Klaar voor de klokkenluiders?

Meldsysteem verplicht tegen eind 2021

Eind dit jaar moet België de Europese richtlijn over de klokkenluiders omzetten in nationaal recht. De richtlijn regelt hoe bedrijven en overheden inbreuken op bepaalde EU-verordeningen kunnen melden en hoe ze de melder of klokkenluider kunnen beschermen. Zo’n meldsysteem moet aan specifieke voorwaarden voldoen en zet je niet op in een vingerknip.

Auteur: Jean-François Bernard, Partner BDO Audit, Forensic & Litigation Support

Op 23 oktober 2019 keurde het Europees Parlement de Europese Richtlijn 2019-1937 over de bescherming van klokkenluiders goed. België moet de richtlijn uiterlijk 17 december 2021 omzetten in nationaal recht. De nieuwe regels zijn vanaf dan ook van toepassing op alle juridische entiteiten van de overheid of organisaties die daar onder toezicht van staan, en op alle privébedrijven vanaf 250 medewerkers. Bedrijven met 50 tot 249 medewerkers krijgen nog twee jaar uitstel.

Wat verplicht de richtlijn?

De betrokken organisaties (bedrijven of overheden) moeten een meldsysteem opzetten. Dat betekent concreet dat ze specifieke interne communicatiekanalen en procedures moeten opstellen om inbreuken te laten melden en dat ze erover moeten waken dat de meldingen anoniem en correct wordt afgehandeld.

Daarnaast schrijft de richtlijn voor dat de bevoegde overheid, de Belgische staat dus, ook een extern meldingskanaal moet opzetten. Bij gebrek aan een interne procedure kan de klokkenluider een beroep doen op dat externe kanaal. Maar dat betekent dan wel dat de organisatie niet langer controle heeft over cruciale informatie die wordt gedeeld.

Met een meldsysteem geef je een duidelijk signaal dat onwettelijk of onethisch gedrag niet wordt getolereerd.

De klokkenluider die de fraude openbaar maakt, bijvoorbeeld door naar de pers te stappen, is niet beschermd. Tenzij hij of zij de fraude vooraf al meldde via een intern kanaal of via het meldingskanaal van de bevoegde overheid, maar er geen passend gehoor werd aan gegeven binnen de gestelde termijn van drie maanden.

Ten slotte legt de richtlijn nog de volgende verplichtingen op:

  • De identiteit van de klokkenluider moet worden beschermd.

  • Binnen zeven werkdagen moet de melder een ontvangstbewijs krijgen. Of moet hij op de hoogte worden gebracht welk gevolg er binnen de termijn van maximaal drie maanden zal worden gegeven aan zijn melding.

Wie zich niet aan de verplichtingen houdt, kan gesanctioneerd worden. Hoe? Dat laat Europa over aan de lidstaten. Bij publicatie van dit artikel heeft België hierover nog niet gecommuniceerd.

Wat is een klokkenluider?

Klokkenluiders zijn personen die in een professionele context informatie hebben over wangedrag of fraude en die dit in het belang van het bedrijf en de maatschappij willen melden om verdere bedrijfsschade te voorkomen. De bescherming van klokkenluiders is momenteel versnipperd. Slechts 10 EU-landen hebben een alomvattende wet ter bescherming van klokkenluiders, België (nog) niet. Op EU-niveau is er maar in een heel beperkt aantal sectoren wetgeving van kracht (vooral op het gebied van financiële diensten) met klokkenluiders­maatregelen.

Wat kun je melden?

De richtlijn focust op inbreuken op de EU-verordeningen. Denk aan de regels inzake het witwassen van geld, overheidsopdrachten, milieubescherming, volksgezondheid, consumenten of privacy. Veel bedrijven verruimen echter het toepassingsgebied en nemen meldingen van fraude of onethisch gedrag mee op in hun intern reglement.

Ons onderzoek (2019) over fraude in ondernemingen toont dat 21% van de bevraagde ondernemingen de voorbije vijf jaar slachtoffer was van fraude met een gemiddelde schade van ongeveer 200.000 EUR. Op de vraag hoe de fraude werd ontdekt, antwoordt de meerderheid via de aangifte of melding.

Met de invoering van een gedragscode en een meldlijn geven bedrijfsleiders een duidelijk signaal dat onwettelijk of onethisch gedrag niet wordt getolereerd. Tegelijk beschermen ze zichzelf of proberen ze de financiële verliezen bij fraude te beperken.

