Menu
Vi har allerede skrevet om, hvilke former for whistleblowing-kanaler en virksomhed skal have. I denne serie af blogs ser vi nærmere på disse to individuelle typer af whistleblowing-kanaler. Selv om det længe har været en standardløsning, udgør det i dag en stor sikkerhedsrisiko at sende følsomt indhold via e-mail. Her behandler vi disse risici og sammenligner fordelene ved e-mail og webbaserede whistleblowing-kanaler.
E-mailrapportering er meget almindelig i praksis. Det er dog langt fra ideelt, da det ikke er en sikker kanal til at sende oplysninger. E-mail sendes som standard fra server til server i klartekst, som kan læses af alle undervejs, og indholdet kan let manipuleres. Dette påvirker rapportens fortrolighed og integritet, hvilket kan have negative konsekvenser for undersøgelsen.
Kryptering kan bruges til at beskytte meddelelsens indhold, men det kræver, at både afsender og modtager har opsat den på forhånd, hvilket normalt ikke er tilfældet i forbindelse med whistleblowing. Mens det er lettere at kryptere blot en vedhæftet fil, kan disse vedhæftede filer slettes af mailsystemer, fordi deres indhold ikke kan scannes for sikkerhed.
Når man opretter en dedikeret adresse til e-mail-rapportering, skal man også overveje, hvem der skal have adgang til indbakken ud over det personale, der er autoriseret til at modtage og behandle rapporterne (f.eks. it-administratorer), og hvordan denne adgang kan kontrolleres og forvaltes.
Fordelen ved onlineløsninger er, at de normalt muliggør en tovejs sikker (krypteret) anonym eller fortrolig kommunikation med whistleblowere. Desuden omfatter de normalt sagsstyringssystemer til behandling af rapporter.
Når onlineløsninger gør det muligt at indsende elektroniske dokumenter sammen med rapporter, bør whistleblowere tydeligt advares om, at sådanne dokumenter kan indeholde metadata, som kan afsløre deres identitet. Derfor bør de kontrollere og fjerne sådanne metadata fra dokumenterne, inden de sender dem, hvis de ønsker at forblive anonyme. Alternativt bør de have mulighed for at sende dokumenterne i fysisk form med almindelig post til en særlig adresse.
Webbaserede whistleblowing-kanaler bør understøtte flersprogethed, hvis det er relevant for organisationen. Webformularer på organisationens websted bør undgås. Sådanne websteder registrerer normalt de besøgendes IP-adresser og bruger forskellige cookies. For at muliggøre anonym rapportering bør der anvendes dedikerede webdomæner, og de bør være oprettet i overensstemmelse hermed.
Del dette på: