische keuze dient één doel: u nalevend houden en uw melders beschermen.</p> <ul> <li><strong>Versleuteld in rust.</strong> Alle meldgegevens worden in de database versleuteld</li> <li><strong>Virusscanning.</strong> Alle geüploade bestanden worden server-side gescand op malware. Geïnfecteerde bestanden worden automatisch verwijderd</li> <li><strong>Audit trail met uitsluitend toevoegingen.</strong> Elke actie wordt gelogd. Vermeldingen kunnen na aanmaak niet meer worden gewijzigd. Auditors krijgen wie wat deed en wanneer</li> <li><strong>Tweefactorauthenticatie.</strong> TOTP-gebaseerde 2FA voor behandelaars- en beheerdersaccounts, via elke standaard authenticator-app. Melders authenticeren zich eveneens met twee factoren: zaak-ID plus een door de melder gekozen 6-cijferige toegangscode (uitsluitend opgeslagen als bcrypt-digest)</li> <li><strong>Automatische termijnbewaking.</strong> Ontvangstbevestigingstermijn van 7 dagen en terugkoppelingstermijn van 3 maanden met meldingen bij overschrijding</li> <li><strong>In de EU gehoste meldgegevens.</strong> De kerngegevens van meldingen worden opgeslagen op Hetzner-servers in Neurenberg, Duitsland. De marketingwebsite wordt geleverd via Cloudflare (CDN, Verenigde Staten); de meld- en behandelportalen niet. Waarborgen voor doorgifte zijn gedocumenteerd in de gepubliceerde lijst van sub-verwerkers</li> <li><strong>Geen tracking.</strong> Geen IP-registratie, geen analytics-cookies, geen scripts van derden op het meldportaal</li> </ul> <hr> <p>Voor het artikelsgewijze overzicht van hoe elke functie aan de richtlijn voldoet, zie het <a href="/directive-coverage/">dekkingsoverzicht van Richtlijn (EU) 2019/1937</a> . Voor interpretatieve standpunten over de meerduidige bepalingen van de richtlijn, zie de <a href="/directive-interpretations/">interpretaties van Richtlijn (EU) 2019/1937</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/incidents/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/incidents/Openbaar register van wezenlijke incidenten die persoonsgegevens raken die door EthicsPortal worden verwerkt. Bijgehouden in de geest van artikel 33 AVG en als zaak van institutionele transparantie.<h1 id="incidentenregister"> Incidentenregister <a href="#incidentenregister" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Op deze pagina wordt elk wezenlijk incident vastgelegd dat de vertrouwelijkheid, integriteit of beschikbaarheid raakt van persoonsgegevens die door EthicsPortal worden verwerkt. Het wordt bijgehouden in de geest van artikel 33 AVG (melding van inbreuken in verband met persoonsgegevens) en als zaak van institutionele transparantie.</p> <p>Laatst bijgewerkt: 2026-04.</p> <hr> <h2 id="reikwijdte"> Reikwijdte <a href="#reikwijdte" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Een vermelding wordt aangemaakt voor elk van de volgende gevallen:</p> <ul> <li>Een inbreuk in verband met persoonsgegevens zoals gedefinieerd in artikel 4, onder 12, AVG — “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.”</li> <li>Een serviceonderbreking van meer dan twee uur die melders verhinderde meldingen in te dienen of behandelaars verhinderde toegang te krijgen tot actieve zaken.</li> <li>Een significante kwetsbaarheid in EthicsPortal of bij een sub-verwerker die noodmaatregelen vereiste.</li> <li>Elk incident dat melding aan een toezichthoudende autoriteit vereist op grond van artikel 33 AVG.</li> </ul> <p>Routinematige onderbrekingen korter dan twee uur, gepland onderhoud en incidenten waarbij geen persoonsgegevens betrokken waren, worden hier niet vastgelegd.</p> <hr> <h2 id="tijdlijn-voor-openbaarmaking"> Tijdlijn voor openbaarmaking <a href="#tijdlijn-voor-openbaarmaking" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong>Binnen 72 uur</strong> na kennisname van een inbreuk in verband met persoonsgegevens — melding aan getroffen exploitanten (verwerkingsverantwoordelijken) per e-mail, overeenkomstig artikel 33, lid 2, AVG.</li> <li><strong>Binnen 7 dagen</strong> na inperking — voorlopige vermelding toegevoegd aan dit register met een samenvatting, getroffen gegevenscategorieën en de status van de mitigatie.</li> <li><strong>Binnen 30 dagen</strong> na inperking — definitieve vermelding met de grondoorzaak, het herstel en de geleerde lessen.</li> </ul> <p>Vermeldingen blijven voor onbepaalde tijd openbaar. Vermeldingen worden nooit bewerkt om gêne te verminderen; correcties worden toegevoegd als latere vermeldingen.</p> <hr> <h2 id="een-beveiligingszorg-melden"> Een beveiligingszorg melden <a href="#een-beveiligingszorg-melden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Neem voor het melden van een beveiligingsprobleem dat EthicsPortal raakt contact op via <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Versleutelde meldingen zijn welkom; PGP-sleutel op verzoek.</p> <hr> <h2 id="register"> Register <a href="#register" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><em>Geen vermeldingen.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/directive-interpretations/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/directive-interpretations/Hoe EthicsPortal de meerduidige bepalingen van Richtlijn (EU) 2019/1937 interpreteert. Een referentiedocument voor compliance officers, functionarissen voor gegevensbescherming en juridisch adviseurs.<h1 id="interpretaties-van-richtlijn-eu-20191937"> Interpretaties van Richtlijn (EU) 2019/1937 <a href="#interpretaties-van-richtlijn-eu-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Dit document legt vast hoe EthicsPortal bepalingen van Richtlijn (EU) 2019/1937 interpreteert die meer dan één redelijke lezing toelaten. Het is geschreven voor compliance officers, functionarissen voor gegevensbescherming en juridisch adviseurs die verdedigbare operationele beslissingen moeten nemen bij gebrek aan gezaghebbende interpretatieve richtsnoeren van de Europese Commissie of het Hof van Justitie.</p> <p>Het is een levend document. Wanneer het Hof van Justitie, het Europees Comité voor gegevensbescherming of een bevoegde nationale autoriteit een bindende interpretatie uitvaardigt die afwijkt van de onderstaande standpunten, wordt dit document herzien en wordt het eerdere standpunt bewaard in het wijzigingslogboek.</p> <p>Voor het overzicht van functie naar eis — welke EthicsPortal-functie aan elke bepaling van de richtlijn voldoet — zie het <a href="/directive-coverage/">dekkingsoverzicht van Richtlijn (EU) 2019/1937</a> . De twee documenten zijn complementair: het dekkingsoverzicht documenteert wat het product doet; dit document documenteert hoe wij de wet lezen.</p> <p>Laatst bijgewerkt: april 2026.</p> <hr> <h2 id="1-reikwijdte-en-bronnen"> §1. Reikwijdte en bronnen <a href="#1-reikwijdte-en-bronnen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Deze methodologie behandelt Richtlijn (EU) 2019/1937 zoals omgezet in het nationale recht van de 27 EU-lidstaten. Wanneer de nationale omzetting strenger is dan de richtlijn, geldt de nationale regel voor organisaties die in die jurisdictie actief zijn (zie §9).</p> <p>Gezaghebbende bronnen, in volgorde van voorrang:</p> <ol> <li><strong>De tekst van de richtlijn zelf</strong> — Richtlijn (EU) 2019/1937 van 23 oktober 2019, met inbegrip van de overwegingen.</li> <li><strong>Nationale omzettingswetten</strong> — bindend binnen elke lidstaat. Zie <a href="/whistleblower-laws/">klokkenluiderswetten per land</a> voor specifieke wetsnamen en handhavingsautoriteiten.</li> <li><strong>Uitspraken van het Hof van Justitie van de Europese Unie</strong> — bindend in de hele Unie.</li> <li><strong>Richtsnoeren van het Europees Comité voor gegevensbescherming</strong> — voor gegevensbeschermingsaspecten (artikel 17, AVG-laag).</li> <li><strong>Richtsnoeren van nationale bevoegde autoriteiten</strong> — overtuigend binnen de uitvaardigende staat.</li> </ol> <p>Dit document is operationele methodologie. Het is geen juridisch advies. Organisaties dienen interpretaties te valideren bij bevoegd juridisch adviseur in hun jurisdictie voordat zij erop vertrouwen bij audit of geschillen.</p> <hr> <h2 id="2-conventies"> §2. Conventies <a href="#2-conventies" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De richtlijn bepaalt</strong> introduceert een verklaring van wat de tekst van de richtlijn vereist.</p> <p><strong>In de praktijk betekent dit</strong> introduceert de interpretatie van EthicsPortal waar de tekst meer dan één lezing toelaat.</p> <p><strong>EthicsPortal implementeert dit door</strong> introduceert hoe de interpretatie zich manifesteert in het product. Exploitanten die een andere interpretatie kiezen, moeten mogelijk de configuratie of procedures dienovereenkomstig aanpassen.</p> <p>Alle artikelverwijzingen verwijzen naar Richtlijn (EU) 2019/1937, tenzij anders vermeld.</p> <hr> <h2 id="3-de-drempel-van-50-werknemers-art-8"> §3. De drempel van 50 werknemers (art. 8) <a href="#3-de-drempel-van-50-werknemers-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De vraag.</strong> Artikel 8, lid 3, verplicht entiteiten met “50 of meer werknemers” tot het instellen van interne meldkanalen. De richtlijn definieert niet hoe het personeelsbestand wordt berekend, hoe deeltijd- en tijdelijke werknemers meetellen, of de drempel per rechtspersoon of per concern geldt.</p> <p><strong>De richtlijn bepaalt</strong> dat “juridische entiteiten in de private sector met 50 of meer werknemers” moeten voldoen (art. 8, lid 3). Overweging 48 verduidelijkt dat de drempel wordt berekend “overeenkomstig het nationale recht tot omzetting van het toepasselijke Unierecht”.</p> <p><strong>In de praktijk betekent dit</strong> dat de berekening de bestaande regels van elke lidstaat voor het tellen van het personeelsbestand voor arbeids- en socialezekerheidsdoeleinden volgt. Deze regels verschillen:</p> <ul> <li><strong>Duitsland</strong> (HinSchG §12): personeelsbestand op basis van het aantal regelmatig in dienst zijnde personen, geteld per rechtspersoon.</li> <li><strong>Frankrijk</strong> (Loi Waserman, art. 8): 50 werknemers berekend als het gemiddelde maandelijkse personeelsbestand over de voorgaande 12 maanden.</li> <li><strong>Italië</strong> (D.Lgs. 24/2023): gemiddelde tewerkstelling over het voorgaande jaar.</li> <li><strong>Spanje</strong> (Ley 2/2023): 50 werknemers per entiteit, met kanalen op concernniveau toegestaan onder voorwaarden.</li> </ul> <p><strong>De drempel wordt berekend per rechtspersoon</strong>, niet per concern. Een moeder en een dochter zijn voor de toepassing van artikel 8 afzonderlijke entiteiten, tenzij het nationale recht anders bepaalt. Artikel 8, lid 6, staat het delen van middelen toe binnen een concern van maximaal 249 werknemers — maar de verplichting om een kanaal in te stellen wordt nog steeds per entiteit boven de drempel van 50 werknemers geactiveerd.</p> <p><strong>Aannemers, uitzendkrachten en stagiairs</strong> tellen over het algemeen mee voor de drempel wanneer zij vallen binnen de nationale definitie van “werknemer” — die ruimer is dan “werknemer in loondienst” onder het EU-recht. Het Hof van Justitie heeft consequent geoordeeld dat het EU-rechtelijke begrip “werknemer” elke persoon omvat die diensten verricht voor en onder leiding van een ander tegen vergoeding (zie <em>Lawrie-Blum</em>, C-66/85).</p> <p><strong>EthicsPortal implementeert dit door</strong> de toegang niet af te schermen op basis van het personeelsbestand. Elke organisatie kan een portaal instellen, ongeacht de omvang. Organisaties onder de drempel van 50 werknemers exploiteren vaak vrijwillig portalen — voor risicobeheer, omdat het nationale recht een lagere drempel op hun sector toepast (bijv. financiële diensten), of omdat het concernbeleid dit voorschrijft.</p> <hr> <h2 id="4-de-ontvangstbevestigingstermijn-art-9-lid-1-onder-b"> §4. De ontvangstbevestigingstermijn (art. 9, lid 1, onder b) <a href="#4-de-ontvangstbevestigingstermijn-art-9-lid-1-onder-b" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De vraag.</strong> Artikel 9, lid 1, onder b, vereist de ontvangstbevestiging “binnen zeven dagen na die ontvangst”. De richtlijn specificeert geen kalenderdagen of werkdagen, noch wanneer de klok begint te lopen voor meldingen die buiten kantooruren worden ontvangen.</p> <p><strong>De richtlijn bepaalt</strong> de ontvangstbevestiging “binnen zeven dagen na ontvangst”. Er wordt geen verdere kwalificatie gegeven.</p> <p><strong>In de praktijk betekent dit</strong> zeven <strong>kalenderdagen</strong>, geteld vanaf het moment waarop de melding het kanaal binnenkomt. Dit volgt het algemene beginsel dat termijnen in het Unierecht in kalenderdagen lopen, tenzij uitdrukkelijk anders is bepaald (Verordening (EEG, Euratom) nr. 1182/71, art. 3). Lidstaten die de richtlijn hebben omgezet, hebben de termijn van zeven dagen consequent als kalenderdagen behandeld (HinSchG §17(1)2; D.Lgs. 24/2023 art. 5, lid 1, onder d; Loi Waserman art. 8).</p> <p>Een melding die om 23:59 uur op een zondag wordt ingediend, is een melding die op die zondag is ontvangen. De klok van zeven dagen begint op de volgende dag (dag 1 = maandag) en verstrijkt aan het einde van de zevende dag. Dit volgt artikel 3, lid 1, van Verordening 1182/71, dat bepaalt dat wanneer een termijn in dagen is uitgedrukt, de dag van de gebeurtenis die de termijn doet ingaan, niet meetelt.</p> <p><strong>Ontvangstbevestiging is niet hetzelfde als een inhoudelijke reactie.</strong> De ontvangstbevestiging is een bevestiging dat de melding is ontvangen en geregistreerd. Zij hoeft geen beoordeling van de gegrondheid van de melding te bevatten, noch de naam van de persoon die de melding behandelt.</p> <p><strong>EthicsPortal implementeert dit door</strong> op het moment van indiening automatisch een ontvangstbevestiging naar de melder te sturen, weergegeven op het portaal en (waar contactgegevens zijn verstrekt) per e-mail. De ontvangstbevestiging bevat de zaakreferentie en de wettelijke terugkoppelingstermijn van drie maanden. Organisaties die zijn geconfigureerd voor handmatige ontvangstbevestiging ontvangen termijnwaarschuwingen 48 uur vóór de zevendaagse grens en op de dag van het verstrijken.</p> <hr> <h2 id="5-de-terugkoppelingstermijn-art-9-lid-1-onder-f"> §5. De terugkoppelingstermijn (art. 9, lid 1, onder f) <a href="#5-de-terugkoppelingstermijn-art-9-lid-1-onder-f" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De vraag.</strong> Artikel 9, lid 1, onder f, vereist terugkoppeling “binnen een redelijke termijn van ten hoogste drie maanden vanaf de ontvangstbevestiging of, indien geen ontvangstbevestiging aan de melder werd verzonden, drie maanden vanaf het verstrijken van de zevendagentermijn na de melding”. De richtlijn definieert niet wat als “terugkoppeling” kwalificeert.</p> <p><strong>De richtlijn bepaalt</strong> dat “terugkoppeling” betekent “het verstrekken aan de melder van informatie over de als opvolging geplande of genomen maatregelen en over de redenen voor die opvolging” (art. 5, onder 13).</p> <p><strong>In de praktijk betekent dit</strong> dat de terugkoppeling inhoudelijk is. Een verdere ontvangstbevestiging of een mededeling dat de melding “in behandeling” is, is geen terugkoppeling in de zin van artikel 9, lid 1, onder f. De melder heeft het recht om uiterlijk bij de grens van drie maanden te weten welke maatregelen de organisatie voornemens is te nemen (of heeft genomen) en de redenering daarachter.</p> <p>Terugkoppeling hoeft geen definitief oordeel te zijn. Een organisatie mag verklaren dat de zaak nog in onderzoek is, mits zij ook vermeldt wat tot dusver is gedaan, welke verdere stappen zijn gepland en wanneer een verdere update kan worden verwacht. Wat vereist is, is informatie die voldoende is voor de melder om te beoordelen of de organisatie de melding serieus behandelt.</p> <p><strong>De klok van drie maanden loopt vanaf de datum van de ontvangstbevestiging</strong>, niet vanaf de datum van indiening van de melding. Waar de ontvangstbevestiging is vertraagd, verkort het terugkoppelingsvenster dienovereenkomstig — de laatst toegestane terugkoppelingsdatum is drie maanden en zeven dagen na de melding.</p> <p><strong>EthicsPortal implementeert dit door</strong> beide termijnen (ontvangstbevestiging van 7 dagen, terugkoppeling van 3 maanden) per zaak te bewaken en waarschuwingen bij overschrijding zichtbaar te maken voor alle organisatiebeheerders. Terugkoppeling aan de melder wordt geleverd via de tweerichtingsberichten van het portaal, die de anonimiteit van de melder behouden waar deze zijn identiteit niet heeft bekendgemaakt.</p> <hr> <h2 id="6-zorgvuldige-opvolging-art-9-lid-1-onder-d"> §6. Zorgvuldige opvolging (art. 9, lid 1, onder d) <a href="#6-zorgvuldige-opvolging-art-9-lid-1-onder-d" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De vraag.</strong> Artikel 9, lid 1, onder d, vereist een “zorgvuldige opvolging door de aangewezen persoon of afdeling als bedoeld in punt c”. “Zorgvuldig” is niet gedefinieerd.</p> <p><strong>De richtlijn bepaalt</strong> dat opvolging betekent “elke door de ontvanger van een melding of een bevoegde autoriteit genomen maatregel om de juistheid van de in de melding gedane beweringen te beoordelen en, in voorkomend geval, om de gemelde inbreuk aan te pakken” (art. 5, onder 12).</p> <p><strong>In de praktijk betekent dit</strong> dat zorgvuldige opvolging drie operationele minimumcomponenten kent:</p> <ol> <li><strong>Beoordeling.</strong> Een gedocumenteerde evaluatie of de beweringen, indien waar, een inbreuk zouden vormen binnen het materiële toepassingsgebied van de richtlijn (art. 2) of de nationale omzetting.</li> <li><strong>Onderzoek in verhouding tot de bewering.</strong> Onderzoeksstappen die in verhouding staan tot de ernst van de vermeende inbreuk, de sterkte van het bewijs en de potentiële schade. Niet elke melding rechtvaardigt een volledig onderzoek; een melding die door geen enkel concreet detail wordt ondersteund, kan worden beoordeeld en gesloten met een gedocumenteerde motivering. Een melding met specifiek, gestaafd detail rechtvaardigt meer.</li> <li><strong>Gelijktijdige registratie.</strong> Genomen maatregelen, genomen beslissingen en de redenering daarachter moeten worden vastgelegd op het moment waarop zij plaatsvinden. Een zorgvuldige opvolging die geen spoor nalaat, is niet te onderscheiden van geen opvolging.</li> </ol> <p>“Zorgvuldig” is een objectieve maatstaf. Er wordt niet aan voldaan door subjectieve goede trouw alleen. Een organisatie die routinematig meldingen sluit zonder beoordeling, of die maanden nodig heeft om een dossier te openen, is niet zorgvuldig, ook al meent zij van wel.</p> <p><strong>EthicsPortal implementeert dit door</strong> een zaakbeheerworkflow te bieden met statusovergangen (ontvangen, bevestigd, in onderzoek, gesloten), interne notities voor samenwerking tussen behandelaars en een audit trail met uitsluitend toevoegingen die elke actie met tijdstip en actor registreert. De audit trail is het primaire bewijs van zorgvuldigheid bij een audit of toezichthoudende beoordeling.</p> <hr> <h2 id="7-vertrouwelijkheid-van-de-identiteit-art-16"> §7. Vertrouwelijkheid van de identiteit (art. 16) <a href="#7-vertrouwelijkheid-van-de-identiteit-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De vraag.</strong> Artikel 16, lid 1, vereist dat de identiteit van de melder niet wordt bekendgemaakt aan iemand buiten de geautoriseerde personeelsleden. De richtlijn specificeert niet of “identiteit” zich uitstrekt tot metadata die de melder zouden kunnen identificeren (IP-adressen, browser fingerprints, metadata van bestandsauteurschap, patronen van tijdstempels).</p> <p><strong>De richtlijn bepaalt</strong> dat “de identiteit van de melder niet wordt bekendgemaakt aan iemand buiten de geautoriseerde personeelsleden die bevoegd zijn meldingen te ontvangen of op te volgen, zonder de uitdrukkelijke toestemming van die persoon” (art. 16, lid 1).</p> <p><strong>In de praktijk betekent dit</strong> dat “identiteit” functioneel wordt gelezen: zij omvat elke informatie die, alleen of in combinatie, identificatie van de melder mogelijk maakt. Deze lezing sluit aan bij de AVG-definitie van persoonsgegevens (Verordening (EU) 2016/679, art. 4, onder 1) en bij het consistente standpunt van het Europees Comité voor gegevensbescherming dat identificeerbaarheid contextafhankelijk is.</p> <p>Het volgende wordt behandeld als identiteitsinformatie:</p> <ul> <li>De naam, contactgegevens en alle informatie die de melder over zichzelf verstrekt.</li> <li>Het <strong>IP-adres</strong> waarvandaan de melding is ingediend.</li> <li><strong>Bestandsmetadata</strong> die zijn ingebed in geüploade documenten (auteursnaam, GPS-coördinaten in foto’s, apparaatidentificatoren, revisiegeschiedenis in officedocumenten).</li> <li>Patronen van tijdstempels of toegang die één persoon uniek kunnen identificeren (bijv. een melding die is ingediend op een tijdstip waarop aannemelijk slechts één werknemer deze kan hebben ingediend).</li> </ul> <p>Organisaties die IP-adressen van melders bewaren, of die geüploade bestanden accepteren zonder de metadata te verwijderen, stellen zich bloot aan een vertrouwelijkheidsfout die technisch een schending van artikel 16 is, zelfs als de naam van de melder nooit wordt bekendgemaakt.</p> <p><strong>EthicsPortal implementeert dit door</strong> de IP-adressen van melders nooit op te slaan (snelheidsbeperking gebruikt onomkeerbare eenrichtingshashes), EXIF- en documentmetadata te verwijderen uit alle geüploade bestanden vóór opslag, en de identiteitsvelden van de melder in rust te versleutelen met niet-deterministische versleuteling (zodat zelfs volledige databasetoegang geen bulkopzoeking op naam mogelijk maakt).</p> <hr> <h2 id="8-bewaartermijn-art-18"> §8. Bewaartermijn (art. 18) <a href="#8-bewaartermijn-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De vraag.</strong> Artikel 18, lid 1, vereist dat registraties van meldingen worden bewaard “niet langer dan noodzakelijk en evenredig is om te voldoen aan de bij deze richtlijn of bij andere Unie- of nationaalrechtelijke bepalingen opgelegde vereisten”. De richtlijn specificeert geen maximumperiode.</p> <p><strong>De richtlijn bepaalt</strong> een maatstaf van “noodzakelijk en evenredig”, verankerd aan nalevingsdoeleinden.