Whistleblower Protection
This new topic is essential because the content explicitly addresses the protection of reporting persons, including safeguards against retaliation, confidentiality measures, and legal protections, which constitute a critical and distinct regulatory framework within the AI Act.
reporting person protection whistleblower protection protection of reporters safeguards for reporting confidentiality of reporters anonymity protection retaliation protection protection measures
Overview
Legal Framework
The AI Act does not contain standalone provisions governing whistleblower protection for reporting breaches of the AI Act. The primary legal framework for whistleblower protection in the EU is established by Directive (EU) 2019/1937 (the Whistleblower Protection Directive), which Member States were required to transpose into national law by December 2021. This Directive mandates that organizations establish secure internal reporting channels, prohibits retaliation against reporting persons, and ensures confidentiality.
Practical Application
While the AI Act itself does not create a new whistleblower regime, its effective enforcement relies on individuals being able to report suspected non-compliance without fear. The EU Whistleblower Directive provides the general protective framework applicable to reports of AI Act breaches, among other EU law violations. Organizations developing or deploying high-risk AI systems must integrate these requirements by establishing internal reporting procedures that comply with their national transposition laws. Enforcement of these protections falls to national authorities designated under the Directive, with case law on its interpretation still developing at the national level.
Key Considerations
- Establish Compliant Channels: Organizations within the scope of the Directive (typically those with 50+ employees) must implement secure and confidential internal reporting channels and procedures as required by their national law.
- Prohibit Retaliation: Clear internal policies must prohibit and prevent any form of retaliation, including dismissal, demotion, or intimidation, against individuals reporting potential AI Act violations.
- Link to AI Compliance: Internal compliance programs for the AI Act should explicitly reference and integrate the organization's whistleblower procedures, ensuring staff know how to report concerns about AI system safety, fundamental rights, or other regulatory breaches.
Laws (5)
Case Law (5)
ECLI:NL:RBDHA:2026:1779 Rechtbank Den Haag , 29-01-2026 / C/09/696357 KG ZA 25-1252
Rechtbank Den Haag
Verbod om informatie te verspreiden die gedaagde via of in verband met zijn werkzaamheden voor eiser heft gekregen, vanwege een geheimhoudingsbeding uit een (inmiddels geëindigde) arbeidsovereenkomst.
Inzage in breed perspectief (AVG, 8 EVRM, maar ook 29, 290, 811 en 843a Rv.
Hoge Raad
"Deze prejudiciële beslissing gaat over de vraag of een gerecht op verzoek inzage moet geven in of afschriften moet verstrekken van stukken uit het dossier van afgesloten civiele familie- en jeugdprocedures, in het bijzonder afgesloten procedures waarin ten aanzien van de verzoeker kinderbescherm...
Afwijzing vorderingen (1) tot publicatie op website van (intern) onderzoeksrapport (met een groot aantal overige...
Rechtbank
Afwijzing vorderingen (1) tot publicatie op website van (intern) onderzoeksrapport (met een groot aantal overige bescheiden) naar grensoverschrijdend gedrag leidinggevende, (2) om toestemming te geven het onderzoeksrapport te verspreiden aan derden en (3) tot betaling van een voorschot voor kosten rechtsbijstand. Journalisten, (oud)medewerkers en klokkenluiders hebben geen algemeen inzagerecht op intern onderzoeksrapport, laat staan een recht op publicatie en verspreiding. Eiser is geen klokkenluider omdat de melding van een vermoeden van een misstand niet volgens de diverse klokkenluidersregelingen is gebeurd. Artikelen 10 EVRM, 19 IVBPR, 47 EU Handvest en de Wet bescherming Klokkenluiders (Wbk) en richtlijn EU 2019/1937.
Meta Platforms and Others v Bundeskartellamt
C-601/21 (Meta Platforms (Bundeskartellamt))
Competition authorities can assess GDPR compliance in context of competition law proceedings.
ECLI:NL:HR:2003:AF0148 Hoge Raad , 24-01-2003 / C01/143HR
Hoge Raad
-
Guidance (10)
Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
Version history
Guidelines on the accreditation of certification bodies
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Versiegeschiedenis
guidelines accreditatie
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Versiegeschiedenis
guidelines uitvoeren overeenkomst
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Guidelines 3/2019 on processing of personal data through video devices
Guidelines on processing of personal data through video devices
Enforcement (5)
Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.
Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).
Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.
FT Solutions S.r.l.: Non-compliance with general data processing principles
€5,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 5,000 on FT Solutions S.r.l. The fined entity had been active in direct marketing activities as a data processor. During these activities, the processor used personal data for this purpose without sufficient legal basis, obtained from a third party that also collected the data in violation of data protection principles. Furthermore, the processor failed to inform data subjects regarding the processing and to implement adequate data protection measures.
Debt collection company: Insufficient legal basis for data processing
€5,470,000 fine - Croatian Data Protection Authority (azop)
The Croatian DPA (AZOP) has imposed of fine of EUR 5,470,000 to a debt collection company. The investigation was triggered by an anonymous complaint stating that controller unlawfully processed personal data, with USB stick attached to the complaint containing personal data of 181,641 individuals. As a controller, the debt-collection company unlawfully processed sensitive data (health related) of their debtors, as well as the data of individuals who are not in a debtor-creditor relationship, mos
Volkswagen: Insufficient fulfilment of information obligations
€1,100,000 fine - Data Protection Authority of Niedersachsen
The DPA of Lower Saxony has imposed a fine of EUR 1. 1 million on Volkswagen. The company had installed cameras on a test vehicle. The vehicle was being used to test and train the functionality of a driving assistance system to prevent traffic accidents. For this purpose, the traffic around the vehicle was recorded with the cameras. However, Volkswagen failed to provide information in accordance with Art. 13 GDPR about the data processing by the cameras attached to the vehicle. The DPA further f
Agency: Insufficient technical and organisational measures to ensure information security
€1,800 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA (AEPD) has imposed a fine on an agency. The controller had disposed of documents containing personal data of its clients in the garbage. The AEPD considered this to be a lack of security and data protection measures in the sense of Art. 32 GDPR, which states that 'the controller and processor shall implement appropriate technical and organizational measures to ensure an adequate level of security.' The original fine of EUR 3,000 was reduced to EUR 1,800 due to voluntary payment a
News (3)
Europa ondermijnt haar eigen digitale rechten van binnenuit.
De nieuwe "Digital Omnibus" van de Europese Commissie wordt gepresenteerd als een eenvoudige "vereenvoudiging", maar in de praktijk ondermijnt het belangrijke beschermingsmaatregelen in de GDPR, de ePrivacy-regels en de AI-wet. Het zou de toegang tot apparaatgegevens gemakkelijker maken, de beperkingen op geautomatiseerde besluitvorming verzwakken en de bescherming tegen discriminerende AI verminderen. Het artikel "Europa ondermijnt haar digitale rechten van binnenuit" verscheen oorspronkelijk op European Digital Rights (EDRi).
Waarom de "Digital Omnibus" de privacyregels (AVG en ePrivacy) in gevaar brengt.
Op 19 november heeft de Europese Commissie twee zogenaamde "omnibus"-voorstellen gepubliceerd: het ene herziening van belangrijke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy-regels, samen met andere wetten met betrekking tot gegevens, en het andere een amendement op de AI-wet. Dit artikel richt zich op het eerste voorstel. Het legt uit hoe de voorgestelde wijzigingen fundamentele rechten op gegevensbescherming en de vertrouwelijkheid van communicatie zouden verzwakken, en waarom het gecombineerde effect het risico loopt om lang bestaande beschermingsmaatregelen voor mensen in de EU te veranderen.
De AI-wet is niet voldoende: we moeten de gevaarlijke hiaten dichten die misbruik mogelijk maken en de rechten van mensen schenden.
Hoewel de AI-wetgeving van de EU tot doel heeft om AI-systemen met een hoog risico te reguleren, wordt deze ondermijnd door belangrijke uitzonderingen die hun ongecontroleerde toepassing mogelijk maken in de context van nationale veiligheid en handhaving van de wet. Deze uitzonderingen riskeren onder meer het mogelijk maken van grootschalige surveillance van protesten en discriminerende migratiepraktijken. Om dit te voorkomen, heeft de EDRi-partner Danes je nov dan aanbevelingen gepubliceerd voor Slovenië om strengere nationale beschermingsmaatregelen en transparante toezichtsmechanismen in te voeren. De post "De AI-wetgeving is niet..."