Verklikkers in uw bedrijf: wat mag en wat mag niet?

Steeds meer bedrijven willen naar Amerikaans voorbeeld verklikkingsystemen invoeren die financiële onregelmatigheden aan het licht kunnen brengen. Europese bedrijven dreigen met zo’n ‘whistleblowing scheme’ de privacywetgeving te overtreden. Het wordt een moeilijke evenwichtsoefening, al lijkt een recent Europees advies voor duidelijkheid te zorgen.

U vermoedt dat de financieel directeur van het bedrijf waar u werkt met de boekhouding sjoemelt? Kunt u hem zomaar verklikken? In de Verenigde Staten is verklikken de gewoonste zaak van de wereld geworden. De klokkenluiders zijn er zelfs populair. In 2002 verkoos Time Magazine zelfs drie whistleblowers tot Persons of the Year. Een van de drie was Sherron Watkins, wiens onthullingen aan de basis lagen van het uitbreken van het boekhoudschandaal bij energiereus Enron. Al verliep dat niet echt gestructureerd, want Watkins waarschuwde haar baas Kenneth Lay gewoon in een memo in de zomer van 2001. Ze vond dat Enron dreigde ten onder te gaan in een reeks boekhoudkundige schandalen.

Precies naar aanleiding van een aantal financiële schandalen zoals Enron en WorldCom werd de Amerikaanse Sarbanes-Oxley Act (SOX) aangenomen, die onder andere bepaalt dat verklikkers van financiële of boekhoudkundige wanpraktijken de mogelijkheid moeten krijgen om anoniem te blijven, omdat ze beschermd moeten worden tegen represailles. Om daaraan te voldoen, moeten bedrijven die genoteerd staan op een Amerikaanse beurs een whistleblowing scheme of WS op poten zetten: een systeem dat toelaat dat werknemers financiële of boekhoudkundige wanpraktijken van hun collega’s kunnen verklikken. Die regel geldt ook voor de Europese filialen van Amerikaanse bedrijven.

“Bedrijven die de SOX-regels niet naleven dreigen geconfronteerd te worden met een delisting op Nasdaq of de New York Stock Exchange,” waarschuwt Pieter De Koster, advocaat bij Allen & Overy. “Ondernemingen moeten kunnen certificeren dat ze zo’n klokkenluiderssysteem hebben. Veel bedrijven bij ons onderschatten de impact van SOX op dat vlak. Er wordt schamper gedaan: corporate governace wordt in de VS op zijn sheriffs ingevoerd, maar bij ons zal het zo’n vaart niet lopen. Wie dat denkt, vergist zich.”

Amerikaanse beursgenoteerde bedrijven moeten dus ook een WS in hun Belgische vestigingen invoeren. Bovendien moeten de Belgische bedrijven die op de Amerikaanse beurs genoteerd staan (zoals Delhaize) een WS hebben. En ook de financiële sector zet stappen in die richting, meer bepaald ING en Fortis.

Vragen over Fortis

In 2005 stelden de vakbonden bij de privacycommissie vragen over het klokkenluiderssysteem dat Fortis intern wilde organiseren. “Daar knelt nu net het schoentje,” legt Tom De Cordier, advocaat bij Allen & Overy en specialist in de materie, uit. “Het mag allemaal best noodzakelijk zijn dat er systemen bestaan zoals een hotline of een site op het intranet van het bedrijf, maar dat blijkt niet zo eenvoudig te kunnen functioneren. In de Europese Unie staan die verklikkingsystemen op gespannen voet met de strenge wetgeving op de bescherming van de privacy. Bovendien is het niet zo simpel om een systeem van anonieme klachten toe te laten. Dat kan leiden tot misbruiken.”

Enkele advocaten waarschuwen alvast voor de mogelijke negatieve impact van het overhaast invoeren van een klokkenluiderssysteem. Peter De Koster: “Wie in Europa de privacywetgeving niet respecteert, kan vervolgd worden, ook strafrechtelijk. De kans is groot dat een verklikker persoonlijke gegevens van een collega in het openbaar brengt of dat er een beroep wordt gedaan op persoonlijke gegevens die niet voor iedereen toegankelijk zijn. Wat als iemand – zelfs met bewijsmateriaal bij de hand – beweert dat een collega gesjoemeld heeft met de boekhouding en tegelijk meldt dat het hem niet verrast, omdat die collega bijvoorbeeld in een echtscheidingsprocedure verwikkeld is?”

