Een digitaal klokkenluidersysteem is een meldkanaal dat een klokkenluider in staat stelt om informatie over overtredingen vertrouwelijk of anoniem door te geven. Een dergelijk meldkanaal maakt deel uit van het compliance managementsysteem en dient voor de vroegtijdige opsporing van overtredingen van regels en strafbare feiten.
Nationale wetten ter bescherming van klokkenluiders zijn gebaseerd op EU-richtlijn 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 betreffende de bescherming van personen die inbreuken op het recht van de Unie melden, die moest worden omgezet in het nationale recht van alle EU-lidstaten. De Klokkenluidersbeschermingswet bepaalt dat klokkenluiders moeten kunnen beschikken over passende vertrouwelijke meldingskanalen.
Bovendien moet de mogelijkheid van adequate communicatie tussen het interne meldpunt en de klokkenluider worden gewaarborgd. Er is behoefte aan eenvoudige en veilige digitale klokkenluidersoftware die enerzijds voldoet aan de wettelijke vereisten en anderzijds de bescherming van de klokkenluider en de veilige en gegevensbeschermingsconforme verwerking van gevoelige gegevens garandeert. De meest geschikte manier om aan deze eisen te voldoen is het gebruik van anonieme en digitale klokkenluidersoftware.
Met een digitaal klokkenluidersysteem kan een klokkenluider een webgebaseerde melding van een schending anoniem of vertrouwelijk indienen. De vereisten zijn een browser en een intacte internetverbinding.
De zogenaamde SaaS (Software as a Service) is cloudgebaseerd, hoeft niet te worden geïnstalleerd op de eindapparaten van het bedrijf en maakt een eenvoudige en snelle implementatie mogelijk. Andere voordelen zijn de verminderde IT-beheersinspanning, omdat er geen eigen servers hoeven te worden beheerd en updates hoeven te worden geïnstalleerd. De software zorgt altijd voor apparaat- en locatieonafhankelijke toegang. Datacenters die gecertificeerd zijn volgens de ISO 27001-norm garanderen gegevensbeveiliging via een professioneel IT-beveiligingsbeheersysteem. Opslagruimte kan op elk moment worden uitgebreid. Als de eisen veranderen, kan de software worden aangepast.
De hoge mate van flexibiliteit, gegevensbeveiliging en bescherming van interne IT-middelen maken SaaS zeer aantrekkelijk voor bedrijven en overheidsinstanties.
Het digitale klokkenluidersysteem van DISS-CO is een veilige digitale klokkenluidersoftware met veel selecteerbare modules, integraties en aanpassingsmogelijkheden. De software, die ook kan worden gebruikt als klachtmanagementsoftware, biedt dashboards en intuïtief casemanagement waarin gevoelige persoonlijke en casusgerelateerde gegevens centraal, DSGVO-compliant en onmanipuleerbaar worden opgeslagen. De klokkenluider heeft de keuze om een anonieme of vertrouwelijke melding in te dienen. Via versleutelde en anonieme communicatie kan verdere informatie van de klokkenluider worden verkregen.
Het waarborgen van de anonimiteit van het klokkenluidersysteem creëert ook een enorme veiligheid en vertrouwen in het interne meldpunt en het bedrijf. Door de metadata van de bestandsbijlagen te verwijderen, zorgt het klokkenluidersysteem voor technische anonimisering. Interne communicatie en communicatie met adviseurs kan ook uitsluitend en versleuteld plaatsvinden op het platform. Dit vermindert het risico op gegevenslekken. Een individueel autorisatieconcept kan worden gebruikt om de toegang binnen de organisatie te regelen.
Als het interne meldpunt geheel of gedeeltelijk is uitbesteed, hebben de externe medewerkers toegang tot de informatie via een autorisatieconcept. Personen die helpen bij het ophelderen van een zaak kunnen eenvoudig en snel toegang krijgen voor taakbeheer zonder de hele zaak te hoeven bekijken. Hierdoor kan de verantwoordelijke voor de case te allen tijde het overzicht over de taken behouden en deadlines en afhankelijkheden definiëren. Daarnaast biedt een Kanban-bord een overzicht van de status van lopende en nog uit te voeren taken. Voor de controleveiligheid wordt alle informatie vastgelegd en kan deze niet worden gewijzigd totdat de hele zaak definitief is verwijderd. De software herinnert ook aan de wettelijke deadlines.
De centrale, veilige en onmanipuleerbare verwerking van informatie in verband met beveiligde communicatie met inachtneming van de anonimiteit van de persoon die de informatie verstrekt, maakt een efficiënte verwerking van zaken mogelijk.
Veel bedrijven geven nog steeds een algemeen e-mailadres voor het melden van inbreuken.
Als de tipgever anoniem wil blijven, kun je niet om een anoniem e-mailaccount heen. Een e-mailaccount aanmaken bij een particuliere e-mailprovider is tegenwoordig heel eenvoudig en gratis. Deze methode heeft echter verschillende nadelen en risico's.
