1. Inleiding
Het onderwerp “klokkenluider” is zeer trending . De meeste bijdragen zijn geschreven voor HR managers. De specificiteit van de instellingen voor bedrijfspensioenvoorziening (hierna “IBP”) mogen niet worden vergeten.
Reeds sinds 2017[1], moesten IBP’s procedures invoeren om interne meldingen te ontvangen en te behandelen.
In 2019 werd de nieuwe Richtlijn[2] van het Europese parlement en de raad inzake de bescherming van personen die inbreuken op het Unierecht melden, gepubliceerd. De omzetting van deze Klokkenluidersrichtlijn werd nu gegoten in een nieuwe wet[3].
Ingevolge de Belgische omzetting moeten IBP’s hun beleidslijn en procedure inzake intern melding herzien.
2. Toepassingsgebied
Er is lange tijd discussie geweest over het toepassingsgebied van de wet en meer bepaald of IBP’s onder de nieuwe klokkenluiderswet vielen. Het antwoord op die vraag lijkt ons zeer eenduidig: Ja.
De verplichting om interne meldingskanalen en -procedures op te zetten geldt in beginsel voor juridische entiteiten met 50 werknemers. Aangezien de meeste IBP’s in België geen werknemers hebben, laat staan de drempel van 50 werknemers halen, werd er gezegd dat IBP’s niet verplicht waren om de interne meldingskanalen op te zetten. Niets is minder waar, want er geldt een uitzondering voor “financiële diensten, markten en producten”. Juridische entiteiten die werkzaam zijn in de financiële diensten, markten en producten, moeten hoe dan ook een intern meldingskanaal opzetten. De wet definieert ook wat “financiële diensten, markten en producten” zijn. Dit zijn onder andere individuele en bedrijfspensioenproducten. Bijgevolg moeten IBP’s, die aldus onder financiële diensten, markten en producten vallen, een intern meldingskanaal opzetten.
Nu we hebben vastgesteld dat IBP’s een intern meldingskanaal moeten opzetten, is het van belang om na te gaan waarop de meldingen betrekking kunnen hebben.
In de praktijk zullen de meldingen in het kader van de IBP het meeste gaan over financiële diensten, markten en producten, bescherming van de persoonlijke levenssfeer en persoonsgegevens, bestrijding van belastingfraude en sociale fraudebestrijding.
Om te weten wie een melding kan doen, moeten we kijken naar het personeel toepassingsgebied. Het personeel toepassingsgebied omvat “in de private sector werkzame melders die informatie hebben verkregen over inbreuken in een werk-gerelateerde context”, zoals werknemers, aandeelhouders en personen die behoren tot het bestuurlijk, leidinggevend of toezichthoudend orgaan, en dienstverleners of leveranciers. Bijgevolg kunnen in de context van een IBP, leden van de Raad van Bestuur, van de Algemene Vergadering, van een operationeel orgaan zoals een Dagelijks bestuur een melding doen. Ook de sleutelfuncties en (werknemers va) dienstverleners kunnen een melding doen. Tot slot is de melding ook mogelijk door (actieve of passieve) aangeslotenen, gepensioneerden en begunstigden, maar slechts in de mate dat de melding gaat over financiële diensten, markten en producten en voorkomen van witwassen.
3. Melding & openbaarmaking
3.1 Procedure inzake interne melding
Meldingen kunnen op verschillende manieren worden gedaan, namelijk via een interne of een externe meldingskanaal (FSMA of GBA). Tot slot is het ook mogelijk om over te gaan tot openbaarmaking.
Een intern meldingskanaal biedt de mogelijkheid aan de melder om informatie over een inbreuk met de IBP te delen. Deze melding kan gebeuren aan een daartoe aangewezen persoon of afdeling van de IBP. Deze persoon wordt de meldingsbeheerder genoemd en moet onpartijdig, onafhankelijk en dus vrij van belangenconflicten zijn. Derhalve zal de DPO of een lid van de raad van bestuur mogelijks niet de meest geschikte meldingsbeheerder zijn. Het is echter evengoed mogelijk om een externe partij in te schakelen die een dergelijk intern kanaal beheert voor de IBP. Dan wordt de interne melding geëxternaliseerd. Hierbij zal er bijgevolg een uitbestedingsovereenkomst worden gesloten tussen de externe dienstverlener en de IBP. Om deze uitbestedingsovereenkomst te sluiten moet natuurlijk het uitbestedingsbeleid van de IBP worden gerespecteerd. Tevens mag de GDPR-reglementering niet uit het oog verloren worden.
De IBP doet er goed aan om de Compliance officer dergelijke interne meldingen te laten beheren en onderzoeken. De Compliance officer is immers, conform de Wet betreffende het toezicht op de instellingen voor bedrijfspensioenvoorziening (WIBP), bevoegd om integriteitsrisico’s, inclusief interne meldingen, op te volgen.
