Ett digitalt visselblåsarsystem är en rapporteringskanal som gör det möjligt för en visselblåsare att lämna information om överträdelser konfidentiellt eller anonymt. En sådan rapporteringskanal är en del av compliance management-systemet och används för att tidigt upptäcka regelöverträdelser och brottsliga handlingar.
Nationella lagar om skydd för visselblåsare baseras på EU-direktiv 2019/1937 Europaparlamentets och rådets förordning av den 23 oktober 2019 om skydd för personer som rapporterar överträdelser av unionsrätten, som måste införlivas i den nationella lagstiftningen i alla EU:s medlemsstater. Lagen om skydd för visselblåsare föreskriver att visselblåsare måste förses med lämpliga konfidentiella rapporteringskanaler.
Dessutom måste möjligheten till adekvat kommunikation mellan den interna rapporteringsenheten och visselblåsaren säkerställas. Det finns ett behov av en enkel och säker digital programvara för visselblåsning som å ena sidan uppfyller de rättsliga kraven och å andra sidan säkerställer skyddet av visselblåsaren samt en säker och dataskyddskonform behandling av känsliga uppgifter. Det lämpligaste sättet att uppfylla dessa krav är att använda anonym och digital programvara för visselblåsning.
Ett digitalt visselblåsarsystem gör det möjligt för en visselblåsare att skicka in en webbaserad rapport om en överträdelse anonymt eller konfidentiellt. Det som krävs är en webbläsare och en intakt internetanslutning.
Den så kallade SaaS (Software as a Service) är molnbaserad, kräver ingen installation på företagets slutenheter och möjliggör enkel och snabb implementering. Ytterligare fördelar är den minskade IT-administrationen, eftersom inga egna servrar behöver drivas och uppdateringar installeras. Programvaran säkerställer alltid åtkomst oberoende av enhet och plats. Datacenter som är certifierade enligt ISO 27001-standarden garanterar datasäkerhet genom ett professionellt IT-säkerhetshanteringssystem. Lagringsutrymmet kan utökas när som helst. Om kraven ändras kan programvaran justeras.
Den höga graden av flexibilitet, datasäkerhet och skydd av egna IT-resurser gör SaaS mycket attraktivt för företag och myndigheter.
DISS-CO:s digitala visselblåsarsystem är en säker programvara för digital visselblåsning med många valbara moduler, integrationer och anpassningsalternativ. Programvaran, som också kan användas som programvara för klagomålshantering, erbjuder instrumentpaneler och intuitiv ärendehantering som lagrar känsliga personuppgifter och ärenderelaterade data centralt, DSGVO-kompatibelt och omanipulerbart. Visselblåsaren kan välja att lämna in en anonym eller konfidentiell rapport. Genom krypterad och anonym kommunikation kan ytterligare information erhållas från visselblåsaren.
Genom att säkerställa anonymiteten i visselblåsarsystemet skapas också en enorm säkerhet och ett stort förtroende för den interna rapporteringsenheten och företaget. Genom att ta bort metadata i filbilagorna säkerställer visselblåsarsystemet teknisk anonymisering. Intern kommunikation samt kommunikation med konsulter kan också ske exklusivt och krypterat på plattformen. Detta minskar risken för dataläckage. Ett koncept med individuella behörigheter kan användas för att reglera åtkomsten inom organisationen.
Om det interna rapportkontoret är helt eller delvis outsourcat har de externa handläggarna tillgång till informationen via ett behörighetskoncept. Personer som hjälper till med att klargöra ett ärende kan enkelt och snabbt få tillgång till uppgiftshantering utan att behöva se hela ärendet. På så sätt kan den person som ansvarar för ärendet alltid ha en överblick över uppgifterna och definiera tidsfrister och beroenden. Dessutom ger en Kanban-tavla en överblick över statusen för väntande och pågående uppgifter. Av revisionssäkerhetsskäl registreras all information och kan inte ändras förrän hela ärendet har raderats. Programvaran påminner också om de lagstadgade tidsfristerna.
Den centrala, säkra och okontrollerbara hanteringen av information i samband med säker kommunikation med respekt för anonymiteten hos den person som lämnar informationen möjliggör en effektiv ärendehantering.
Många företag tillhandahåller fortfarande en allmän e-postadress för rapportering av överträdelser.
