Ένα ψηφιακό σύστημα καταγγελίας είναι ένα κανάλι αναφοράς που επιτρέπει σε έναν καταγγέλλοντα να υποβάλει πληροφορίες σχετικά με παραβιάσεις εμπιστευτικά ή ανώνυμα. Ένα τέτοιο κανάλι αναφοράς αποτελεί μέρος του συστήματος διαχείρισης της συμμόρφωσης και εξυπηρετεί τον έγκαιρο εντοπισμό παραβάσεων κανόνων και ποινικών αδικημάτων.
Οι εθνικοί νόμοι για την προστασία των πληροφοριοδοτών βασίζονται σε Οδηγία 2019/1937 της ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2019, σχετικά με την προστασία των προσώπων που καταγγέλλουν παραβάσεις του δικαίου της Ένωσης, η οποία έπρεπε να μεταφερθεί στο εθνικό δίκαιο όλων των κρατών μελών της ΕΕ. Ο νόμος για την προστασία των πληροφοριοδοτών ορίζει ότι στους πληροφοριοδότες πρέπει να παρέχονται κατάλληλοι εμπιστευτικοί δίαυλοι αναφοράς.
Επιπλέον, πρέπει να εξασφαλίζεται η δυνατότητα επαρκούς επικοινωνίας μεταξύ του εσωτερικού γραφείου αναφοράς και του καταγγέλλοντος. Υπάρχει ανάγκη για ένα απλό και ασφαλές ψηφιακό λογισμικό καταγγελίας που, αφενός, πληροί τις νομικές απαιτήσεις και, αφετέρου, εξασφαλίζει την προστασία του καταγγέλλοντος καθώς και την ασφαλή και σύμφωνη με την προστασία των δεδομένων επεξεργασία ευαίσθητων δεδομένων. Ο καταλληλότερος τρόπος για την ικανοποίηση αυτών των απαιτήσεων είναι η χρήση ανώνυμου και ψηφιακού λογισμικού καταγγελίας.
Ένα ψηφιακό σύστημα καταγγελίας επιτρέπει σε έναν καταγγέλλοντα να υποβάλει μια διαδικτυακή αναφορά παραβίασης ανώνυμα ή εμπιστευτικά. Οι απαιτήσεις είναι ένα πρόγραμμα περιήγησης και μια άθικτη σύνδεση στο διαδίκτυο.
Το λεγόμενο SaaS (Software as a Service) είναι cloud-based, δεν απαιτεί εγκατάσταση στις τελικές συσκευές της εταιρείας και επιτρέπει την απλή και γρήγορη εφαρμογή. Περαιτέρω πλεονεκτήματα είναι η μειωμένη προσπάθεια διαχείρισης του ΙΤ, καθώς δεν χρειάζεται να λειτουργούν δικοί της διακομιστές και να εγκαθίστανται ενημερώσεις. Το λογισμικό διασφαλίζει πρόσβαση ανεξαρτήτως συσκευής και τοποθεσίας ανά πάσα στιγμή. Τα κέντρα δεδομένων που είναι πιστοποιημένα σύμφωνα με το πρότυπο ISO 27001 εγγυώνται την ασφάλεια των δεδομένων μέσω ενός επαγγελματικού συστήματος διαχείρισης ασφάλειας ΙΤ. Ο αποθηκευτικός χώρος μπορεί να επεκταθεί ανά πάσα στιγμή και εάν οι απαιτήσεις αλλάξουν, μπορούν να γίνουν προσαρμογές στο λογισμικό.
Ο υψηλός βαθμός ευελιξίας, η ασφάλεια των δεδομένων και η προστασία των εσωτερικών πόρων ΤΠ καθιστούν το SaaS πολύ ελκυστικό για τις εταιρείες και τις δημόσιες αρχές.