</p> <p><strong>In de praktijk betekent dit</strong> dat de bewaring moet worden gerechtvaardigd onder verwijzing naar een concreet wettelijk of operationeel doel, in tijd beperkt en gedocumenteerd in de gegevensbeschermingsregistraties van de organisatie (art. 30 AVG). Bij gebrek aan een lopend onderzoek, geschil of specifieke wettelijke vereiste wordt bewaring na de sluiting van de zaak steeds moeilijker te rechtvaardigen.</p> <p>Veelvoorkomende rechtvaardigingen en hun gebruikelijke duur:</p> <table> <thead> <tr> <th>Doel</th> <th>Gebruikelijke bewaring</th> </tr> </thead> <tbody> <tr> <td>Actieve zaak (van ontvangst tot sluiting)</td> <td>Duur van de zaak</td> </tr> <tr> <td>Vervolgonderzoek of geschil</td> <td>Tot definitieve afhandeling</td> </tr> <tr> <td>Toezichthoudende audit trail</td> <td>Periode vastgesteld door sectorregelgeving (vaak 5 jaar voor financiële diensten)</td> </tr> <tr> <td>Bescherming bij vordering wegens represailles (art. 21)</td> <td>Nationale verjaringstermijn voor arbeidsvorderingen (doorgaans 2–5 jaar)</td> </tr> <tr> <td>Statistische rapportage onder art. 27, lid 2</td> <td>Alleen geanonimiseerde gegevens; persoonsgegevens te minimaliseren of te verwijderen</td> </tr> </tbody> </table> <p>De nationale omzetting kan specifieke termijnen vaststellen. Voorbeelden:</p> <ul> <li><strong>Duitsland</strong> (HinSchG §11(5)): documentatie verwijderd drie jaar na sluiting van de procedure, langer alleen waar vereist door andere wetten.</li> <li><strong>Frankrijk</strong> (CNIL-richtsnoeren over de Loi Waserman): bewaartermijnen gekalibreerd per zaaktype, waarbij routinezaken binnen twee maanden na sluiting worden verwijderd als geen opvolging wordt nagestreefd.</li> <li><strong>Italië</strong> (D.Lgs. 24/2023 art. 14): vijf jaar na sluiting van de melding, behoudens AVG-minimalisatie.</li> </ul> <p>Een algemene bewaartermijn die voor het gemak wordt gekozen (“wij bewaren alles 10 jaar”) voldoet niet aan artikel 18, noch aan artikel 5, lid 1, onder e, AVG. Bewaring moet aan een doel zijn gekoppeld.</p> <p><strong>EthicsPortal implementeert dit door</strong> configureerbare bewaartermijnen (12, 24, 36, 60 maanden) te bieden met automatische verwijdering van gesloten meldingen aan het einde van de ingestelde periode. De standaardinstelling is de kortste periode die voldoet aan de meest voorkomende vereisten van nationale omzettingen. Exploitanten in sectoren met langere wettelijke bewaarverplichtingen stellen de periode dienovereenkomstig in.</p> <hr> <h2 id="9-rechtsgrond-voor-verwerking-interactie-met-de-avg"> §9. Rechtsgrond voor verwerking (interactie met de AVG) <a href="#9-rechtsgrond-voor-verwerking-interactie-met-de-avg" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De vraag.</strong> Artikel 17 van de richtlijn vereist dat de verwerking van persoonsgegevens voldoet aan de AVG. De richtlijn zelf is geen rechtsgrond onder artikel 6 AVG — een verwerkingsverantwoordelijke moet bepalen welke specifieke grond van toepassing is.</p> <p><strong>De richtlijn bepaalt</strong> dat de verwerking “wordt uitgevoerd overeenkomstig Verordening (EU) 2016/679” (art. 17).</p> <p><strong>In de praktijk betekent dit</strong> dat de rechtsgrond <strong>artikel 6, lid 1, onder c, AVG — wettelijke verplichting</strong> is, waar de organisatie onderworpen is aan een wettelijke verplichting om een meldkanaal in te stellen en te exploiteren. Voor organisaties boven de drempel van 50 werknemers (of daaronder waar sectorspecifieke wetgeving de verplichting oplegt) is artikel 6, lid 1, onder c, de juiste en toereikende grond. Er is geen toestemming van de melder vereist, en die moet ook niet worden gevraagd — het behandelen van de verwerking als gebaseerd op toestemming zou misleidend zijn en zou een theoretisch recht op intrekking creëren dat de verwerkingsverantwoordelijke niet kan honoreren.</p> <p>Voor organisaties die een meldkanaal <strong>vrijwillig</strong> exploiteren (onder de drempel van 50 werknemers en niet onderworpen aan een sectorspecifiek mandaat) is de rechtsgrond <strong>artikel 6, lid 1, onder f — gerechtvaardigd belang</strong>, behoudens een gedocumenteerde belangenafweging. Het gerechtvaardigde belang bij het voorkomen en opsporen van wangedrag binnen de organisatie is goed gevestigd en is in nationale richtsnoeren in de lidstaten erkend.</p> <p>Bijzondere categorieën persoonsgegevens (art. 9 AVG) kunnen incidenteel in meldingen voorkomen — een melding van discriminatie kan gezondheidsinformatie of etnische afkomst onthullen. De rechtsgrond voor gegevens uit artikel 9 is doorgaans artikel 9, lid 2, onder g — zwaarwegend algemeen belang, mits de verwerking evenredig is en gepaard gaat met specifieke waarborgen. Meldingen die strafbare feiten onthullen (art. 10 AVG) worden verwerkt onder de overeenkomstige grond van artikel 10 in het nationale recht.</p> <p><strong>EthicsPortal implementeert dit door</strong> artikel 6, lid 1, onder c, als standaardrechtsgrond te documenteren in de verwerkersovereenkomst en de privacyverklaring. Exploitanten onder de wettelijke drempel passen de privacyverklaring aan om artikel 6, lid 1, onder f, weer te geven en leggen hun belangenafweging afzonderlijk vast.</p> <hr> <h2 id="10-voorrang-van-nationaal-recht-art-25"> §10. Voorrang van nationaal recht (art. 25) <a href="#10-voorrang-van-nationaal-recht-art-25" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De vraag.</strong> Artikel 25, lid 1, bepaalt dat lidstaten bepalingen kunnen invoeren of handhaven die “gunstiger zijn voor de rechten van melders” dan die welke in de richtlijn zijn vastgelegd. De richtlijn behandelt niet hoe exploitanten conflicten moeten oplossen wanneer het nationale recht strenger is.</p> <p><strong>De richtlijn bepaalt</strong> in artikel 25, lid 1, dat “de lidstaten bepalingen kunnen invoeren of handhaven die gunstiger zijn voor de rechten van melders dan die welke in deze richtlijn zijn vastgelegd, onverminderd artikel 22 [rechten van betrokken personen] en artikel 23, lid 2 [sancties voor bewust valse meldingen]”.</p> <p><strong>In de praktijk betekent dit</strong> dat waar de nationale omzetting strenger is dan de richtlijn, <strong>het nationale recht geldt</strong> voor organisaties die in die jurisdictie actief zijn. Er is geen mogelijkheid om te steunen op het minimum van de richtlijn waar de lokale regel strenger is. De richtlijn stelt een ondergrens vast, geen bovengrens.</p> <p>Praktische voorbeelden van strengere nationale regels:</p> <ul> <li><strong>Frankrijk</strong> vereist de ontvangstbevestiging van externe meldingen binnen zeven werkdagen en een terugkoppelingsperiode die voor bepaalde sectoren korter kan zijn dan het minimum van de richtlijn (AMF, ACPR).</li> <li><strong>Duitsland</strong> breidt de bescherming uitdrukkelijk uit tot meldingen over bepaalde categorieën wetsovertredingen buiten het materiële toepassingsgebied van de richtlijn (HinSchG §2).</li> <li><strong>Italië</strong> legt een lagere werknemersdrempel op (50, maar met specifieke sectoren bij elk personeelsbestand voor bepaalde entiteiten) en specifieke registratieformaliteiten.</li> <li><strong>Polen</strong> legt specifieke eisen op aan de vorm van het beleid voor het meldkanaal die niet in de tekst van de richtlijn staan.</li> </ul> <p><strong>Voor exploitanten in meerdere landen</strong> is de operationele regel: pas in elke jurisdictie de strengste van (richtlijn, nationaal recht) toe. Dit betekent soms dat een concernbeleid een uniforme hoge standaard vaststelt die overeenkomt met de strengste nationale regel in enig land van vestiging. Dit verdient over het algemeen de voorkeur boven het bijhouden van parallel beleid per jurisdictie, dat de administratieve last en het risico van toepassing van de verkeerde regel vergroot.</p> <p><strong>EthicsPortal implementeert dit door</strong> standaard uit te gaan van de strengste gemene deler over de 27 lidstaten: kortste ontvangstbevestigings- en terugkoppelingsvensters, smalste bewaartermijn, volledigste kennisgeving over het verbod op represailles. Exploitanten in één jurisdictie kunnen specifieke standaarden versoepelen om aan de nationale regels te voldoen, maar de basis is in elk artikel waar nationale omzettingswetten het minimum van de richtlijn overstijgen, boven dat minimum gekalibreerd.</p> <hr> <h2 id="11-anonieme-melding-art-6-lid-2-art-9-lid-1-onder-e"> §11. Anonieme melding (art. 6, lid 2, art. 9, lid 1, onder e) <a href="#11-anonieme-melding-art-6-lid-2-art-9-lid-1-onder-e" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De vraag.</strong> Moet een organisatie anonieme meldingen accepteren?</p> <p><strong>De richtlijn bepaalt</strong> in artikel 6, lid 2, dat zij “de bevoegdheid van de lidstaten om te beslissen of juridische entiteiten […] al dan niet verplicht zijn anonieme meldingen te accepteren en op te volgen, onverlet laat”. Artikel 9, lid 1, onder e, vereist “een zorgvuldige opvolging, waar voorzien in het nationale recht, met betrekking tot anonieme meldingen”.</p> <p><strong>In de praktijk betekent dit</strong> dat het nationale recht beslist. Twee houdingen:</p> <ul> <li><strong>Vereist</strong> in sommige jurisdicties of sectoren (bijv. de Franse regelgeving voor financiële diensten).</li> <li><strong>Toegestaan</strong> in de meeste lidstaten — Duitsland (HinSchG), Italië (D.Lgs. 24/2023, met verplichte zorgvuldige opvolging zodra een melding is geaccepteerd), Polen (Ustawa o ochronie sygnalistów) en andere.</li> </ul> <p>Drie gevolgen.</p> <p><strong>Eenmaal geaccepteerd, bindend.</strong> Een organisatie die publiceert “wij accepteren anonieme meldingen” heeft artikel 9, lid 1, onder e, geactiveerd. De verplichting is verbonden aan het beleid, niet aan de individuele melding.</p> <p><strong>Bescherming tegen represailles geldt pas vanaf identificatie.</strong> Artikel 21 kan een onbekende persoon niet beschermen. Maatregelen die tijdens de anonieme periode worden genomen, vallen er niet met terugwerkende kracht onder.</p> <p><strong>Anonimiteit is een technische standaard, geen belofte.</strong> Een formulier dat een e-mail verzamelt, is niet anoniem. Een kanaal dat IP-adressen logt, is niet anoniem. De vertrouwelijkheid van artikel 16 beschermt een bekende identiteit tegen bekendmaking; anonimiteit voorkomt identificatie.</p> <p><strong>EthicsPortal implementeert dit door</strong> standaard anonieme meldingen te accepteren. Er zijn geen contactgegevens vereist. IP-adressen worden nooit opgeslagen (snelheidsbeperking gebruikt onomkeerbare eenrichtingshashes). Bestandsmetadata worden vóór opslag verwijderd. Exploitanten kunnen het portaal zo configureren dat contactgegevens vereist zijn waar het nationale recht geïdentificeerde meldingen voorschrijft. Geaccepteerde anonieme meldingen volgen dezelfde zaakworkflow, termijnen en maatstaf voor zorgvuldige opvolging als geïdentificeerde meldingen.</p> <hr> <h2 id="wijzigingslogboek"> Wijzigingslogboek <a href="#wijzigingslogboek" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong>April 2026</strong> — §11 toegevoegd over anonieme melding (art. 6, lid 2, art. 9, lid 1, onder e).</li> <li><strong>April 2026</strong> — Eerste publicatie.</li> </ul> <hr> <h2 id="correcties-en-vragen"> Correcties en vragen <a href="#correcties-en-vragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Dit document is bedoeld om te worden geciteerd en waarop kan worden vertrouwd. Als u een fout identificeert, een standpunt dat in strijd is met een uitspraak van het Hof van Justitie, een advies van het Europees Comité voor gegevensbescherming of bindende nationale richtsnoeren, neem dan contact op via <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> . Correcties worden gepubliceerd in het wijzigingslogboek met datum en samenvatting van de wijziging.</p> <p>Voor vragen over hoe een specifieke interpretatie van toepassing is op de omstandigheden van uw organisatie, is dit document geen vervanging voor juridisch advies. Neem contact op met bevoegd juridisch adviseur in uw jurisdictie.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/industries/financial-services/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/industries/financial-services/Meldverplichtingen voor klokkenluiders voor banken, beleggingsondernemingen en verzekeraars onder Richtlijn (EU) 2019/1937, MiFID II, MAR en de antiwitwasrichtlijnen.<h1 id="naleving-voor-klokkenluiders-in-de-financiële-sector"> Naleving voor klokkenluiders in de financiële sector <a href="#naleving-voor-klokkenluiders-in-de-financi%c3%able-sector" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Financiële instellingen vallen onder de EU-klokkenluidersrichtlijn <em>en</em> onder sectorspecifieke regelgeving die zelfstandig interne meldkanalen vereist. Niet-naleving stelt ondernemingen bloot aan sancties van zowel nationale omzettingswetten als financiële toezichthouders.</p> <h2 id="regelgeving-die-meldkanalen-vereist"> Regelgeving die meldkanalen vereist <a href="#regelgeving-die-meldkanalen-vereist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong>Richtlijn (EU) 2019/1937</strong> — geldt voor alle ondernemingen met 50 of meer werknemers. Vereist vertrouwelijke meldkanalen, een ontvangstbevestiging binnen 7 dagen en terugkoppeling binnen 3 maanden.</li> <li><strong>MiFID II (2014/65/EU)</strong> — artikel 73 verplicht beleggingsondernemingen procedures te hebben waarmee werknemers mogelijke inbreuken intern kunnen melden. Nationale toezichthouders handhaven dit los van de klokkenluidersrichtlijn.</li> <li><strong>Verordening marktmisbruik (EU 596/2014)</strong> — artikel 32 verplicht lidstaten mechanismen in te stellen voor het melden van feitelijk of mogelijk marktmisbruik. Ondernemingen moeten ervoor zorgen dat er interne kanalen bestaan zodat werknemers kunnen melden voordat zij naar toezichthouders stappen.</li> <li><strong>Antiwitwasrichtlijnen (AMLD 4/5/6)</strong> — vereisen interne meldprocedures voor verdachte transacties. Het komende AMLD-pakket (2024) versterkt de bescherming van klokkenluiders bij het melden van witwassen.</li> <li><strong>Solvency II (2009/138/EG)</strong> — artikel 71 verplicht verzekeraars klokkenluidersprocedures te onderhouden.</li> </ul> <h2 id="sectortoezichthouders-met-handhavingsbevoegdheden"> Sectortoezichthouders met handhavingsbevoegdheden <a href="#sectortoezichthouders-met-handhavingsbevoegdheden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Land</th> <th>Toezichthouder</th> <th>Reikwijdte</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/germany/">Duitsland</a> </td> <td>BaFin</td> <td>Bankwezen, verzekeringen, effecten</td> </tr> <tr> <td><a href="/whistleblower-laws/france/">Frankrijk</a> </td> <td>AMF / ACPR</td> <td>Markten / bankwezen en verzekeringen</td> </tr> <tr> <td><a href="/whistleblower-laws/netherlands/">Nederland</a> </td> <td>AFM / DNB</td> <td>Markten / prudentieel toezicht</td> </tr> <tr> <td><a href="/whistleblower-laws/italy/">Italië</a> </td> <td>Consob / Banca d’Italia</td> <td>Markten / bankwezen</td> </tr> <tr> <td><a href="/whistleblower-laws/spain/">Spanje</a> </td> <td>CNMV</td> <td>Effectenmarkten</td> </tr> <tr> <td><a href="/whistleblower-laws/poland/">Polen</a> </td> <td>KNF</td> <td>Alle financiële sectoren</td> </tr> <tr> <td><a href="/whistleblower-laws/ireland/">Ierland</a> </td> <td>Central Bank of Ireland</td> <td>Alle financiële sectoren</td> </tr> </tbody> </table> <p>Deze toezichthouders kunnen boetes opleggen los van de nationale klokkenluidersautoriteiten.</p> <h2 id="wat-er-wordt-gemeld"> Wat er wordt gemeld <a href="#wat-er-wordt-gemeld" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li>Marktmanipulatie en handel met voorkennis</li> <li>Tekortkomingen in AML/KYC-procedures</li> <li>Verkeerde verkoop van financiële producten</li> <li>Ontduiking van sancties</li> <li>Ongeoorloofde handel of overschrijding van risicolimieten</li> <li>Belangenconflicten in adviesfuncties</li> </ul> <h2 id="waarom-een-speciaal-kanaal-van-belang-is"> Waarom een speciaal kanaal van belang is <a href="#waarom-een-speciaal-kanaal-van-belang-is" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Werknemers in de financiële sector die via algemene HR-kanalen melden, lopen het risico dat hun melding wordt doorgestuurd naar de persoon die voor de inbreuk verantwoordelijk is. Artikel 9 van de richtlijn vereist kanalen die de vertrouwelijkheid beschermen en belangenconflicten voorkomen — van cruciaal belang in organisaties waar compliance, handel en management elkaar overlappen.</p> <hr> <p><a href="/pricing/">Stel uw meldkanaal in →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/industries/public-sector/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/industries/public-sector/Meldverplichtingen voor klokkenluiders voor gemeenten, overheidsinstanties en publieke organen onder Richtlijn (EU) 2019/1937. Geen drempel van 50 werknemers.<h1 id="naleving-voor-klokkenluiders-in-de-publieke-sector"> Naleving voor klokkenluiders in de publieke sector <a href="#naleving-voor-klokkenluiders-in-de-publieke-sector" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Entiteiten in de publieke sector hebben een striktere verplichting dan private ondernemingen. Onder Richtlijn (EU) 2019/1937 moeten <strong>alle organisaties in de publieke sector interne meldkanalen instellen</strong> — er is geen minimum van 50 werknemers. De meeste nationale omzettingen behouden deze ruimere reikwijdte.</p> <h2 id="hoe-de-richtlijn-anders-van-toepassing-is"> Hoe de richtlijn anders van toepassing is <a href="#hoe-de-richtlijn-anders-van-toepassing-is" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Eis</th> <th>Private sector</th> <th>Publieke sector</th> </tr> </thead> <tbody> <tr> <td>Drempel werknemers</td> <td>50 of meer werknemers</td> <td><strong>Geen drempel</strong> (alle entiteiten)</td> </tr> <tr> <td>Termijn</td> <td>December 2023 voor 50–249 werknemers</td> <td>December 2021 (de meeste lidstaten)</td> </tr> <tr> <td>Gedeelde kanalen</td> <td>Toegestaan voor gemeenten met minder dan 10.000 inwoners</td> <td>Toegestaan voor gemeenten met minder dan 10.000 inwoners</td> </tr> <tr> <td>Anonieme melding</td> <td>Verschilt per land</td> <td>Verplicht in sommige lidstaten</td> </tr> </tbody> </table> <p>Artikel 8, lid 9, van de richtlijn staat gemeenten met minder dan 10.000 inwoners of minder dan 50 werknemers toe meldkanalen te delen. Dit is de enige tegemoetkoming — alle andere publieke entiteiten moeten hun eigen kanaal exploiteren.</p> <h2 id="nationale-verschillen"> Nationale verschillen <a href="#nationale-verschillen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong><a href="/whistleblower-laws/germany/">Duitsland</a> (HinSchG)</strong> — alle publieke werkgevers moeten interne kanalen instellen. Boetes van € 20.000–€ 50.000 voor niet-naleving (tot € 500.000 voor rechtspersonen).</li> <li><strong><a href="/whistleblower-laws/france/">Frankrijk</a> (Loi Waserman)</strong> — alle publieke organen vallen eronder. Klokkenluiders kunnen rechtstreeks aan externe autoriteiten melden zonder eerst interne kanalen te gebruiken.</li> <li><strong><a href="/whistleblower-laws/poland/">Polen</a> </strong> — alle publieke entiteiten vallen eronder. Interne procedures vereist per 1 januari 2025.</li> <li><strong><a href="/whistleblower-laws/spain/">Spanje</a> (Ley 2/2023)</strong> — alle publieke entiteiten vallen eronder, ongeacht de omvang. Boetes tot € 1.000.000.</li> </ul> <h2 id="wat-er-wordt-gemeld"> Wat er wordt gemeld <a href="#wat-er-wordt-gemeld" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li>Misbruik van overheidsgeld of fraude bij inkoop</li> <li>Belangenconflicten bij aanbestedingen</li> <li>Milieuschendingen door openbare werken</li> <li>Tekortkomingen in de arbeidsveiligheid in publieke voorzieningen</li> <li>Inbreuken op gegevensbescherming waarbij burgergegevens betrokken zijn</li> <li>Machtsmisbruik</li> </ul> <h2 id="waarom-gemeenten-risico-lopen"> Waarom gemeenten risico lopen <a href="#waarom-gemeenten-risico-lopen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De meeste grote overheidsinstanties beschikken over nalevingsinfrastructuur. Gemeenten en kleinere publieke organen vaak niet. Zij gaan ervan uit dat de richtlijn niet op hen van toepassing is omdat zij minder dan 50 werknemers hebben. Dat is wel zo. Een intern meldkanaal voor een gemeente kan rechtstreeks worden ingesteld zonder een omvangrijk IT-integratieproject.</p> <hr> <p><a href="/pricing/">Stel uw meldkanaal in →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/industries/manufacturing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/industries/manufacturing/Meldverplichtingen voor klokkenluiders voor producenten onder Richtlijn (EU) 2019/1937, de Duitse Lieferkettengesetz (LkSG) en de komende EU-CSDDD.<h1 id="naleving-voor-klokkenluiders-in-productie-en-toeleveringsketen"> Naleving voor klokkenluiders in productie en toeleveringsketen <a href="#naleving-voor-klokkenluiders-in-productie-en-toeleveringsketen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Producenten krijgen vanuit twee richtingen te maken met klokkenluidersverplichtingen: de EU-klokkenluidersrichtlijn (2019/1937) voor interne meldingen, en wetgeving inzake gepaste zorgvuldigheid in de toeleveringsketen die uitdrukkelijk klachtenmechanismen vereist voor werknemers <em>en</em> derden.</p> <h2 id="regelgeving-die-meldkanalen-vereist"> Regelgeving die meldkanalen vereist <a href="#regelgeving-die-meldkanalen-vereist" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong>Richtlijn (EU) 2019/1937</strong> — geldt voor alle producenten met 50 of meer werknemers. Interne kanalen voor werknemers.</li> <li><strong>Duitse Lieferkettengesetz (LkSG)</strong> — van kracht sinds januari 2023. Verplicht ondernemingen met 1.000 of meer werknemers (en hun directe leveranciers) tot het instellen van een <strong>klachtenprocedure</strong> die toegankelijk is voor getroffen personen in de toeleveringsketen — niet alleen werknemers. <a href="https://www.gesetze-im-internet.de/lksg/__8.html" rel="nofollow">Section 8 LkSG</a> </li> <li><strong>EU-richtlijn inzake passende zorgvuldigheid in het bedrijfsleven op het gebied van duurzaamheid (CSDDD)</strong> — aangenomen in 2024, gefaseerde invoering vanaf 2027. Verplicht ondernemingen met 1.000 of meer werknemers en een omzet van € 450 miljoen of meer tot het instellen van klachtenmechanismen voor schendingen van mensenrechten en milieu in hun waardeketens.