Tot slot wordt vaak de vraag gesteld of een IBP beroep kan doen op het intern meldingskanaal bij de bijdragende onderneming. Hierop geldt een genuanceerd antwoord. De wet voorziet de mogelijkheid voor juridische entiteiten met minder dan 250 werknemers om middelen te delen. Deze middelen kunnen betrekking hebben op het intern meldingskanaal of onderzoeksmogelijkheden. Indien de bijdragende entiteit bijgevolg minder dan 250 werknemers telt, dan kan de IBP middelen delen met de bijdragende onderneming. Wel moet de melder hiervan op de hoogte worden gebracht en de mogelijkheid hebben om te protesteren tegen (bijvoorbeeld een onderzoek door de bijdragende onderneming). De melder moet dus kunnen vragen dat de interne melding wordt behandeld door de meldingsbeheerder van de IBP zelf. De feedback over de genomen maatregelen moet eveneens gebeuren door de IBP zelf. Bijzondere aandacht is bovendien vereist voor belangenconflicten tussen de IBP en de bijdragende onderneming. Daarnaast moet erop worden gewezen dat de inwerkingtreding van de wet verschilt naargelang het personeelsaantal. Indien de bijdragende onderneming meer dan 50 maar minder dan 250 werknemers telt, moet de onderneming een intern meldingskanaal opzetten tegen 17 december 2023 terwijl de IBP dit al moet doen vanaf 15 februari 2023. Het is dus mogelijks praktisch niet haalbaar om dit op elkaar af te stemmen.
Een melding kan zowel schriftelijk gebeuren als mondeling. Indien een melding mondeling gebeurt, is het op verzoek van de melder, mogelijk om een fysieke ontmoeting te plannen. Het lijkt echter aanbevelenswaardig om deze mogelijkheid ook aan te bieden aan de melder die schriftelijk een interne melding heeft ingediend. Op deze manier wordt het mogelijk een vlotte uitwisseling van informatie en documenten tot stand te brengen tussen de melder en de meldingsbeheerder
Nadat een kanaal werd ingericht om een interne melding te ontvangen en de daartoe bevoegde persoon of meldingsbeheerder werd aangeduid, moet de procedure inzake de behandeling van een dergelijke melding worden uitgeschreven.
- Zo schrijft de wet voor dat er een ontvangstbevestiging moet worden bezorgd aan de melder. De termijn voor de ontvangstbevestiging bedraagt zeven dagen vanaf ontvangst van de interne melding.
- De meldingsbeheerder zal vervolgens de interne melding onderzoeken en opvolgen. Dit onderzoek kan o.i. gebeuren in samenspraak met de sleutelfuncties van de IBP, zolang de eventuele anonimiteit van de melder hierbij wordt gegarandeerd. De eventuele opvolging moet worden besproken met de Raad van Bestuur aangezien zij het bevoegde orgaan is om beslissingen en maatregelen te nemen.
- Bovendien moet de melder ten hoogste binnen drie maanden na de ontvangstbevestiging feedback ontvangen over zijn of haar interne melding. Indien er geen ontvangstbevestiging kan worden gestuurd, zal de feedback moeten worden verleend binnen de drie maanden na het verstrijken van de termijn van zeven dagen. Deze feedback kan onder andere de uitkomst van het onderzoek door de meldingsbeheerder omvatten alsook eventuele opvolgacties door de IBP. De inhoud van de feedback moet bijgevolg o.i. substantieel zijn en mag niet worden beperkt tot een louter vermelden dat de melding gegrond of niet gegrond werd bevonden. Een melder zal bijgevolg niet langer in het ongewisse tasten over het resultaat van de interne melding. Indien deze termijn niet haalbaar is, zal dit ook toegelicht worden en zal er opvolging vereist zijn.
- Bovendien moet er ook aan de melder informatie over de procedure tot externe melding aan bevoegde autoriteiten worden verschaft.
3.2 Procedure inzake externe melding
Allereerst is het belangrijk om te weten dat er rechtstreeks een externe melding kan worden gedaan. Het is dus wettelijk niet verplicht om eerst de interne procedure te doorlopen. Dit is een reden te meer om de interne procedure voldoende transparant te promoten.
De externe procedure houdt in dat de melding niet gebeurt aan een meldingsbeheerder binnen de entiteit, maar aan een externe autoriteit. De wet stelt dat de Koning de bevoegde autoriteiten voor het ontvangen van meldingen, moet aanduiden. Dit betekent dat er een onafhankelijk en autonoom extern meldingskanaal wordt opgezet. Met betrekking tot IBP’s lijkt het niet meer dan logisch dat de toezichthouder, de Autoriteit voor Financiële Markten en Diensten (hierna “FSMA”), optreedt als contactpunt voor klokkenluiders zoals dit ook in het verleden al was.[4] Niettemin is het mogelijk dat de FSMA oordeelt dat zij niet of niet alleen bevoegd is voor de melding, waarop vervolgens de melding wordt overgemaakt aan de bevoegde autoriteit of de federale coördinator inzake meldingen.
Verder is de procedure inzake externe melding gelijkaardig aan deze voor een interne melding.[5]
- Ook bij een externe melding moet er een ontvangbevestiging worden verzonden aan de melder binnen de zeven dagen na ontvangst van de melding.