De e-mails zijn meestal onversleuteld, wat een veiligheidsrisico vormt voor het bedrijf. Bovendien worden werknemers praktisch gedwongen om interne bedrijfsinformatie te verzenden via een privé e-mailprovider. De gevoelige informatie kan tijdens de verzending of daarna worden afgeluisterd. De gebruikelijke e-mailproviders in de VS, zoals Google en Yahoo, sturen de gegevens door naar servers in de VS of elders, of naar onderaannemers of filialen, die op hun beurt de informatie verwerken en doorsturen naar hun onderaannemers en filialen. Voor gebruikers is de gegevensverwerking niet transparant.
Als bijvoorbeeld Amerikaanse autoriteiten betrokken zijn bij externe onderzoeken, zijn de providers verplicht om mee te werken en moeten ze de informatie en e-mails aan de autoriteiten doorgeven. De betrokkenen worden niet geïnformeerd over de overdracht. In beide gevallen is het gevolg dat gevoelige interne bedrijfsinformatie ongecontroleerd wordt doorgegeven en verwerkt.
Werknemers gebruiken soms ook hun eigen apparaten, afhankelijk van de structuur en het IT-beleid van het bedrijf. Ofwel omdat ze eindapparaten zoals laptops en smartphones niet nodig hebben voor hun werk, ofwel omdat er een bring-your-own beleid is, ofwel omdat het gebruik van privé eindapparaten voor bedrijfsdoeleinden niet is geregeld. Dit vormt een groot risico voor de betrokkene. In het verleden zijn er herhaaldelijk klokkenluiderszaken geweest met strafrechtelijke gevolgen voor de klokkenluider als gevolg van de overdracht van bedrijfsinformatie naar de privésfeer.
De gegevens werden fysiek of digitaal overgedragen om vanuit de bedrijfsomgeving te worden doorgegeven aan externe meldingsinstanties of aan de pers, soms nadat de persoon represailles had gekregen vanwege een interne melding. Het is niet relevant of bijvoorbeeld een of meer bestandsmappen fysiek zijn overgedragen of dat de gegevens digitaal zijn overgedragen naar externe opslagmedia of per e-mail. Wat relevant is, is de overdracht zelf. Daarnaast is de reikwijdte van de overgedragen gegevens relevant.
Datatransmissies via eindapparaten van het bedrijf en vanaf het bedrijfsnetwerk kunnen met verschillende methoden worden getraceerd. Dit kan de identiteit van de anonieme klokkenluider onthullen. Veiliger is het gebruik van de digitale klokkenluidersoftware Smart Intergity Platfom van DISS-CO en de toepassing van de bijbehorende richtlijnen, die onder andere het traceren van het gebruik van de specifieke URL door IT verbieden.
Als er bestandsbijlagen bij het rapport zijn gevoegd, kunnen de metagegevens worden gebruikt om de identiteit te bepalen van de persoon die de informatie heeft verstrekt. De metagegevens worden aan elk bestand gekoppeld en geven onder andere informatie over de auteur, de gebruikers en de geschiedenis van het bestand. Als de persoon die de informatie verstrekt vaardig genoeg is om de metadata zelf te verwijderen, kan de informatie niet worden achterhaald. Uit de praktijk weten we dat slechts een klein percentage van de mensen die meestal rapporteren over de technische kennis beschikt of bereid is zich er in te verdiepen. Daarom verwijdert de digitale klokkenluidersoftware van DISS-CO automatisch de metadata van anonieme meldingen.
Daarnaast hebben sommige bedrijven om veiligheidsredenen zogenaamde DLP-tools (Data Loss Prevention) die alle handelingen kunnen registreren en controleren. DLP-tools kunnen preventief worden gebruikt om gegevensdiefstal te voorkomen, maar ze zijn ook zeer geschikt voor het monitoren van werknemers en kunnen de anonimiteit van de klokkenluider in gevaar brengen. Klokkenluiders doen er goed aan zich vooraf te informeren over het gebruik van DLP-tools als ze het klokkenluidersysteem willen gebruiken voor anonieme meldingen.
Het gebruik van een e-mailadres als intern klokkenluiderskanaal brengt veel risico's met zich mee voor het bedrijf en de klokkenluider. Gevoelige informatie binnen het bedrijf wordt ongecontroleerd verwerkt en doorgestuurd naar buiten, kan misbruikt worden en financiële en reputatieschade veroorzaken.
De mogelijke negatieve gevolgen voor de klokkenluider verminderen het vertrouwen in het klokkenluidersysteem, wat leidt tot een lager gebruik van het klokkenluidersysteem. Dit leidt er weer toe dat schendingen langer onopgemerkt blijven.
Door een veilige digitaal klokkenluidersysteem zoals het Smart Integrity Platform van DISS-CO, kunnen bedrijven en overheden klokkenluiders zekerheid bieden en risico's in een vroeg stadium ontdekken.
