Få användbara tips och läs allt om de senaste nyheterna Whistlelinks Blog

Vikten av dataskydd i visselblåsarsystem: En lärdom från Bolognas flygplats

Breach of data protection in whistleblower system, Bologna Airport.

Download our free whitepaper:

How to get compliant with the Whistleblowing Law

Visselblåsning är ett viktigt verktyg för att avslöja oegentligheter inom organisationer. Incidenten vid Bolognas flygplats i Italien visar dock hur viktigt det är att även implementera robusta rutiner för dataskydd i digitala visselblåsarsystem. I denna artikel går vi igenom de överträdelser som skedde vid Bolognas flygplats och ser hur organisationer kan se till att dataskyddet i visselblåsarlösningarna är tillräckligt starkt.

Vad hände på Bolognas flygplats?

Bolognas flygplats hade anlitat en tjänsteleverantör för att införa ett digitalt visselblåsarsystem som gjorde det möjligt för användarna att anonymt rapportera oegentligheter. Den italienska dataskyddsmyndigheten upptäckte dock flera överträdelser av dataskyddsförordningen (GDPR) i samband med att systemet implementerades. Till följd av detta ålade myndigheten Bologna flygplats med böter på 40 000 euro för otillräckligt genomförande av tekniska och organisatoriska åtgärder i den interna rapporteringslösningen.

1. Övervakning av säkerheten: Bristande kryptering

Flygplatsen hade inte infört lämpliga krypteringsmekanismer för transport och lagring av inrapporterade uppgifterna. Avsaknaden av kryptering äventyrade inte bara uppgifternas konfidentialitet och integritet utan utsatte dem också för risk för obehörig åtkomst. Den italienska dataskyddsmyndigheten betonade att den rapporterade informationens känsliga karaktären kräver en hög krypteringsnivå för att minska riskerna.

2. Intrång i privatlivet: Obehörig loggning

Flygplatsens visselblåsarsystem loggade användarnas navigeringsbeteende, inklusive IP-adresser och användarnamn. Denna loggningspraxis stred mot principerna om ”inbyggt dataskydd” och ”dataskydd genom standardinställningar” som beskrivs i GDPR. Visselblåsarsystem måste utformas på ett sätt som säkerställer konfidentialitet och anonymitet, och loggning av användaraktiviteter äventyrar dessa principer.

3. Övervakning av dataskydd: Konsekvensbedömning för dataskydd saknades

En annan överträdelse som den italienska dataskyddsmyndigheten identifierade var att en konsekvensbedömning avseende dataskydd (DPIA) saknades. Visselblåsarsystem innebär ofta att man behandlar känsliga uppgifter, vilket kan få allvarliga konsekvenser för både visselblåsare och de anklagade parterna. En konsekvensbedömning avseende dataskydd hjälper till att identifiera och minska potentiella risker för enskilda personers fri- och rättigheter.

Vad kan vi lära oss om att prioritera dataskydd i visselblåsarsystem?

Fallet med Bolognas flygplats är en väckarklocka för alla organisationer att man måste prioritera dataskydd i sina interna rapporteringssystem. Här är några viktiga steg att hålla i minnet:

1. Implementera robusta krypteringsmekanismer:

För att skydda sekretessen och integriteten för data i visselblåsarrapporter är det viktigt att använda starka end-to-end-krypteringsprotokoll, t.ex. HTTPS-protokollet, för dataöverföring. Dessutom bör alla lagrade data krypteras för att förhindra obehörig åtkomst. Vid Whistlelink använder vi en robust strategi som omfattar kryptering i transit, kryptering i vila och effektiv nyckelhantering som erbjuder bra försvarsmekanismer för att skydda dataintegritet och sekretess.

2. Följ principerna för ”inbyggt dataskydd” och ”dataskydd som standard”:

Se till att visselblåsarsystemet är utformat med integritetsskydd i åtanke. Detta innebär bland annat att undvika onödig dataloggning (såsom IP-adresser eller enhetsdata) och att endast lagra den minsta mängd information som krävs för utredningar. Man bör upprätthålla anonymitet och sekretess under hela rapporteringsprocessen.

3. Överväg att genomföra en konsekvensbedömning avseende dataskydd:

Innan man implementerar ett visselblåsarsystem bör man överväga att genomföra en konsekvensbedömning avseende dataskydd för att identifiera och hantera potentiella risker för enskilda individers rättigheter och friheter. Denna bedömning bör ta hänsyn till hur känslig den rapporterade informationen är, den potentiella effekten på visselblåsare och anklagade parter samt eventuella nödvändiga åtgärder för att mildra effekterna.

4. Välj en betrodd och erfaren leverantör:

När ni väljer leverantör för ett visselblåsarsystem ska ni se till att leverantören är engagerad i dataskydd och efterlevnad av GDPR. Granska säkerhetsåtgärder, krypteringsprotokoll och tidigare erfarenheter för att säkerställa att systemet uppfyller lagstadgade krav, t.ex. GDPR och nationella lagar om skydd för visselblåsare.

Whistlelink har levererat lösningar för visselblåsning till nöjda kunder i mer än 10 år. Vår visselblåsartjänst är tillgänglig på din egen webbplats dygnet runt. 

Vi erbjuder 35+ språk i vårt skräddarsydda, användarvänliga digitala visselblåsarsystem. Alla data lagras på servrar inom Europa, i enlighet med GDPR. Starta din kostnadsfria provperiod idag!

    Om du har några funderingar eller vill veta mer om Whistlelink vill vi gärna höra från dig!

    Letar du efter en säker och trygg lösning för visselblåsning eller intern rapportering?Boka gärna en tid för en gratis demo av vårt system!

    Prata med Territory Manager
    Annelie Demred

    0046 (0)706 83 82 88

    WEBINARVisselblåsning i praktiken

    Annelie DemredVP, Strategy and Growth

    Allt om visselblåsning

    Torsdag   |   11:00 – 11:30

    WHISTLELINK BLOGMer läsning ...

    Bästa praxis för att skapa ett effektivt team för att utreda interna visselblåsarrapporter
    3 viktiga tips för att skapa en framgångsrik visselblåsarfunktion 
    Sex tips för visselblåsare: Våga berätta och skydda dig själv
    Whistlelink resources

    Download your free Whitepaper

    VI TRÄFFAR DIG GÄRNA

    Kontakta oss​

    Vårt team vill gärna träffa dig för att visa en gratis demo av Whistlelink.
    Du kan välja en lämplig tid i kalendern.

    Prata med Territory Manager
    Annelie Demred

    0046 (0)706 83 82 88

    VI TRÄFFAR DIG GÄRNA

    Kontakta oss

    Vårt team är alltid redo att svara på era frågor. Hitta svar i vår hjälpsektion, eller fyll i formuläret nedan och vi kontaktar er inom kort. Eller slå oss en signal!

    Prata med Territory Manager
    Annelie Demred

    0046 (0)706 83 82 88

    HAPPY TO MEET YOU!

    Get in touch

    Our team is ready to answer your questions. Find the answer by visiting our support centre, or fill out the form below and we'll be in touch as soon as possible. Or simply give us a call!

    Talk with Territory Manager
    Annelie Demred

    0046 (0)706 83 82 88