Το ψηφιακό σύστημα καταγγελιών της DISS-CO είναι ένα ασφαλές ψηφιακό λογισμικό καταγγελιών με πολλές επιλέξιμες ενότητες, ενσωματώσεις και επιλογές προσαρμογής. Το λογισμικό, το οποίο μπορεί επίσης να χρησιμοποιηθεί ως λογισμικό διαχείρισης καταγγελιών, προσφέρει πίνακες ελέγχου και διαισθητική διαχείριση υποθέσεων που αποθηκεύει ευαίσθητα προσωπικά δεδομένα και δεδομένα που σχετίζονται με την υπόθεση κεντρικά, συμβατά με τον DSGVO και μη χειραγωγήσιμα. Ο καταγγέλλων έχει την επιλογή να υποβάλει ανώνυμη ή εμπιστευτική αναφορά. Μέσω κρυπτογραφημένης και ανώνυμης επικοινωνίας, μπορούν να ληφθούν περαιτέρω πληροφορίες από τον καταγγέλλοντα.
Η διασφάλιση της ανωνυμίας του συστήματος καταγγελίας δημιουργεί επίσης τεράστια ασφάλεια και εμπιστοσύνη στο εσωτερικό γραφείο αναφοράς και στην εταιρεία. Αφαιρώντας τα μεταδεδομένα των συνημμένων αρχείων, το σύστημα καταγγελίας εξασφαλίζει τεχνική ανωνυμία. Η εσωτερική επικοινωνία καθώς και η επικοινωνία με τους συμβούλους μπορεί επίσης να πραγματοποιείται αποκλειστικά και κρυπτογραφημένα στην πλατφόρμα. Αυτό μειώνει τον κίνδυνο διαρροής δεδομένων. Για τη ρύθμιση της πρόσβασης εντός του οργανισμού μπορεί να χρησιμοποιηθεί μια ατομική έννοια εξουσιοδότησης.
Εάν το εσωτερικό γραφείο υποβολής εκθέσεων έχει ανατεθεί εν μέρει ή εξ ολοκλήρου σε εξωτερικούς συνεργάτες, οι εξωτερικοί συνεργάτες έχουν πρόσβαση στις πληροφορίες μέσω μιας έννοιας εξουσιοδότησης. Τα άτομα που βοηθούν στη διευκρίνιση μιας υπόθεσης μπορούν εύκολα και γρήγορα να αποκτήσουν πρόσβαση για τη διαχείριση εργασιών χωρίς να χρειάζεται να δουν ολόκληρη την υπόθεση. Αυτό επιτρέπει στον υπεύθυνο της υπόθεσης να διατηρεί ανά πάσα στιγμή την επισκόπηση των εργασιών και να ορίζει προθεσμίες και εξαρτήσεις. Επιπλέον, ένας πίνακας Kanban παρέχει μια επισκόπηση της κατάστασης των εκκρεμών και εν εξελίξει εργασιών. Για την ασφάλεια του ελέγχου, όλες οι πληροφορίες καταγράφονται και δεν μπορούν να αλλάξουν μέχρι την τελική διαγραφή ολόκληρης της υπόθεσης. Το λογισμικό υπενθυμίζει επίσης τις νομικές προθεσμίες.
Η κεντρική, ασφαλής και μη χειραγωγήσιμη επεξεργασία πληροφοριών σε συνδυασμό με την ασφαλή επικοινωνία, με σεβασμό της ανωνυμίας του προσώπου που παρέχει τις πληροφορίες, επιτρέπει την αποτελεσματική επεξεργασία των υποθέσεων.
Πολλές εταιρείες εξακολουθούν να παρέχουν μια γενική διεύθυνση ηλεκτρονικού ταχυδρομείου για την αναφορά παραβιάσεων.