Welke meldingskanalen?

De meldingskanalen kunnen verschillende vormen aannemen. Dat kan variëren van een interne medewerker of dienst die de meldingen mondeling of schriftelijk ontvangt, tot meer gesofisticeerde vormen, zoals een meldlijn, voicemaildienst of webplatform. In elk geval moeten de kanalen de geheimhouding van de identiteit van de melder en van elke vermelde derde garanderen en krijgen enkel gemachtigde personen toegang tot de meldingen.

“Een compliant meldsysteem uitrollen vergt vaak maanden tijd.”

De aanstelling van een persoon of interne dienst heeft als nadeel dat de totale anonimiteit van de klokkenluider niet mogelijk is. Met als gevolg dat de inhoud van de melding moeilijker bekend kan worden gemaakt en dat de toegang tot de informatie heel nauwgezet moet worden opgevolgd. Dankzij de meer gesofisticeerde kanalen kan de klokkenluider wel anoniem communiceren. Hij krijgt immers een dossiernummer en paswoord bij de eerste melding. Daarmee kan hij anoniem inloggen op het externe platform om de afhandeling op te volgen.

De richtlijn stelt dat de organisatie bij een melding zijn werknemers kan waarschuwen. Maar je kunt beslissen om daarnaast ook zijn andere stakeholders (klanten, leveranciers, aandeelhouders …) op de hoogte te brengen.

TIP

Start op tijd met de uitrol, want een meldsysteem invoeren dat voldoet aan de voorschriften van de richtlijn (ontwerp procedures en tools, aanpassing huishoudelijk reglement, communicatie naar de werknemers, …) neemt veel tijd (vaak maanden) in beslag.

Meldsysteem intern beheren of uitbesteden?

Je kunt het meldsysteem zelf uitrollen en beheren of dat aan een externe provider uitbesteden. Uitbesteden heeft verschillende voordelen:

  • Je krijgt een tool aangereikt waarmee je zeker bent dat meldingen correct en binnen de opgelegde termijnen worden opgevolgd en de vertrouwelijkheid van de gerapporteerde informatie wordt nageleefd.

  • Een externe provider garandeert beter de anonimiteit en de afhandeling van de zaak door neutrale professionals.

  • Vaak is uitbesteden kostefficiënter. Je moet immers niet zelf een persoon (als meldpunt) opleiden en de nodige tijd bieden om de melding te behandelen. In geval van ziekte of afwezigheid van dat meldpunt moet je bovendien een (opgeleide) back-up voorzien. En wat doe je als het meldpunt betrokken is bij de gemelde zaak? Al die zorgen neemt de externe provider op zich.

  • Een externe provider kan een melding in verschillende talen verwerken, wat moeilijker is met een interne medewerker als meldpunt.

  • De inhoud van de melding, gelieerd aan de betrokken personen (de klokkenluider incluis) moet ten slotte worden bewaard compliant aan de GDPR-regels. Ook dat is specialistenwerk.

Compliant meldsysteem van BDO

De specialisten van onze Forensic & Litigation afdeling hebben een compliant meldsysteem ontwikkeld, met o.m. de volgende features:

  • de invoering van een of meer communicatiekanalen in de taal of talen die in de onderneming worden gebruikt (webplatform, telefoonlijn …);

  • een standaard policy voor meldingen, op maat aan te passen aan de vereisten van de organisatie inzake te rapporteren informatie, contactpersoon …;
  • het beheer van de meldingen in alle gangbare bedrijfstalen, dankzij onze wereldwijde ‘Whistleblowing group’;
  • indien gewenst, een voorstelling van het systeem aan het personeel, de ondernemingsraad of een vakbondsafvaardiging.

Onze oplossing steunt op het principe ‘je betaalt wat je gebruikt. Anders gezegd, kiest een bedrijf of organisatie voor het meldsysteem van BDO dan betaalt het enkel de geleverde prestaties.

Vragen over de nieuwe regels over de klokkenluiders?

Zoek je hulp bij de invoering van een meldsysteem? Aarzel niet om contact op te nemen met de specialisten van ons team Forensic & Litigation Support’: wim.verbelen@bdo.be

Meer informatie lees je ook in onze studie (2019) over de impact van fraude bij Belgische bedrijven.