Na końcu artykułu znajdziecie odpowiedź na pytanie jaki system dla sygnalistów wybrać. Zachęcam jednak do zapoznania się z całym tekstem, aby prześledzić proces i kryteria wyboru konkretnego rozwiązania.
Do wdrożenia w Polsce przepisów unijnej Dyrektywy o Sygnalistach pozostało zaledwie 4,5 miesiąca. Jak pisałem w artykule „Dyrektywa o Sygnalistach – czy będzie jak z RODO?” państwa członkowskie Unii Europejskiej mają czas do 17 grudnia by wdrożyć przepisy na poziomie krajowym. System dla sygnalistów jest jednym z wymogów, którego spełnienie będzie obowiązkowe wśród pracodawców zatrudniających powyżej 50 pracowników. W Polsce wciąż jednak nie mamy nawet projektu ustawy dotyczącej ochrony sygnalistów. Jak zatem odpowiednio przygotować się do wdrożenia systemu dla sygnalistów?
System dla sygnalistów – wymogi
Jednym z najważniejszych wymogów stawianych systemom do zgłaszania nieprawidłowości jest anonimowość. System dla sygnalistów ma gwarantować, że osoba dokonująca zgłoszenia (sygnalista) nie będzie mogła być zidentyfikowana, co ma ją uchronić od ewentualnych szykan lub działań odwetowych w organizacji.
System dla sygnalistów musi też być ogólnodostępny, aby każdy pracownik mógł z niego skorzystać niezależnie od zajmowanego stanowiska i posiadanych uprawnień. Warto tutaj pomyśleć również o osobach z niepełnosprawnościami (np. niedowidzących). Nie możemy bowiem wykluczyć żadnej grupy pracowników z możliwości dokonania zgłoszenia. Być może to właśnie osoby niepełnosprawne, którym przysługują dodatkowe prawa będą chciały zgłosić nieprawidłowość.
System dla sygnalistów – na co zwrócić uwagę?
Porównując dostępne na rynku rozwiązania pełniące funkcję systemu dla sygnalistów warto zweryfikować w jaki sposób spełniają one wymogi dotyczące anonimowości. Wbrew pozorom jest to aspekt trudny do spełnienia. W dobie systemów informatycznych, które zbierają metadane, pozwalają powiązać je np. z ciasteczkami w celu profilowania i ustalenia danych osobowych, zagwarantowanie anonimowości wymaga nie lada wysiłku.
Wybierając system dla sygnalistów powinniśmy zatem zwrócić szczególną uwagę na poniższe kwestie:
- System nie powinien wymagać logowania żadną indywidualną nazwą użytkownika. Jednocześnie powinien jednak być zabezpieczony przed dostępem osób przypadkowych. Nie chcielibyśmy zapewne aby jakiś internetowy żartowniś lub haker dokonał w nim np. miliona fałszywych zgłoszeń.
- System dla sygnalistów nie powinien logować i przechowywać adresów IP, z których dokonywane będą zgłoszenia. Jednocześnie jednak powinien umożliwiać rejestrowanie adresów, z których dokonywane są podejrzane działania lub ataki mogące naruszać jego bezpieczeństwo.
- System nie powinien przechowywać danych przeglądarki, z której dokonywane są zgłoszenia. Jest to o tyle istotne, że praktycznie każdy serwer WWW przechowuje w logach t.zw. odcisk palca przeglądarki (fingerprint), który można powiązać z logami z innego systemu w celu ustalenia tożsamości użytkownika.
- System dla sygnalistów nie powinien też pozostawiać śladów na komputerze osoby dokonującej zgłoszenia. Najlepszym rozwiązaniem wydaje się być system webowy, do którego użytkownik może połączyć się przeglądarką w trybie prywatnym (incognito). Dzięki temu w przeglądarce sygnalisty nie pozostanie historia dotycząca zgłoszenia, ani żadne ciasteczka.
- System dla sygnalistów powinien też usuwać wszystkie metadane z plików, które dołączone mogą być do zgłoszenia. Pamiętajmy, że przesyłając do systemu np. zdjęcie, dokument pakietu biurowego lub plik pdf sygnalista może nieświadomie narazić się na deanonimizację. W metadanych dokumentów można znaleźć takie informacje, jak np. nazwa użytkownika, jego lokalizacja lub model telefonu którym zostało wykonane zdjęcie.
