Det är numera lagkrav för stora och medelstora verksamhetsutövare att ha en intern rapporteringskanal för visselblåsning. Vissa arbetsgivare har ett eget visselblåsarsystem, men det finns även ett stort antal externa aktörer som tillhandahåller olika typer av visselblåsartjänster.
I takt med att IT-säkerhetshoten ökar och att det ständigt krävs mer för att upprätthålla en säker hantering av konfidentiell och skyddsvärd information, ställs även högre krav på visselblåsarsystem. Ett visselblåsarsystem med säkerheten i fokus är grundläggande för er och visselblåsarens trygghet.
Hur säkerställer ni att en visselblåsartjänst är säker? Vad behöver ni tänka på gällande hanteringen av den information som är så känslig både för er organisation och visselblåsare? I denna text belyser vi de viktigaste säkerhetsaspekterna i utvärderingen av en visselblåsartjänst.
Stor trygghet med en helhetslösning för visselblåsarsystem
Rapporter från bland annat Säkerhetspolisen, Försvarsmakten och Försvarets radioanstalt pekar på att vi står inför ett ökat cyberhot. När 1400 riskexperter inför Världsekonomiskt forum listade de största hoten mot stabilitet och utveckling i världen hamnade cybersäkerhetshot i topp. Företag, organisationer och stater måste nu rusta sig mot cyberangrepp utförda av såväl främmande stater som av kriminella grupperingar. Det har uppmärksammats att främmande stater bland annat använder cyberangrepp i syfte att ta fram underlag för påverkansoperationer, för att skapa konkurrensfördelar för inhemska företag och/eller för att slå ut samhällsviktiga funktioner och infrastruktur. Det förekommer även att kriminella grupperingar stjäl känslig information genom olika typer av intrång i syfte att pressa företag och organisationer på pengar, så kallad ”ransomware”. Enligt PWC utsattes 8 av 10 svenska företag för cyberattacker 2020 (https://blogg.pwc.se/foretagarbloggen/cyberattacker-i-norden).
Mot bakgrund av detta är en säker och trygg hantering av information avgörande vid val av visselblåsarsystem. ”En trygg och pålitlig visselblåsartjänst tar hänsyn till flera säkerhetsaspekter. Det handlar om att ha högt uppsatta krav inom informationssäkerhet, IT-säkerhet och att förebygga risk genom trygg rådgivning i komplexa beslut. Detta rustar din organisation och säkerställer visselblåsarens trygghet”.
Informationssäkerhet kring personer och verksamhet
Informationssäkerhet innebär skyddet av informationstillgångar gällande konfidentialitet, riktighet och tillgänglighet. Uppgifter som förekommer i ett visselblåsarsystem är ofta av känslig karaktär och informationsläckage kan få stora konsekvenser för såväl verksamhetsutövare som visselblåsare och utpekade personer. Många sektorer omfattas dessutom av hårda lagkrav avseende informationssäkerhet. Kraven innebär bland annat att verksamhetsutövare ska vidta åtgärder för att säkerställa att personal behandlar information på ett säkert sätt och följer de högt uppsatta tekniska säkerhetskraven. Verksamhetsutövare som har en intern visselblåsarkanal är dessutom skyldiga att säkerställa att de personuppgifter som registreras i systemet hanteras på ett lagenligt sätt, enligt GDPR.
Checklista som hjälper dig att upprätthålla högt ställda krav inom informationssäkerhet och leva upp till rådande lagkrav enligt GDPR:
- Information bör lagras på servrar som ägs av företag med Sverige som juridisk hemvist.
- Försäkra er om att information inte sparas längre än nödvändigt i systemet.
- Säkerställ att de personer som utses behöriga att hantera ärenden har god kompetens om visselblåsarlagen, informationssäkerhet samt personuppgiftshantering.
- Om ovan angiven kompetens saknas inom den egna organisationen, välj en visselblåsartjänst som erbjuder rådgivning inom detta. Välj helst en helhetslösning med kompetent och bakgrundskontrollerad personal som inte lämnar er ensamma i bedömning och hantering av ärenden.
- Undersök noga vilka möjligheter till behörighetsstyrning som ett visselblåsarsystem erbjuder. Säkerställ att det finns möjlighet att ändra och ta bort behörighet vid till exempel personalförändringar. Det finns även stora fördelar med att välja ett system där det finns möjlighet att anpassa behörigheten i enskilda ärenden. Detta bland annat för att säkerställa att den personal som hanterar ärendet inte är jävig i frågan.
