Omdat de concernbrede kliklijn in de meeste gevallen is opengesteld om het moederbedrijf in de VS te informeren, mogen uitsluitend persoonsgegevens worden doorgegeven inzake misstanden waarvan duidelijk is dat afhandeling van de melding niet naar behoren op lager niveau kan plaatsvinden. Het zal hierbij dan veelal meldingen over ernstige misdragingen van het hoger management betreffen. Voor een dergelijke doorgifte via de kliklijn is een vergunning van de Minister van Justitie vereist, tenzij er een wettelijke uitzondering geldt.
De Amerikaanse Sarbanes-Oxley wetgeving verplicht in Amerika gevestigde bedrijven een interne kliklijn te openen om integere bedrijfsvoering te bevorderen. Werknemers kunnen op vertrouwelijke, anonieme basis misstanden aan de kaak stellen. Ondanks deze wettelijke verplichting in de Verenigde Staten (VS) geldt voor bedrijven in Nederland - dus ook dochterondernemingen van een multinational - dat er voor het instellen van een dergelijke kliklijn een grondslag in de Nederlandse wet is vereist.
Een organisatie kan een gerechtvaardigd belang hebben een interne kliklijn in te stellen. Echter onder normale omstandigheden zou iedere melding, van welke misstand dan ook, binnen een organisatie via de reeds bestaande kanalen moeten gebeuren (via leidinggevenden, vertrouwenspersonen, de ondernemingsraad). Bij het melden van een misstand via een kliklijn moet het gaan om een substantiële misstand. Het uitgangspunt voor een interne kliklijn moet zijn dat de identiteit van de melder wordt vastgesteld. Anoniem klikken in organisaties moet niet worden aangemoedigd. De meldingen zelf dienen uit te gaan van feiten en niet van individuen. De in de melding genoemde personen moeten op de hoogte gebracht worden van het feit dat er een melding is binnengekomen waarin hun naam wordt genoemd. Dit moet gebeuren op het moment dat deze gegevens in het systeem vastgelegd worden. Alleen in zeer beperkte gevallen mag met het oog op het veiligstellen van bewijsmateriaal deze informatieplicht tijdelijk opgeschort worden.
Doorgifte van persoonsgegevens
De Wet bescherming persoonsgegevens (Wbp), die sinds 1 september 2001 van kracht is, bevat regels over de doorgifte van persoonsgegevens naar landen buiten de Europese Unie. Hoofdregel is dat persoonsgegevens alleen mogen worden doorgegeven naar derde landen met een passend beschermingsniveau. Buiten die gevallen is doorgifte alleen toegestaan op basis van een wettelijke uitzondering of met vergunning van de Minister van Justitie. De afgifte van een vergunning vindt plaats nadat het CBP daarover advies heeft uitgebracht. Meer informatie over dit onderwerp is te vinden in de brochure Derde landen. De doorgifte van persoonsgegevens naar landen buiten de Europese Unie.
16 januari 2006, z2004-1233