Ένα σύστημα καταγγελίας είναι ένα κανάλι αναφοράς που επιτρέπει σε έναν καταγγέλλοντα να υποβάλει πληροφορίες σχετικά με παραβιάσεις εμπιστευτικά ή ανώνυμα. Ένα τέτοιο κανάλι αναφοράς αποτελεί μέρος του συστήματος διαχείρισης της συμμόρφωσης και εξυπηρετεί τον έγκαιρο εντοπισμό παραβάσεων κανόνων και ποινικών αδικημάτων.
Ο νόμος για την προστασία των πληροφοριοδοτών (HinSchG) ψηφίστηκε από την Bundestag στις 16 Δεκεμβρίου 2022. Ο HinSchG ορίζει ότι ο πληροφοριοδότης πρέπει να έχει στη διάθεσή του κατάλληλους διαύλους ανώνυμης αναφοράς. Επιπλέον, πρέπει να διασφαλίζεται η δυνατότητα κατάλληλης επικοινωνίας μεταξύ του εσωτερικού γραφείου αναφοράς και του ανώνυμου πληροφοριοδότη. Υπάρχει ανάγκη για ένα απλό και ασφαλές σύστημα καταγγελίας, το οποίο, αφενός, να πληροί τις νομικές απαιτήσεις και, αφετέρου, να διασφαλίζει την προστασία του καταγγέλλοντος καθώς και την ασφαλή και σύμφωνη με την προστασία των δεδομένων επεξεργασία των ευαίσθητων δεδομένων. Ο καταλληλότερος τρόπος για την ικανοποίηση αυτών των απαιτήσεων είναι η εφαρμογή ενός ανώνυμου και ψηφιακού συστήματος καταγγελίας.
Μια ψηφιακή σύστημα καταγγελιών επιτρέπει στον καταγγέλλοντα να υποβάλει διαδικτυακή αναφορά παραβίασης ανώνυμα ή εμπιστευτικά. Οι απαιτήσεις είναι ένα πρόγραμμα περιήγησης και μια άθικτη σύνδεση στο διαδίκτυο.
Το λεγόμενο SaaS (Software as a Service) βασίζεται στο σύννεφο, δεν απαιτεί εγκατάσταση στις τελικές συσκευές της εταιρείας και επιτρέπει την απλή και γρήγορη εφαρμογή. Περαιτέρω πλεονεκτήματα είναι η μειωμένη προσπάθεια διαχείρισης της ΤΠ, καθώς δεν χρειάζεται να λειτουργούν δικοί της διακομιστές και να εγκαθίστανται ενημερώσεις. Το λογισμικό διασφαλίζει πρόσβαση ανεξαρτήτως συσκευής και τοποθεσίας ανά πάσα στιγμή. Τα κέντρα δεδομένων που είναι πιστοποιημένα σύμφωνα με το πρότυπο ISO 27001 εγγυώνται την ασφάλεια των δεδομένων μέσω ενός επαγγελματικού συστήματος διαχείρισης ασφάλειας ΤΠ. Ο αποθηκευτικός χώρος μπορεί να επεκταθεί ανά πάσα στιγμή. Εάν οι απαιτήσεις αλλάξουν, μπορούν να γίνουν προσαρμογές στο λογισμικό.
Ο υψηλός βαθμός ευελιξίας, η ασφάλεια των δεδομένων και η προστασία των εσωτερικών πόρων ΤΠ καθιστούν το SaaS πολύ ελκυστικό για τις εταιρείες και τις δημόσιες αρχές.
Το ψηφιακό σύστημα καταγγελίας της DISS-CO είναι ένα ασφαλές διαδικτυακό λογισμικό καταγγελίας με πολλές επιλέξιμες ενότητες, ενσωματώσεις και επιλογές προσαρμογής. Το λογισμικό, το οποίο μπορεί επίσης να χρησιμοποιηθεί ως λογισμικό διαχείρισης καταγγελιών, προσφέρει πίνακες ελέγχου και διαισθητική διαχείριση υποθέσεων που αποθηκεύει ευαίσθητα προσωπικά δεδομένα και δεδομένα που σχετίζονται με την υπόθεση κεντρικά, σύμφωνα με τον DSGVO και μη χειραγωγήσιμα. Ο καταγγέλλων έχει την επιλογή να υποβάλει ανώνυμη ή εμπιστευτική αναφορά. Μέσω κρυπτογραφημένης και ανώνυμης επικοινωνίας, όπως απαιτείται από τον HinSchG, μπορούν να ληφθούν περαιτέρω πληροφορίες από τον καταγγέλλοντα. Η διασφάλιση της ανωνυμίας του συστήματος αναφοράς δημιουργεί επίσης τεράστια ασφάλεια και εμπιστοσύνη στο εσωτερικό γραφείο αναφοράς και στην εταιρεία. Αφαιρώντας τα μεταδεδομένα των συνημμένων αρχείων, το σύστημα καταγγελίας εξασφαλίζει τεχνική ανωνυμία. Η εσωτερική επικοινωνία καθώς και η επικοινωνία με τους συμβούλους μπορεί επίσης να πραγματοποιείται αποκλειστικά και κρυπτογραφημένα στην πλατφόρμα. Αυτό μειώνει τον κίνδυνο διαρροής δεδομένων. Για τη ρύθμιση της πρόσβασης εντός του οργανισμού μπορεί να χρησιμοποιηθεί μια έννοια ατομικής εξουσιοδότησης. Εάν το εσωτερικό γραφείο αναφοράς έχει ανατεθεί εν μέρει ή εξ ολοκλήρου σε εξωτερικούς συνεργάτες, οι εξωτερικοί συνεργάτες έχουν πρόσβαση στις πληροφορίες μέσω μιας έννοιας εξουσιοδότησης. Τα άτομα που βοηθούν στη διευκρίνιση μιας υπόθεσης μπορούν εύκολα και γρήγορα να αποκτήσουν πρόσβαση για τη διαχείριση εργασιών χωρίς να χρειάζεται να δουν ολόκληρη την υπόθεση. Αυτό επιτρέπει στον υπεύθυνο της υπόθεσης να διατηρεί ανά πάσα στιγμή την επισκόπηση των εργασιών και να ορίζει προθεσμίες και εξαρτήσεις. Επιπλέον, ένας πίνακας Kanban παρέχει μια επισκόπηση της κατάστασης των εκκρεμών και εν εξελίξει εργασιών. Για την ασφάλεια του ελέγχου, όλες οι πληροφορίες καταγράφονται και δεν μπορούν να αλλάξουν μέχρι την τελική διαγραφή ολόκληρης της υπόθεσης. Το λογισμικό υπενθυμίζει επίσης τις νομικές προθεσμίες.
Η κεντρική, ασφαλής και μη χειραγωγήσιμη επεξεργασία πληροφοριών σε συνδυασμό με την ασφαλή επικοινωνία, με σεβασμό της ανωνυμίας του προσώπου που παρέχει τις πληροφορίες, επιτρέπει την αποτελεσματική επεξεργασία των υποθέσεων.
Πολλές εταιρείες εξακολουθούν να παρέχουν μια γενική διεύθυνση ηλεκτρονικού ταχυδρομείου για την αναφορά παραβιάσεων.