- Se till att aktiviteter loggas för att säkerställa hög spårbarhet, samt er möjlighet att utföra revision.
- Säkerställ att tjänsten erbjuder multifaktorsautentisering eller inloggning via BankID för säker inloggning av behöriga personer.
IT-säkerhet kopplat till IT-resurser
IT-säkerhet är en viktig del av informationssäkerhet. Därför är även säkerhetsaspekter kopplade till IT-resurser avgörande vid val av visselblåsartjänst. Följande checklista hjälper dig att göra ett IT-säkerhetsmedvetet val:
- Välj en fullt krypterad lösning som möjliggör säker lagring och delning av information i systemet, samt säkra autentiseringsmetoder.
- Säkra kommunikationsvägar bör användas i de fall inkomna visselblåsarärenden behöver delas mellan de personer som utsetts behöriga att hantera och utreda ärendena. Känslig information ska aldrig skickas utan kryptering.
- Säkerställ att systemet bevakas och att det finns dokumenterade rutiner för incidenthantering.
- IT-säkerhetshoten utvecklas ständigt. Säkerställ att det genomförs regelbundna sårbarhetstester och säkerhetsgranskningar för att upptäcka och i ett tidigt skede åtgärda eventuella sårbarheter i systemet.
Förebygg risk med erfaren vägledning
Ytterligare en central säkerhetsaspekt handlar om att som mottagare av visselblåsarärenden förhålla sig till och agera på information. Verksamhetsutövare som omfattas av visselblåsarlagen behöver utse oberoende och självständiga personer eller enheter som ska vara behöriga att fatta beslut om hantering av visselblåsarärenden.
Information som inkommer via en visselblåsarkanal kan dock vara svår att bedöma. Det kan även vara svårt att förutse vilka risker hanteringen kan medföra. Ett missförhållande i enlighet med visselblåsarlagen är information som det finns ett allmänintresse av att den kommer fram. Detta ger begränsad vägledning och det är ofta svårt att direkt avgöra om ett ärende bör hanteras i enlighet med visselblåsarlagen eller om situationen kräver annan typ av hantering. Forskning har dessutom visat att de flesta ärenden som inkommer via en visselblåsarkanal ligger i gråzonen mellan att vara och inte vara ett visselblåsarärende. Det är även vanligt att annan lagstiftning är applicerbar.
”För att stå rustad i detta krävs kunskap och erfarenhet, samt medvetenhet om vilka risker olika typer av beslut gällande hantering kan medföra. Genom välinformerade beslut kan omfattande risker förebyggas. Följande checklista är, mot bakgrund av den komplexitet som ofta präglar visselblåsarärenden”, bra att ta i beaktande vid val av visselblåsarsystem:
- Mottagaren av visselblåsarärenden är en betrodd part med mycket god kunskap om visselblåsarlagen och den rättsliga utvecklingen på området.
- Säkerställ vidare att aktören är etablerad inom säkerhet och krishantering, samt har väldokumenterad utredningskompetens. Detta ger stöd och trygghet vid beslut om hantering och uppföljning av ärenden.
- Säkerställ att ni får långtgående rådgivning och fullt stöd genom hela ärendehanteringsprocessen, oavsett typ av ärende. Rådgivningen bör inte begränsas till enbart en bedömning om ett det är ett visselblåsarärende eller inte, utan även ta hänsyn till annan lagstiftning, risker med olika typer av hantering, samt ge stöd i dialogen med visselblåsaren.
Gör ett säkerhetsmedvetet val – välj 2Secure som er leverantör av visselblåsarsystem
Bedömning av säkerhetsnivån i ett visselblåsarsystem, såväl som säker hantering av visselblåsarärenden och att hålla sig ständigt uppdaterad vad gäller säkerhetsaspekterna kan vara mycket resurskrävande. Att ta professionellt stöd med en helhetslösning är således ett smart och resurseffektivt val. 2Secure erbjuder en helhetslösning som har tagits fram i samarbete med experter inom visselblåsning, informationssäkerhet och IT-säkerhet. Genom att välja 2Secure som dessutom har en bred kompetens inom utredningsmetodik, IT-forensik, krishantering och risk management står ni väl rustade inför oväntade situationer.
Läs mer och boka demo här
https://2secure.se/personalsakerhet/visselblasarsystem/