Skapa ett tryggt och enkelt rapporterings system för Visselblåsare

- SCAB - > Bloggen > Cybersäkerhet > Skapa ett tryggt och enkelt rapporterings system för Visselblåsare
Visselblåsare

Bakgrund

Enligt ett nytt EU-direktiv skall all offentlig verksamhet samt företag med fler än 50 anställda, alla kommuner med fler än 10 000 invånare, samt organisationer som är känsliga för penningtvätt eller terrorfinansiering bli skyldiga att skapa säkra, ändamålsenliga och effektiva rapporteringskanaler som garanterar skyddet mot repressalier av visselblåsare. Medlemsstaterna ska per den 17 december 2021 ha antagit de lagar, föreskrifter och administrativa förfaranden som är nödvändiga för att uppfylla kraven i direktivet.

“Visselblåsare, visselpipare eller visslare, av engelskans whistleblower, är en person som slår larm om oegentligheter, ofta på sin egen arbetsplats, främst till massmedia eller kontrollorgan vid upptäckt av oegentligheter hos till exempel myndighet och företag.” Wikipedia.

Trygghet

Trots att många länder har lagstiftning som skall skydda visselblåsare är det många som tvekar att anmäla. I tex en undersökning från Transparency international svarade 35% av de tillfrågade EU-medborgarna att risken för repressalier är det största hindret för att rapportera om oegentligheter.

Den som använder rapporteringskanalerna skall alltså våga lita på att sekretess och anonymitet upprätthålls genom hela processen, också i mindre organisationer där “alla känner alla” och på mindre orter med stark social kontroll. Även om det lagstadgade skyddet är omfattande är det mycket svårt i praktiken att bevisa repressalier.

Det skall vara enkelt att rapportera. Många avstår helt enkelt därför att processen kräver att man skapar konto, måste fylla i omfattande formulär och sedan förväntas delta i en (ofta) komplicerad dialog där man tom riskerar att bli ifrågasatt.

Krav

Dagens befintliga rapporteringssystem och -processer är byggda för stora eller speciella verksamheter som ofta har eller har haft särskild lagstiftning att ta hänsyn till, men som är onödigt komplicerade (och dyra) för framför allt de mindre verksamheter som nu berörs.

Det här behövs för de flesta för att uppfylla kraven enligt direktivet:

  1. Rapporteringen skall i första hand göras internt i den egna organisationen
  2. Stöd- och skyddsåtgärder mot repressalier skall garanteras för visselblåsare
  3. Skyldighet att reagera och följa upp visselblåsares rapporter inom tre månader
  4. Tydliga anvisningar om interna och externa rapporteringskanaler skall ges till alla berörda

I praktiken innebär detta att organisationen skall a) upprätta minst en teknisk rapporteringskanal med tillräcklig säkerhet och anonymitet, b) utse minst en lämplig person att hantera rapporteringen, c) skapa en tillräcklig process som garanterar att visselblåsaren inte utsätts för repressalier och att rapporten hanteras inom en rimlig tid, samt d) informera anställda, leverantörer, affärspartners och alla andra berörda om rapporteringssystemet och -processen.

Vad är ett “tryggt rapporteringssystem”?

I grunden handlar tryggheten om att skapa ett system och en process som garanterar att visselblåsaren inte drabbas av repressalier i någon form och som visselblåsaren känner att den kan lita på.

I sin mest enkla form, och ofta tillämpat, kan kanalen vara ett telefonnummer till tex en extern juristbyrå som har ett avtal med arbetsgivaren, och mandat, att utreda rapporter om oegentligheter i verksamheten. Erfarenheterna visar dock att denna lösning fungerar mycket dåligt i praktiken eftersom visselblåsaren i regel känner litet eller inget alls förtroende för lösningen.

I andra ändan av skalan finns stora tekniska system där visselblåsaren skall skapa ett konto, fylla i ofta omfattande formulär, och sedan förväntas ha en dialog under processen. Inte heller den typen av lösning fungerar särskilt väl eftersom den är för komplicerad och även riskerar att exponera visselblåsaren genom slarv eller tekniska problem.