Εάν το άτομο που παρέχει την πληροφορία θέλει να παραμείνει ανώνυμο, δεν υπάρχει τρόπος να παρακάμψετε έναν ανώνυμο λογαριασμό ηλεκτρονικού ταχυδρομείου. Η δημιουργία λογαριασμού ηλεκτρονικού ταχυδρομείου σε ιδιωτικό πάροχο ηλεκτρονικού ταχυδρομείου είναι πολύ εύκολη και δωρεάν στις μέρες μας. Ωστόσο, η μέθοδος αυτή έχει αρκετά μειονεκτήματα και κινδύνους.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι συνήθως μη κρυπτογραφημένα, γεγονός που δημιουργεί κίνδυνο για την ασφάλεια της εταιρείας. Επιπλέον, οι εργαζόμενοι είναι πρακτικά αναγκασμένοι να μεταδίδουν εσωτερικές πληροφορίες της εταιρείας μέσω ενός ιδιωτικού παρόχου ηλεκτρονικού ταχυδρομείου. Οι ευαίσθητες πληροφορίες θα μπορούσαν να υποκλαπούν κατά τη διάρκεια της μετάδοσης ή εκ των υστέρων. Οι συνήθεις αμερικανικοί πάροχοι ηλεκτρονικού ταχυδρομείου, όπως η Google και η Yahoo, διαβιβάζουν τα δεδομένα σε διακομιστές στις ΗΠΑ ή αλλού, ή σε υπεργολάβους ή θυγατρικές εταιρείες, οι οποίοι με τη σειρά τους επεξεργάζονται και διαβιβάζουν τις πληροφορίες στους υπεργολάβους και τις θυγατρικές τους εταιρείες. Για τους χρήστες, το σκέλος της επεξεργασίας δεδομένων δεν είναι διαφανές. Εάν, για παράδειγμα, οι αρχές των ΗΠΑ εμπλέκονται σε εξωτερικές έρευνες, οι πάροχοι υποχρεούνται να συνεργαστούν και πρέπει να διαβιβάσουν τις πληροφορίες και τα μηνύματα ηλεκτρονικού ταχυδρομείου στις αρχές. Τα υποκείμενα των δεδομένων δεν ενημερώνονται για τη διαβίβαση. Και στις δύο περιπτώσεις, η συνέπεια είναι ότι ευαίσθητες εσωτερικές πληροφορίες της εταιρείας διαβιβάζονται και υποβάλλονται σε επεξεργασία με ανεξέλεγκτο τρόπο.
Οι εργαζόμενοι χρησιμοποιούν επίσης μερικές φορές τις ιδιωτικές τους συσκευές, ανάλογα με τη δομή και τις πολιτικές πληροφορικής της εταιρείας. Είτε επειδή δεν χρειάζονται τελικές συσκευές, όπως φορητούς υπολογιστές και smartphones, για την εργασία τους είτε επειδή υπάρχει πολιτική "φέρτε τις δικές σας" είτε επειδή δεν ρυθμίζεται η χρήση ιδιωτικών τελικών συσκευών για εταιρικούς σκοπούς. Αυτό ενέχει υψηλό κίνδυνο για το υποκείμενο των δεδομένων. Στο παρελθόν, υπήρξαν επανειλημμένες υποθέσεις καταγγελίας με ποινικές συνέπειες για τον καταγγέλλοντα λόγω της μεταφοράς εταιρικών πληροφοριών στην ιδιωτική σφαίρα. Τα δεδομένα μεταφέρθηκαν είτε φυσικά είτε ψηφιακά με σκοπό τη διαβίβαση σε εξωτερικούς φορείς αναφοράς ή στον Τύπο από το περιβάλλον της εταιρείας, μερικές φορές αφού το άτομο υπέστη αντίποινα λόγω εσωτερικής αναφοράς. Δεν έχει σημασία αν, για παράδειγμα, ένας ή περισσότεροι φάκελοι αρχείων μεταφέρονται φυσικά ή αν τα δεδομένα μεταφέρονται ψηφιακά σε εξωτερικά μέσα αποθήκευσης ή με ηλεκτρονικό ταχυδρομείο. Αυτό που έχει σημασία είναι η ίδια η μεταφορά. Επιπλέον, το πεδίο εφαρμογής των μεταφερόμενων δεδομένων είναι σχετικό.