Specialisten in human resources waarschuwen ook voor de cultuurschok die verklikkingsystemen kunnen teweegbrengen. Het wantrouwen tussen collega’s zou toenemen. Klokkenluiderssystemen lijken immers ook interessant om andere dan financiële wanpraktijken openbaar te maken, zoals ongewenste seksuele intimiteiten of milieudelicten.

In onze buurlanden heeft de verplichting tot klokkenluiderssystemen al tot spanningen geleid. In Frankrijk werd het WS van McDonald’s afgewezen door de lokale privacy-autoriteit. In Duitsland floot de arbeidsrechtbank van Wüppertal winkelketen Wal-Mart terug. Daar was een gedragscode met gesanctioneerde rechten en plichten van werknemers ingevoerd. Een klokkenluiderssysteem maakte er deel van uit. In die zaak heeft de rechtbank bevestigd dat de redactie en invoering van een gedragscode enkel kan met tussenkomst van de ondernemingsraad. De Cordier: “Uit de uitspraak blijkt dat het Duitse arbeidsrecht en de privacywetgeving de invoering van een klokkenluidersregeling niet verbiedt, maar wel strikte grond- en procedureregels voorschrijft voor de rechtsgeldigheid van dergelijke regelingen.”

Vallen bedrijven tussen twee stoelen?

De strenge Europese privacywetgeving maakt het Amerikaanse bedrijven moeilijk om whistleblowing schemes te organiseren in hun Europese filialen. Ofwel worden de SOX-regels gerespecteerd ofwel kiezen ze voor de Europese regels inzake respect voor de privacy. Bedrijven dreigen tussen twee stoelen te vallen. Een verzoening lijkt moeilijk, maar advocaten waarschuwen bedrijven ervoor dit heikele thema niet zomaar terzijde te schuiven.

“Iedereen in Europa was het erover eens dat een oplossing dringend nodig was,” weet De Koster. “Bepaalde aspecten van het verklikkingsysteem doen vragen rijzen. In Frankrijk was het anoniem rapporteren het grote probleem. Dat kan bijvoorbeeld leiden tot laster en interne afrekeningen.”

Om uit de impasse te geraken, werd op Europees vlak gezocht naar een oplossing. Begin februari 2006 heeft de Artikel 29 Werkgroep, een gezaghebbend Europees adviesorgaan in verband met privacy (eigenlijk een onafhankelijk overleg- en adviesorgaan, samengesteld uit vertegenwoordigers van Europese en nationale privacytoezichthouders) een concreet advies uitgevaardigd over klokkenluiderssystemen. De Cordier: “Het gaat om een advies. De Werkgroep legt dus geen verplichting op. Het advies heeft wel een morele autoriteit en is welkom voor de rechters die in deze materie een uitspraak moeten doen.”

Artikel 29 Werkgroep is voorstander van whistleblowing schemes om de strijd aan te gaan tegen boekhoudkundige onregelmatigheden of ander frauduleuze praktijken. Tegelijkertijd beklemtoont de groep dat daarbij een aantal regels inzake transparantie en proportionaliteit moeten worden gerespecteerd.

Zo zou anonimiteit eerder de uitzondering moeten zijn dan de regel. Meestal kiest de verklikker evenwel voor anonimiteit. Dat lijkt niet het beste systeem, aldus het advies. Vaak kan men door gissen te weten komen wie de klacht heeft ingediend. Dat risico bestaat in het bijzonder in bedrijven of afdelingen met weinig werknemers. Er wordt een klacht ingediend of er worden gegevens doorgespeeld, maar het is bijvoorbeeld zeer moeilijk om follow-upvragen te stellen. De verklikker zou ook misbruik kunnen maken van die anonimiteit door een lastercampagne op te zetten en zich relatief veilig te voelen. Op termijn kan dat tot een blijvend wantrouwen binnen het bedrijf leiden.

De Cordier: “Vandaar dat de Artikel 29 Werkgroep zegt dat anonimiteit best kan, zolang het als uitzondering fungeert.” Dat betekent bijvoorbeeld dat bedrijven anonieme rapportering niet hoeven aan te aanmoedigen. Vooral vertrouwelijkheid zou van toepassing moeten zijn. Dit betekent geen bekendmaking van de naam van de verklikker aan derden (zoals de lijnmanager of de aangeklaagde). De bekendmaking van het dossier of de klacht moet beperkt blijven tot relevante personen (zoals mensen met een auditfunctie).

