IT-sikkerhed og databeskyttelse af whistleblower-systemer

I digitale whistleblower-systemer skal der gennemføres en række krav til it-sikkerhed og databeskyttelse. Rapporter fra whistleblowere om overtrædelser af love eller virksomhedspolitikker kan indeholde personlige data, hvoraf nogle kan være følsomme. Følgende blogindlæg beskriver de væsentlige krav. Derudover vil vi vise dig, at vores Hintbox opfylder alle disse krav, både teknisk, organisatorisk og juridisk.

Brug af de nyeste krypteringsteknologier 

Den europæiske databeskyttelseslovgivning fastsætter, at registeransvarlige og registerførere for whistleblower-systemer skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der står i et rimeligt forhold til risikoen. Dette omfatter navnlig kryptering af personoplysninger (artikel 32, stk. 1, litra a), i GDPR). 

Hintbox' databaser er omfattende beskyttet mod uautoriseret adgang ved hjælp af de nyeste krypteringsteknologier. TLS-kryptering (Transport Layer Security) sikrer sikker dataoverførsel mellem dig og Hintbox og vores websted.

Desuden er vi i øjeblikket ved at implementere end-to-end-kryptering, lige fra whistleblowerens indtastning af et tip til dets opbevaring hos vores hostere, for at give vores kunder den højest mulige sikkerhedsstandard. Som følge heraf er de personlige data i vores whistleblower-system krypteret på tværs af alle transmissionsstationer, og kun de autoriserede parter (whistleblower samt virksomheden/myndigheden eller compliance officer/ansvarlig) kan dekryptere og se dataene. Krypteringen finder udelukkende sted hos whistlebloweren eller den complianceansvarlige. Det betyder, at dataene ankommer til vores servere allerede krypteret, så hverken vi, lawcode eller andre tredjeparter på noget tidspunkt kan læse oplysningerne.

Sikring af systemernes fortrolighed, integritet og tilgængelighed samt genopretning

Vores Hintbox-system sikrer også systemernes og dataenes fortrolighed, integritet og tilgængelighed (artikel 32, stk. 1, litra b), i DSGVO). Hver Hintbox-bruger kan aktivere sikker 2-faktor-autentifikation for at sikre datafortrolighed. Desuden får hver af vores Hintbox-kunder deres egen separate Hintbox-instans, hvilket sikrer en streng datadskillelse. Uautoriseret adgang til data fra tredjepart er derfor udelukket på grund af vores isolerede datalagring i vores whistleblower-system.

Ved at bruge de højeste krypteringsteknologier og indeksere input af data og ændringer heraf sikrer vi også dataintegriteten i Hintbox. Vores whistleblower-system er også yderst tilgængeligt. Vi gør det også muligt at gennemføre krav om sletning, som både databeskyttelseslovgivningen og EU's whistleblower-direktiv kræver. Vores whistleblower-system muliggør også implementering af et autoriseringskoncept, hvor kun enkelte autoriserede personer (f.eks. compliance officer) får adgang til de modtagne rapporter.

Desuden kan dataene nemt gendannes ved hjælp af sikkerhedskopiering i realtid (artikel 32, stk. 1, litra c), i GDPR). Som en del af vores implementerede databeskyttelsesstyringssystem bliver effektiviteten af vores tekniske og organisatoriske foranstaltninger også regelmæssigt revideret og evalueret (art. 32 (1) (d) GDPR).

Hosting af data i et certificeret datacenter i Tyskland

Alle data i vores whistleblower-system er hostet i Tyskland i et ISO/IEC 27001-certificeret datacenter. Der er ingen datahosting og ingen dataoverførsel til tredjelande. Det betyder, at der ikke er nogen kritiske spørgsmål for vores kunder i forbindelse med en overførsel til et tredjeland, der rejses af databeskyttelsestilsynsmyndigheder eller domstole (effektivitet af standardkontraktklausuler eller EF-Domstolens domme "Schrems I og II").

Sikring af anonymitet

Hintboxen sikrer teknisk set whistleblowerens anonymitet i tilfælde af en anonym indberetning. Der gemmes ingen IP- eller MAC-adresser, lokaliseringsdata eller andre oplysninger, der gør det muligt at drage konklusioner om en registreret person. Loginoplysningerne for en anonym whistleblower genereres også tilfældigt og automatisk. Disse login-data muliggør anonym kommunikation mellem whistlebloweren og den ansvarlige for overholdelse af reglerne eller den ansvarlige part. Dette gør det muligt at supplere oplysningerne i rapporten eller at stille opfølgende spørgsmål.

Opfyldelse af kravene til databeskyttelse i forbindelse med et whistleblower-system

Hintbox overholder reglerne for behandling af personoplysninger og er således i overensstemmelse med den generelle databeskyttelsesforordning og den føderale databeskyttelseslov. Overholdelse af disse krav er også en udtrykkelig forpligtelse i henhold til EU's whistleblower-direktiv. Vi behandler udelukkende personoplysninger i henhold til dokumenterede instruktioner og på vegne af vores kunder som databehandler. Til dette formål indgår vi en aftale om bestillingsbehandling med vores kunder i henhold til art. 28 DSGVO. Denne aftale indeholder også de høje standarder for tekniske og organisatoriske foranstaltninger, som vi sikrer med vores hintbox-system. Som følge heraf opfylder vores Hintbox også tilsynsmyndighedernes krav til et whistleblower-system (Konferencen af de uafhængige databeskyttelsesmyndigheder i forbundsregeringen og delstaterne, Vejledning fra databeskyttelsestilsynsmyndighederne om whistleblowing-hotlines: Virksomhedsinterne varslingssystemer og beskyttelse af medarbejderdata af 14. november 2018).