Η μετάδοση δεδομένων μέσω των τελικών συσκευών της εταιρείας και από το δίκτυο της εταιρείας μπορεί να εντοπιστεί με διάφορες μεθόδους. Αυτό μπορεί να αποκαλύψει την ταυτότητα του ανώνυμου πληροφοριοδότη. Πιο ασφαλής είναι η χρήση του διαδικτυακού λογισμικού καταγγελίας Smart Intergity Platfom από την DISS-CO και η εφαρμογή των σχετικών κατευθυντήριων γραμμών, οι οποίες, μεταξύ άλλων, απαγορεύουν την παρακολούθηση της χρήσης της συγκεκριμένης διεύθυνσης URL από την ΤΠ.
Εάν στην έκθεση επισυνάπτονται συνημμένα αρχεία, τα μεταδεδομένα μπορούν να χρησιμοποιηθούν για τον προσδιορισμό της ταυτότητας του ατόμου που παρέχει τις πληροφορίες. Τα μεταδεδομένα επισυνάπτονται σε κάθε αρχείο και παρέχουν πληροφορίες σχετικά με τον συντάκτη, τους χρήστες και το ιστορικό του αρχείου, μεταξύ άλλων. Εάν το άτομο που παρέχει τις πληροφορίες είναι αρκετά ικανό ώστε να αφαιρέσει ο ίδιος τα μεταδεδομένα, οι πληροφορίες δεν μπορούν να εντοπιστούν. Γνωρίζουμε από την πράξη ότι μόνο ένα μικρό ποσοστό των ατόμων που συνήθως καταγγέλλουν καταγγελίες έχει τις τεχνικές γνώσεις ή είναι πρόθυμο να ενημερωθεί λεπτομερώς. Ως εκ τούτου, το λογισμικό καταγγελίας της DISS-CO αφαιρεί αυτόματα τα μεταδεδομένα από τις ανώνυμες αναφορές.
Επιπλέον, για λόγους ασφαλείας, ορισμένες εταιρείες διαθέτουν τα λεγόμενα εργαλεία πρόληψης απώλειας δεδομένων (DLP) που μπορούν να καταγράφουν και να παρακολουθούν όλες τις ενέργειες. Τα εργαλεία DLP μπορούν να χρησιμοποιηθούν προληπτικά για την πρόληψη της κλοπής δεδομένων, αλλά είναι επίσης πολύ κατάλληλα για την παρακολούθηση των εργαζομένων και μπορούν να θέσουν σε κίνδυνο την ανωνυμία του καταγγέλλοντος. Οι καταγγέλλοντες καλό είναι να ενημερώνονται εκ των προτέρων για τη χρήση εργαλείων DLP, εάν επιθυμούν να χρησιμοποιήσουν το σύστημα καταγγελίας για ανώνυμη αναφορά.
Η χρήση μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου ως εσωτερικού καναλιού καταγγελίας προσφέρει πολλούς κινδύνους για την εταιρεία και τον καταγγέλλοντα. Οι ευαίσθητες πληροφορίες εντός της εταιρείας επεξεργάζονται και προωθούνται προς τα έξω με ανεξέλεγκτο τρόπο, θα μπορούσαν να χρησιμοποιηθούν καταχρηστικά και να προκαλέσουν οικονομική ζημία και ζημιά στη φήμη. Οι πιθανές αρνητικές συνέπειες για τον καταγγέλλοντα μειώνουν την εμπιστοσύνη στο σύστημα καταγγελίας, γεγονός που οδηγεί σε χαμηλότερη χρήση του συστήματος καταγγελίας. Αυτό με τη σειρά του οδηγεί στο να παραμένουν οι παραβιάσεις για μεγαλύτερο χρονικό διάστημα απαρατήρητες.
Με την εφαρμογή ενός ασφαλούς διαδικτυακού συστήματος καταγγελιών, όπως το σύστημα DISS-CO Πλατφόρμα έξυπνης ακεραιότητας, οι εταιρείες και οι αρχές μπορούν να παρέχουν ασφάλεια στους πληροφοριοδότες και να αποκαλύπτουν τους κινδύνους σε πρώιμο στάδιο.