</li> <li><strong>EU-verordening productveiligheid (2023/988)</strong> — verplicht producenten interne kanalen te hebben voor het melden van zorgen over productveiligheid.</li> </ul> <h2 id="lksg-versus-klokkenluidersrichtlijn"> LkSG versus klokkenluidersrichtlijn <a href="#lksg-versus-klokkenluidersrichtlijn" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th></th> <th>Klokkenluidersrichtlijn</th> <th>LkSG</th> </tr> </thead> <tbody> <tr> <td>Wie kan melden</td> <td>Werknemers, aannemers</td> <td>Werknemers, leveranciers, getroffen derden</td> </tr> <tr> <td>Reikwijdte</td> <td>Inbreuken op EU-/nationaal recht</td> <td>Mensenrechten, milieuschendingen in de toeleveringsketen</td> </tr> <tr> <td>Anonimiteit vereist</td> <td>Verschilt per land</td> <td>Niet vereist maar aanbevolen (BAFA-richtsnoeren)</td> </tr> <tr> <td>Handhaving</td> <td>Nationale klokkenluidersautoriteiten</td> <td>BAFA (<a href="/whistleblower-laws/germany/">Duits</a> Bundesamt für Wirtschaft und Ausfuhrkontrolle)</td> </tr> <tr> <td>Sancties</td> <td>Verschilt per land</td> <td>Tot 2% van de wereldwijde jaaromzet</td> </tr> </tbody> </table> <p>Ondernemingen die onder beide wetten vallen, hebben een kanaal nodig dat dubbele verplichtingen dient — interne klokkenluidersmeldingen <em>en</em> klachten in de toeleveringsketen. Eén meldkanaal kan beide dekken als het juist is geconfigureerd.</p> <h2 id="wat-er-wordt-gemeld"> Wat er wordt gemeld <a href="#wat-er-wordt-gemeld" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li>Schendingen van de arbeidsveiligheid in productievestigingen</li> <li>Niet-naleving van milieuregels (emissies, afvalverwerking)</li> <li>Dwangarbeid of uitbuitende omstandigheden bij leverancierslocaties</li> <li>Productveiligheidsgebreken die voor toezichthouders worden verzwegen</li> <li>Omkoping bij inkoop of leveranciersrelaties</li> <li>Omzeiling van exportcontroles of sancties</li> </ul> <h2 id="waarom-dit-nu-van-belang-is"> Waarom dit nu van belang is <a href="#waarom-dit-nu-van-belang-is" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De CSDDD breidt de verplichtingen inzake gepaste zorgvuldigheid in de toeleveringsketen uit naar de hele EU, niet alleen Duitsland. Ondernemingen die zich voorbereiden op naleving in 2027 hebben klachtenmechanismen nodig. Wachten betekent dat onder tijdsdruk moet worden bijgewerkt — hetzelfde patroon dat ertoe leidde dat vijf lidstaten werden beboet wegens de late omzetting van de richtlijn.</p> <hr> <p><a href="/pricing/">Stel uw meldkanaal in →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/about/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/about/EthicsPortal biedt een veilig intern meldkanaal, gebouwd in Europa, gehost in Duitsland, ontworpen voor Richtlijn (EU) 2019/1937.<h1 id="over-ethicsportal"> Over EthicsPortal <a href="#over-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Laatst bijgewerkt: 2026-05-24.</p> <p>Richtlijn (EU) 2019/1937 verplicht elke organisatie met 50 of meer werknemers tot het instellen van een veilig, vertrouwelijk intern meldkanaal. EthicsPortal is dat kanaal.</p> <hr> <h2 id="wat-wij-bieden"> Wat wij bieden <a href="#wat-wij-bieden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li>Anonieme en vertrouwelijke meldingen die aan elk artikel van de richtlijn voldoen</li> <li>Versleutelde gegevensopslag, gehost bij Hetzner in Neurenberg, Duitsland</li> <li>Automatische bewaking van de ontvangstbevestigingstermijn van 7 dagen en de terugkoppelingstermijn van 3 maanden</li> <li>Audit trail met uitsluitend toevoegingen voor toezichthoudende controle</li> <li>Veilige tweerichtingscommunicatie tussen melders en zaakbehandelaars</li> <li>Meertalige ondersteuning voor grensoverschrijdende organisaties</li> <li>PDF-export van zaken voor auditors en juridische beoordeling</li> </ul> <hr> <h2 id="waar-wij-actief-zijn"> Waar wij actief zijn <a href="#waar-wij-actief-zijn" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal wordt vanuit Polen beheerd en de kerngegevens van meldingen worden binnen de EU gehost. De volledige <a href="/directive-coverage/">dekkingsoverzicht van Richtlijn (EU) 2019/1937</a> , <a href="/security/">beveiligingsarchitectuur</a> , <a href="/subprocessors/">lijst van sub-verwerkers</a> , <a href="/dpa/">verwerkersovereenkomst</a> en <a href="/trust/">vertrouwenspagina</a> zijn gepubliceerd en beschikbaar voor beoordeling.</p> <ul> <li>Geen analytics of trackingcookies van derden op het meldportaal</li> <li>Volledige gegevensexport op elk moment (PDF + CSV)</li> <li><a href="https://secure.ethicsportal.eu /up">Servicestatus</a> </li> <li><a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">Intern meldkanaal</a> voor het melden van zorgen over EthicsPortal onder Richtlijn (EU) 2019/1937</li> </ul> <hr> <h2 id="bedrijfsgegevens"> Bedrijfsgegevens <a href="#bedrijfsgegevens" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal wordt geëxploiteerd als een geregistreerde onderneming in Warschau, Polen.</p> <ul> <li><strong>Exploitant:</strong> Yaroslav Shmarov</li> <li><strong>Geregistreerd adres:</strong> ul. Obrzeżna 1A, 02-691 Warschau, Polen</li> <li><strong>Fiscaal identificatienummer (NIP):</strong> 5272755790</li> <li><strong>Commercieel contact:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> </ul> <p>Volledige gegevens van de contractpartij, registerbewijs en ondertekende documenten zijn gepubliceerd op de <a href="/trust/">vertrouwenspagina</a> en worden op verzoek verstrekt tijdens de inkoopbeoordeling.</p> <hr> <h2 id="contact"> Contact <a href="#contact" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>E-mail:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Wij reageren doorgaans binnen één werkdag.</p> <p><a href="https://secure.ethicsportal.eu /session/new" class="btn btn-primary btn-lg">Stel uw interne meldkanaal in →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/pricing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/pricing/Eenvoudige, transparante prijzen voor EthicsPortal. Eén abonnement, alles inbegrepen. Geen kosten per werknemer.support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/privacy/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/privacy/Privacybeleid voor EthicsPortal --- hoe wij uw persoonlijke gegevens verzamelen, gebruiken, opslaan en beschermen.<h1 id="privacybeleid"> Privacybeleid <a href="#privacybeleid" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p><strong>Ingangsdatum:</strong> 17 februari 2026 <strong>Laatst bijgewerkt:</strong> 30 mei 2026</p> <h2 id="1-inleiding"> 1. Inleiding <a href="#1-inleiding" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal (“wij”, “ons”, “onze”) wordt geëxploiteerd door Yaroslav Shmarov, geregistreerd op ul. Obrzeżna 1A, 02-691 Warschau, Polen. Dit privacybeleid beschrijft hoe wij uw persoonlijke gegevens verzamelen, gebruiken, opslaan en beschermen wanneer u EthicsPortal gebruikt op <a href="https://ethicsportal.eu">ethicsportal.eu</a> (de “dienst”).</p> <p>Door de dienst te gebruiken, stemt u in met het verzamelen en gebruiken van informatie zoals beschreven in dit beleid. Als u niet akkoord gaat, gebruik de dienst dan niet.</p> <p><strong>Contact:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </p> <p>Basisgegevens over de contractpartij zijn gepubliceerd op de <a href="/trust/">vertrouwenspagina</a> .</p> <h2 id="2-informatie-die-wij-verzamelen"> 2. Informatie die wij verzamelen <a href="#2-informatie-die-wij-verzamelen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="21-accountinformatie"> 2.1 Accountinformatie <a href="#21-accountinformatie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Wanneer u een account aanmaakt, verzamelen wij:</p> <ul> <li>E-mailadres</li> <li>Weergavenaam (indien opgegeven)</li> <li>Taalvoorkeur</li> </ul> <p>De authenticatie is wachtwoordloos — wij gebruiken magic links (eenmalige codes die naar uw e-mail worden gestuurd). Wij verzamelen of bewaren geen wachtwoorden.</p> <h3 id="22-betaalinformatie"> 2.2 Betaalinformatie <a href="#22-betaalinformatie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Betalingen worden volledig verwerkt door <a href="https://stripe.com" rel="nofollow">Stripe</a> . Wij slaan <strong>geen</strong> creditcardnummers, bankrekeningnummers of andere gevoelige financiële gegevens op onze servers op. Stripe kan betaalgegevens rechtstreeks verzamelen. Raadpleeg het <a href="https://stripe.com/privacy" rel="nofollow">privacybeleid van Stripe</a> voor details.</p> <h3 id="23-serverlogs"> 2.3 Serverlogs <a href="#23-serverlogs" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Onze servers registreren automatisch informatie wanneer u de dienst benadert, waaronder:</p> <ul> <li>IP-adres</li> <li>Browsertype en -versie</li> <li>Bezochte pagina’s en tijdstempels</li> <li>Verwijzende URL</li> </ul> <p>Serverlogs worden gebruikt voor beveiligingsmonitoring en foutopsporing. Ze worden niet gebruikt voor reclame of tracking.</p> <p>Voor specifiek de routes van het meldportaal voor klokkenluiders zijn de applicatielogs zo geconfigureerd dat het IP-adres van de melder wordt opgeschoond.</p> <h3 id="24-klokkenluidersmeldgegevens"> 2.4 Klokkenluidersmeldgegevens <a href="#24-klokkenluidersmeldgegevens" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Wanneer een klokkenluider een melding indient via het portaal van een organisatie, verzamelen wij:</p> <ul> <li>Meldingsbeschrijving, categorie en bron</li> <li>Naam en contactgegevens van de melder (indien vrijwillig opgegeven)</li> <li>Berichten die tussen de melder en de organisatie worden uitgewisseld</li> </ul> <p>Meldingsbeschrijvingen, namen van melders, contactgegevens van melders en berichtinhoud worden <strong>versleuteld in de database</strong> met versleuteling op applicatieniveau. IP-adressen van klokkenluiders worden <strong>geanonimiseerd</strong> met een eenrichtingshash en worden nooit in hun oorspronkelijke vorm opgeslagen. Serverlogs voor portaalroutes worden <strong>opgeschoond</strong> van IP-adressen om de identiteit van klokkenluiders te beschermen.</p> <h3 id="25-persoonsgegevens-van-derden-die-in-meldingen-worden-genoemd"> 2.5 Persoonsgegevens van derden die in meldingen worden genoemd <a href="#25-persoonsgegevens-van-derden-die-in-meldingen-worden-genoemd" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Een klokkenluidersmelding kan persoonsgegevens over andere personen bevatten — bijvoorbeeld de persoon die een melding betreft, of getuigen. Voor deze meldgegevens treedt EthicsPortal op als <strong>verwerker</strong> namens de klantorganisatie, die de <strong>verwerkingsverantwoordelijke</strong> is. De organisatie is verantwoordelijk voor de rechtmatigheid van deze verwerking en voor het verstrekken van alle informatie die op grond van artikel 14 AVG aan de betrokken personen is vereist.</p> <p>In lijn met artikel 14, lid 5, onder b, AVG en de vertrouwelijkheidseisen van de EU-klokkenluidersrichtlijn (2019/1937) kan het informeren van een genoemd individu worden uitgesteld of beperkt wanneer dit een onderzoek zou schaden of de bescherming van de identiteit van de klokkenluider in gevaar zou brengen.</p> <h2 id="3-hoe-wij-uw-informatie-gebruiken"> 3. Hoe wij uw informatie gebruiken <a href="#3-hoe-wij-uw-informatie-gebruiken" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Wij gebruiken de informatie die wij verzamelen om:</p> <ul> <li><strong>De dienst te leveren</strong> — uw account aan te maken en te beheren</li> <li><strong>Betalingen te verwerken</strong> — abonnementen via Stripe af te handelen</li> <li><strong>Meldingen te verzenden</strong> — in-app- en e-mailmeldingen over accountactiviteit te bezorgen</li> <li><strong>De beveiliging te handhaven</strong> — fraude, misbruik en ongeoorloofde toegang te detecteren en te voorkomen</li> <li><strong>De dienst te verbeteren</strong> — technische problemen te diagnosticeren en de functionaliteit te verbeteren</li> </ul> <p>Wij <strong>verkopen</strong> uw persoonlijke gegevens <strong>niet</strong>. Wij gebruiken uw gegevens <strong>niet</strong> voor reclame.</p> <h2 id="4-diensten-van-derden"> 4. Diensten van derden <a href="#4-diensten-van-derden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Wij delen gegevens met de volgende diensten van derden, alleen voor zover noodzakelijk om de dienst te leveren:</p> <table> <thead> <tr> <th>Dienst</th> <th>Doel</th> <th>Gedeelde gegevens</th> </tr> </thead> <tbody> <tr> <td><strong>Stripe</strong></td> <td>Betalingsverwerking</td> <td>E-mail, betaalgegevens (rechtstreeks door Stripe verzameld)</td> </tr> <tr> <td><strong>Hetzner Object Storage</strong></td> <td>Bestandsuploads (avatars, bijlagen)</td> <td>Geüploade bestanden</td> </tr> <tr> <td><strong>Mailjet</strong></td> <td>Bezorging van transactionele e-mail</td> <td>E-mailadres, e-mailinhoud</td> </tr> <tr> <td><strong>Cloudflare Web Analytics</strong></td> <td>Privacyvriendelijke website-analytics</td> <td>Paginaweergaven, verwijzer, browsertype, land (anoniem, geen cookies, geen persoonsgegevens)</td> </tr> <tr> <td><strong>Plausible Analytics</strong></td> <td>Privacyvriendelijke website-analytics (in de EU gehost, Duitsland)</td> <td>Paginaweergaven, verwijzer, browsertype, land (anoniem, geen cookies, IP niet opgeslagen, geen persoonsgegevens). Alleen geladen op de openbare marketingwebsite — nooit op de applicatie of het meldportaal voor klokkenluiders. Zie het <a href="https://plausible.io/data-policy" rel="nofollow">gegevensbeleid van Plausible</a> </td> </tr> <tr> <td><strong>AppSignal</strong></td> <td>Fout- en uitzonderingsregistratie, monitoring van applicatieprestaties</td> <td>Foutdetails en request-context voor de beheerders- en behandelaarsinterfaces</td> </tr> <tr> <td><strong>Crisp</strong></td> <td>Livechatondersteuning</td> <td>E-mailadres, naam, chatberichten, browsertype, bezochte pagina’s. Crisp is gevestigd in Frankrijk (EU). Zie het <a href="https://crisp.chat/en/privacy/" rel="nofollow">privacybeleid van Crisp</a> </td> </tr> </tbody> </table> <p>Elke dienst van derden wordt beheerst door zijn eigen privacybeleid. Wij raden u aan deze te bekijken.</p> <h2 id="5-cookies"> 5. Cookies <a href="#5-cookies" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Wij gebruiken de volgende cookies:</p> <table> <thead> <tr> <th>Cookie</th> <th>Doel</th> <th>Duur</th> </tr> </thead> <tbody> <tr> <td><code>_ethicsportal_session</code></td> <td>Sessiebeheer (authenticatie)</td> <td>30 dagen</td> </tr> <tr> <td><code>session_token</code></td> <td>Ondertekende sessie-identificator voor aanhoudende login</td> <td>Server-side sessie verloopt na 14 dagen inactiviteit</td> </tr> <tr> <td><code>locale</code></td> <td>Slaat uw taalvoorkeur op</td> <td>1 jaar</td> </tr> </tbody> </table> <p>Een tijdelijke cookie <code>pending_authentication_token</code> (15 minuten) wordt gebruikt tijdens het aanmeldproces via magic link.</p> <p>Crisp-livechat kan tijdens het gebruik van de in-app-ondersteuningschat door behandelaars eigen cookies plaatsen (bijv. <code>crisp-client/*</code>). Deze cookies zijn functioneel, worden niet voor reclame gebruikt en worden alleen geplaatst binnen het behandelportaal — niet op de marketingwebsite of het meldportaal voor klokkenluiders.</p> <p>Alle first-party-cookies worden in productie ingesteld met de vlaggen <code>Secure</code> en <code>HttpOnly</code>. Wij gebruiken <strong>geen</strong> trackingcookies of reclamecookies van derden. CSRF-bescherming wordt afgehandeld via tokens die in HTML-formulieren zijn ingebed, niet via cookies.</p> <h2 id="6-gegevensopslag-en-beveiliging"> 6. Gegevensopslag en beveiliging <a href="#6-gegevensopslag-en-beveiliging" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong>Serverlocatie:</strong> de kernapplicatiegegevens worden gehost door Hetzner in Neurenberg, Duitsland (Europese Unie)</li> <li><strong>Versleuteling tijdens transport:</strong> alle verbindingen gebruiken HTTPS/TLS</li> <li><strong>Versleuteling in rust:</strong> klokkenluidersmeldgegevens (beschrijvingen, namen van melders, contactgegevens, berichten) worden versleuteld in de database met Active Record Encryption</li> <li><strong>Wachtwoordloze authenticatie:</strong> wij gebruiken magic links — er worden geen wachtwoorden opgeslagen</li> <li><strong>Toegangscontrole:</strong> databasetoegang is beperkt tot uitsluitend geautoriseerd personeel</li> </ul> <p>Hoewel wij redelijke maatregelen treffen om uw gegevens te beschermen, is geen enkele methode van overdracht of opslag 100% veilig. Als u een beveiligingskwetsbaarheid ontdekt, neem dan contact met ons op via <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p> <h2 id="7-gegevensbewaring"> 7. Gegevensbewaring <a href="#7-gegevensbewaring" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong>Accountgegevens</strong> worden bewaard zolang uw account actief is</li> <li><strong>Organisatiegegevens</strong> worden bewaard zolang uw organisatie actief is</li> <li><strong>Klokkenluidersmeldingen</strong> — gesloten of afgewezen meldingen worden automatisch verwijderd na de door de klantorganisatie ingestelde bewaartermijn (12, 24, 36, 48 of 60 maanden). Actieve en lopende meldingen worden bewaard tot ze worden gesloten; een melding die 18 maanden zonder activiteit blijft, wordt automatisch gesloten, waarmee de bewaartermijn begint</li> <li><strong>Serverlogs</strong> worden tot 90 dagen bewaard</li> <li><strong>Betaalregistraties</strong> worden bewaard zoals vereist door de toepasselijke belasting- en boekhoudwetgeving</li> <li><strong>Auditlogs</strong> — registraties van wie wanneer toegang had tot meldingen worden voor nalevingsdoeleinden naast de melding bewaard</li> </ul> <p>Wanneer u uw account verwijdert, worden uw persoonlijke gegevens permanent uit onze systemen verwijderd, behalve waar bewaring wettelijk vereist is (bijv. financiële registraties).</p> <h2 id="8-uw-rechten-onder-de-avg"> 8. Uw rechten onder de AVG <a href="#8-uw-rechten-onder-de-avg" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Omdat wij in de Europese Unie zijn gevestigd, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. U hebt het recht op:</p> <ul> <li><strong>Inzage</strong> — een kopie aanvragen van de persoonsgegevens die wij over u bewaren</li> <li><strong>Rectificatie</strong> — correctie aanvragen van onjuiste gegevens</li> <li><strong>Wissing</strong> — verwijdering van uw gegevens aanvragen (“recht om vergeten te worden”)</li> <li><strong>Beperking</strong> — aanvragen dat wij de verwerking van uw gegevens beperken</li> <li><strong>Gegevensoverdraagbaarheid</strong> — uw gegevens aanvragen in een gestructureerd, machineleesbaar formaat</li> <li><strong>Bezwaar</strong> — bezwaar maken tegen de verwerking van uw gegevens</li> <li><strong>Toestemming intrekken</strong> — toestemming op elk moment intrekken waar de verwerking op toestemming is gebaseerd</li> <li><strong>Klacht indienen</strong> — een klacht indienen bij uw nationale toezichthoudende autoriteit voor gegevensbescherming</li> </ul> <p><strong>Hoe u uw rechten uitoefent:</strong> u kunt de meeste van uw gegevens rechtstreeks beheren via uw accountinstellingen. Om uw account te verwijderen, gaat u naar de pagina met accountinstellingen. Voor alle andere verzoeken mailt u ons via <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p> <p><strong>Als u een klokkenluidersmelding hebt ingediend:</strong> de organisatie wier portaal u hebt gebruikt, is de verwerkingsverantwoordelijke van die melding en EthicsPortal treedt op als haar verwerker. U kunt op elk moment via het portaal een volledige kopie van uw melding inzien en downloaden met uw toegangscode en wachtwoord. Om informatie te corrigeren, voegt u een bericht toe aan uw melding; voor elk ander verzoek neemt u contact op met de organisatie (wij assisteren haar als verwerker). Omdat de wet vereist dat meldingen gedurende een bepaalde periode worden bewaard, is wissing mogelijk niet mogelijk tot die periode verstrijkt.</p> <p><strong>Functionaris voor gegevensbescherming:</strong> vragen over onze gegevensbeschermingspraktijken kunnen worden gericht aan <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <p>Onze rechtsgrond voor de verwerking van uw gegevens is:</p> <ul> <li><strong>Uitvoering van de overeenkomst</strong> — om de dienst te leveren waarvoor u zich hebt aangemeld</li> <li><strong>Gerechtvaardigd belang</strong> — om de beveiliging te handhaven en de dienst te verbeteren</li> <li><strong>Toestemming</strong> — voor optionele functies</li> </ul> <h2 id="9-account--en-gegevensverwijdering"> 9. Account- en gegevensverwijdering <a href="#9-account--en-gegevensverwijdering" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>U kunt uw account op elk moment verwijderen via uw accountinstellingen. Accountverwijdering verwijdert permanent:</p> <ul> <li>Uw profiel- en accountinformatie</li> <li>Uw organisatielidmaatschappen</li> </ul> <h2 id="10-privacy-van-kinderen"> 10. Privacy van kinderen <a href="#10-privacy-van-kinderen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De dienst is niet gericht op kinderen onder de 16 jaar. Wij verzamelen niet bewust persoonlijke gegevens van kinderen onder de 16. Als u vermoedt dat een kind onder de 16 ons persoonlijke gegevens heeft verstrekt, neem dan contact met ons op via <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> en wij zullen deze verwijderen.</p> <h2 id="11-internationale-gegevensdoorgiften"> 11. Internationale gegevensdoorgiften <a href="#11-internationale-gegevensdoorgiften" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De kerngegevens van klokkenluidersmeldingen worden opgeslagen op servers in Duitsland (EU). De marketingwebsite wordt geleverd via Cloudflare (Verenigde Staten); de meld- en behandelportalen niet. Waar doorgiften naar een niet-EU-sub-verwerker plaatsvinden, zijn deze beschreven op de pagina’s over de <a href="/dpa/">verwerkersovereenkomst</a> en <a href="/subprocessors/">sub-verwerkers</a> .