- De melding moet zorgvuldig worden onderzocht en opgevolgd waarna de melder binnen ten hoogste drie maanden na ontvangstbevestiging of drie maanden na het verstrijken van de termijn van zeven dagen na de melding, feedback ontvangt. Bij een externe melding is evenwel ook de mogelijkheid voorzien om de termijn te verlengen tot zes maanden. Deze verlenging moet evenwel behoorlijk worden gemotiveerd.
- De melder moet in kennis worden gesteld van het eindresultaat van de onderzoeken die zijn gevoerd naar aanleiding van de melding.
- Het is bij een externe melding ook mogelijk dat de daartoe bevoegde autoriteit oordeelt dat de inbreuk duidelijk van geringe betekenis is en bijgevolg de procedure kan worden afgesloten. Eenzelfde mogelijkheid wordt voorzien indien de bevoegde autoriteit een melding ontvangt waarvan de inhoud geen nieuwe informatie van betekenis over inbreuken bevat ten opzichte van een eerdere melding en het dus eerder om een herhaalde melding gaat.
Zowel bij een melding omtrent een inbreuk van geringe betekenis als bij een herhaalde melding, zal de daartoe bevoegde autoriteit de melder op de hoogte brengen van de genomen beslissing en de motivering daartoe. In elk geval zal de melder dus in kennis worden gesteld van de resultaten van de melding.
Wat betreft de kennisgeving van de te volgen procedure, moet deze informatie publiek bekendgemaakt worden via de website.
3.3 Openbaarmaking
In deze nieuwsbrief willen we nog kort wijzen op de mogelijkheid om een openbaarmaking te doen.[6] Een openbaarmaking betekent in dit geval vaak het contacteren van de media of het posten op sociale media. Deze mogelijkheid is een laatste redmiddel voor de melder. Belangrijk is het om te weten dat de bescherming van de meldende persoon bij openbaarmaking enkel gegarandeerd is indien de melder reeds een interne en/of (rechtstreekse) externe melding heeft gedaan maar dat
- hierbij geen passende maatregelen werden genomen om de melding te remediëren binnen de genoemde termijnen of
- indien de melder gegronde redenen heeft om aan te nemen dat de inbreuk een dreigend of reëel gevaar kan zijn voor het algemeen belang of op represailles of het waarschijnlijk is dat de inbreuk niet doeltreffend wordt verholpen.
Het lijkt bijgevolg belangrijk voor een melder om eerst bovenstaande situaties na te gaan en uitgebreid te onderzoeken of openbaarmaking hier op zijn plaats is alvorens bijvoorbeeld naar de media te stappen.
4. Bekendmaking procedures
Tot slot stelt zich nog de vraag hoe de informatie omtrent de procedure moet worden bekendgemaakt aan potentiële melders. Een interne beleidslijn opstellen is de eerste stap, maar deze beleidslijn moet uiteraard ook ter kennis worden gebracht aan alle potentiële melders. Het lijkt ons logisch om deze beleidslijn te verspreiden binnen de IBP en bijgevolg ter sprake te brengen tijdens vergaderingen van de Raad van Bestuur, Algemene Vergadering en andere Operationele organen. Ten opzichte van dienstverleners (inclusief sleutelfuncties en DPO[7]) van de IBP, kan hiervan een kopie worden overgemaakt op het ogenblik van het sluiten van de overeenkomst. Op vandaag worden immers al de Deontologische code, het Uitbestedingsbeleid en het Continuïteitsbeleid, meegedeeld aan de (nieuwe) dienstverleners. Ook kan er bewustwording worden gecreëerd door opleidingen te voorzien. Ten aanzien van aangeslotenen is het belangrijk om de beleidslijn op de website van de IBP te plaatsen, al dan niet toegankelijk voor het brede publiek of enkel voor de (actieve of passieve) aangeslotenen, begunstigden of gepensioneerden.
5. Besluit
In 2019 kwam de Richtlijn de eerste maal ter sprake. Deze Richtlijn werd nu eindelijk, drie jaar na datum, omgezet in Belgische wetgeving. Hoewel er discussie bestond over de toepasselijkheid van de wet voor IBP’s, lijkt dit debat alvast afgerond. Het is nu essentieel voor IBP’s om hun interne beleidslijnen af te stemmen op de nieuwe wetsbepalingen en de procedure voor een interne melding uit te werken en te implementeren. Indien zij hierbij ondersteuning nodig hebben, kunnen zij rekenen op onze ervaring als juridisch adviseur en Compliance officer van verschillende IBP’s. Ook biedt CMS een uitgebreid opleidingspakket aan, waaronder een specifieke opleiding over de nieuwe klokkenluidersregeling.
Social Media cookies collect information about you sharing information from our website via social media tools, or analytics to understand your browsing between social media tools or our Social Media campaigns and our own websites. We do this to optimise the mix of channels to provide you with our content. Details concerning the tools in use are in our privacy policy.