Många av dessa lösningar har även en omodern undermålig säkerhet både vad gäller åtkomst till känslig data och möjligheten till spårning.

Ett modernt tekniskt system skall vara lätt att använda (fungera med en mobil), ha hög säkerhet också mot spårning, inte lagra onödig data, ge visselblåsaren möjlighet att rapportera helt anonymt, och ha stöd för minst 2 alternativa mottagare att välja mellan.

Vår nya tjänst ANON::form är ett sådant modernt system utvecklat för de mindre verksamheternas behov, läs mer om visselblåsarformulären här.

Rapportering av oegentligheter bygger som sagt på att visselblåsaren känner sig trygg, vilket skapar en ömtålig balans mellan dels behovet av att få så mycket information som möjligt, av möjligheten att följa upp och komplettera och kanske även få ett vittnesmål, och dels visselblåsarens anonymitet.

Anonymiteten är ofta ett avgörande krav eftersom visselblåsaren vet att det lagstadgade skyddet, även om det iom EU-direktivet förbättras, i praktiken tyvärr är otillräckligt och att visselblåsare alltid riskerar att hängas ut, inte minst i sociala medier.

Den som rapporterar en oegentlighet bör alltså alltid ha möjligheten att vara anonym om inte lagen har ett tydligt krav på att anmälarens identitet skall vara känd. Antingen genom att inte behöva uppge namn eller kontaktuppgifter, eller med tydlig info om hur man enkelt kan skapa och använda tex en anonym och säker e-postadress som man kan kommunicera med i handläggningen av ärendet. Se gärna ANON::forms demo som exempel.

Är ditt visselblåsare formulär den bortglömda svaga länken i din cybersäkerhet? Skydda din verksamhet och dina anställda!

Skapa en trygg process

Verksamhetens storlek och inriktning skall ange ramen för hur en tillräcklig process skapas. Stora organisationer och verksamhet med extra lagstiftning har motsvarande behov av komplexitet, medan mindre organisationer klarar sig med i jämförelse små åtgärder. Det är alltså mycket viktigt att analysera det verkliga behovet innan man skapar sin lösning.

Mindre och mellanstora organisationer med normal verksamhet kan skapa en lösning enligt följande:

  1. Behovsanalys; vilka risker för oegentligheter finns i verksamheten, vem kan vara visselblåsare och vilka som bör informeras om rapportsystemet?
  2. Process; hur skall rapporter om olika typer av oegentligheter hanteras och på vilka nivåer? Processen skall helst vara integrerad i eller samma som den process man normalt använder när man hanterar oegentligheter i organisationen.
  3. Skydd; hur skall visselblåsaren skyddas i processen?
  4. Handläggare; utse lämplig egen dedicerad personal, extern resurs, eller en kombination, att ta emot och hantera inkomna ärenden. Här är det viktigt att utse opartiska personer med tillräckliga resurser, kunskap och mandat, gärna minst 2 personer.
  5. Rapportkanal; upphandla och implementera minst ett tekniskt rapporteringssystem som enkelt kan integreras i den befintliga IT-miljön. Systemet skall vara säkert, uppfylla GDPR, vara lättanvänt och endast ha den funktionalitet som verkligen behövs. Utredningsmaterial och andra känsliga uppgifter skall helst hanteras och förvaras utanför rapporteringssystemet om detta är öppet ut mot internet, vilket det bör vara för tillräcklig åtkomlighet och anonymitet. OBS! En e-postadress till handläggaren är inte en säker rapportkanal! Ett telefonnummer kan vara ett bra som komplement men är inte i sig en tillräcklig rapportkanal.
  6. Information; alla berörda skall informeras på ett tydligt sätt om hur och var man rapporterar oegentligheter och hur ärenden hanteras.
  7. Uppföljning; rapportkanal och -processer bör utvärderas årligen och justeras vid behov. Inkomna ärenden bör regelbundet anonymiseras, sammanställas och utvärderas i ledningsgruppen.

Tag gärna kontakt med oss om ni behöver stöd och rådgivning när ni upprättar ert visselblåsarsystem, den tekniska lösningen är endast en del av det hela.