</p> <h2 id="12-sollicitanten"> 12. Sollicitanten <a href="#12-sollicitanten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Wanneer u solliciteert naar een functie bij ons (bijvoorbeeld door te mailen naar <a href="mailto:careers@ethicsportal.eu">careers@ethicsportal.eu</a> ), verzamelen en verwerken wij:</p> <ul> <li>Uw naam en contactgegevens</li> <li>Uw cv, sollicitatiebericht en alles wat u ervoor kiest ons over uw ervaring te vertellen</li> <li>Aantekeningen van eventuele gesprekken of contacten tijdens het wervingsproces</li> </ul> <p><strong>Rechtsgrond:</strong> de verwerking is noodzakelijk om op uw verzoek stappen te ondernemen voorafgaand aan het sluiten van een overeenkomst, alsmede ons gerechtvaardigd belang bij het beoordelen van kandidaten en het voeren van een eerlijk wervingsproces. Wij vragen niet om, en verzoeken u geen, bijzondere categorieën gegevens (zoals gezondheid, religie of vakbondslidmaatschap) of uw salarisgeschiedenis uit eerdere functies te sturen.</p> <p><strong>Bewaring:</strong> wij bewaren sollicitatiegegevens alleen zolang als nodig is om uw sollicitatie te beoordelen en de functie te vervullen. Als u niet wordt aangenomen, verwijderen wij uw sollicitatiegegevens nadat het proces is afgesloten, tenzij u ons vraagt deze voor toekomstige functies te bewaren, in welk geval wij deze tot 12 maanden bewaren.</p> <p>U hebt dezelfde AVG-rechten op uw sollicitatiegegevens als uiteengezet in sectie 8. Om deze uit te oefenen, of om ons te vragen uw sollicitatie te verwijderen, mailt u <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p> <h2 id="13-wijzigingen-in-dit-beleid"> 13. Wijzigingen in dit beleid <a href="#13-wijzigingen-in-dit-beleid" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Wij kunnen dit privacybeleid van tijd tot tijd bijwerken. Wanneer wij wezenlijke wijzigingen aanbrengen, stellen wij u hiervan op de hoogte per e-mail of via een in-app-melding. De datum “Laatst bijgewerkt” bovenaan deze pagina geeft aan wanneer het beleid voor het laatst is herzien.</p> <p>Uw voortgezette gebruik van de dienst nadat wijzigingen zijn geplaatst, vormt uw aanvaarding van het bijgewerkte beleid.</p> <h2 id="14-contact"> 14. Contact <a href="#14-contact" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Als u vragen hebt over dit privacybeleid of uw gegevensrechten wilt uitoefenen, neem dan contact met ons op via:</p> <p><strong>Algemeen:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Privacy / AVG-rechten:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> <strong>Functionaris voor gegevensbescherming:</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> <strong>Beveiligingsmeldingen:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Juridisch / verwerkersovereenkomst:</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> <strong>Locatie:</strong> Warschau, Polen</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/penalties/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/penalties/Boetes en sancties bij niet-naleving van Richtlijn (EU) 2019/1937 in elke lidstaat. Regelmatig bijgewerkt met handhavingsacties.<h1 id="sancties-onder-de-eu-klokkenluidersrichtlijn-per-land"> Sancties onder de EU-klokkenluidersrichtlijn per land <a href="#sancties-onder-de-eu-klokkenluidersrichtlijn-per-land" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Richtlijn (EU) 2019/1937 verplicht alle ondernemingen met 50 of meer werknemers tot het instellen van interne meldkanalen. Elke EU-lidstaat heeft de richtlijn in nationaal recht omgezet met een eigen sanctieregime.</p> <p>Niet-naleving is niet theoretisch. In maart 2025 <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf" rel="nofollow">legde het EU-Hof van Justitie vijf lidstaten samen € 38,9 miljoen aan boetes op</a> , alleen al omdat zij te laat waren met de uitvoering van de wet. Ondernemingen die niet voldoen, lopen op grond van het nationale recht hun eigen sancties op.</p> <hr> <h2 id="sancties-in-één-oogopslag"> Sancties in één oogopslag <a href="#sancties-in-%c3%a9%c3%a9n-oogopslag" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Land</th> <th>Geen meldkanaal</th> <th>Represailles</th> <th>Strafrechtelijke aansprakelijkheid</th> <th>Wet</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/spain/">Spanje</a> </td> <td>Tot € 1.000.000</td> <td>Tot € 1.000.000</td> <td>Nee</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Law 2/2023</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/france/">Frankrijk</a> </td> <td>—</td> <td>€ 60.000 + 3 jaar gevangenisstraf</td> <td><strong>Ja</strong></td> <td><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (2022-401)</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/poland/">Polen</a> </td> <td>PLN 5.000 (~€ 1.200)</td> <td>Belemmering: PLN 1.080.000 (~€ 250.000) + tot 1 jaar gevangenisstraf. Represailles: tot 2 jaar gevangenisstraf</td> <td><strong>Ja</strong></td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Wet van 14 juni 2024</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/portugal/">Portugal</a> </td> <td>Tot € 125.000</td> <td>Tot € 250.000</td> <td>Nee</td> <td><a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Law 93/2021</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/italy/">Italië</a> </td> <td>€ 10.000–€ 50.000</td> <td>€ 10.000–€ 50.000</td> <td>Nee</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">D.Lgs. 24/2023</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/germany/">Duitsland</a> </td> <td>€ 20.000–€ 50.000 (10x voor rechtspersonen)</td> <td>Tot € 50.000</td> <td>Nee</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">HinSchG</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/romania/">Roemenië</a> </td> <td>RON 3.000–30.000 (~€ 600–6.000)</td> <td>Belemmering: RON 2.000–20.000 (~€ 400–4.000)</td> <td>Nee</td> <td><a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Legea 361/2022</a> </td> </tr> </tbody> </table> <hr> <h2 id="landdetails"> Landdetails <a href="#landdetails" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="spain"> <a href="/whistleblower-laws/spain/">Spanje</a> — Law 2/2023 <a href="#spain" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p><strong>Wet:</strong> <a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Ley 2/2023, de 20 de febrero</a> — bescherming van personen die inbreuken op regelgeving melden en de bestrijding van corruptie.</p> <p><strong>Van toepassing op:</strong> ondernemingen met 50 of meer werknemers. De deadline was 13 juni 2023 (250 of meer werknemers) en 1 december 2023 (50–249 werknemers). <a href="https://www.garrigues.com/en_GB/new/spain-whistleblowing-law-published" rel="nofollow">Bron: Garrigues</a> </p> <p><strong>Sancties:</strong></p> <ul> <li>Geen intern meldkanaal instellen: € 600.000–€ 1.000.000 voor rechtspersonen. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Bron: CMS Expert Guide</a> </li> <li>Schending van de verplichtingen voor meldkanalen: € 100.000–€ 1.000.000 voor rechtspersonen; € 1.000–€ 300.000 voor natuurlijke personen. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Bron: CMS Expert Guide</a> </li> <li>Aanvullende sancties: openbare waarschuwing, uitsluiting van subsidies/belastingvoordelen voor maximaal 4 jaar en mogelijke schorsing van exploitatievergunningen. <a href="https://www.garrigues.com/en_GB/new/whistleblowing-channels-companies-spain-key-aspects-new-law-protecting-whistleblowers-all" rel="nofollow">Bron: Garrigues</a> </li> </ul> <p><strong>Handhavingsautoriteit:</strong> Autoridad Independiente de Protección del Informante (A.A.I.)</p> <p>Spanje kent de strengste sancties in de EU voor niet-naleving inzake klokkenluiders.</p> <hr> <h3 id="france"> <a href="/whistleblower-laws/france/">Frankrijk</a> — Loi Waserman <a href="#france" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p><strong>Wet:</strong> <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi n° 2022-401 du 21 mars 2022 (Loi Waserman)</a> , tot wijziging van <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528" rel="nofollow">Loi Sapin II (2016-1691)</a> .</p> <p><strong>Van toepassing op:</strong> ondernemingen met 50 of meer werknemers. Van kracht sinds september 2022. <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Bron: IntegrityLine</a> </p> <p><strong>Sancties:</strong></p> <ul> <li>Het belemmeren van een melding: tot € 60.000 boete en 1 jaar gevangenisstraf. <a href="https://www.whispli.com/eu-directive-whistleblowing/france/" rel="nofollow">Bron: Whispli</a> </li> <li>Represailles of discriminatie jegens een klokkenluider: tot € 60.000 boete en 3 jaar gevangenisstraf. <a href="https://www.jpkarsenty.com/en/the-whistleblower-the-impact-of-the-waserman-law-on-criminal-provisions-4-4/" rel="nofollow">Bron: JP Karsenty</a> </li> </ul> <p>Frankrijk is een van de weinige EU-landen waar belemmering en represailles <strong>strafrechtelijke sancties met gevangenisstraf</strong> met zich meebrengen.</p> <p><strong>Belangrijk verschil:</strong> klokkenluiders in Frankrijk zijn niet langer verplicht interne kanalen te gebruiken voordat zij zich tot externe autoriteiten wenden (einde van het “getrapt melden”). <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Bron: IntegrityLine</a> </p> <hr> <h3 id="germany"> <a href="/whistleblower-laws/germany/">Duitsland</a> — HinSchG <a href="#germany" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p><strong>Wet:</strong> <a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">Hinweisgeberschutzgesetz (HinSchG)</a> — in werking getreden op 2 juli 2023.</p> <p><strong>Van toepassing op:</strong> ondernemingen met 50 of meer werknemers. De deadline was 2 juli 2023 (250 of meer werknemers) en 17 december 2023 (50–249 werknemers). Boetes afdwingbaar sinds 1 december 2023. <a href="https://www.loc.gov/item/global-legal-monitor/2023-07-13/germany-whistleblower-protection-act-enters-into-force/" rel="nofollow">Bron: Library of Congress</a> </p> <p><strong>Sancties:</strong></p> <ul> <li>Geen meldkanaal instellen: boetes van € 20.000–€ 50.000 op grond van § 40 HinSchG. <a href="https://www.ebnerstolz.de/en/what-we-offer/services/legal-advice/commercial-criminal-law/german-whistleblower-protection-act-27384.html" rel="nofollow">Bron: Ebner Stolz</a> </li> <li>Voor rechtspersonen kunnen boetes <strong>vertienvoudigen</strong> (tot € 500.000) op grond van § 40, lid 6. <a href="https://www.activemind.legal/guides/german-whistleblower-protection-act/" rel="nofollow">Bron: activeMind</a> </li> <li>Represailles jegens klokkenluiders: tot € 50.000. <a href="https://www.mofo.com/resources/insights/230602-the-new-german-whistleblowing-act" rel="nofollow">Bron: Morrison Foerster</a> </li> </ul> <p><strong>Opmerking:</strong> Duitsland kreeg in maart 2025 een boete van € 34.000.000 van het EU-Hof van Justitie wegens de late omzetting van de richtlijn. <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Bron: eucrim</a> </p> <hr> <h3 id="italy"> <a href="/whistleblower-laws/italy/">Italië</a> — D.Lgs. 24/2023 <a href="#italy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p><strong>Wet:</strong> <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">Decreto Legislativo 10 marzo 2023, n. 24</a> .</p> <p><strong>Van toepassing op:</strong> ondernemingen met 50 of meer werknemers (en alle ondernemingen met een nalevingsprogramma op grond van Model 231, ongeacht de omvang). De deadline was 15 juli 2023 (250 of meer werknemers) en 17 december 2023 (50–249 werknemers). <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Bron: Norton Rose Fulbright</a> </p> <p><strong>Sancties:</strong></p> <ul> <li>Geen meldkanalen instellen of niet-conforme procedures: € 10.000–€ 50.000. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Bron: Norton Rose Fulbright</a> </li> <li>Represailles of belemmering van melden: € 10.000–€ 50.000. <a href="https://www.hoganlovells.com/en/publications/italy-implements-eu-whistleblower-directive-the-new-obligations-for-companies" rel="nofollow">Bron: Hogan Lovells</a> </li> <li>Schending van de vertrouwelijkheid van de identiteit van de melder: € 10.000–€ 50.000. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Bron: Norton Rose Fulbright</a> </li> <li>Valse melding door een klokkenluider: € 500–€ 2.500. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Bron: Norton Rose Fulbright</a> </li> </ul> <p><strong>Handhavingsautoriteit:</strong> ANAC (Autorità Nazionale Anticorruzione). ANAC heeft in juli 2024 haar eerste handhavingsactie genomen (besluit nr. 380, zaak inzake represailles). <a href="https://www.clearygottlieb.com/news-and-insights/publication-listing/whistleblowing-in-focus-part-two" rel="nofollow">Bron: ANAC via Cleary Gottlieb</a> </p> <hr> <h3 id="poland"> <a href="/whistleblower-laws/poland/">Polen</a> — Wet van 14 juni 2024 <a href="#poland" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p><strong>Wet:</strong> <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów</a> — in werking getreden op 25 september 2024.</p> <p><strong>Van toepassing op:</strong> werkgevers met 50 of meer werknemers. Interne procedures vereist per 1 januari 2025. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Bron: DLA Piper</a> </p> <p><strong>Sancties:</strong></p> <ul> <li>Geen interne meldprocedures instellen: boete van PLN 20–5.000 (~€ 5–€ 1.200) als overtreding. Bestuursleden zijn persoonlijk aansprakelijk. <a href="https://www.rsm.global/poland/en/insights/doing-business-poland/whistleblower-protection" rel="nofollow">Bron: RSM Poland</a> </li> <li>Het verhinderen of belemmeren van melden: boete tot PLN 1.080.000 (~€ 250.000), vrijheidsbeperking of tot 1 jaar gevangenisstraf. Met geweld of bedreiging: tot 3 jaar. <a href="https://www.cliffordchance.com/insights/resources/blogs/regulatory-investigations-financial-crime-insights/2024/07/poland-implements-the-eu-whistleblowing-directive.html" rel="nofollow">Bron: Clifford Chance</a> </li> <li>Represailles: boete, vrijheidsbeperking of tot 2 jaar gevangenisstraf. <a href="https://www.kochanski.pl/en/whistleblower-protection-act-all-you-need-to-know/" rel="nofollow">Bron: Kochański & Partners</a> </li> <li>Bekendmaking van de identiteit van een klokkenluider: boete, vrijheidsbeperking of tot 1 jaar gevangenisstraf. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Bron: DLA Piper</a> </li> </ul> <p><strong>Handhavingsautoriteit:</strong> onafhankelijke autoriteit voor de bescherming van klokkenluiders (Rzecznik Praw Sygnalistów) — operationeel vanaf 1 september 2025. <a href="https://wozniaklegal.com/en/news-and-insight/454/protection-of-whistleblowers-in-poland.html" rel="nofollow">Bron: Wozniak Legal</a> </p> <p>Polen is een van de weinige EU-landen waar belemmering en represailles <strong>strafrechtelijke sancties met gevangenisstraf</strong> met zich meebrengen.</p> <hr> <h3 id="portugal"> <a href="/whistleblower-laws/portugal/">Portugal</a> — Law 93/2021 <a href="#portugal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p><strong>Wet:</strong> <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Lei n.º 93/2021, de 20 de dezembro</a> — algemeen regime voor de bescherming van klokkenluiders.</p> <p><strong>Van toepassing op:</strong> ondernemingen met 50 of meer werknemers. Sanctieregime afdwingbaar sinds 7 juni 2024. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Bron: IntegrityLine</a> </p> <p><strong>Sancties:</strong></p> <ul> <li>Geen meldkanalen instellen (ernstige overtreding): boetes tot € 125.000. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Bron: IntegrityLine</a> </li> <li>Represailles, belemmering van meldingen of schending van de vertrouwelijkheid (zeer ernstige overtreding): boetes tot € 250.000. <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Bron: Lei 93/2021, art. 27.º</a> </li> </ul> <p><strong>Handhavingsautoriteit:</strong> MENAC (Mecanismo Nacional Anticorrupção). Het elektronische platform werd operationeel in november 2024. In 2024 werden 152 meldingen ontvangen. De focus verschuift in 2025 naar handhaving in de private sector. <a href="https://commission.europa.eu/document/download/5a482f87-1f24-47bd-8595-d25f1ca29c6a_en" rel="nofollow">Bron: European Commission Rule of Law Report 2025</a> </p> <hr> <h3 id="romania"> <a href="/whistleblower-laws/romania/">Roemenië</a> — Legea 361/2022 <a href="#romania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p><strong>Wet:</strong> <a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Legea nr. 361/2022 privind protecția avertizorilor în interes public</a> — tot omzetting van Richtlijn (EU) 2019/1937.</p> <p><strong>Van toepassing op:</strong> alle entiteiten in de publieke sector, ongeacht het aantal werknemers; privaatrechtelijke entiteiten met 50 of meer werknemers; bepaalde entiteiten in sectoren uit bijlage 3 (financiële diensten, AML, verzekeringen), ongeacht de omvang. De deadline was 22 december 2022 (publieke sector en 250 of meer werknemers) en 17 december 2023 (50–249 werknemers). <a href="https://integritate.eu/comunicat-privind-obligatia-persoanelor-juridice-de-drept-privat-care-au-intre-50-si-249-de-angajati-de-a-identifica-sau-institui-canale-interne-de-raportare-legea-nr-361-2022-privind-protectia-ave/" rel="nofollow">Bron: ANI</a> </p> <p><strong>Sancties (administratieve overtredingen op grond van art. 28–29):</strong></p> <ul> <li>Geen interne meldkanalen instellen: RON 3.000–30.000 (~€ 600–6.000). <a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Bron: Legea 361/2022, art. 28(2)(c)</a> </li> <li>Het belemmeren of verhinderen van een melding: RON 2.000–20.000 (~€ 400–4.000).</li> <li>Schending van de vertrouwelijkheid van de klokkenluider: RON 4.000–40.000 (~€ 800–8.000).</li> <li>Bewust valse melding: RON 2.500–30.000 (~€ 500–6.000).</li> </ul> <p><strong>Handhavingsautoriteit:</strong> <a href="https://integritate.eu/competente/avertizori-in-interes-public/" rel="nofollow">Agenția Națională de Integritate (ANI)</a> .</p> <p><strong>Eerlijke beoordeling van de handhaving:</strong> er is geen openbaar bewijs opgedoken dat een onderneming specifiek is beboet voor een ontbrekend intern kanaal, en de handhaving lijkt tot dusver reactief in plaats van auditgedreven. ANI <a href="https://agerpres.ro/justitie/2026/05/18/ani-anul-trecut-au-crescut-semnificativ-raportarile-avertizorilor-de-integritate-privind-incalcari-a--1557362" rel="nofollow">registreerde in 2025 329 externe meldingen</a> (188 in domeinen die onder Legea 361/2022 vallen) — meldingen die door de autoriteit zijn ontvangen, geen sancties die tegen werkgevers zijn opgelegd. Onafhankelijke analyse (<a href="https://ceeliinstitute.org/resource/beyond-paper-rights" rel="nofollow">CEELI Institute, 2023</a> ) documenteert een kloof tussen de wet op papier en de uitvoering ervan. Het echte risico is dat een melding ANI bereikt zonder dat er een intern kanaal aanwezig is, niet een hoge boete.</p> <hr> <h2 id="boetes-van-het-eu-hof-van-justitie-tegen-lidstaten-maart-2025"> Boetes van het EU-Hof van Justitie tegen lidstaten (maart 2025) <a href="#boetes-van-het-eu-hof-van-justitie-tegen-lidstaten-maart-2025" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Vijf EU-landen kregen een boete van het Hof van Justitie wegens het niet tijdig omzetten van de richtlijn:</p> <table> <thead> <tr> <th>Land</th> <th>Forfaitaire boete</th> <th>Dagelijkse dwangsom</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/germany/">Duitsland</a> </td> <td>€ 34.000.000</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/czech-republic/">Tsjechië</a> </td> <td>€ 2.300.000</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/hungary/">Hongarije</a> </td> <td>€ 1.750.000</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/estonia/">Estland</a> </td> <td>€ 500.000</td> <td>€ 1.500/dag</td> </tr> <tr> <td><a href="/whistleblower-laws/luxembourg/">Luxemburg</a> </td> <td>€ 375.000</td> <td>—</td> </tr> </tbody> </table> <p><a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Bron: eucrim</a> — <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf" rel="nofollow">Bron: persbericht HvJ-EU (pdf)</a> </p> <hr> <h2 id="alle-27-lidstaten"> Alle 27 lidstaten <a href="#alle-27-lidstaten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Alle EU-lidstaten hebben de richtlijn inmiddels omgezet. Zie onze volledige referentie:</p> <p><strong><a href="/whistleblower-laws/">Klokkenluiderswetten in alle 27 EU-lidstaten →</a> </strong></p> <p>Voor elk land de naam van de nationale wet, een link naar de officiële tekst, sancties, deadlines en de handhavingsautoriteit.</p> <hr> <h2 id="de-handhaving-versnelt"> De handhaving versnelt <a href="#de-handhaving-versnelt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De meeste lidstaten hebben de omzetting van de richtlijn pas in 2023–2024 afgerond. Handhavingsautoriteiten zijn nu operationeel en geven actief richtsnoeren uit:</p> <ul> <li><strong>Italië:</strong> ANAC heeft in juli 2024 haar eerste boete wegens represailles opgelegd en in november 2025 geactualiseerde handhavingsrichtsnoeren gepubliceerd.</li> <li><strong>Portugal:</strong> het elektronische handhavingsplatform van MENAC ging in november 2024 live, met focus op de private sector in 2025.</li> <li><strong>Polen:</strong> de onafhankelijke handhavingsautoriteit start in september 2025.</li> <li><strong>Duitsland:</strong> boetes afdwingbaar sinds december 2023.</li> <li><strong>Spanje:</strong> boetes afdwingbaar sinds juni 2023.</li> <li><strong>Roemenië:</strong> ANI is de handhavingsautoriteit, maar er is geen openbaar bewijs opgedoken van een onderneming die is beboet voor een ontbrekend kanaal; de handhaving blijft reactief en klachtgedreven. ANI registreerde in 2025 329 externe meldingen.</li> </ul> <p>Het venster om nalevend te worden vóór actieve handhaving sluit zich.</p> <hr> <h2 id="word-nu-nalevend"> Word nu nalevend <a href="#word-nu-nalevend" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal geeft uw organisatie een veilig intern meldkanaal voor naleving van Richtlijn (EU) 2019/1937: versleuteld, anoniem en met termijnbewaking.</p> <p><a href="/directive-coverage/">Bekijk hoe wij aan elke eis voldoen</a> | <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">Stel uw interne meldkanaal in</a> </p> <hr> <p><em>Laatst bijgewerkt: april 2026. De sanctiebedragen en handhavingsstatus zijn gebaseerd op de hierboven gelinkte openbaar beschikbare juridische bronnen. Neem contact op via <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> als u een fout opmerkt.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/sla/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/sla/Maandelijkse beschikbaarheidsdoelstelling voor de melder- en exploitantportalen van EthicsPortal, hoe deze wordt gemeten en wat is uitgesloten.<h1 id="serviceniveau-overeenkomst"> Serviceniveau-overeenkomst <a href="#serviceniveau-overeenkomst" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>EthicsPortal verbindt zich tot een maandelijkse beschikbaarheidsdoelstelling voor de melder- en exploitantportalen. Deze pagina vermeldt de doelstelling, hoe deze wordt gemeten en wat is uitgesloten.</p> <p>Laatst bijgewerkt: 2026-05-17.</p> <hr> <h2 id="beschikbaarheidsdoelstelling"> Beschikbaarheidsdoelstelling <a href="#beschikbaarheidsdoelstelling" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>99,5% beschikbaarheid per maand</strong> voor:</p> <ul> <li>Het meldportaal voor klokkenluiders — de omgeving waar melders zaken indienen en opvolgen.</li> <li>Het exploitant- en behandelportaal — de omgeving waar aangewezen behandelaars zaken openen en behandelen.</li> </ul> <p>99,5% per maand staat ongeveer 3 uur en 36 minuten ongeplande uitval per kalendermaand toe.</p> <p>De marketingwebsite en documentatie worden naar beste vermogen verzorgd en vallen niet onder de dekking.</p> <hr> <h2 id="meting"> Meting <a href="#meting" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De beschikbaarheid wordt maandelijks gemeten als het percentage minuten waarin de gedekte omgevingen op HTTP-verzoeken reageren met een niet-foutstatus. De meting wordt verricht door een externe monitoringdienst, niet zelf gerapporteerd.</p> <hr> <h2 id="wat-meetelt-voor-de-beschikbaarheid"> Wat meetelt voor de beschikbaarheid <a href="#wat-meetelt-voor-de-beschikbaarheid" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li>Uitval van de applicatie-infrastructuur van EthicsPortal.</li> <li>Uitval van een sub-verwerker (hosting, e-mail, objectopslag) die een gedekte omgeving aantast.</li> <li>Beveiligingsincidenten waarbij een gedekte omgeving offline moet worden gehaald.</li> </ul> <p>Uitval bij sub-verwerkers is niet uitgesloten. De verbintenis weerspiegelt wat exploitanten en melders daadwerkelijk ervaren.</p> <hr> <h2 id="uitsluitingen"> Uitsluitingen <a href="#uitsluitingen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De beschikbaarheid wordt gemeten met uitsluiting van:</p> <ul> <li><strong>Gepland onderhoud</strong> dat ten minste 48 uur van tevoren wordt aangekondigd. Gepland buiten de Europese kantooruren en doorgaans korter dan 30 minuten.</li> <li><strong>Overmacht</strong> — regionale internetstoringen, natuurrampen, storingen van DNS of certificaatautoriteiten buiten onze leveranciersketen.</li> <li><strong>Ongeoorloofd gebruik of misbruik</strong> dat beschermende maatregelen vereist, zoals snelheidsbeperking of accountopschorting.</li> </ul> <hr> <h2 id="hersteldoelstellingen"> Hersteldoelstellingen <a href="#hersteldoelstellingen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>In een rampherstelscenario streeft EthicsPortal naar:</p> <ul> <li><strong>Recovery point objective (RPO): 24 uur.</strong> Gegevens die zijn weggeschreven binnen de 24 uur voorafgaand aan een catastrofale storing kunnen verloren gaan.</li> <li><strong>Recovery time objective (RTO): 4 uur.</strong> De gedekte omgevingen worden binnen vier uur na een gemeld incident in werkende staat hersteld.</li> </ul> <p>Het back-upmechanisme, de opslaglocatie, de bewaring en de cadans van hersteltests zijn gedocumenteerd op de <a href="/security/#backups-and-restore">beveiligingspagina</a> .</p> <hr> <h2 id="openbaarmaking-van-uitval"> Openbaarmaking van uitval <a href="#openbaarmaking-van-uitval" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De live beschikbaarheid van de gedekte omgevingen wordt gepubliceerd op <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> .</p> <p>Wezenlijke uitval wordt vastgelegd in het <a href="/incidents/">incidentenregister</a> . Elke uitval van meer dan twee uur op een gedekte omgeving leidt tot een vermelding in het register.</p> <p>Maandelijkse beschikbaarheidscijfers zijn op verzoek beschikbaar voor exploitanten.</p> <hr> <h2 id="servicekredieten"> Servicekredieten <a href="#servicekredieten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Standaardabonnementen omvatten geen geldelijke servicekredieten. Verhaalsmogelijkheden bij wezenlijke of herhaalde tekortkomingen zijn vermeld in de <a href="/terms/">servicevoorwaarden</a> en de <a href="/dpa/">verwerkersovereenkomst</a> . Voor zover maximaal toegestaan door de wet, maken vorderingen die voortvloeien uit of verband houden met deze SLA deel uit van hetzelfde geaggregeerde aansprakelijkheidsmaximum dat op de dienst van toepassing is.</p> <hr> <h2 id="vragen"> Vragen <a href="#vragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Voor vragen over de beschikbaarheid of om maandelijkse beschikbaarheidscijfers op te vragen, neemt u contact op via <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/terms/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/terms/Servicevoorwaarden voor EthicsPortal --- het veilige meldplatform voor klokkenluiders voor EU-naleving.<h1 id="servicevoorwaarden"> Servicevoorwaarden <a href="#servicevoorwaarden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p><strong>Ingangsdatum:</strong> 22 april 2026 <strong>Laatst bijgewerkt:</strong> 22 april 2026</p> <h2 id="1-inleiding"> 1. Inleiding <a href="#1-inleiding" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Deze servicevoorwaarden (“voorwaarden”) regelen uw gebruik van EthicsPortal op <a href="https://ethicsportal.eu">ethicsportal.eu</a> (de “dienst”). EthicsPortal wordt geëxploiteerd door Yaroslav Shmarov, geregistreerd op ul. Obrzeżna 1A, 02-691 Warschau, Polen (“wij”, “ons”, “onze”). Basisgegevens over de contractpartij zijn gepubliceerd op de <a href="/trust/">vertrouwenspagina</a> .</p> <p>Door een account aan te maken of de dienst te gebruiken, gaat u ermee akkoord aan deze voorwaarden gebonden te zijn. Als u niet akkoord gaat, gebruik de dienst dan niet.</p> <h2 id="2-beschrijving-van-de-dienst"> 2. Beschrijving van de dienst <a href="#2-beschrijving-van-de-dienst" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal is een veilig meldplatform voor klokkenluiders. De dienst stelt organisaties in staat nalevingsmeldkanalen te beheren en klokkenluiders te beschermen.</p> <h2 id="3-geschiktheid"> 3. Geschiktheid <a href="#3-geschiktheid" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Om de dienst te gebruiken, moet u:</p> <ul> <li>Ten minste 16 jaar oud zijn</li> <li>Een geldig e-mailadres opgeven</li> <li>De wettelijke bekwaamheid hebben om een bindende overeenkomst aan te gaan</li> </ul> <p>Wij behouden ons het recht voor om aan iedereen om welke reden dan ook de dienst te weigeren.</p> <h2 id="4-uw-account"> 4. Uw account <a href="#4-uw-account" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li>U bent verantwoordelijk voor het vertrouwelijk houden van uw inloggegevens</li> <li>U bent verantwoordelijk voor alle activiteit die onder uw account plaatsvindt</li> <li>U moet bij het aanmaken van uw account juiste en volledige informatie verstrekken</li> <li>U mag niet meerdere accounts voor dezelfde persoon aanmaken</li> <li>U moet ons onmiddellijk op de hoogte stellen als u ongeoorloofde toegang tot uw account vermoedt</li> </ul> <h2 id="5-abonnementen-en-betalingen"> 5. Abonnementen en betalingen <a href="#5-abonnementen-en-betalingen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li>Betaalde functies vereisen een actief abonnement</li> <li>Abonnementen worden op terugkerende basis (maandelijks of jaarlijks) gefactureerd via <a href="https://stripe.com" rel="nofollow">Stripe</a> </li> <li>Wij slaan geen creditcardnummers of bankrekeninggegevens op onze servers op — alle betalingsverwerking wordt afgehandeld door Stripe</li> <li>Prijzen worden vermeld in de dienst en kunnen met kennisgeving wijzigen</li> </ul> <h3 id="opzegging-en-restituties"> Opzegging en restituties <a href="#opzegging-en-restituties" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>U kunt uw abonnement op elk moment opzeggen via uw factureringsinstellingen. De opzegging gaat in aan het einde van de lopende factureringsperiode — u behoudt tot dan toegang.</p> <p><strong>30-dagen-niet-goed-geld-terug-garantie.</strong> Als u binnen 30 dagen na uw eerste betaalde afschrijving opzegt, kunt u een volledige restitutie van die eerste betaling aanvragen door te mailen naar <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . De garantie geldt eenmaal per organisatie voor het eerste betaalde abonnement en is niet van toepassing op verlengingen.</p> <p>Na het venster van 30 dagen zijn abonnementen niet-restitueerbaar. Wij restitueren het ongebruikte deel van een factureringsperiode na opzegging niet. Zie het <a href="/refunds/">restitutiebeleid</a> voor details.</p> <h2 id="6-gebruikersinhoud"> 6. Gebruikersinhoud <a href="#6-gebruikersinhoud" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>“Gebruikersinhoud” omvat alle tekst, afbeeldingen, bestanden of ander materiaal dat u indient bij de dienst (profielinformatie, geüploade bestanden).</p> <ul> <li>Door inhoud bij de dienst in te dienen (profielinformatie, enz.) verleent u ons een niet-exclusieve, wereldwijde, royaltyvrije licentie om die inhoud te gebruiken, weer te geven en te verspreiden, uitsluitend voor zover noodzakelijk om de dienst te leveren</li> <li>Deze licentie eindigt wanneer u de inhoud of uw account verwijdert</li> <li>U mag geen inhoud indienen die onwettig, inbreukmakend, lasterlijk, obsceen of anderszins schadelijk is</li> </ul> <p>Wij behouden ons het recht voor inhoud te verwijderen die in strijd is met deze voorwaarden.</p> <h2 id="7-verboden-gedrag"> 7. Verboden gedrag <a href="#7-verboden-gedrag" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>U gaat ermee akkoord om niet:</p> <ul> <li>De dienst te gebruiken voor enig onwettig doel</li> <li>De dienst te scrapen, te crawlen of met geautomatiseerde middelen te benaderen zonder onze toestemming</li> <li>Nepaccounts aan te maken of uw identiteit verkeerd voor te stellen</li> <li>De dienst of de infrastructuur ervan te verstoren of te belemmeren</li> <li>Te proberen ongeoorloofde toegang te krijgen tot de accounts of gegevens van andere gebruikers</li> <li>De dienst te gebruiken om spam, phishing of ongevraagde berichten te verzenden</li> <li>Beveiligingsmaatregelen of toegangscontroles te omzeilen</li> <li>Enig deel van de dienst te reverse-engineeren, te decompileren of te disassembleren</li> <li>De dienst door te verkopen of te herverdelen zonder onze toestemming</li> </ul> <h2 id="8-intellectuele-eigendom"> 8. Intellectuele eigendom <a href="#8-intellectuele-eigendom" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong>Onze eigendom:</strong> de dienst, met inbegrip van het ontwerp, de code, de branding en de documentatie, is ons eigendom en wordt beschermd door de toepasselijke wetgeving inzake intellectuele eigendom. U mag geen enkel deel van de dienst kopiëren, wijzigen of verspreiden zonder onze toestemming.</li> <li><strong>Uw eigendom:</strong> u behoudt alle rechten op de inhoud die u indient. Wij claimen geen eigendom van uw inhoud.</li> </ul> <h2 id="9-beëindiging"> 9. Beëindiging <a href="#9-be%c3%abindiging" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong>Door u:</strong> u kunt uw account op elk moment verwijderen via uw accountinstellingen. Dit verwijdert uw gegevens permanent zoals beschreven in ons <a href="/privacy/">privacybeleid</a> .</li> <li><strong>Door ons:</strong> wij kunnen uw account opschorten of beëindigen als u deze voorwaarden schendt, verboden gedrag vertoont, of als dit wettelijk vereist is. Wij doen redelijke inspanningen om u vóór de beëindiging op de hoogte te stellen, behalve waar onmiddellijk optreden noodzakelijk is (bijv. fraude, beveiligingsdreigingen).</li> </ul> <p>Bij beëindiging vervalt uw recht om de dienst te gebruiken onmiddellijk.</p> <h2 id="10-uitsluiting-van-garanties"> 10. Uitsluiting van garanties <a href="#10-uitsluiting-van-garanties" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De dienst wordt geleverd <strong>“as is”</strong> en <strong>“as available”</strong> zonder enige garanties, expliciet of impliciet, met inbegrip van maar niet beperkt tot impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel en niet-inbreuk.</p> <p>Wij garanderen niet dat:</p> <ul> <li>De dienst ononderbroken, tijdig, veilig of foutloos zal zijn</li> <li>De dienst aan uw specifieke vereisten zal voldoen</li> </ul> <h2 id="11-beperking-van-aansprakelijkheid"> 11. Beperking van aansprakelijkheid <a href="#11-beperking-van-aansprakelijkheid" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Voor zover maximaal toegestaan door de wet zijn wij niet aansprakelijk voor enige indirecte, incidentele, bijzondere, gevolg- of punitieve schade, met inbegrip van maar niet beperkt tot gederfde winst, gegevens of zakelijke kansen.</p> <p>Voor zover maximaal toegestaan door de wet zal onze totale geaggregeerde aansprakelijkheid die voortvloeit uit of verband houdt met de dienst, deze voorwaarden, de <a href="/dpa/">verwerkersovereenkomst</a> of de <a href="/sla/">serviceniveau-overeenkomst</a> niet hoger zijn dan de vergoedingen die u ons voor de dienst hebt betaald in de 12 maanden voorafgaand aan de gebeurtenis die aanleiding gaf tot de vordering.</p> <p>Niets in deze voorwaarden sluit aansprakelijkheid uit of beperkt deze voor fraude, opzettelijk wangedrag of enige aansprakelijkheid die op grond van de toepasselijke wetgeving niet kan worden uitgesloten of beperkt.</p> <h2 id="12-vrijwaring-bij-inbreuk-op-intellectuele-eigendom"> 12. Vrijwaring bij inbreuk op intellectuele eigendom <a href="#12-vrijwaring-bij-inbreuk-op-intellectuele-eigendom" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Voor zover maximaal toegestaan door de wet zullen wij de verwerkingsverantwoordelijke verdedigen tegen elke vordering van derden tegen de verwerkingsverantwoordelijke waarin wordt gesteld dat de dienst, zoals door ons geleverd en gebruikt overeenkomstig deze voorwaarden en de <a href="/dpa/">verwerkersovereenkomst</a> , inbreuk maakt op een in de Europese Unie afdwingbaar auteursrecht, merkrecht of octrooi, en wij zullen de schadevergoeding en redelijke kosten betalen die uiteindelijk tegen de verwerkingsverantwoordelijke worden toegewezen door een bevoegde rechter of door ons in een schikking worden overeengekomen, mits de verwerkingsverantwoordelijke:</p> <ul> <li>Ons onverwijld schriftelijk op de hoogte stelt van de vordering</li> <li>Ons exclusieve zeggenschap verleent over de verdediging en schikking van de vordering, met de redelijke medewerking van de verwerkingsverantwoordelijke op onze kosten</li> <li>Geen aansprakelijkheid erkent of de vordering schikt zonder onze voorafgaande schriftelijke toestemming</li> </ul> <p>Deze vrijwaring is niet van toepassing op vorderingen die voortvloeien uit:</p> <ul> <li>Wijzigingen aan de dienst die door de verwerkingsverantwoordelijke of door een derde zijn aangebracht</li> <li>Gebruik van de dienst in combinatie met componenten, gegevens of diensten die niet door ons zijn geautoriseerd of geleverd, waar de vordering niet zou zijn ontstaan zonder die combinatie</li> <li>Gebruik van de dienst in strijd met deze voorwaarden, de verwerkersovereenkomst of de toepasselijke wetgeving</li> <li>Voortgezet gebruik van de dienst nadat wij een niet-inbreukmakend alternatief beschikbaar hebben gesteld of een schriftelijke kennisgeving hebben gegeven om het gebruik te staken</li> </ul> <p>Als de dienst het onderwerp wordt, of naar ons redelijk oordeel waarschijnlijk wordt, van een inbreukvordering, mogen wij, naar onze keuze en op onze kosten, (i) voor de verwerkingsverantwoordelijke het recht verwerven om de dienst te blijven gebruiken, (ii) de dienst zodanig wijzigen dat deze geen inbreuk maakt met behoud van substantieel gelijkwaardige functionaliteit, (iii) de dienst vervangen door een niet-inbreukmakend alternatief van substantieel gelijkwaardige functionaliteit, of (iv) waar geen van het voorgaande commercieel redelijk is, het getroffen deel van de dienst beëindigen en eventuele vooruitbetaalde vergoedingen voor het ongebruikte deel van de dan lopende factureringsperiode restitueren.</p> <p>Voor zover maximaal toegestaan door de wet vermeldt deze sectie 12 onze volledige aansprakelijkheid, en de exclusieve verhaalsmogelijkheid van de verwerkingsverantwoordelijke, met betrekking tot vorderingen van derden inzake inbreuk op intellectuele eigendom met betrekking tot de dienst. Bedragen die op grond van deze sectie 12 verschuldigd zijn, vallen onder het geaggregeerde aansprakelijkheidsmaximum in sectie 11.</p> <h2 id="13-toepasselijk-recht-en-geschillen"> 13. Toepasselijk recht en geschillen <a href="#13-toepasselijk-recht-en-geschillen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Deze voorwaarden worden beheerst door het recht van Polen. Alle geschillen die voortvloeien uit of verband houden met deze voorwaarden of de dienst worden voorgelegd aan de exclusieve bevoegdheid van de rechtbanken van Warschau, Polen.</p> <p>Als u een consument bent die in de EU woont, hebt u ook het recht een procedure aanhangig te maken bij de rechtbanken van uw land van verblijf.</p> <h2 id="14-wijzigingen-in-deze-voorwaarden"> 14. Wijzigingen in deze voorwaarden <a href="#14-wijzigingen-in-deze-voorwaarden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Wij kunnen deze voorwaarden van tijd tot tijd bijwerken. Wanneer wij wezenlijke wijzigingen aanbrengen, stellen wij u hiervan ten minste 14 dagen voordat de wijzigingen in werking treden op de hoogte per e-mail of via een in-app-melding.</p> <p>Uw voortgezette gebruik van de dienst nadat de bijgewerkte voorwaarden in werking zijn getreden, vormt uw aanvaarding van de wijzigingen. Als u niet akkoord gaat met de bijgewerkte voorwaarden, kunt u uw account verwijderen.</p> <h2 id="15-scheidbaarheid"> 15. Scheidbaarheid <a href="#15-scheidbaarheid" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Als een bepaling van deze voorwaarden niet-afdwingbaar blijkt te zijn, blijven de overige bepalingen volledig van kracht.</p> <h2 id="16-contact"> 16. Contact <a href="#16-contact" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Als u vragen hebt over deze voorwaarden, neem dan contact met ons op via:</p> <p><strong>E-mail:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Beveiliging:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Locatie:</strong> Warschau, Polen</p> <p>Ondertekende verwerkersovereenkomsten, registerbewijs en inkoopbeoordelingsmateriaal zijn op verzoek beschikbaar tijdens de inkoop.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/subprocessors/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/subprocessors/Diensten van derden die persoonsgegevens verwerken namens EthicsPortal. Gepubliceerd overeenkomstig artikel 28 AVG.<h1 id="sub-verwerkers"> Sub-verwerkers <a href="#sub-verwerkers" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Sub-verwerkers zijn derden die persoonsgegevens verwerken namens EthicsPortal wanneer EthicsPortal optreedt als verwerker voor exploiterende organisaties (verwerkingsverantwoordelijken). Deze lijst wordt gepubliceerd overeenkomstig artikel 28, lid 2, AVG en de verwerkersovereenkomst.</p> <p>Laatst bijgewerkt: 2026-06-17.</p> <hr> <h2 id="huidige-sub-verwerkers"> Huidige sub-verwerkers <a href="#huidige-sub-verwerkers" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Sub-verwerker</th> <th>Jurisdictie</th> <th>Doel</th> <th>Gegevenscategorieën</th> </tr> </thead> <tbody> <tr> <td><img src="/images/subprocessors/hetzner.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Hetzner Online GmbH</td> <td>🇩🇪 Duitsland (EU)</td> <td>Hosting van server en database en opslag van bestandsbijlagen</td> <td>Alle applicatiegegevens: meldingen, identiteit van behandelaars, berichten, auditlogs; geüploade bijlagen (metadata verwijderd vóór upload)</td> </tr> <tr> <td><img src="/images/subprocessors/cloudflare.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Cloudflare, Inc.</td> <td>🇺🇸 Verenigde Staten</td> <td>CDN en DDoS-bescherming voor de marketingwebsite</td> <td>IP-adressen van bezoekers en request-headers voor verzoeken aan de marketingwebsite; gecachte statische bestanden. Geen meldingen, behandelaarsgegevens of accountgegevens</td> </tr> <tr> <td><img src="/images/subprocessors/mailjet.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Mailjet SAS</td> <td>🇫🇷 Frankrijk (EU)</td> <td>Bezorging van transactionele e-mail</td> <td>E-mailadressen van behandelaars, meldingen met toegangscodes, factureringsmails</td> </tr> <tr> <td><img src="/images/subprocessors/stripe.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Stripe Payments Europe, Ltd</td> <td>🇮🇪 Ierland (EU)</td> <td>Facturering van abonnementen en betalingsverwerking</td> <td>Factureringscontact van de exploitant, getokeniseerde betaalgegevens</td> </tr> <tr> <td><img src="/images/subprocessors/appsignal.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> AppSignal B.V.</td> <td>🇳🇱 Nederland (EU)</td> <td>Foutregistratie en monitoring van applicatieprestaties (alleen aan de beheerders- en behandelaarszijde)</td> <td>Stack traces, request-metadata; IP-adressen van melders worden nooit gelogd</td> </tr> <tr> <td><img src="/images/subprocessors/crisp.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Crisp IM SARL</td> <td>🇫🇷 Frankrijk (EU)</td> <td>In-app klantenchat voor behandelaars (alleen geladen in het behandelportaal); ondersteunt identiteitsverificatie van exploitanten (KYC). Zie de opmerking hieronder over de privacy van melders.</td> <td>IP van behandelaar, chatinhoud, organisatienaam en contactgegevens van de exploitant, materiaal voor identiteitsverificatie</td> </tr> </tbody> </table> <p><strong>Privacy van melders.</strong> Crisp wordt alleen geladen in het behandel-/beheerdersportaal. Het is niet aanwezig op de marketingwebsite of op het meldportaal voor klokkenluiders — de omgeving waar melders hun meldingen indienen en opvolgen. Geen enkel Crisp-script, -cookie of -identificator bereikt de pagina’s die melders te zien krijgen. Melders worden nooit door Crisp gevolgd.</p> <p><strong>Geen AI- of LLM-sub-verwerker.</strong> Geen enkel groot taalmodel, generatieve AI-dienst of AI-classifier is een sub-verwerker van EthicsPortal. Meldingsinhoud, identiteit van melders, behandelaarsberichten en auditlogs worden niet doorgegeven aan OpenAI, Anthropic, Google, Mistral of een andere AI-inferentieaanbieder. Dit is een productverbintenis, geen configuratie-instelling — zie <a href="/directive-coverage/#5-confidentiality-of-identity-art-16">§5 van het dekkingsoverzicht van de richtlijn</a> voor de juridische onderbouwing.