Het is belangrijk om niet meer persoonsgegevens te verwerken dan nodig is. Door in eerste instantie alleen relevante en niet meer informatie dan nodig te verzamelen. Bovendien mogen sommige gegevens alleen door specifieke afdelingen van de organisatie worden verwerkt, niet door alle afdeling.
Medewerkers moeten worden geïnformeerd over hun rechten en voor welke doeleinden hun informatie wordt verwerkt. Dergelijke informatie moet specifiek aan medewerkers worden gecommuniceerd wanneer een nieuwe procedure wordt ingevoerd en permanent beschikbaar worden gesteld, bijvoorbeeld via het intranet van de organisatie. Dit zorgt ervoor dat medewerkers te allen tijde toegang hebben tot de informatie.
Medewerkers hebben het recht om hun dossiers en andere informatie in te zien om te kunnen verifiëren of deze correct zijn en om onjuiste of onvolledige informatie te corrigeren. Ze moeten ook worden geïnformeerd over hoe ze hun rechten kunnen uitoefenen.
Organisaties moeten ervoor zorgen dat informatie niet langer dan nodig in hun bestanden wordt bewaard. Er moeten duidelijke bewaartermijnen worden vastgesteld. Deze kunnen variëren afhankelijk van de reden voor het verwerken van de gegevens.
Gezien de gevoeligheid van gegevens mogen deze alleen worden verwerkt door professionals die gebonden zijn aan de verplichting tot geheimhouding. Alle medewerkers die zich bezighouden met administratieve of financiële procedures in dit opzicht, moeten een specifieke vertrouwelijkheidsverklaring ondertekenen en moeten regelmatig worden herinnerd aan hun vertrouwelijkheidsverplichtingen. Bovendien moeten organisaties een risicobeoordeling uitvoeren en, waar nodig, specifieke beveiligingsmaatregelen ontwikkelen voor toegangscontrole en beheer van alle informatie die in het kader van gegevens die worden verwerkt.
Tevens is het noodzakelijk een Klokkenluidersprocedure te bieden via veilige kanalen voor personeel of andere informanten om fraude, corruptie of ernstige misstanden in organisaties te melden. In het kader van een dergelijke procedure is de verwerking van persoonsgegevens (ook wel persoonlijke informatie genoemd) noodzakelijk; bijvoorbeeld informatie met betrekking tot verdachten van misstanden, evenals die van de informanten en/of andere derden, zoals getuigen. Instellingen, bedrijven en organen zijn verplicht om duidelijke klokkenluidersprocedures in te stellen.
De informatie over de klokkenluider en de beschuldigde persoon moet met de grootst mogelijke vertrouwelijkheid worden behandeld. Dit is ook een belangrijk element om personeel aan te moedigen om misstanden te melden.
Het is niet voldoende om een algemene privacyverklaring op de website van een organisatie te plaatsen, de betrokken personen moeten zo snel mogelijk worden geïnformeerd over de manier waarop hun persoonsgegevens worden verwerkt.
De persoonsgegevens in een klokkenluidersrapport kunnen betrekking hebben op klokkenluiders, de persoon die wordt onderzocht, getuigen of andere personen die worden genoemd. Het is echter mogelijk dat het informeren van de beschuldigde persoon in een vroeg stadium het onderzoek in gevaar kan brengen.
In deze gevallen moet het delen van specifieke informatie met de beschuldigde mogelijk worden uitgesteld. Het uitstellen van informatie moet per geval worden besloten en de redenen voor eventuele beperkingen moeten worden gedocumenteerd.
Het is noodzakelijk om alle belangen die bij een dergelijk verzoek betrokken zijn, in evenwicht te brengen, inclusief die van de klokkenluider en de beschuldigde persoon/personen.
De rapporten die niet leiden tot een onderzoek, mogen niet zo lang worden bewaard als de rapporten waarin een onderzoek is gestart.
Aangezien de verwerkte gegevens gevoelig zijn en lekken of ongeoorloofde openbaarmaking nadelige gevolgen kunnen hebben voor zowel de klokkenluiders als de beschuldigde personen, moet er bijzondere aandacht worden besteed aan de technische en organisatorische maatregelen die nodig zijn om de risico’s te beperken en de gegevensbeveiliging te waarborgen.