Een webgebaseerde klokkenluidersoftware stelt een klokkenluider in staat om digitaal, anoniem of vertrouwelijk een overtreding te melden. Een browser en een intacte internetverbinding zijn vereist.
Het webgebaseerde klokkenluidersysteem van DISS-CO is een veilige oplossing met veel selecteerbare modules, integraties en aanpassingsmogelijkheden. De klokkenluidersoftware, die ook kan worden gebruikt als klachtenmanagement software, biedt dashboards en intuïtief casemanagement waarin gevoelige persoonlijke en casusgerelateerde gegevens centraal worden opgeslagen, voldoet aan de GDPR-richtlijnen en is niet te manipuleren. Dankzij versleutelde communicatie kan meer informatie worden verkregen van de klokkenluider, die kan kiezen tussen anoniem of vertrouwelijk melden.
De anonimiteit van het klokkenluidersysteem is essentieel en schept vertrouwen. Door de metadata van de bestandsbijlagen te verwijderen, zorgt het klokkenluidersysteem voor technische anonimisering. Interne communicatie en communicatie met adviseurs kan ook uitsluitend versleuteld op het platform plaatsvinden. Dit vermindert het risico op gegevenslekken. Een individueel autorisatieconcept kan worden gebruikt om de toegang binnen de organisatie te regelen.
Als het interne meldpunt geheel of gedeeltelijk is uitbesteed, heeft extern personeel toegang tot de informatie via een autorisatieconcept. Personen die helpen bij het onderzoeken van een zaak kunnen eenvoudig en snel een vergunning krijgen voor taakbeheer zonder de hele zaak te hoeven bekijken. Hierdoor kan de persoon die verantwoordelijk is voor de zaak te allen tijde overzicht houden over de taken en deadlines en afhankelijkheden definiëren. Bovendien biedt een Kanban-bord een overzicht van de status van lopende en nog niet afgehandelde taken.
Voor de controleveiligheid wordt alle informatie vastgelegd en kan deze niet worden gewijzigd totdat de hele zaak definitief is verwijderd. De software herinnert ook aan de wettelijke deadlines.
De centrale, veilige en onmanipuleerbare verwerking van informatie in verband met beveiligde communicatie met inachtneming van de anonimiteit van de persoon die de informatie verstrekt, maakt een efficiënte verwerking van zaken mogelijk.
De zogenaamde SaaS (Software as a Service) is cloudgebaseerd, hoeft niet te worden geïnstalleerd op de eindapparaten van het bedrijf en maakt een eenvoudige en snelle implementatie mogelijk. Andere voordelen zijn de verminderde IT-beheersinspanning, omdat er geen eigen servers hoeven te worden beheerd en updates hoeven te worden geïnstalleerd. De software garandeert altijd apparaat- en locatieonafhankelijke toegang.
Datacenters die gecertificeerd zijn volgens de ISO 27001-norm garanderen gegevensbeveiliging via een professioneel IT-beveiligingsbeheersysteem. De opslagruimte kan op elk moment worden uitgebreid. Als de eisen veranderen, kan de software worden aangepast.
De hoge mate van flexibiliteit, gegevensbeveiliging en bescherming van interne IT-middelen maken SaaS zeer aantrekkelijk voor bedrijven en overheidsinstanties.
Veel bedrijven geven nog steeds een algemeen e-mailadres voor het melden van overtredingen.
Als de tipgever anoniem wil blijven, kun je niet om een anoniem e-mailaccount heen. Een e-mailaccount aanmaken bij een particuliere e-mailprovider is tegenwoordig heel eenvoudig en gratis. Deze methode heeft echter verschillende nadelen en risico's.
De e-mails zijn meestal onversleuteld, wat een veiligheidsrisico vormt voor het bedrijf. Bovendien worden werknemers praktisch gedwongen om interne bedrijfsinformatie te verzenden via een privé e-mailprovider. De gevoelige informatie kan tijdens het verzenden of achteraf worden afgeluisterd.