</p> <p>Doorgiften naar jurisdicties buiten de EU/EER steunen op modelcontractbepalingen en aanvullende waarborgen zoals nader beschreven in de verwerkersovereenkomst.</p> <hr> <h2 id="wat-geldt-als-sub-verwerker"> Wat geldt als sub-verwerker <a href="#wat-geldt-als-sub-verwerker" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Een sub-verwerker is elke dienst van derden die persoonsgegevens verwerkt namens EthicsPortal op grond van een schriftelijke verwerkersovereenkomst. Diensten verschijnen hier alleen als ze persoonsgegevens ontvangen, opslaan of doorgeven. Interne bibliotheken, package registries en build-time-afhankelijkheden zijn geen sub-verwerkers.</p> <hr> <h2 id="kennisgeving-van-wijzigingen"> Kennisgeving van wijzigingen <a href="#kennisgeving-van-wijzigingen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Exploitanten worden ten minste 30 dagen voordat een nieuwe sub-verwerker begint met het verwerken van persoonsgegevens op de hoogte gesteld van toevoegingen aan of wijzigingen in deze lijst. Bezwaren tegen een voorgestelde sub-verwerker kunnen worden ingediend op grond van de verwerkersovereenkomst.</p> <hr> <h2 id="vragen"> Vragen <a href="#vragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Voor vragen over de gegevensverwerking door sub-verwerkers neemt u contact op via <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/accessibility/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/accessibility/De toezegging van EthicsPortal inzake toegankelijkheid en conformiteit met EN 301 549 en WCAG 2.2 niveau AA.<h1 id="toegankelijkheidsverklaring"> Toegankelijkheidsverklaring <a href="#toegankelijkheidsverklaring" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Laatst bijgewerkt: 2026-05-24.</p> <p>EthicsPortal streeft ernaar zijn meldplatform voor klokkenluiders voor alle gebruikers toegankelijk te maken, in lijn met de <strong>Europese toegankelijkheidsnorm EN 301 549 V3.2.3</strong> en de <strong>Web Content Accessibility Guidelines (WCAG) 2.2 niveau AA</strong>. EN 301 549 V3.2.1 blijft de versie die wordt vermeld in de lijst van geharmoniseerde normen onder de Webtoegankelijkheidsrichtlijn; wij rapporteren tegen de nieuwere V3.2.3 omdat dit de huidige gepubliceerde versie van de norm is en V3.2.1 in technische reikwijdte vervangt.</p> <p>Deze verklaring is van toepassing op:</p> <ul> <li>De webapplicatie van EthicsPortal op <a href="https://secure.ethicsportal.eu" rel="nofollow">secure.ethicsportal.eu</a> </li> <li>Openbare meldportalen voor klokkenluiders gehost onder <code>*.ethicsportal.eu</code></li> <li>De marketingwebsite op <a href="https://ethicsportal.eu">ethicsportal.eu</a> </li> </ul> <h2 id="conformiteitsstatus"> Conformiteitsstatus <a href="#conformiteitsstatus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal is <strong>gedeeltelijk conform</strong> met EN 301 549 V3.2.3 en WCAG 2.2 niveau AA. “Gedeeltelijk conform” betekent dat sommige onderdelen van de inhoud nog niet volledig voldoen aan de toegankelijkheidsnorm. De afwijkingen en de beschikbare alternatieven worden hieronder vermeld.</p> <p>Een clausulegewijze zelfbeoordeling is gepubliceerd als het <a href="/en-301-549-conformance/">EN 301 549-conformiteitsrapport</a> en kan op verzoek voor inkoop als pdf worden verstrekt.</p> <h2 id="hoe-ethicsportal-toegankelijkheid-ondersteunt"> Hoe EthicsPortal toegankelijkheid ondersteunt <a href="#hoe-ethicsportal-toegankelijkheid-ondersteunt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Het product is gebouwd en getest tegen de eisen:</p> <ul> <li><strong>Bediening met alleen het toetsenbord</strong> in de hele applicatie en het openbare meldportaal — elk interactief element is bereikbaar en bedienbaar zonder muis</li> <li><strong>Ondersteuning voor schermlezers</strong> geverifieerd met VoiceOver (macOS, Safari) en NVDA (Windows, Firefox)</li> <li><strong>Wachtwoordloze authenticatie</strong> via magic link of eenmalige code, met optionele TOTP — verwijdert de cognitieve barrière van het onthouden van wachtwoorden (WCAG 2.2 §3.3.8 Toegankelijke authenticatie)</li> <li><strong>Ondersteuning voor verminderde beweging</strong> — animaties en overgangen worden uitgeschakeld wanneer het besturingssysteem daarom vraagt</li> <li><strong>Zoom en herschikking</strong> — lay-outs herschikken bij 200% browserzoom zonder horizontaal scrollen, behalve voor tabellen en codeblokken</li> <li><strong>Pinch-to-zoom is ingeschakeld</strong> op elke pagina</li> <li><strong>Aanraakdoelen</strong> van ten minste 24×24 CSS-pixels, verhoogd tot 44×44 bij grove aanwijzers waar de lay-out dit toelaat (WCAG 2.2 §2.5.8)</li> <li><strong>Tekst met hoog contrast</strong> — bodytekst gebruikt bijna-zwart op wit (≈21:1) in het lichte thema en het equivalent in het donkere thema</li> <li><strong>Gelokaliseerd</strong> in alle officiële EU-talen, met het taalattribuut ingesteld op elke pagina</li> </ul> <h2 id="niet-toegankelijke-inhoud"> Niet-toegankelijke inhoud <a href="#niet-toegankelijke-inhoud" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De volgende inhoud is niet volledig toegankelijk. Wij werken eraan om elk punt aan te pakken.</p> <h3 id="niet-naleving-van-de-toegankelijkheidsnorm"> Niet-naleving van de toegankelijkheidsnorm <a href="#niet-naleving-van-de-toegankelijkheidsnorm" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <ul> <li><strong>Gegenereerde pdf-documenten</strong> — nalevingsrapporten, nalevingscertificaten, sjablonen voor klokkenluidersbeleid, privacyverklaringen, posters, het handboek voor zaakbehandelaars en zaakexports worden geproduceerd als niet-getagde pdf’s. Ze voldoen niet aan EN 301 549 §10.1 (getagde structuur, leesvolgorde, alternatieve tekst). Gebruikers die een toegankelijke versie van een document nodig hebben, kunnen een HTML-alternatief aanvragen door contact op te nemen via <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — zie <a href="#feedback">Feedback</a> hieronder. Wij migreren deze documenten naar een pijplijn voor getagde pdf’s; HTML-alternatieven die vanuit de applicatie worden geleverd, zijn de geplande tussentijdse oplossing.</li> <li><strong>Statische foutpagina’s (HTTP 400, 404, 422, 500 en de fallback voor niet-ondersteunde browsers)</strong> — deze pagina’s worden in het Engels geleverd, ongeacht de taal van de gebruiker (EN 301 549 §9.3.1.1 / WCAG 3.1.1 Taal van de pagina). Ze worden zelden tegengekomen; dezelfde informatie wordt in de taal van de gebruiker binnen de applicatie gepresenteerd. De pagina’s zelf gebruiken semantische HTML en voldoen aan de overige eisen van §9 voor het web.</li> </ul> <h3 id="inhoud-die-is-vrijgesteld-van-de-toegankelijkheidseisen"> Inhoud die is vrijgesteld van de toegankelijkheidseisen <a href="#inhoud-die-is-vrijgesteld-van-de-toegankelijkheidseisen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <ul> <li>Inhoud van derden die in het product is ingebed — bijvoorbeeld de Crisp-livechatwidget en door Stripe gehoste betaalpagina’s — valt niet onder de directe controle van EthicsPortal. Wij hebben aanbieders gekozen die toegankelijkheidsdocumentatie publiceren en herzien deze keuzes elk jaar.</li> <li>Door gebruikers gegenereerde inhoud die door zaakbehandelaars wordt geüpload (notities, bijgevoegde bestanden) valt niet onder de directe redactionele controle van het product. De behandelaarsinterface vraagt waar van toepassing om beschrijvingen en toegankelijke alternatieven, conform EN 301 549 §11.8 / <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> .</li> </ul> <h2 id="opstelling-van-deze-verklaring"> Opstelling van deze verklaring <a href="#opstelling-van-deze-verklaring" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Deze verklaring is opgesteld op <strong>14 mei 2026</strong> op basis van een zelfbeoordeling die door EthicsPortal is uitgevoerd tegen <strong>EN 301 549 V3.2.3</strong> en <strong>WCAG 2.2 niveau AA</strong>. De beoordeling combineerde:</p> <ul> <li>Geautomatiseerde controles in CI via <code>axe-core-capybara</code> op de flows van het openbare meldportaal (startpagina, indiening van meldingen, opzoeken)</li> <li>Handmatige tests met toetsenbord, VoiceOver en 200% zoom in de meldflow van het portaal, de workflow van zaakbehandelaars, de authenticatie en het accountbeheer</li> <li>Codereview tegen de interne toegankelijkheidschecklist die in onze engineeringrepository is gedocumenteerd</li> </ul> <p>De verklaring wordt ten minste elk kwartaal en na elke significante platformwijziging herzien.</p> <h2 id="feedback"> Feedback <a href="#feedback" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Wij stellen uw feedback over de toegankelijkheid van EthicsPortal op prijs. Als u een toegankelijkheidsbarrière tegenkomt, geen toegang krijgt tot inhoud of informatie in een alternatief formaat nodig hebt:</p> <ul> <li><strong>E-mail:</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </li> <li><strong>Ook geaccepteerd:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> — vermeld “toegankelijkheid” in de onderwerpregel</li> <li>Wij streven ernaar toegankelijkheidsverzoeken binnen <strong>2 werkdagen</strong> te bevestigen en binnen <strong>5 werkdagen</strong> een alternatief formaat of inhoudelijke reactie te geven</li> </ul> <h2 id="handhavingsprocedure"> Handhavingsprocedure <a href="#handhavingsprocedure" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Als u niet tevreden bent met onze reactie, kunt u de zaak voorleggen aan de handhavingsinstantie voor toegankelijkheid in uw land:</p> <ul> <li><strong>Frankrijk:</strong> Défenseur des droits — <a href="https://www.defenseurdesdroits.fr" rel="nofollow">defenseurdesdroits.fr</a> </li> <li><strong>Polen:</strong> Minister właściwy do spraw informatyzacji — via <a href="https://www.gov.pl/" rel="nofollow">gov.pl</a> , met de Rzecznik Praw Obywatelskich als secundaire verhaalsmogelijkheid voor onopgeloste klachten</li> <li><strong>Duitsland:</strong> Überwachungsstelle des Bundes für Barrierefreiheit von Informationstechnik — <a href="https://www.bfit-bund.de/" rel="nofollow">bfit-bund.de</a> </li> <li><strong>Overige EU-lidstaten:</strong> zie de lijst die door de Europese Commissie wordt bijgehouden op <a href="https://digital-strategy.ec.europa.eu/en/policies/web-accessibility" rel="nofollow">digital-strategy.ec.europa.eu</a> </li> </ul> <h2 id="normen-en-referenties"> Normen en referenties <a href="#normen-en-referenties" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Deze verklaring is opgesteld onder verwijzing naar:</p> <ul> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016L2102" rel="nofollow">Richtlijn (EU) 2016/2102</a> — toegankelijkheid van websites en mobiele applicaties van overheidsinstanties</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L0882" rel="nofollow">Richtlijn (EU) 2019/882</a> — Europese toegankelijkheidsakte</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018D1523" rel="nofollow">Uitvoeringsbesluit (EU) 2018/1523</a> — modeltoegankelijkheidsverklaring</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> — toegankelijkheidseisen voor ICT-producten en -diensten (de gepubliceerde versie waartegen wij rapporteren)</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> — versie vermeld in de geharmoniseerde normen onder de Webtoegankelijkheidsrichtlijn</li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 niveau AA</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/faq/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/faq/Veelgestelde vragen over EthicsPortal --- naleving, anonimiteit, gegevensbeveiliging, facturering en technische details.<h1 id="veelgestelde-vragen"> Veelgestelde vragen <a href="#veelgestelde-vragen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <hr> <h2 id="voor-compliance-officers-en-besluitvormers"> Voor compliance officers en besluitvormers <a href="#voor-compliance-officers-en-besluitvormers" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="voldoet-ethicsportal-aan-richtlijn-eu-20191937"> Voldoet EthicsPortal aan Richtlijn (EU) 2019/1937? <a href="#voldoet-ethicsportal-aan-richtlijn-eu-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja. EthicsPortal is specifiek gebouwd om te voldoen aan de eisen van de EU-klokkenluidersrichtlijn. Dit omvat een veilig intern meldkanaal, anonieme tweerichtingscommunicatie, termijnbewaking (ontvangstbevestiging binnen 7 dagen, terugkoppeling binnen 3 maanden), toegangscontroles, beleid voor gegevensbewaring en een volledige audit trail. Zie het <a href="/directive-coverage/">dekkingsoverzicht van Richtlijn (EU) 2019/1937</a> voor een artikelsgewijze uitsplitsing.</p> <h3 id="in-welke-landen-voldoet-ethicsportal-aan-de-eisen"> In welke landen voldoet EthicsPortal aan de eisen? <a href="#in-welke-landen-voldoet-ethicsportal-aan-de-eisen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>EthicsPortal dekt de eisen van Richtlijn (EU) 2019/1937, die in de nationale wetgeving van de EU-lidstaten is omgezet. Het platform is ontworpen om te voldoen aan de basiseisen van de richtlijn, die in de hele EU gelden. Als uw land aanvullende nationale eisen stelt (bijvoorbeeld de Franse Loi Waserman), raadpleeg dan onze <a href="/whistleblower-laws/">landspecifieke gidsen</a> of <a href="mailto:support@ethicsportal.eu">neem contact met ons op</a> .</p> <h3 id="kunnen-we-het-meldkanaal-intern-beheren"> Kunnen we het meldkanaal intern beheren? <a href="#kunnen-we-het-meldkanaal-intern-beheren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja — artikel 8, lid 5, van Richtlijn (EU) 2019/1937 staat dit uitdrukkelijk toe. Maar het voldoen aan de voorwaarden van de richtlijn is intern structureel lastiger.</p> <p>Artikel 9, lid 1, vereist vertrouwelijkheid van de identiteit van de melder, onpartijdige opvolging en beperkte toegang tot meldingen. Een intern kanaal loopt via dezelfde IT-beheerders, back-ups en litigation-hold-tooling die elk ander systeem in het bedrijf raken. Een apart subdomein of mailbox verandert niets aan wie toegang heeft.</p> <p>De AVG voegt een tweede probleem toe. Klokkenluiden staat op de lijst van verplichte GEB’s van het EDPB. Een interne GEB moet documenteren hoe de verwerkingsverantwoordelijke voorkomt dat hij toegang krijgt tot gegevens over zichzelf — wat op het eerste gezicht circulair is.</p> <p>Extern beheer is voorzien in art. 8, lid 5, en in de nationale omzettingen: Loi Sapin II / Waserman (FR), HinSchG §14 (DE), D.Lgs. 24/2023 (IT), Ley 2/2023 (ES).</p> <h3 id="waar-worden-mijn-gegevens-opgeslagen"> Waar worden mijn gegevens opgeslagen? <a href="#waar-worden-mijn-gegevens-opgeslagen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De kerngegevens van meldingen worden opgeslagen op Hetzner-servers in Neurenberg, Duitsland. De marketingwebsite wordt geleverd via Cloudflare (Verenigde Staten); de meld- en behandelportalen niet. Hetzner is een Duitse hostingaanbieder die onderworpen is aan het EU-gegevensbeschermingsrecht, en waarborgen voor doorgifte zijn beschreven op de pagina’s over de <a href="/dpa/">verwerkersovereenkomst</a> en <a href="/subprocessors/">sub-verwerkers</a> .</p> <h3 id="is-de-melding-echt-anoniem"> Is de melding echt anoniem? <a href="#is-de-melding-echt-anoniem" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja, als de melder daarvoor kiest. Het opgeven van een naam of contactgegevens is optioneel. EthicsPortal logt geen IP-adressen, verwijdert bestandsmetadata (EXIF, GPS, auteursinformatie) uit uploads, en de beveiligde berichtenuitwisseling onthult de identiteit van de zaakbehandelaar nooit aan de melder. Er is geen technisch mechanisme om een anonieme melding tot een persoon te herleiden.</p> <h3 id="hoe-werkt-de-bewaking-van-de-termijnen-van-7-dagen-en-3-maanden"> Hoe werkt de bewaking van de termijnen van 7 dagen en 3 maanden? <a href="#hoe-werkt-de-bewaking-van-de-termijnen-van-7-dagen-en-3-maanden" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Wanneer een melding wordt ingediend, start EthicsPortal automatisch twee timers op basis van de eisen van de richtlijn:</p> <ul> <li><strong>7 dagen</strong> om de ontvangst van de melding te bevestigen.</li> <li><strong>3 maanden</strong> om de melder inhoudelijke terugkoppeling te geven.</li> </ul> <p>Te late meldingen worden gesignaleerd in het dashboard en behandelaars ontvangen meldingen naarmate de termijnen naderen.</p> <h3 id="bieden-jullie-een-verwerkersovereenkomst"> Bieden jullie een verwerkersovereenkomst? <a href="#bieden-jullie-een-verwerkersovereenkomst" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja. De huidige verwerkersovereenkomst is gepubliceerd op <a href="/dpa/">verwerkersovereenkomst</a> , en een medeondertekende pdf is op verzoek beschikbaar.</p> <h3 id="welke-certificeringen-hebben-jullie"> Welke certificeringen hebben jullie? <a href="#welke-certificeringen-hebben-jullie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>EthicsPortal claimt op deze site momenteel geen geaccrediteerde ISO 27001-certificering. Wij documenteren de huidige beveiligingssituatie, sub-verwerkers, incidentmeldingen en serviceverbintenissen openbaar op de pagina’s <a href="/security/">beveiliging</a> , <a href="/subprocessors/">sub-verwerkers</a> , <a href="/incidents/">incidenten</a> en <a href="/sla/">SLA</a> .</p> <h3 id="wie-is-de-contractpartij"> Wie is de contractpartij? <a href="#wie-is-de-contractpartij" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>EthicsPortal wordt beheerd door Yaroslav Shmarov, geregistreerd in Polen. Basisgegevens over de contractpartij en inkoop zijn gepubliceerd op de <a href="/trust/">vertrouwenspagina</a> .</p> <h3 id="kunnen-jullie-de-inkoopbeoordeling-ondersteunen"> Kunnen jullie de inkoopbeoordeling ondersteunen? <a href="#kunnen-jullie-de-inkoopbeoordeling-ondersteunen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja. Openbaar due-diligencemateriaal is gepubliceerd op de website, en aanvullend inkoopmateriaal is op verzoek beschikbaar tijdens de inkoopbeoordeling. Zie de <a href="/trust/">vertrouwenspagina</a> .</p> <h3 id="kan-ik-zaakgegevens-exporteren-voor-auditors"> Kan ik zaakgegevens exporteren voor auditors? <a href="#kan-ik-zaakgegevens-exporteren-voor-auditors" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja. Elke melding kan naar pdf worden geëxporteerd, inclusief de volledige berichtgeschiedenis, tijdlijn en audit trail. Dit is ontworpen om te delen met juridisch adviseurs, auditors of toezichthouders. Als u een aanvullend portabiliteitsformaat nodig hebt voor migratie of toezichthoudende beoordeling, neem dan contact met ons op tijdens de inkoop- of afsluitbeoordeling.</p> <hr> <h2 id="voor-werknemers-en-melders"> Voor werknemers en melders <a href="#voor-werknemers-en-melders" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="moet-ik-een-account-aanmaken-om-een-melding-in-te-dienen"> Moet ik een account aanmaken om een melding in te dienen? <a href="#moet-ik-een-account-aanmaken-om-een-melding-in-te-dienen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Nee. U hebt geen account, e-mailadres of persoonlijke gegevens nodig. U bezoekt de portaallink, vult de melding in, kiest een 6-cijferige toegangscode en ontvangt een zaak-ID. Dat is alles.</p> <h3 id="kan-mijn-werkgever-ontdekken-wie-ik-ben"> Kan mijn werkgever ontdekken wie ik ben? <a href="#kan-mijn-werkgever-ontdekken-wie-ik-ben" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Niet via EthicsPortal. Als u ervoor kiest anoniem te melden (zonder uw naam of contactgegevens op te geven), is er voor uw werkgever geen manier om u via het platform te identificeren. EthicsPortal logt uw IP-adres niet en verwijdert identificerende metadata uit alle bestanden die u uploadt.</p> <p>Wees u er niettemin bewust van wat u schrijft — als uw melding details bevat die alleen u kunt weten, valt dat buiten de controle van het platform.</p> <h3 id="hoe-controleer-ik-mijn-melding"> Hoe controleer ik mijn melding? <a href="#hoe-controleer-ik-mijn-melding" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>U hebt twee dingen nodig: het zaak-ID (in de vorm <code>WB-XXXX-XXXX</code>) dat u na indiening krijgt te zien, en de 6-cijferige toegangscode die u hebt gekozen. Kom op elk moment terug naar het portaal, voer beide in en bekijk de huidige status of wissel berichten uit met de zaakbehandelaar. Bewaar het zaak-ID op een veilige plek en onthoud de toegangscode — wij kunnen de toegangscode niet herstellen en beide zijn vereist.</p> <h3 id="kan-ik-bestanden-aan-mijn-melding-toevoegen"> Kan ik bestanden aan mijn melding toevoegen? <a href="#kan-ik-bestanden-aan-mijn-melding-toevoegen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja. U kunt afbeeldingen, pdf’s, video- en audiobestanden van maximaal 100 MB per stuk uploaden. Alle bestandsmetadata (locatiegegevens, auteursinformatie, cameradetails) worden vóór opslag automatisch verwijderd om uw identiteit te beschermen.</p> <h3 id="kan-ik-anoniem-met-de-zaakbehandelaar-communiceren"> Kan ik anoniem met de zaakbehandelaar communiceren? <a href="#kan-ik-anoniem-met-de-zaakbehandelaar-communiceren" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja. De ingebouwde berichtenuitwisseling is volledig anoniem. U ziet “Zaakbehandelaar” — nooit een echte naam. De behandelaar ziet uw berichten, maar heeft geen enkele manier om u te identificeren, tenzij u ervoor kiest die informatie zelf te delen.</p> <h3 id="wat-gebeurt-er-nadat-ik-een-melding-heb-ingediend"> Wat gebeurt er nadat ik een melding heb ingediend? <a href="#wat-gebeurt-er-nadat-ik-een-melding-heb-ingediend" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Uw melding wordt ontvangen door de aangewezen zaakbehandelaar van de organisatie. Volgens de EU-wetgeving moeten zij de ontvangst binnen 7 dagen bevestigen en binnen 3 maanden inhoudelijke terugkoppeling geven. U kunt de status op elk moment controleren met uw zaak-ID en toegangscode.</p> <hr> <h2 id="voor-it--en-technische-teams"> Voor IT- en technische teams <a href="#voor-it--en-technische-teams" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="welke-versleuteling-gebruiken-jullie"> Welke versleuteling gebruiken jullie? <a href="#welke-versleuteling-gebruiken-jullie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Alle gevoelige meldgegevens worden in rust versleuteld in de database. Alle verbindingen gebruiken TLS (HTTPS). Bestandsuploads worden versleuteld opgeslagen op in de EU gehoste infrastructuur.