Εάν το άτομο που παρέχει την πληροφορία θέλει να παραμείνει ανώνυμο, δεν υπάρχει τρόπος να παρακάμψετε έναν ανώνυμο λογαριασμό ηλεκτρονικού ταχυδρομείου. Η δημιουργία λογαριασμού ηλεκτρονικού ταχυδρομείου σε ιδιωτικό πάροχο ηλεκτρονικού ταχυδρομείου είναι πολύ εύκολη και δωρεάν στις μέρες μας. Ωστόσο, η μέθοδος αυτή έχει αρκετά μειονεκτήματα και κινδύνους.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι συνήθως μη κρυπτογραφημένα, γεγονός που δημιουργεί κίνδυνο για την ασφάλεια της εταιρείας. Επιπλέον, οι εργαζόμενοι είναι πρακτικά αναγκασμένοι να μεταδίδουν εσωτερικές πληροφορίες της εταιρείας μέσω ενός ιδιωτικού παρόχου ηλεκτρονικού ταχυδρομείου. Οι ευαίσθητες πληροφορίες θα μπορούσαν να υποκλαπούν κατά τη διάρκεια της μετάδοσης ή εκ των υστέρων. Οι συνήθεις αμερικανικοί πάροχοι ηλεκτρονικού ταχυδρομείου, όπως η Google και η Yahoo, διαβιβάζουν τα δεδομένα σε διακομιστές στις ΗΠΑ ή αλλού, ή σε υπεργολάβους ή θυγατρικές εταιρείες, οι οποίοι με τη σειρά τους επεξεργάζονται και διαβιβάζουν τις πληροφορίες στους υπεργολάβους και τις θυγατρικές τους εταιρείες. Για τους χρήστες, το σκέλος της επεξεργασίας δεδομένων δεν είναι διαφανές.
Εάν, για παράδειγμα, οι αμερικανικές αρχές εμπλέκονται σε εξωτερικές έρευνες, οι πάροχοι υποχρεούνται να συνεργαστούν και πρέπει να διαβιβάσουν τις πληροφορίες και τα μηνύματα ηλεκτρονικού ταχυδρομείου στις αρχές. Τα υποκείμενα των δεδομένων δεν ενημερώνονται για τη διαβίβαση. Και στις δύο περιπτώσεις, η συνέπεια είναι ότι ευαίσθητες εσωτερικές πληροφορίες της εταιρείας διαβιβάζονται και υποβάλλονται σε επεξεργασία κατά τρόπο ανεξέλεγκτο.
Οι εργαζόμενοι χρησιμοποιούν επίσης μερικές φορές τις ιδιωτικές τους συσκευές, ανάλογα με τη δομή και τις πολιτικές πληροφορικής της εταιρείας. Είτε επειδή δεν χρειάζονται τελικές συσκευές, όπως φορητούς υπολογιστές και smartphones, για την εργασία τους είτε επειδή υπάρχει πολιτική "φέρτε τις δικές σας" είτε επειδή δεν ρυθμίζεται η χρήση ιδιωτικών τελικών συσκευών για εταιρικούς σκοπούς. Αυτό ενέχει υψηλό κίνδυνο για το υποκείμενο των δεδομένων. Στο παρελθόν, υπήρξαν επανειλημμένες υποθέσεις καταγγελίας με ποινικές συνέπειες για τον καταγγέλλοντα λόγω της μεταφοράς εταιρικών πληροφοριών στην ιδιωτική σφαίρα.
Τα δεδομένα διαβιβάστηκαν είτε φυσικά είτε ψηφιακά με σκοπό τη διαβίβαση σε εξωτερικούς φορείς αναφοράς ή στον Τύπο από το περιβάλλον της εταιρείας, μερικές φορές αφού το άτομο υπέστη αντίποινα λόγω εσωτερικής αναφοράς. Δεν έχει σημασία αν, για παράδειγμα, ένας ή περισσότεροι φάκελοι αρχείων μεταφέρονται φυσικά ή αν τα δεδομένα μεταφέρονται ψηφιακά σε εξωτερικά μέσα αποθήκευσης ή με ηλεκτρονικό ταχυδρομείο. Αυτό που έχει σημασία είναι η ίδια η μεταφορά. Επιπλέον, το πεδίο εφαρμογής των μεταφερόμενων δεδομένων είναι σχετικό.