De gebruikelijke e-mailproviders in de VS, zoals Google en Yahoo, sturen de gegevens door naar servers in de VS of elders, of naar onderaannemers of filialen, die op hun beurt de informatie verwerken en doorsturen naar hun onderaannemers en filialen. Voor gebruikers is de gegevensverwerking niet transparant. Als bijvoorbeeld Amerikaanse autoriteiten betrokken zijn bij externe onderzoeken, zijn de providers verplicht om mee te werken en moeten ze de informatie en e-mails aan de autoriteiten doorgeven. De betrokkenen worden niet geïnformeerd over de overdracht. In beide gevallen is het gevolg dat gevoelige interne bedrijfsinformatie ongecontroleerd wordt doorgegeven en verwerkt.
Werknemers gebruiken soms ook hun eigen apparaten, afhankelijk van de structuur en het IT-beleid van het bedrijf. Ofwel omdat ze eindapparaten zoals laptops en smartphones niet nodig hebben voor hun werk, ofwel omdat er een bring-your-own beleid is, ofwel omdat het gebruik van privé eindapparaten voor bedrijfsdoeleinden niet is geregeld. Dit vormt een groot risico voor de betrokkene. In het verleden zijn er herhaaldelijk klokkenluiderszaken geweest met strafrechtelijke gevolgen voor de klokkenluider als gevolg van de overdracht van bedrijfsinformatie naar de privésfeer.
De gegevens werden fysiek of digitaal overgedragen om vanuit de bedrijfsomgeving te worden doorgegeven aan externe meldingsinstanties of aan de pers, soms nadat de persoon represailles had gekregen vanwege een interne melding. Het is niet relevant of bijvoorbeeld een of meer bestandsmappen fysiek zijn overgedragen of dat de gegevens digitaal zijn overgedragen naar externe opslagmedia of per e-mail. Wat relevant is, is de overdracht zelf. Daarnaast is de reikwijdte van de overgedragen gegevens relevant.
Datatransmissies via eindapparaten van het bedrijf en vanaf het bedrijfsnetwerk kunnen met verschillende methoden worden getraceerd. Dit kan de identiteit van de anonieme klokkenluider onthullen. Veiliger is het gebruik van de webgebaseerde klokkenluidersoftware Smart Intergity Platfom van DISS-CO en de toepassing van de bijbehorende richtlijnen, die onder andere het traceren van het gebruik van de specifieke URL door IT verbieden.
Als er bestandsbijlagen bij het rapport zijn gevoegd, kan de identiteit van de klokkenluider worden achterhaald via de metagegevens. De metadata zijn bij elk bestand gevoegd en geven informatie over de auteur, de gebruikers en de geschiedenis van het bestand. Als de klokkenluider vaardig genoeg is om de metadata zelf te verwijderen, kan de informatie niet worden achterhaald. We weten uit de praktijk dat slechts een klein percentage van de mensen die klokkenluiders meestal melden over de technische kennis beschikken of bereid zijn zich er in te verdiepen. Daarom verwijdert de klokkenluidersoftware van DISS-CO automatisch de metadata van anonieme meldingen.
Daarnaast hebben sommige bedrijven om veiligheidsredenen zogenaamde DLP-tools (Data Loss Prevention) die alle handelingen kunnen registreren en controleren. DLP-tools kunnen preventief worden gebruikt om gegevensdiefstal te voorkomen, maar ze zijn ook zeer geschikt voor het monitoren van werknemers en kunnen de anonimiteit van de klokkenluider in gevaar brengen. Klokkenluiders doen er goed aan zich vooraf te informeren over het gebruik van DLP-tools als ze het klokkenluidersysteem willen gebruiken voor anonieme meldingen.
Het gebruik van een e-mailadres als intern klokkenluiderskanaal brengt veel risico's met zich mee voor het bedrijf en de klokkenluider. Gevoelige informatie binnen het bedrijf wordt op een ongecontroleerde manier verwerkt en extern doorgestuurd, kan misbruikt worden en financiële en reputatieschade veroorzaken. De mogelijke negatieve gevolgen voor de klokkenluider verminderen het vertrouwen in het klokkenluidersysteem, wat leidt tot een lager gebruik van het klokkenluidersysteem. Dit leidt er weer toe dat schendingen langer onopgemerkt blijven.
Door een veilig, webgebaseerd klokkenluidersysteem te implementeren, zoals het Smart Integrity Platform van DISS-CO, kunnen bedrijven en overheden klokkenluiders zekerheid bieden en risico's in een vroeg stadium ontdekken.
Boek nu een gratis demo en krijg advies van onze experts.