</p> <h3 id="verwijderen-jullie-bestandsmetadata"> Verwijderen jullie bestandsmetadata? <a href="#verwijderen-jullie-bestandsmetadata" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja. Geüploade afbeeldingen worden server-side opgeschoond vóór opslag. Pdf-, video- en audio-uploads worden in de standaard productieopstelling die op de <a href="/security/">beveiligingspagina</a> wordt beschreven eveneens verwerkt om metadata te verwijderen. Dit verkleint het risico op onbedoelde bekendmaking van identiteit via bestandseigenschappen.</p> <h3 id="scannen-jullie-geüploade-bestanden-op-virussen"> Scannen jullie geüploade bestanden op virussen? <a href="#scannen-jullie-ge%c3%bcploade-bestanden-op-virussen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja. Alle geüploade bestanden worden gescand op malware met ClamAV, een opensource-antivirusengine. Het scannen gebeurt server-side — er worden geen bestandsgegevens naar externe diensten verzonden. Geïnfecteerde bestanden worden automatisch verwijderd voordat zaakbehandelaars er toegang toe kunnen krijgen.</p> <h3 id="loggen-jullie-ip-adressen"> Loggen jullie IP-adressen? <a href="#loggen-jullie-ip-adressen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De applicatie slaat het ruwe IP-adres van de melder niet op in de database. De snelheidsbeperking van het openbare meldportaal gebruikt een eenrichtingshash, en applicatielogs voor portaalroutes worden opgeschoond om de anonimiteit van melders te beschermen. Zie <a href="/security/">beveiliging</a> voor de precieze formulering.</p> <h3 id="welke-diensten-van-derden-gebruiken-jullie"> Welke diensten van derden gebruiken jullie? <a href="#welke-diensten-van-derden-gebruiken-jullie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <ul> <li><strong>Hetzner</strong> (Duitsland) — serverhosting</li> <li><strong>Stripe</strong> — betalingsverwerking</li> <li><strong>Mailjet</strong> (Frankrijk) — bezorging van transactionele e-mail</li> <li><strong>Cloudflare</strong> — CDN en analytics voor de marketingwebsite</li> <li><strong>AppSignal</strong> (Nederland, EU) — foutmonitoring en monitoring van applicatieprestaties voor de beheerders- en behandelaarsinterfaces</li> <li><strong>Crisp</strong> — in-app klantenchat in het behandelportaal</li> </ul> <p>Er worden geen advertentienetwerken of trackingcookies van derden gebruikt op het meldportaal zelf.</p> <h3 id="hebben-jullie-een-api"> Hebben jullie een API? <a href="#hebben-jullie-een-api" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Momenteel niet beschikbaar. <a href="mailto:support@ethicsportal.eu">Neem contact met ons op</a> als API-toegang een vereiste is voor uw organisatie.</p> <h3 id="ondersteunen-jullie-aangepaste-domeinen"> Ondersteunen jullie aangepaste domeinen? <a href="#ondersteunen-jullie-aangepaste-domeinen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Momenteel niet beschikbaar. Alle portalen worden geleverd onder het EthicsPortal-domein.</p> <h3 id="ondersteunen-jullie-sso"> Ondersteunen jullie SSO? <a href="#ondersteunen-jullie-sso" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Momenteel niet beschikbaar. Gebruikers melden zich aan via magic link (wachtwoordloze e-mailauthenticatie).</p> <hr> <h2 id="facturering"> Facturering <a href="#facturering" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="hoeveel-kost-ethicsportal"> Hoeveel kost EthicsPortal? <a href="#hoeveel-kost-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p><strong>€ 60/maand of € 500/jaar</strong>, vast. Eén abonnement, alles inbegrepen. Geen kosten per gebruiker, geen kosten per melding, geen functieniveaus.</p> <h3 id="hoe-werkt-het-abonnement"> Hoe werkt het abonnement? <a href="#hoe-werkt-het-abonnement" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>EthicsPortal is een betaalde nalevingsdienst: € 60/maand of € 500/jaar, zonder gratis proefperiode. Activeer het portaal vanuit de applicatie, stel het meldkanaal in en start het gebruik zodra het abonnement actief is.</p> <h3 id="kunnen-we-het-abonnement-opzeggen"> Kunnen we het abonnement opzeggen? <a href="#kunnen-we-het-abonnement-opzeggen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Ja. Abonnementen kunnen worden opgezegd via de accountinstellingen. Er zijn geen opzegkosten.</p> <h3 id="welke-betaalmethoden-accepteren-jullie"> Welke betaalmethoden accepteren jullie? <a href="#welke-betaalmethoden-accepteren-jullie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Credit- en betaalkaarten via Stripe. Als u per factuur of bankoverschrijving wilt betalen, mail dan <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p> <hr> <h2 id="nog-een-vraag"> Nog een vraag? <a href="#nog-een-vraag" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Mail <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . U hoort binnen één werkdag van ons.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/trust/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/trust/Contractpartij, gegevenslocatie, certificeringen en inkoopmateriaal voor EthicsPortal.<h1 id="vertrouwen"> Vertrouwen <a href="#vertrouwen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p>Alles wat een inkoopbeoordelaar, FG of juridisch team nodig heeft om EthicsPortal te beoordelen.</p> <p>Laatst bijgewerkt: 2026-05-24.</p> <hr> <h2 id="contractpartij"> Contractpartij <a href="#contractpartij" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong>Naam van de dienst:</strong> EthicsPortal</li> <li><strong>Exploitant:</strong> Yaroslav Shmarov</li> <li><strong>Geregistreerd adres:</strong> ul. Obrzeżna 1A, 02-691 Warschau, Polen</li> <li><strong>Fiscaal identificatienummer (NIP):</strong> 5272755790</li> <li><strong>Bevoegde ondertekenaar voor commerciële overeenkomsten, verwerkersovereenkomsten en beveiligingsvragenlijsten:</strong> Yaroslav Shmarov</li> <li><strong>Commercieel contact:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> <li><strong>Beveiligingscontact:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> </li> <li><strong>Contact voor privacy en gegevensbescherming:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </li> </ul> <p>Registerbewijs en ondertekende contractdocumenten worden op verzoek tijdens de inkoop verstrekt.</p> <hr> <h2 id="gegevenslocatie-en-verwerkersrelatie"> Gegevenslocatie en verwerkersrelatie <a href="#gegevenslocatie-en-verwerkersrelatie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>In het standaardabonnementsmodel is de klant de verwerkingsverantwoordelijke en treedt EthicsPortal op als verwerker voor de meldgegevens van de klant.</p> <p>De kerngegevens van klokkenluidersmeldingen, waaronder de applicatie, de database en de bestandsopslag, worden gehost in Neurenberg, Duitsland bij <a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> . Transactionele e-mail loopt via Mailjet (Frankrijk). De marketingwebsite gebruikt één genoemde niet-EU-sub-verwerker, Cloudflare (CDN), die volledig is vermeld op de pagina <a href="/subprocessors/">sub-verwerkers</a> . Het meldportaal en het behandelportaal laden Cloudflare niet.</p> <hr> <h2 id="continuïteit-en-personeel"> Continuïteit en personeel <a href="#continu%c3%afteit-en-personeel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>De klantgegevens zijn herstelbaar onafhankelijk van de beschikbaarheid van de exploitant.</strong> Op elk moment tijdens de relatie en bij contractbeëindiging hebben klantorganisaties recht op een volledige machineleesbare export van hun gegevens, plus een vastgestelde afbouwperiode om naar een alternatieve aanbieder te migreren. Deze afspraken zijn vastgelegd in de <a href="/dpa/">verwerkersovereenkomst</a> en uitgewerkt in het <a href="/policies/business-continuity/">bedrijfscontinuïteitsplan</a> , dat de activeringscriteria, <strong>RPO 24 uur / RTO 4 uur</strong> en de procedure bij arbeidsongeschiktheid van de exploitant definieert.</p> <p><strong>Back-ups.</strong> Dagelijkse versleutelde PostgreSQL-dumps naar Hetzner Object Storage (EU, 7 dagen bewaring) plus Hetzner-snapshots op serverniveau (7 dagen bewaring). Laatste herstelproef: 2026-05-14.</p> <p><strong>Personeelsreikwijdte.</strong> Alle klantgegevens worden verwerkt door de genoemde exploitant. Er zijn geen andere werknemers of aannemers — een bewuste reikwijdtekeuze die aanbiederszijde-personeelsrisico’s (hiaten in achtergrondscreening, lekkage bij in-/uitdiensttreding, wildgroei van aannemers) uit het dreigingsmodel verwijdert. Beheersmaatregelen voor geprivilegieerde toegang voor de genoemde exploitant zijn gedocumenteerd en beschikbaar tijdens de inkoopbeoordeling.</p> <hr> <h2 id="certificeringsstatus"> Certificeringsstatus <a href="#certificeringsstatus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>EthicsPortal claimt op deze site momenteel geen geaccrediteerde ISO 27001-certificering. Een onafhankelijke externe penetratietest staat momenteel niet geregistreerd. Wanneer een van beide verandert, wordt de naam van de certificering (of de reikwijdte, datum en samenvatting van het herstel van de test) hier gepubliceerd.</p> <p>In plaats van geaccrediteerde certificering publiceert EthicsPortal een gestructureerde zelfbeoordeling tegen dezelfde beheersmaatregelensets die een externe audit zou beoordelen:</p> <ul> <li>Een <a href="/iso-27001/">ISO/IEC 27001:2022 Annex A-beheersmaatregelenmap</a> die alle 93 beheersmaatregelen dekt, met status (Geïmplementeerd / Zelfbeoordeeld / Niet van toepassing / Compenserende maatregel) en bewijsverwijzingen voor elk.</li> <li>Een <a href="/iso-37002/">ISO 37002:2021-richtsnoerafstemmingsmap</a> die de levenscyclus van het beheer van meldingen clausulegewijs dekt, met de grens tussen software en exploitant vermeld. (ISO 37002 is een richtsnoernorm — geen enkele organisatie kan ertegen worden gecertificeerd; afstemming is de enige eerlijke claim die een leverancier kan maken.)</li> <li>Genoemde beleidsdocumenten op <a href="/policies/">/policies/</a> : <a href="/policies/information-security/">informatiebeveiligingsbeleid</a> , <a href="/policies/business-continuity/">bedrijfscontinuïteitsplan</a> , <a href="/policies/risk-register/">risicoregister</a> .</li> <li>Een <a href="/caiq/">vooraf ingevulde CAIQ-afgestemde vragenlijst</a> voor de vragen waarvan de antwoorden al openbaar zijn gedocumenteerd.</li> </ul> <p>De zelfbeoordeling is de inhoud die een accreditatie zou bevestigen. EthicsPortal publiceert deze rechtstreeks zodat een inkoopbeoordelaar hetzelfde bewijs kan beoordelen zonder op een auditor te wachten.</p> <hr> <h2 id="operationele-levenscyclus"> Operationele levenscyclus <a href="#operationele-levenscyclus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Vraag</th> <th>Antwoord</th> </tr> </thead> <tbody> <tr> <td>Live beschikbaarheid</td> <td>Gepubliceerd op <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> voor de gedekte omgevingen. Zie <a href="/sla/">serviceniveau-overeenkomst</a> voor de meetmethodologie en uitsluitingen.</td> </tr> <tr> <td>Levenscyclus van sessie en toegang</td> <td>Sessies verlopen automatisch na 14 dagen inactiviteit en worden ’s nachts opgeruimd. Gebruikers kunnen hun eigen sessies op elk moment bekijken en intrekken. Elke sessie registreert <code>last_seen_at</code> zodat verouderde apparaten herkenbaar zijn. Deactivering van een lid snijdt de toegang af op de grens van het verzoek, maakt open meldingen ongedaan en verwijdert deelnemerschappen terwijl de auditgeschiedenis behouden blijft. Zie <a href="/security/#access-control">Beveiliging</a> .</td> </tr> <tr> <td>Back-ups en herstel</td> <td>Dagelijkse versleutelde PostgreSQL-dumps naar Hetzner Object Storage (EU, 7 dagen bewaring) plus Hetzner-snapshots op serverniveau (7 dagen bewaring). <strong>RPO 24 uur, RTO 4 uur.</strong> Laatste herstelproef: 2026-05-14. Zie <a href="/security/#backups-and-restore">Beveiliging</a> .</td> </tr> <tr> <td>Afhankelijkheids- en patchbeheer</td> <td>Continue SCA in CI (Brakeman, bundler-audit, importmap audit) plus wekelijkse Dependabot-updates. Geen end-of-life-componenten uitgerold. Zie <a href="/security/#dependency-and-patch-management">Beveiliging</a> .</td> </tr> <tr> <td>Export en verwijdering</td> <td>Pdf-zaakexport is in-app beschikbaar voor elke zaak (beschrijving, berichten, audit trail, bijlagen). Machineleesbare bulkexport van de volledige organisatiegegevensset is op verzoek beschikbaar bij contractbeëindiging. Contractuele toezeggingen staan in de <a href="/dpa/">verwerkersovereenkomst</a> .</td> </tr> <tr> <td>Hersteldoelstellingen</td> <td>Zie <a href="/sla/#recovery-objectives">serviceniveau-overeenkomst</a> .</td> </tr> </tbody> </table> <hr> <h2 id="contractuele-standpunten"> Contractuele standpunten <a href="#contractuele-standpunten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Eén bron van waarheid voor de contractuele vragen die inkoopteams van ondernemingen het vaakst stellen. Elke rij verwijst naar het document dat geldt.</p> <table> <thead> <tr> <th>Onderwerp</th> <th>Standpunt van EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Geaggregeerd aansprakelijkheidsmaximum</td> <td>12 maanden aan vergoedingen betaald in de 12 maanden voorafgaand aan de gebeurtenis die aanleiding gaf tot de vordering (<a href="/terms/">Voorwaarden §11</a> ). De verwerkersovereenkomst, de serviceniveau-overeenkomst en de IP-vrijwaring vallen alle binnen hetzelfde geaggregeerde maximum.</td> </tr> <tr> <td>Vrijwaring bij inbreuk op intellectuele eigendom</td> <td>De exploitant verdedigt de verwerkingsverantwoordelijke tegen vorderingen van derden inzake auteursrecht, merkrecht of octrooi die voortvloeien uit het gebruik van de dienst overeenkomstig de voorwaarden, behoudens standaarduitzonderingen (wijzigingen door de klant, ongeoorloofd gebruik, niet-geautoriseerde combinaties) en het geaggregeerde aansprakelijkheidsmaximum. Zie <a href="/terms/">Voorwaarden §12</a> .</td> </tr> <tr> <td>Termijn voor melding van inbreuken</td> <td>Zonder onnodige vertraging en in elk geval binnen 72 uur na kennisname (<a href="/dpa/">verwerkersovereenkomst §6.6</a> ), afgestemd op <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 33</a> AVG. Op standaardabonnementen wordt geen kortere termijn contractueel aangeboden, omdat kortere termijnen het risico van voortijdige melding met zich meebrengen en in strijd zijn met de door de AVG voorgeschreven forensische drempel.</td> </tr> <tr> <td>Auditrechten</td> <td>Overeenkomstig <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 28(3)(h)</a> AVG, op ten minste 30 dagen voorafgaande kennisgeving en tijdens normale kantooruren (<a href="/dpa/">verwerkersovereenkomst §6.9</a> ). De verwerker beantwoordt schriftelijke beveiligingsvragenlijsten in plaats van een audit ter plaatse waar de beoordeling van de verwerkingsverantwoordelijke daarmee kan worden voldaan.</td> </tr> <tr> <td>Servicekredieten</td> <td>Standaardabonnementen omvatten geen geldelijke servicekredieten. Verhaalsmogelijkheden bij wezenlijke of herhaalde beschikbaarheidstekortkomingen worden geregeld door het geaggregeerde aansprakelijkheidsmaximum (<a href="/sla/">SLA</a> ).</td> </tr> <tr> <td>Door de klant beheerde versleutelingssleutels (BYOK / externe KMS)</td> <td>Niet ondersteund. Door de verwerker beheerde sleutels zijn vereist om de sleutelgrens tussen melder en behandelaar en de end-to-end-verwijderingsgarantie te handhaven. Zie <a href="/dpa/">verwerkersovereenkomst §6.11</a> .</td> </tr> <tr> <td>Broncode-escrow</td> <td>Niet aangeboden. Continuïteit wordt geregeld via de bepalingen over arbeidsongeschiktheid van de exploitant in het <a href="/policies/business-continuity/">bedrijfscontinuïteitsplan</a> en de rechten van de verwerkingsverantwoordelijke op gegevensexport en -verwijdering onder <a href="/dpa/">verwerkersovereenkomst §6.8</a> .</td> </tr> <tr> <td>Kennisgeving van wijziging van sub-verwerker</td> <td>Ten minste 30 dagen voor het toevoegen of vervangen van een sub-verwerker; de verwerkingsverantwoordelijke kan bezwaar maken en opzeggen als geen oplossing wordt bereikt (<a href="/dpa/">verwerkersovereenkomst §6.4</a> ).</td> </tr> <tr> <td>Gegevensexport en -verwijdering bij beëindiging</td> <td>Zelfbediening pdf-zaakexport in het product, plus machineleesbare bulkexport op verzoek bij beëindiging, plus verwijdering binnen 30 dagen na opzegging van het abonnement op schriftelijk verzoek (<a href="/dpa/">verwerkersovereenkomst §6.8</a> ).</td> </tr> <tr> <td>Cyberaansprakelijkheidsverzekering</td> <td>In behandeling. Het dekkingsbedrag en de verzekeraar worden hier gepubliceerd zodra dit is geregeld.</td> </tr> <tr> <td>Onafhankelijke externe penetratietest</td> <td>Momenteel niet geregistreerd. Reikwijdte, datum en samenvatting van het herstel worden hier gepubliceerd zodra er een is uitgevoerd.</td> </tr> <tr> <td>Toepasselijk recht en bevoegde rechter</td> <td>Pools recht; rechtbanken van Warschau (<a href="/terms/">Voorwaarden §13</a> ). EU-consumenten behouden het recht op een procedure in hun land van verblijf.</td> </tr> </tbody> </table> <p>Deze standpunten worden weerspiegeld in de gepubliceerde <a href="/terms/">servicevoorwaarden</a> , <a href="/dpa/">verwerkersovereenkomst</a> en <a href="/sla/">serviceniveau-overeenkomst</a> . Wezenlijke afwijkingen worden op standaardabonnementen niet toegestaan.</p> <hr> <h2 id="openbare-documenten"> Openbare documenten <a href="#openbare-documenten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Alles wat een inkoopbeoordelaar nodig heeft, wordt openbaar gepubliceerd. Gegroepeerd op wat het document doet.</p> <h3 id="contractueel"> Contractueel <a href="#contractueel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Wat de relatie tussen EthicsPortal en de klant beheerst.</p> <table> <thead> <tr> <th>Document</th> <th>Doel</th> </tr> </thead> <tbody> <tr> <td><a href="/terms/">Servicevoorwaarden</a> </td> <td>Abonnementsvoorwaarden, opzegging, restituties, aansprakelijkheidsmaximum, IP-vrijwaring</td> </tr> <tr> <td><a href="/dpa/">Verwerkersovereenkomst</a> </td> <td>Verwerkersvoorwaarden onder artikel 28 AVG</td> </tr> <tr> <td><a href="/sla/">Serviceniveau-overeenkomst</a> </td> <td>Beschikbaarheidsdoelstelling en meting</td> </tr> <tr> <td><a href="/privacy/">Privacybeleid</a> </td> <td>Hoe persoonsgegevens worden behandeld</td> </tr> </tbody> </table> <h3 id="operationeel"> Operationeel <a href="#operationeel" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Hoe de dienst dagelijks werkt en wie er nog meer bij betrokken is.</p> <table> <thead> <tr> <th>Document</th> <th>Doel</th> </tr> </thead> <tbody> <tr> <td><a href="/security/">Beveiliging</a> </td> <td>Technische en organisatorische maatregelen</td> </tr> <tr> <td><a href="/subprocessors/">Sub-verwerkers</a> </td> <td>Genoemde sub-verwerkers en hun reikwijdte</td> </tr> <tr> <td><a href="/incidents/">Incidentenregister</a> </td> <td>Wezenlijke incidenten die persoonsgegevens raken</td> </tr> <tr> <td><a href="/accessibility/">Toegankelijkheid</a> </td> <td>Conformiteitsstatus EAA / EN 301 549</td> </tr> </tbody> </table> <h3 id="richtlijnreferentie"> Richtlijnreferentie <a href="#richtlijnreferentie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Hoe EthicsPortal aansluit op en Richtlijn (EU) 2019/1937 leest.</p> <table> <thead> <tr> <th>Document</th> <th>Doel</th> </tr> </thead> <tbody> <tr> <td><a href="/directive-coverage/">Dekkingsoverzicht van Richtlijn (EU) 2019/1937</a> </td> <td>Overzicht van functie naar artikel van Richtlijn (EU) 2019/1937</td> </tr> <tr> <td><a href="/directive-interpretations/">Interpretaties van Richtlijn (EU) 2019/1937</a> </td> <td>Interpretatieve standpunten over meerduidige bepalingen van de richtlijn</td> </tr> <tr> <td><a href="/whistleblower-laws/">Klokkenluiderswetten per land</a> </td> <td>Nationale omzettingen, handhavingsautoriteiten</td> </tr> <tr> <td><a href="/penalties/">Sancties per land</a> </td> <td>Boetes en strafrechtelijke aansprakelijkheid per lidstaat</td> </tr> </tbody> </table> <h3 id="zelfbeoordeling"> Zelfbeoordeling <a href="#zelfbeoordeling" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Genoemde beleidsdocumenten en de beheersmaatregelentoewijzingen die een externe audit zou beoordelen.</p> <table> <thead> <tr> <th>Document</th> <th>Doel</th> </tr> </thead> <tbody> <tr> <td><a href="/policies/information-security/">Informatiebeveiligingsbeleid</a> </td> <td>Intentieverklaring, reikwijdte, rollen, toezeggingen inzake beheersmaatregelen</td> </tr> <tr> <td><a href="/policies/business-continuity/">Bedrijfscontinuïteitsplan</a> </td> <td>Activeringscriteria, hersteldoelstellingen, openbaarmaking bij arbeidsongeschiktheid van de exploitant</td> </tr> <tr> <td><a href="/policies/risk-register/">Risicoregister</a> </td> <td>Toprisico’s, behandeling, restpositie</td> </tr> <tr> <td><a href="/iso-27001/">ISO/IEC 27001:2022 Annex A-beheersmaatregelenmap</a> </td> <td>Gestructureerde zelfbeoordeling tegen alle 93 beheersmaatregelen</td> </tr> <tr> <td><a href="/caiq/">CAIQ-afgestemde vragenlijst</a> </td> <td>Vooraf ingevulde beveiligingsbeoordeling van leveranciers (CSA CAIQ v4-domeinstructuur)</td> </tr> </tbody> </table> <hr> <h2 id="beschikbaar-tijdens-de-inkoopbeoordeling"> Beschikbaar tijdens de inkoopbeoordeling <a href="#beschikbaar-tijdens-de-inkoopbeoordeling" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De volgende materialen worden gedeeld in gecontroleerde openbaarmaking in plaats van openbaar te worden gepubliceerd:</p> <ul> <li>Ondertekende verwerkersovereenkomst</li> <li>Registeruittreksel en NIP-/belastingbewijs</li> <li>Ingevulde beveiligingsvragenlijst</li> <li>Samenvatting van geprivilegieerde productietoegang</li> <li>Samenvatting van de incidentrespons</li> <li>Reacties over bedrijfscontinuïteit, beëindiging en klantexport</li> <li>Samenvatting van de externe penetratietest (wanneer geregistreerd)</li> </ul> <p>Om deze aan te vragen, mailt u <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Voor vragen over de beveiligingsbeoordeling mailt u <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/nl/dpa/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/nl/dpa/Verwerkersovereenkomst op grond van artikel 28 AVG voor klanten van EthicsPortal. Behandelt reikwijdte, beveiligingsmaatregelen, sub-verwerkers en internationale doorgiften.