How to get compliant with the Whistleblowing Law
Visselblåsning är ett viktigt verktyg för att avslöja oegentligheter inom organisationer. Incidenten vid Bolognas flygplats i Italien visar dock hur viktigt det är att även implementera robusta rutiner för dataskydd i digitala visselblåsarsystem. I denna artikel går vi igenom de överträdelser som skedde vid Bolognas flygplats och ser hur organisationer kan se till att dataskyddet i visselblåsarlösningarna är tillräckligt starkt.
Bolognas flygplats hade anlitat en tjänsteleverantör för att införa ett digitalt visselblåsarsystem som gjorde det möjligt för användarna att anonymt rapportera oegentligheter. Den italienska dataskyddsmyndigheten upptäckte dock flera överträdelser av dataskyddsförordningen (GDPR) i samband med att systemet implementerades. Till följd av detta ålade myndigheten Bologna flygplats med böter på 40 000 euro för otillräckligt genomförande av tekniska och organisatoriska åtgärder i den interna rapporteringslösningen.
Flygplatsen hade inte infört lämpliga krypteringsmekanismer för transport och lagring av inrapporterade uppgifterna. Avsaknaden av kryptering äventyrade inte bara uppgifternas konfidentialitet och integritet utan utsatte dem också för risk för obehörig åtkomst. Den italienska dataskyddsmyndigheten betonade att den rapporterade informationens känsliga karaktären kräver en hög krypteringsnivå för att minska riskerna.
Flygplatsens visselblåsarsystem loggade användarnas navigeringsbeteende, inklusive IP-adresser och användarnamn. Denna loggningspraxis stred mot principerna om ”inbyggt dataskydd” och ”dataskydd genom standardinställningar” som beskrivs i GDPR. Visselblåsarsystem måste utformas på ett sätt som säkerställer konfidentialitet och anonymitet, och loggning av användaraktiviteter äventyrar dessa principer.
En annan överträdelse som den italienska dataskyddsmyndigheten identifierade var att en konsekvensbedömning avseende dataskydd (DPIA) saknades. Visselblåsarsystem innebär ofta att man behandlar känsliga uppgifter, vilket kan få allvarliga konsekvenser för både visselblåsare och de anklagade parterna. En konsekvensbedömning avseende dataskydd hjälper till att identifiera och minska potentiella risker för enskilda personers fri- och rättigheter.
Fallet med Bolognas flygplats är en väckarklocka för alla organisationer att man måste prioritera dataskydd i sina interna rapporteringssystem. Här är några viktiga steg att hålla i minnet:
För att skydda sekretessen och integriteten för data i visselblåsarrapporter är det viktigt att använda starka end-to-end-krypteringsprotokoll, t.ex. HTTPS-protokollet, för dataöverföring. Dessutom bör alla lagrade data krypteras för att förhindra obehörig åtkomst. Vid Whistlelink använder vi en robust strategi som omfattar kryptering i transit, kryptering i vila och effektiv nyckelhantering som erbjuder bra försvarsmekanismer för att skydda dataintegritet och sekretess.
Se till att visselblåsarsystemet är utformat med integritetsskydd i åtanke. Detta innebär bland annat att undvika onödig dataloggning (såsom IP-adresser eller enhetsdata) och att endast lagra den minsta mängd information som krävs för utredningar. Man bör upprätthålla anonymitet och sekretess under hela rapporteringsprocessen.
Innan man implementerar ett visselblåsarsystem bör man överväga att genomföra en konsekvensbedömning avseende dataskydd för att identifiera och hantera potentiella risker för enskilda individers rättigheter och friheter. Denna bedömning bör ta hänsyn till hur känslig den rapporterade informationen är, den potentiella effekten på visselblåsare och anklagade parter samt eventuella nödvändiga åtgärder för att mildra effekterna.
När ni väljer leverantör för ett visselblåsarsystem ska ni se till att leverantören är engagerad i dataskydd och efterlevnad av GDPR. Granska säkerhetsåtgärder, krypteringsprotokoll och tidigare erfarenheter för att säkerställa att systemet uppfyller lagstadgade krav, t.ex. GDPR och nationella lagar om skydd för visselblåsare.
Whistlelink har levererat lösningar för visselblåsning till nöjda kunder i mer än 10 år. Vår visselblåsartjänst är tillgänglig på din egen webbplats dygnet runt.
Vi erbjuder 35+ språk i vårt skräddarsydda, användarvänliga digitala visselblåsarsystem. Alla data lagras på servrar inom Europa, i enlighet med GDPR. Starta din kostnadsfria provperiod idag!
Om du har några funderingar eller vill veta mer om Whistlelink vill vi gärna höra från dig!
Whisltelink respekterar din integritet. Vi kommer bara kontakta dig angående våra tjänster. Du kan välja att avsluta all kommunikation från oss när som helst. För mer information, vänligen läs vår Privacy Policy.
VI TRÄFFAR DIG GÄRNA
VI TRÄFFAR DIG GÄRNA
Whisltelink respekterar din integritet. Vi kommer bara kontakta dig om våra tjänster. Du kan välja att avsluta all kommunikation från oss när som helst. För mer information, vänligen läs vår Privacy Policy
HAPPY TO MEET YOU!
Whistlelink values your privacy. We will only contact you about our solutions.
You may unsubscribe at any time. For more info, please review our Privacy Policy