Możliwość anonimowego kontaktu z sygnalistą
Kolejnym istotnym aspektem, który powinniśmy wziąć pod uwagę wybierając system dla sygnalistów jest możliwość prowadzenia anonimowej komunikacji pomiędzy sygnalistą, a osobą prowadzącą sprawę po stronie pracodawcy. System nie może żądać podania adresu e-mail od sygnalisty, gdyż to naraziłoby go na ryzyko ustalenia tożsamości. To samo tyczy się numeru telefonu.
Jak zatem poradzić sobie z problemem anonimowej komunikacji? System może np. generować unikalny link zawierający identyfikator, za pomocą którego sygnalista będzie w stanie w dowolnym momencie sprawdzić status swojego zgłoszenia. W razie potrzeby będzie miał też możliwość jego zaktualizowania lub zapoznania się z odpowiedziami osoby prowadzącej sprawę.
Bezpieczeństwo systemu i biznesu
Wybierając system dla sygnalistów nie możemy zapominać o kwestiach bezpieczeństwa. To między innymi dlatego zajmuję się tym tematem w portalu poświęconym bezpieczeństwu informacji. Musimy pamiętać, że zgłoszenia dokonywane przez pracowników mogą zawierać bardzo newralgiczne i poufne informacje. Ich upublicznienie może się wiązać z poważnymi problemami biznesowymi.
Wybierając rozwiązanie, z którego będą korzystali nasi pracownicy warto zatem zadać sobie pytanie czy jest ono bezpieczne. Wpływ na to mogą mieć poniższe czynniki:
- Gdzie zlokalizowany będzie system. Czy jest to np. firma hostingowa, która przechowuje na jednym serwerze lub w jednej bazie dane tysięcy swoich klientów. Czy niedochowanie zasad bezpieczeństwa przez jednego z klientów może skutkować wyciekiem danych wszystkich pozostałych? Tego typu incydenty niestety zdarzały się niejednokrotnie. Pisałem o tym m.in. w artykule o wycieku danych z firmy hostingowej.
- Czy system spełnia wymogi RODO. Pamiętajmy, że pomimo anonimowości sygnalistów, mogą oni w zgłoszeniach przekazywać dane osobowe innych pracowników. System zlokalizowany np. chmurze dostawcy znajdującego się poza Europejskim Obszarem Gospodarczym może naruszać przepisy o ochronie danych osobowych.
- Czy tworzone są regularne kopie bezpieczeństwa i czy przechowuje się je odpowiednio długo do celów archiwalnych? Trzeba pamiętać, że niektóre sprawy sądowe mogą się ciągnąć latami.
- Czy system został zaprojektowany z myślą o bezpieczeństwie. Dobry system powinien umożliwiać monitorowanie i blokowanie podejrzanych działań. Ataki typu brute force i nieaktualizowane komponenty oprogramowania lub usług systemowych to jedne z najczęstszych powodów włamań i wycieku danych. Twórcy systemu powinni zatem zadbać nie tylko o to, aby składał się on z bezpiecznych komponentów, ale również aby był na bieżąco monitorowany i aktualizowany.
Jaki system dla sygnalistów wybrać
W artykule starałem się obiektywnie i rzetelnie oraz zgodnie z posiadaną wiedzą przedstawić zbiór kryteriów, które ułatwić powinny wybór systemu dla sygnalistów. Na koniec pozwolę sobie trochę bardziej subiektywnie na wskazanie swojego faworyta. Dlaczego subiektywnie? Ponieważ system, który mogę z czystym sumieniem polecić powstaje z moim udziałem. Postanowiłem napisać o tym otwarcie, aby nie być posądzonym o manipulacje. A ponieważ sam biorę udział w jego rozwoju, mogę zagwarantować, że spełnia on wszystkie opisane w artykule kryteria.
Gdybyście zatem chcieli mi zaufać, polecam Wam gorąco system dla sygnalistów powstający w ramach serwisu BezpiecznyKanalSygnalisty.pl.
Jeśli z dowolnych względów chcielibyście jednak sami dokonać wyboru, mam nadzieję, że przedstawione w artykule informacje okażą się dla Was przydatne.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
Kiedyś donosiciel, teraz sygnalista. Lewica to ma pomysły.
Masz rację. A dosłownie kapuś.