Η μετάδοση δεδομένων μέσω των τελικών συσκευών της εταιρείας και από το δίκτυο της εταιρείας μπορεί να εντοπιστεί με διάφορες μεθόδους. Αυτό μπορεί να αποκαλύψει την ταυτότητα του ανώνυμου πληροφοριοδότη. Πιο ασφαλής είναι η χρήση του ψηφιακού λογισμικού καταγγελίας Smart Intergity Platfom από την DISS-CO και η εφαρμογή των σχετικών κατευθυντήριων γραμμών, οι οποίες, μεταξύ άλλων, απαγορεύουν την παρακολούθηση της χρήσης της συγκεκριμένης διεύθυνσης URL από την ΤΠ.
Εάν στην έκθεση επισυνάπτονται συνημμένα αρχεία, τα μεταδεδομένα μπορούν να χρησιμοποιηθούν για τον προσδιορισμό της ταυτότητας του ατόμου που παρέχει τις πληροφορίες. Τα μεταδεδομένα επισυνάπτονται σε κάθε αρχείο και παρέχουν, μεταξύ άλλων, πληροφορίες σχετικά με τον συγγραφέα, τους χρήστες και το ιστορικό του αρχείου. Εάν το άτομο που παρέχει τις πληροφορίες είναι αρκετά ικανό ώστε να αφαιρέσει ο ίδιος τα μεταδεδομένα, οι πληροφορίες δεν μπορούν να εντοπιστούν. Γνωρίζουμε από την πράξη ότι μόνο ένα μικρό ποσοστό των ατόμων που συνήθως αναφέρουν έχει τις τεχνικές γνώσεις ή είναι πρόθυμο να διαβάσει λεπτομερώς. Ως εκ τούτου, το λογισμικό ψηφιακής καταγγελίας της DISS-CO αφαιρεί αυτόματα τα μεταδεδομένα από τις ανώνυμες αναφορές.
Επιπλέον, για λόγους ασφαλείας, ορισμένες εταιρείες διαθέτουν τα λεγόμενα εργαλεία πρόληψης απώλειας δεδομένων (DLP) που μπορούν να καταγράφουν και να παρακολουθούν όλες τις ενέργειες. Τα εργαλεία DLP μπορούν να χρησιμοποιηθούν προληπτικά για την πρόληψη της κλοπής δεδομένων, αλλά είναι επίσης πολύ κατάλληλα για την παρακολούθηση των εργαζομένων και μπορούν να θέσουν σε κίνδυνο την ανωνυμία του καταγγέλλοντος. Οι καταγγέλλοντες καλό είναι να ενημερώνονται εκ των προτέρων για τη χρήση εργαλείων DLP, εάν επιθυμούν να χρησιμοποιήσουν το σύστημα καταγγελίας για ανώνυμη αναφορά.
Η χρήση μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου ως εσωτερικού καναλιού καταγγελίας προσφέρει πολλούς κινδύνους για την εταιρεία και τον καταγγέλλοντα. Οι ευαίσθητες πληροφορίες εντός της εταιρείας επεξεργάζονται και προωθούνται προς τα έξω με ανεξέλεγκτο τρόπο, θα μπορούσαν να χρησιμοποιηθούν καταχρηστικά και να προκαλέσουν οικονομική ζημία και ζημιά στη φήμη.
Οι πιθανές αρνητικές συνέπειες για τον καταγγέλλοντα μειώνουν την εμπιστοσύνη στο σύστημα καταγγελίας, γεγονός που οδηγεί σε χαμηλότερη χρήση του συστήματος καταγγελίας. Αυτό με τη σειρά του οδηγεί στο να παραμένουν οι παραβιάσεις ανεξιχνίαστες για μεγαλύτερο χρονικό διάστημα.
Με την εφαρμογή ενός ασφαλούς ψηφιακό σύστημα καταγγελίας όπως η Smart Integrity Platform της DISS-CO, οι εταιρείες και οι αρχές μπορούν να παρέχουν ασφάλεια στους πληροφοριοδότες και να αποκαλύπτουν τους κινδύνους σε πρώιμο στάδιο.
