Säker visselblåsning

september 3, 2020

Hur säkerställer vi adekvat person- och datasäkerhet vid visselblåsning? Detta är en av de största utmaningarna för företag som ska inrätta en visselblåsarfunktion. Därför har vi ägnat ett helt kapitel åt säkerhet kring visselblåsning i WhistleB:s nya handbok ABC-guiden för att etablera en visselblåsarfunktion som ökar kund- och medarbetarnöjdheten.

Den här artikeln är den fjärde i en artikelserie i vår sommarblogg i vilken vi publicerar utdrag ur den nya handboken. Handboken tar bland annat upp datasäkerhet, resurser, ärendehantering, juridiska aspekter, kultur m.m.

Säker visselblåsning – absoluta måsten när du ska välja leverantör

Att visselblåsningen är säker är ett måste eftersom pålitlighet är A och O när man har att göra med känslig data. Om du ska skapa förtroende måste både visselblåsare och anklagade skyddas vilket även gäller för känslig data. Detta kan åstadkommas genom säkra visselblåsarfunktioner.

Säker visselblåsning skyddar anonyma visselblåsare

Med utgångspunkt från många års kunderfarenhet vet vi att visselblåsares anonymitet måste skyddas om man ska få in affärskritisk information, och därigenom större värde från en visselblåsarfunktion. Enkelt uttryckt, om visselblåsare tillåts vara anonyma, ökar förtroendet för systemet och mer användbar information kommer sannolikt att rapporteras.

Alla visselblåsare som vill vara anonyma måste kunna lita på att visselblåsarfunktionen kan garantera deras anonymitet – hela vägen från rapportering, dialog, uppföljning, utredning till avslut. Säkra, teknikbaserade lösningar är ett sätt att säkerställa omfattande anonymitet. Vad krävs då för att en visselblåsarfunktion ska kunna garantera anonymiteten för en visselblåsare?

  • En extern visselblåsarfunktion som är skild från verksamhetens egen IT-miljö är en effektiv lösning och kan också vara det smidigaste sättet att komma igång. Visselblåsarfunktionen ska kunna garantera anonymiteten för visselblåsaren som inte ska gå att spåra genom företagets brandväggar. Därför ska du inte köra en visselblåsarfunktion i din egen IT-miljö, utan från en separat plattform.
  • Metadata som rör en visselblåsare ska inte spåras eller gå att spåra. Undvik att logga data som kan spåra en visselblåsare, till exempel IP-adresser.
  • Visselblåsarfunktionen ska innehålla en säker krypterad rapporteringskanal som gör det möjligt för visselblåsaren att förbli anonym även under den uppföljande dialogen. Detta gör det möjligt för ärendehanteraren att be om viktiga uppföljningsdata.

Anonymiteten måste säkerställas på teknisk väg.  Det räcker inte att garantera säkerheten i olika policydokument.

Säker visselblåsning skyddar känslig data

Vi kan inte nog betona vikten av säker datahantering. När det kommer till IT-säkerhet måste de flesta av oss förlita oss på experter på IT-säkerhet. Knepet är att välja en extern leverantör med dokumenterad kompetens inom datasäkerhet. Med en extern utvecklare undviker du att interna utvecklare får tillgång till din kod eller din data.

Några av de viktigaste säkerhetsfunktionerna du bör ha ögonen på när du väljer leverantör av visselblåsarfunktion är

  • säker multifaktorautentisering
  • detektering och förebyggande av dataintrång
  • kryptering av data under överföring och lagring
  • aktivitetsloggar för ärenden respektive användare
  • dataredundans (för att aldrig förlora data)

Funktionen ska vara utvecklad enligt principen Security by design. Vad betyder det? All kommunikations- och utredningsdokumentation ska förvaras i ett skyddat ärendehanteringssystem som hjälper ärendehanterare att sköta ärenden och data på korrekt sätt. För att ta ett exempel ska det vara så intuitivt som möjligt att avsluta ett ärende på rätt sätt, dvs. ta bort personuppgifter före permanent arkivering (för registeransvariga i EU). Vidare ska ärendehanterare meddelas om viktiga aktiviteter, och kommunikationen mellan utsedda ärendehanterare ska vara smidig.

Säker visselblåsning måste bygga på säkra tekniska processer som ska göra det så svårt som möjligt att ta sig in i systemet. Det räcker inte att garantera säkerheten i olika policydokument.

Välj ett elektroniskt alternativ för säkrare visselblåsning

En elektronisk visselblåsarfunktion minskar informationsrelaterade säkerhetsrisker markant. Riskerna minimeras om data förvaras i den elektroniska visselblåsarfunktionen under hela ärendehanteringsprocessen i stället för i folks inkorgar eller datorer. Exempel på viktiga uppgifter som är bättre skyddade i ett elektroniskt rapporterings- och ärendehanteringssystem är konversationer med visselblåsaren, utredningsmaterial, uppdrag, granskningar samt arkiverade och raderade uppgifter.

Det finns ytterligare en fördel med att använda ett elektroniskt rapporterings- och ärendehanteringssystem. Strukturen och de automatiserade processerna stöder en säker arbetsgång och minskar responstiden för hantering av rapporter, vilket i sin tur ökar effektiviteten. Enkelheten hos en elektronisk visselblåsarfunktion borgar för en effektiv och prisvärd lösning.

Hoten mot säkerheten kring visselblåsning förändras ständigt och måste därför övervakas kontinuerligt. Se till att din elektroniska visselblåsarfunktion regelbundet genomgår professionella penetrations- och sårbarhetstester. Din leverantör ska säkerställa att funktionen övervakas i alla lägen för att minimera datasäkerhetsriskerna så att din information och eventuella personuppgifter i systemet skyddas systematiskt. Datasäkerhetsövervakning ska även omfatta dina leverantörers underleverantörer, såsom IT-plattformsleverantörer, datalagringsleverantörer osv. Leta efter en visselblåsarfunktion som uppfyller alla relevanta internationella standarder för informationssäkerhet.

WhistleB anser att det inte finns någon ursäkt för att inte göra allt för att välja en leverantör som sätter datasäkerhet främst. Men säkerheten slutar inte där. Vi har sett fall där konfidentiella och känsliga uppgifter delats med kollegor eller vänner. Säkerheten måste ha högsta prioritet genom hela processen. Att visselblåsningen är säker är ett måste eftersom pålitlighet är A och O.

Var detta till hjälp för dig när det gäller säkerhet kring visselblåsning? Nyfiken på att läsa resten av boken? Ladda ned e-boken eller beställ ett pappersexemplar från Amazon eller Bokus.

Kontakt:

Gunilla Hadders, medförfattare och senior rådgivare på WhistleB, Whistleblowing Centre
+46 70 214 88 73, gunilla.hadders@whistleb.com

Kontakta oss

Ditt meddelande har skickats iväg. Vi återkommer till dig så snart som möjligt!

There seems to be some problem when sending your message. Try again soon.

Founders blog

september 22, 2020 Att hantera visselblåsning – råd till styrelser
Se alla ›

WhistleB news

september 10, 2020 WhistleB talare på Grant Thorntons seminarium om den kommande visselblåsarlagen: Vad gäller för ditt företag?
Se alla ›

Webinars

augusti 25, 2020 Webinar: The new EU Whistleblower Protection Directive
Se alla ›

Media

Att hantera visselblåsning – råd till styrelser WhistleB talare på Grant Thorntons seminarium om den kommande visselblåsarlagen: Vad gäller för ditt företag? Säker visselblåsning