Om den som lämnar tipset vill vara anonym går det inte att komma runt ett anonymt e-postkonto. Att skapa ett e-postkonto hos en privat e-postleverantör är idag mycket enkelt och kostnadsfritt. Denna metod har dock flera nackdelar och risker.
Mejlen är oftast okrypterade, vilket innebär en säkerhetsrisk för företaget. Dessutom är medarbetarna i praktiken tvingade att skicka intern företagsinformation via en privat e-postleverantör. Den känsliga informationen kan avlyssnas under överföringen eller i efterhand. De vanliga amerikanska e-postleverantörerna, t.ex. Google och Yahoo, överför uppgifterna till servrar i USA eller någon annanstans, eller till underleverantörer eller dotterbolag, som i sin tur bearbetar och överför information till sina underleverantörer och dotterbolag. För användarna är databehandlingen inte transparent.
Om t.ex. amerikanska myndigheter är inblandade i externa utredningar är leverantörerna skyldiga att samarbeta och måste överföra information och e-postmeddelanden till myndigheterna. De registrerade informeras inte om överföringen. I båda fallen blir konsekvensen att känslig intern företagsinformation förs vidare och behandlas på ett okontrollerat sätt.
Medarbetarna använder ibland också sina privata enheter, beroende på företagets struktur och IT-policy. Antingen för att de inte behöver slutenheter som bärbara datorer och smartphones för sitt arbete eller för att det finns en "ta med dig själv"-policy eller för att användningen av privata slutenheter för företagsändamål inte är reglerad. Detta innebär en hög risk för den registrerade. Tidigare har det förekommit upprepade visselblåsarfall med straffrättsliga konsekvenser för visselblåsaren på grund av att företagsinformation har överförts till den privata sfären.
Uppgifterna har överförts antingen fysiskt eller digitalt i syfte att överföras till externa rapporteringsorgan eller till pressen från företagets miljö, ibland efter att personen utsatts för repressalier på grund av en intern rapport. Det är inte relevant om t.ex. en eller flera filmappar överförs fysiskt eller om uppgifterna överförs digitalt till externa lagringsmedier eller via e-post. Det som är relevant är själva överföringen. Dessutom är omfattningen av de överförda uppgifterna relevant.
Dataöverföringar via företagets slutenheter och från företagets nätverk kan spåras med olika metoder. Detta kan avslöja identiteten på den anonyma visselblåsaren. Säkrare är användningen av den digitala visselblåsarprogramvaran Smart Intergity Platfom av DISS-CO och tillämpningen av de tillhörande riktlinjerna, som bland annat förbjuder spårning av användningen av den specifika webbadressen av IT.
Om filbilagor bifogas till rapporten kan metadata användas för att fastställa identiteten på den person som tillhandahåller informationen. Metadata bifogas varje fil och ger bland annat information om upphovsmannen, användarna och filens historik. Om den person som tillhandahåller informationen är tillräckligt skicklig för att själv ta bort metadata kan informationen inte spåras. Vi vet från praktiken att endast en liten andel av de personer som brukar rapportera har den tekniska kunskapen eller är villiga att läsa in sig på den i detalj. Därför tar DISS-CO:s digitala visselblåsarprogramvara automatiskt bort metadata från anonyma rapporter.
Av säkerhetsskäl har vissa företag dessutom så kallade DLP-verktyg (Data Loss Prevention) som kan registrera och övervaka alla åtgärder. DLP-verktyg kan användas i förebyggande syfte för att förhindra datastöld, men de är också mycket lämpliga för övervakning av anställda och kan äventyra visselblåsarens anonymitet. Visselblåsare gör klokt i att i förväg informera sig om användningen av DLP-verktyg om de vill använda visselblåsarsystemet för anonym rapportering.
Att använda en e-postadress som en intern visselblåsarkanal innebär många risker för företaget och visselblåsaren. Känslig information inom företaget behandlas och vidarebefordras externt på ett okontrollerat sätt, kan missbrukas och orsaka ekonomisk skada och skada på företagets anseende.
De eventuella negativa konsekvenserna för visselblåsaren minskar förtroendet för visselblåsarsystemet, vilket leder till att visselblåsarsystemet används i mindre utsträckning. Detta leder i sin tur till att överträdelser förblir oupptäckta under längre tid.
Genom att implementera en säker digitalt visselblåsarsystem som DISS-CO:s Smart Integrity Platform, kan företag och myndigheter ge visselblåsare trygghet och upptäcka risker i ett tidigt skede.