<h1 id="verwerkersovereenkomst"> Verwerkersovereenkomst <a href="#verwerkersovereenkomst" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h1> <p><strong>Ingangsdatum:</strong> 22 april 2026</p> <p>Deze verwerkersovereenkomst (“verwerkersovereenkomst”) maakt deel uit van de overeenkomst tussen de klant (“verwerkingsverantwoordelijke”) en EthicsPortal (“verwerker”) voor de levering van het meldplatform voor klokkenluiders van EthicsPortal (“dienst”).</p> <blockquote> <p><strong>Een ondertekend exemplaar nodig?</strong> Neem contact op via <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> om een medeondertekende pdf-versie van deze verwerkersovereenkomst voor uw administratie aan te vragen.</p> </blockquote> <hr> <h2 id="1-partijen"> 1. Partijen <a href="#1-partijen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p><strong>Verwerkingsverantwoordelijke:</strong> de organisatie die zich abonneert op EthicsPortal en het doel van en de middelen voor de verwerking van persoonsgegevens via de dienst bepaalt.</p> <p><strong>Verwerker:</strong> EthicsPortal, geëxploiteerd door Yaroslav Shmarov, geregistreerd op ul. Obrzeżna 1A, 02-691 Warschau, Polen. Contact: <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p> <hr> <h2 id="2-reikwijdte-en-doel-van-de-verwerking"> 2. Reikwijdte en doel van de verwerking <a href="#2-reikwijdte-en-doel-van-de-verwerking" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De verwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke uitsluitend om de dienst te leveren, hetgeen omvat:</p> <ul> <li>Het ontvangen en opslaan van klokkenluidersmeldingen</li> <li>Het mogelijk maken van veilige communicatie tussen melders en zaakbehandelaars</li> <li>Het beheren van zaakworkflows (toewijzing, statusbewaking, afhandeling)</li> <li>Het genereren van auditlogs en nalevingsregistraties</li> <li>Het verzenden van transactionele e-mailmeldingen aan zaakbehandelaars en organisatiebeheerders</li> <li>Het verwerken van betalingen voor de dienst</li> </ul> <p>De verwerker verwerkt persoonsgegevens niet voor enig ander doel dan het leveren van de dienst zoals geïnstrueerd door de verwerkingsverantwoordelijke.</p> <hr> <h2 id="3-soorten-verwerkte-persoonsgegevens"> 3. Soorten verwerkte persoonsgegevens <a href="#3-soorten-verwerkte-persoonsgegevens" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <table> <thead> <tr> <th>Gegevenscategorie</th> <th>Voorbeelden</th> <th>Versleuteld in rust</th> </tr> </thead> <tbody> <tr> <td>Identiteit van melder (optioneel)</td> <td>Naam, e-mailadres, telefoonnummer</td> <td>Ja (niet-deterministisch)</td> </tr> <tr> <td>Meldingsinhoud</td> <td>Beschrijving van de gemelde zorg</td> <td>Ja (niet-deterministisch)</td> </tr> <tr> <td>Communicatie-inhoud</td> <td>Berichten tussen melder en zaakbehandelaar</td> <td>Ja (niet-deterministisch)</td> </tr> <tr> <td>Bestandsbijlagen</td> <td>Documenten, afbeeldingen, audio, video geüpload door melders</td> <td>Opgeslagen met verwijderde metadata</td> </tr> <tr> <td>Toegangscodes</td> <td>Unieke codes die melders gebruiken om hun meldingen te benaderen</td> <td>Ja</td> </tr> <tr> <td>Behandelaars- en beheerdersgegevens</td> <td>Naam, e-mailadres, rol, organisatielidmaatschap</td> <td>Nee (operationele gegevens)</td> </tr> <tr> <td>Auditlogvermeldingen</td> <td>Tijdstempels, identiteit van actor, type actie</td> <td>Nee (integriteitskritische registraties)</td> </tr> <tr> <td>Technische gegevens</td> <td>Eenrichtingsgehashte IP-adressen (niet omkeerbaar), uitsluitend voor snelheidsbeperking</td> <td>Niet van toepassing (hash, geen persoonsgegevens)</td> </tr> </tbody> </table> <hr> <h2 id="4-categorieën-van-betrokkenen"> 4. Categorieën van betrokkenen <a href="#4-categorie%c3%abn-van-betrokkenen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <ul> <li><strong>Klokkenluiders / melders</strong> — personen die meldingen indienen via het portaal (kunnen anoniem zijn)</li> <li><strong>Zaakbehandelaars</strong> — personen die door de verwerkingsverantwoordelijke zijn aangewezen om meldingen te ontvangen en te beheren</li> <li><strong>Organisatiebeheerders</strong> — personen die het EthicsPortal-account en de instellingen van de verwerkingsverantwoordelijke beheren</li> </ul> <hr> <h2 id="5-duur-van-de-verwerking"> 5. Duur van de verwerking <a href="#5-duur-van-de-verwerking" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De verwerker verwerkt persoonsgegevens gedurende de looptijd van het abonnement van de verwerkingsverantwoordelijke op de dienst. Bij beëindiging:</p> <ul> <li>Kan de verwerkingsverantwoordelijke zijn gegevens exporteren voordat het abonnement eindigt.</li> <li>Worden meldgegevens bewaard volgens de door de verwerkingsverantwoordelijke ingestelde bewaartermijn (12, 24, 36, 48 of 60 maanden na sluiting van de melding) en daarna permanent verwijderd. Een melding die 18 maanden zonder activiteit blijft, wordt automatisch gesloten zodat de bewaartermijn begint.</li> <li>Verwijdert de verwerker op schriftelijk verzoek alle resterende gegevens van de verwerkingsverantwoordelijke binnen 30 dagen na opzegging van het abonnement, tenzij bewaring wettelijk vereist is.</li> </ul> <hr> <h2 id="6-verplichtingen-van-de-verwerker"> 6. Verplichtingen van de verwerker <a href="#6-verplichtingen-van-de-verwerker" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <h3 id="61-verwerkingsinstructies"> 6.1 Verwerkingsinstructies <a href="#61-verwerkingsinstructies" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructies van de verwerkingsverantwoordelijke, tenzij hij daartoe verplicht is op grond van het recht van de EU of een lidstaat. Als een dergelijke wettelijke verplichting ontstaat, stelt de verwerker de verwerkingsverantwoordelijke vóór de verwerking op de hoogte, tenzij de wet een dergelijke kennisgeving verbiedt.</p> <h3 id="62-vertrouwelijkheid"> 6.2 Vertrouwelijkheid <a href="#62-vertrouwelijkheid" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Alle personen die gemachtigd zijn om persoonsgegevens te verwerken, hebben zich tot vertrouwelijkheid verbonden of zijn onderworpen aan een passende wettelijke vertrouwelijkheidsverplichting.</p> <h3 id="63-beveiligingsmaatregelen"> 6.3 Beveiligingsmaatregelen <a href="#63-beveiligingsmaatregelen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De verwerker implementeert en handhaaft de technische en organisatorische maatregelen die zijn beschreven op de pagina <a href="/security/">Beveiliging</a> , waaronder:</p> <ul> <li>Niet-deterministische versleuteling in rust voor alle gevoelige meldgegevens</li> <li>Geen opslag van ruwe IP-adressen van melders in de database (eenrichtingshashing uitsluitend voor snelheidsbeperking)</li> <li>Automatische verwijdering van bestandsmetadata (EXIF, GPS, auteursgegevens)</li> <li>Rolgebaseerde toegangscontrole met Pundit-autorisatiepolicy’s</li> <li>Audit trail met uitsluitend toevoegingen voor alle acties</li> <li>Snelheidsbeperking op alle endpoints van het openbare portaal</li> <li>HTTPS/TLS voor alle verbindingen</li> <li>CSRF-bescherming</li> </ul> <p>Beveiligingskwetsbaarheden en incidentmeldingen kunnen worden verzonden naar <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Verzoeken van betrokkenen en FG-achtige vragen kunnen worden verzonden naar <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> of <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <h3 id="64-sub-verwerkers"> 6.4 Sub-verwerkers <a href="#64-sub-verwerkers" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De verwerker gebruikt de sub-verwerkers die zijn vermeld in sectie 8. De verwerker stelt de verwerkingsverantwoordelijke ten minste 30 dagen van tevoren op de hoogte van het toevoegen of vervangen van een sub-verwerker. De verwerkingsverantwoordelijke kan bezwaar maken tegen de wijziging; als geen oplossing wordt bereikt, kan de verwerkingsverantwoordelijke de overeenkomst opzeggen.</p> <h3 id="65-rechten-van-betrokkenen"> 6.5 Rechten van betrokkenen <a href="#65-rechten-van-betrokkenen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De verwerker assisteert de verwerkingsverantwoordelijke bij het reageren op verzoeken van betrokkenen die hun rechten onder de AVG uitoefenen (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar) door de noodzakelijke technische mogelijkheden binnen de dienst te bieden.</p> <h3 id="66-melding-van-inbreuken-in-verband-met-persoonsgegevens"> 6.6 Melding van inbreuken in verband met persoonsgegevens <a href="#66-melding-van-inbreuken-in-verband-met-persoonsgegevens" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>In geval van een inbreuk in verband met persoonsgegevens stelt de verwerker de verwerkingsverantwoordelijke zonder onnodige vertraging en in elk geval <strong>binnen 72 uur</strong> na kennisname van de inbreuk op de hoogte. De melding bevat:</p> <ul> <li>Een beschrijving van de aard van de inbreuk</li> <li>De categorieën en het bij benadering aantal getroffen betrokkenen</li> <li>De waarschijnlijke gevolgen van de inbreuk</li> <li>De getroffen of voorgestelde maatregelen om de inbreuk aan te pakken</li> </ul> <h3 id="67-gegevensbeschermingseffectbeoordelingen"> 6.7 Gegevensbeschermingseffectbeoordelingen <a href="#67-gegevensbeschermingseffectbeoordelingen" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De verwerker assisteert de verwerkingsverantwoordelijke bij gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingen van toezichthoudende autoriteiten, voor zover de verwerkingsactiviteiten van de verwerker dergelijke assistentie vereisen.</p> <h3 id="68-verwijdering-en-teruggave-van-gegevens"> 6.8 Verwijdering en teruggave van gegevens <a href="#68-verwijdering-en-teruggave-van-gegevens" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>Bij beëindiging van de dienst zal de verwerker, naar keuze van de verwerkingsverantwoordelijke:</p> <ul> <li>Alle persoonsgegevens teruggeven aan de verwerkingsverantwoordelijke in de exportformaten die de dienst op het moment van beëindiging beschikbaar stelt, waaronder pdf-zaakexports en bijbehorende bijlagen, of</li> <li>Alle persoonsgegevens verwijderen en de verwijdering schriftelijk bevestigen</li> </ul> <p>tenzij het recht van de EU of een lidstaat voortgezette opslag vereist.</p> <p>Als de verwerkingsverantwoordelijke redelijkerwijs een aanvullend portabiliteitsformaat nodig heeft voor migratie of toezichthoudende beoordeling, beoordeelt de verwerker het verzoek te goeder trouw en verstrekt hij dit, waar technisch haalbaar, op grond van een afzonderlijk schriftelijk verzoek.</p> <h3 id="69-auditrechten"> 6.9 Auditrechten <a href="#69-auditrechten" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de naleving van de verplichtingen van artikel 28 AVG aan te tonen. De verwerkingsverantwoordelijke kan audits uitvoeren, waaronder inspecties, hetzij rechtstreeks, hetzij via een gemachtigde auditor, behoudens redelijke voorafgaande kennisgeving (ten minste 30 dagen) en tijdens normale kantooruren. De verwerker werkt mee aan dergelijke audits.</p> <h3 id="610-geen-ai--of-llm-verwerking-van-meldingsinhoud"> 6.10 Geen AI- of LLM-verwerking van meldingsinhoud <a href="#610-geen-ai--of-llm-verwerking-van-meldingsinhoud" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De verwerker verbindt zich ertoe dat persoonsgegevens die onder deze verwerkersovereenkomst worden verwerkt — waaronder meldingsinhoud, identiteit van melders, behandelaarsberichten, bestandsbijlagen en auditlogvermeldingen — <strong>niet worden doorgegeven aan enig groot taalmodel, generatieve AI-dienst of AI-classifier</strong>, ongeacht of deze door de verwerker of door een derde wordt geëxploiteerd (waaronder, maar niet beperkt tot, OpenAI, Anthropic, Google en Mistral). De dienst voert geen AI-gestuurde categorisatie, triage, samenvatting, vertaling of voorgestelde antwoorden uit op persoonsgegevens. De verwerkingsverantwoordelijke mag op deze toezegging vertrouwen bij het beoordelen van verplichtingen inzake geautomatiseerde besluitvorming onder <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 22</a> AVG en bij het afbakenen van de openbaarmaking van sub-verwerkers in zijn eigen privacyverklaringen en gegevensbeschermingseffectbeoordelingen. Elke wijziging van deze toezegging zou een wezenlijke wijziging van de dienst zijn en zou aan de verwerkingsverantwoordelijke worden gemeld op grond van sectie 6.4 (Sub-verwerkers) en sectie 11 (Looptijd en beëindiging).</p> <p>Zelfgehoste statistische machinevertaling die volledig op door de verwerker beheerde infrastructuur draait (er verlaten geen gegevens de infrastructuur van de verwerker, er wordt geen externe inferentie-oproep gedaan) valt niet binnen de reikwijdte van deze beperking en mag worden gebruikt om berichten van melders of behandelaars te vertalen waar de verwerkingsverantwoordelijke dit heeft ingeschakeld.</p> <p>Deze toezegging wordt jaarlijks herzien. De datum “Laatst bijgewerkt” bovenaan deze verwerkersovereenkomst weerspiegelt de meest recente bevestiging. Als de verwerker op enig moment voornemens is AI- of LLM-verwerking te introduceren van persoonsgegevens die onder deze verwerkersovereenkomst vallen, stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte overeenkomstig sectie 6.4 en treedt de wijziging niet eerder in werking dan na de daar vermelde opzegtermijn.</p> <h3 id="611-door-de-klant-beheerde-versleutelingssleutels-byok"> 6.11 Door de klant beheerde versleutelingssleutels (BYOK) <a href="#611-door-de-klant-beheerde-versleutelingssleutels-byok" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h3> <p>De dienst ondersteunt geen door de klant beheerde versleutelingssleutels — of dit nu wordt omschreven als bring-your-own-key (BYOK), hold-your-own-key (HYOK) of integratie met een externe key management service (KMS). Dit is een bewuste architectuurkeuze, geen operationele beperking, en is gebaseerd op twee garanties inzake vertrouwelijkheid en levenscyclus die de verwerker elders in deze verwerkersovereenkomst geeft:</p> <ul> <li><strong>Sleutelgrens tussen melder en behandelaar.</strong> Persoonsgegevens die onder deze verwerkersovereenkomst vallen, worden in rust versleuteld onder door de verwerker beheerde sleutels die binnen de dienst worden bewaard. De versleutelingsgrens die de identiteit van de melder en de meldingsinhoud beschermt tegen externe partijen, is dezelfde grens die deze beschermt tegen de eigen IT-beheerders van de verwerkingsverantwoordelijke. Het overdragen van het sleutelbeheer aan de verwerkingsverantwoordelijke zou die grens verplaatsen naar de omgeving van de verwerkingsverantwoordelijke, waar beheerders aan de zijde van de verwerkingsverantwoordelijke in beginsel in staat zouden worden de identiteit van de melder te ontsleutelen — wat het vertrouwelijkheidsmodel dat <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16</a> van Richtlijn (EU) 2019/1937 vereist, zou omkeren.</li> <li><strong>End-to-end-verwijderingsgarantie.</strong> Op bewaartermijn gebaseerde verwijdering (<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 5(1)(e)</a> AVG) en contractuele verwijdering bij beëindiging (sectie 6.8 hierboven) steunen op het vermogen van de verwerker om versleutelde gegevens cryptografisch en fysiek te vernietigen, onafhankelijk van de verwerkingsverantwoordelijke. Een door de verwerkingsverantwoordelijke gehouden sleutel zou een categorie storingen creëren waarbij de verwerker niet zelfstandig de volledige verwijdering binnen het contractuele venster kan garanderen.</li> </ul> <p>Het versleutelingsschema in rust van de verwerker, de niet-deterministische versleutelingseigenschappen en de sleutelisolatie zijn gedocumenteerd op de pagina <a href="/security/#data-encryption">Beveiliging</a> . Een wijziging van dit standpunt zou een wezenlijke wijziging van de dienst zijn en zou aan de verwerkingsverantwoordelijke worden gemeld op grond van sectie 6.4 (Sub-verwerkers) en sectie 11 (Looptijd en beëindiging).</p> <hr> <h2 id="7-verplichtingen-van-de-verwerkingsverantwoordelijke"> 7. Verplichtingen van de verwerkingsverantwoordelijke <a href="#7-verplichtingen-van-de-verwerkingsverantwoordelijke" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De verwerkingsverantwoordelijke is verantwoordelijk voor:</p> <ul> <li>Het waarborgen van een rechtsgrond voor de verwerking van persoonsgegevens via de dienst</li> <li>Het verstrekken van de vereiste privacyverklaringen aan betrokkenen (EthicsPortal toont een privacyverklaring op het meldformulier van het portaal)</li> <li>Het configureren van passende bewaartermijnen binnen de dienst</li> <li>Het aanwijzen van geautoriseerde behandelaars en beheerders</li> <li>Het reageren op verzoeken van betrokkenen, met assistentie van de verwerker zoals hierboven beschreven</li> </ul> <hr> <h2 id="8-sub-verwerkers"> 8. Sub-verwerkers <a href="#8-sub-verwerkers" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De volgende sub-verwerkers zijn geautoriseerd per de ingangsdatum van deze verwerkersovereenkomst:</p> <table> <thead> <tr> <th>Sub-verwerker</th> <th>Doel</th> <th>Locatie</th> <th>Waarborgen</th> </tr> </thead> <tbody> <tr> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner Online GmbH</a> </td> <td>Applicatiehosting, database en opslag van bestandsbijlagen</td> <td>Neurenberg, Duitsland (EU)</td> <td>Gegevens volledig binnen de EU verwerkt</td> </tr> <tr> <td><a href="https://stripe.com" rel="nofollow">Stripe Payments Europe, Ltd</a> </td> <td>Betalingsverwerking</td> <td>Ierland (EU)</td> <td>Geen betaalgegevens opgeslagen door de verwerker; Stripe is PCI DSS Level 1-gecertificeerd</td> </tr> <tr> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet (Sinch)</a> </td> <td>Bezorging van transactionele e-mail</td> <td>Frankrijk (EU)</td> <td>Gegevens volledig binnen de EU verwerkt</td> </tr> <tr> <td><a href="https://www.cloudflare.com" rel="nofollow">Cloudflare, Inc.</a> </td> <td>CDN en edge-levering voor de marketingwebsite</td> <td>Verenigde Staten</td> <td>Doorgiften steunen, waar persoonsgegevens betrokken zijn, op modelcontractbepalingen en aanvullende waarborgen</td> </tr> <tr> <td><a href="https://www.appsignal.com" rel="nofollow">AppSignal B.V.</a> </td> <td>Foutmonitoring en monitoring van applicatieprestaties voor de beheerders- en behandelaarsinterfaces</td> <td>Nederland (EU)</td> <td>Gegevens volledig binnen de EU verwerkt; IP-adressen van melders worden nooit gelogd</td> </tr> <tr> <td><a href="https://crisp.chat" rel="nofollow">Crisp IM SARL</a> </td> <td>In-app behandelaarschat en ondersteuning bij identiteitsverificatie</td> <td>Frankrijk (EU)</td> <td>Alleen geladen in het behandelportaal; niet geladen op de marketingwebsite of de pagina’s die melders te zien krijgen</td> </tr> </tbody> </table> <p>Marketinganalytics (Cloudflare Web Analytics) zijn cookievrij en verwerken geen persoonsgegevens.</p> <p><strong>Geen AI- of LLM-sub-verwerker.</strong> Geen enkel groot taalmodel, generatieve AI-dienst of AI-classifier is een sub-verwerker van de verwerker. Persoonsgegevens die onder deze verwerkersovereenkomst worden verwerkt, worden niet doorgegeven aan OpenAI, Anthropic, Google, Mistral of een andere AI-inferentieaanbieder. Zie sectie 6.10.</p> <hr> <h2 id="9-internationale-gegevensdoorgiften"> 9. Internationale gegevensdoorgiften <a href="#9-internationale-gegevensdoorgiften" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De kerngegevens van klokkenluidersmeldingen, waaronder meldingsinhoud en de opslag van bestandsbijlagen, worden gehost binnen de <strong>Europese Unie</strong> (Hetzner, Duitsland). Betalingsverwerking vindt plaats binnen de EU (Stripe), en transactionele e-mail wordt geleverd vanuit de EU (Mailjet, Frankrijk).</p> <p>Verzoeken aan de marketingwebsite worden geleid via Cloudflare (CDN, Verenigde Staten), dat netwerkmetadata (IP-adressen van bezoekers en request-headers) verwerkt voor contentlevering en DDoS-bescherming. Er worden geen meldingen, behandelaarsgegevens of accountgegevens gedeeld met Cloudflare. Doorgiften steunen op modelcontractbepalingen en aanvullende waarborgen. Het meldportaal en het behandelportaal laden Cloudflare niet. AppSignal (Nederland) en Crisp (Frankrijk) zijn in de EU gevestigd; Crisp wordt alleen geladen in het behandelportaal.</p> <hr> <h2 id="10-aansprakelijkheid"> 10. Aansprakelijkheid <a href="#10-aansprakelijkheid" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>De aansprakelijkheid van elke partij onder deze verwerkersovereenkomst is onderworpen aan de aansprakelijkheidsbeperkingen die zijn vastgelegd in de hoofdovereenkomst tussen de partijen. Voor zover maximaal toegestaan door de wet, maken vorderingen die voortvloeien uit of verband houden met deze verwerkersovereenkomst deel uit van hetzelfde geaggregeerde aansprakelijkheidsmaximum dat op de dienst van toepassing is.</p> <hr> <h2 id="11-looptijd-en-beëindiging"> 11. Looptijd en beëindiging <a href="#11-looptijd-en-be%c3%abindiging" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Deze verwerkersovereenkomst treedt in werking wanneer de verwerkingsverantwoordelijke de dienst begint te gebruiken en blijft van kracht zolang de verwerker persoonsgegevens namens de verwerkingsverantwoordelijke verwerkt. De verplichtingen in deze verwerkersovereenkomst blijven na beëindiging van kracht voor zover nodig om de verwijdering of teruggave van persoonsgegevens te voltooien.</p> <hr> <h2 id="12-toepasselijk-recht"> 12. Toepasselijk recht <a href="#12-toepasselijk-recht" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Deze verwerkersovereenkomst wordt beheerst door het recht van de Republiek Polen, zonder inachtneming van de beginselen van conflictenrecht. De bevoegde rechtbanken van Warschau, Polen hebben exclusieve bevoegdheid over geschillen die voortvloeien uit deze verwerkersovereenkomst.</p> <hr> <h2 id="contact"> Contact <a href="#contact" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link naar deze sectie">#</a> </h2> <p>Voor vragen over deze verwerkersovereenkomst of om een ondertekend exemplaar aan te vragen:</p> <p><strong>EthicsPortal</strong> Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Warschau, Polen <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> </p>support@ethicsportal.eu (EthicsPortal)