En webbaserad programvara för visselblåsning gör det möjligt för en visselblåsare att skicka in en överträdelserapport digitalt, anonymt eller konfidentiellt. En webbläsare och en intakt internetanslutning krävs.
DISS-CO:s webbaserade visselblåsarsystem är en säker lösning med många valbara moduler, integrationer och anpassningsmöjligheter. Whistleblower-mjukvaran, som också kan användas som klagomålshantering mjukvaran, erbjuder instrumentpaneler och intuitiv ärendehantering som lagrar känsliga personuppgifter och ärenderelaterade data centralt, är GDPR-kompatibel och omöjlig att manipulera. Krypterad kommunikation gör det möjligt att få ytterligare information från visselblåsaren, som kan välja mellan anonym och konfidentiell rapportering.
Anonymiteten i visselblåsarsystemet är avgörande och bygger upp förtroende. Genom att ta bort metadata i filbilagorna säkerställer visselblåsarsystemet teknisk anonymisering. Intern kommunikation, liksom kommunikation med rådgivare, kan också ske uteslutande på plattformen i krypterad form. Detta minskar risken för dataläckage. Ett koncept med individuella behörigheter kan användas för att reglera åtkomsten inom organisationen.
Om den interna rapporteringsfunktionen är helt eller delvis outsourcad har extern personal tillgång till informationen via ett behörighetskoncept. Personer som hjälper till med att utreda ett ärende kan enkelt och snabbt få tillstånd för uppgiftshantering utan att behöva se hela ärendet. På så sätt kan den person som ansvarar för ärendet alltid ha en överblick över uppgifterna och definiera tidsfrister och beroenden. Dessutom ger en Kanban-tavla en överblick över statusen för väntande och pågående uppgifter.
Av revisionsskäl registreras all information och kan inte ändras förrän hela ärendet har raderats. Programvaran påminner också om de lagstadgade tidsfristerna.
Den centrala, säkra och okontrollerbara hanteringen av information i samband med säker kommunikation med respekt för anonymiteten hos den person som lämnar informationen möjliggör en effektiv ärendehantering.
Den så kallade SaaS (Software as a Service) är molnbaserad, kräver ingen installation på företagets slutenheter och möjliggör enkel och snabb implementering. Ytterligare fördelar är den minskade IT-administrationen, eftersom inga egna servrar behöver drivas och uppdateringar installeras. Programvaran säkerställer alltid åtkomst oberoende av enhet och plats.
Datacenter som är certifierade enligt ISO 27001-standarden garanterar datasäkerhet genom ett professionellt IT-säkerhetshanteringssystem. Lagringsutrymmet kan utökas när som helst. Om kraven ändras kan programvaran justeras.
Den höga graden av flexibilitet, datasäkerhet och skydd av egna IT-resurser gör SaaS mycket attraktivt för företag och myndigheter.
Många företag tillhandahåller fortfarande en allmän e-postadress för rapportering av överträdelser.
Om den som lämnar tipset vill vara anonym går det inte att komma runt ett anonymt e-postkonto. Att skapa ett e-postkonto hos en privat e-postleverantör är idag mycket enkelt och kostnadsfritt. Denna metod har dock flera nackdelar och risker.
Mejlen är oftast okrypterade, vilket innebär en säkerhetsrisk för företaget. Dessutom är medarbetarna i praktiken tvungna att skicka intern företagsinformation via en privat e-postleverantör. Den känsliga informationen kan avlyssnas under överföringen eller i efterhand.
De vanliga amerikanska e-postleverantörerna, t.ex. Google och Yahoo, överför uppgifterna till servrar i USA eller någon annanstans, eller till underleverantörer eller dotterbolag, som i sin tur behandlar och överför information till sina underleverantörer och dotterbolag. För användarna är det inte transparent hur databehandlingen går till. Om t.ex. amerikanska myndigheter är inblandade i externa utredningar är leverantörerna skyldiga att samarbeta och måste vidarebefordra information och e-postmeddelanden till myndigheterna. De registrerade informeras inte om överföringen. I båda fallen blir konsekvensen att känslig företagsintern information förs vidare och behandlas på ett okontrollerat sätt.
Medarbetarna använder ibland också sina privata enheter, beroende på företagets struktur och IT-policy. Antingen för att de inte behöver slutenheter som bärbara datorer och smartphones för sitt arbete eller för att det finns en policy om att ta med egna enheter eller för att användningen av privata slutenheter för företagsändamål inte är reglerad. Detta innebär en hög risk för den registrerade. Tidigare har det upprepade gånger förekommit visselblåsarfall med straffrättsliga konsekvenser för visselblåsaren på grund av att företagsinformation har överförts till den privata sfären.
Uppgifterna har överförts antingen fysiskt eller digitalt i syfte att överföras till externa rapporteringsorgan eller till pressen från företagets miljö, ibland efter att personen utsatts för repressalier på grund av en intern rapport. Det är inte relevant om t.ex. en eller flera filmappar överförs fysiskt eller om uppgifterna överförs digitalt till externa lagringsmedier eller via e-post. Det som är relevant är själva överföringen. Dessutom är omfattningen av de överförda uppgifterna relevant.
Dataöverföringar via företagets slutenheter och från företagets nätverk kan spåras med olika metoder. Detta kan avslöja identiteten på den anonyma visselblåsaren. Säkrare är användningen av den webbaserade visselblåsarprogramvaran Smart Intergity Platfom av DISS-CO och tillämpningen av de tillhörande riktlinjerna, som bland annat förbjuder spårning av användningen av den specifika URL:en av IT.
Om filbilagor bifogas till rapporten kan visselblåsarens identitet identifieras via metadata. Metadata bifogas varje fil och ger information om upphovsmannen, användarna och filens historik. Om visselblåsaren är tillräckligt skicklig för att själv ta bort metadata kan informationen inte spåras. Vi vet från praktiken att endast en liten andel av de personer som brukar rapportera visselblåsning har den tekniska kunskapen eller är villiga att läsa på i detalj. Därför tar DISS-CO:s programvara för visselblåsning automatiskt bort metadata från anonyma rapporter.
Av säkerhetsskäl har vissa företag dessutom så kallade DLP-verktyg (Data Loss Prevention) på plats som kan registrera och övervaka alla åtgärder. DLP-verktyg kan användas i förebyggande syfte för att undvika datastöld, men de är också mycket lämpliga för övervakning av anställda och kan äventyra visselblåsarens anonymitet. Visselblåsare gör klokt i att i förväg informera sig om användningen av DLP-verktyg om de vill använda visselblåsarsystemet för anonym rapportering.
Att använda en e-postadress som en intern visselblåsarkanal innebär många risker för företaget och den visselblåsare. Känslig information inom företaget behandlas och vidarebefordras externt på ett okontrollerat sätt, kan missbrukas och orsaka ekonomisk skada och skada på anseendet. De eventuella negativa konsekvenserna för visselblåsaren minskar förtroendet för visselblåsarsystemet, vilket leder till att visselblåsarsystemet används i mindre utsträckning. Detta leder i sin tur till att överträdelser förblir oupptäckta under längre tid.
Genom att implementera ett säkert webbaserat visselblåsarsystem som DISS-CO:s Smart Integrity Platform kan företag och myndigheter ge visselblåsare trygghet och upptäcka risker på ett tidigt stadium.
Boka en gratis demo nu och få råd från våra experter.
DISS-CO® är ett innovativt legal tech-företag med starkt fokus på hållbarhet, risk och efterlevnad.