Niet iedereen mag verklikken

Ook het proportionaliteitsbeginsel speelt een rol. Zo kan in principe niet elke werknemer worden aangeklaagd volgens het klokkenluiderssysteem. En niet iedere werknemer kan ervan gebruikmaken. “Als een WS opgezet wordt om onregelmatigheden in de boekhouding en de audit te rapporteren, dan kan men de werknemers die kunnen worden aangeklaagd via het systeem beperken tot de werknemers die te maken hebben met de boekhouding of de audit en tot de leden van de raad van bestuur,” legt De Cordier uit. Hetzelfde geldt voor de potentiële verklikkers (zie ook kader: Boekhouder verklikt door bandwerker?).

Ook met de persoonsgegevens mag niet licht worden omgegaan. De Europese privacywetgeving vereist dat enkel persoonsgegevens mogen worden verwerkt die – uitgaande van het uiteindelijke doel van een whistleblowingsysteem – “toereikend, ter zake dienend en niet overmatig zijn.” In mensentaal: niet alle gegevens zijn relevant. Snel kan bij het verklikken bepaalde informatie vrijkomen die irrelevant is voor de opsporing van fraude of onregelmatigheden, maar toch bekend raakt. Dat kan gaan om gegevens over privéproblemen, seksuele intimidatie of pesten op het werk. Die problemen kunnen via een ander kanaal worden aangepakt. Dat verklaart waarom het verklikkingsysteem duidelijk afgescheiden moet zijn van andere departementen zoals de humanresourcesafdeling.

Uiteraard mag de aangeklaagde evenmin in de kou blijven staan en het advies van de Artikel 29 Werkgroep heeft daar ook aandacht voor. De aangeklaagde moet op de hoogte worden gebracht van de onderzoeksprocedure. Hij moet op de hoogte zijn van de feiten die de aanklacht vormen, weten welke afdelingen het rapport kunnen inzien en hoe hij zijn rechten kan uitoefenen. Desnoods kan gewacht worden met de bekendmaking tot de persoon er geen misbruik van kan maken, omdat hij bewijsmateriaal zou kunnen vernietigen.

Geen achterpoortjes gebruiken

Advocaten zijn het erover eens dat het recente advies van de Artikel 29 Werkgroep een belangrijke stap in de goede richting is. Het advies zorgt voor een kader dat klokkenluiderssystemen efficiënt kan doen functioneren en de negatieve beeldvorming ervan doet verdwijnen. Verklikkers zullen niet langer als de slechte boodschapper worden beschouwd.

De Koster en De Cordier merken wel op dat sommige bedrijven nog altijd proberen om op een slinkse manier een WS in te voeren zonder rekening te moeten houden met de privacywetgeving, “terwijl het advies nochtans een nuttig werkkader biedt.” Na de uitspraak in Frankrijk zijn bedrijven bijvoorbeeld van plan om hun whistleblowingsysteem in het buitenland op te zetten om zo te ontsnappen aan de privacywetgeving. Dat is geen oplossing, zeggen experts in koor. Het is immers zeer twijfelachtig dat men op die manier ontsnapt aan de privacywetgeving en die praktijk druist ook in tegen de aanbevelingen van de Artikel 29 Werkgroep. De Werkgroep vindt dat klachten van werknemers zoveel mogelijk lokaal behandeld moeten worden. Bedrijven moeten zelfs proberen te vermijden dat klachten worden uitgewisseld tussen de verschillende vestigingen.

Wanneer het klokkenluiderssysteem vanuit bijvoorbeeld de VS wordt gerund, eist de Europese privacywetgeving bijkomende privacygaranties. Privégegevens kunnen niet zomaar de Europese Economische Ruimte verlaten. De Cordier: “U moet ook extra voorzichtig zijn als u beslist om het whistleblowingsysteem uit te besteden aan een derde partij, bijvoorbeeld een firma die zich specialiseert in het ontvangen en behandelen van confidentiële klachten. Hoe meer controle u verliest, hoe groter het privacyrisico.”

Alain Mouton