Sygnalista.net – bezpieczna aplikacja do kompleksowej obsługi zgłoszeń sygnalistów

Sygnalista.net dedykowany organizacjom publicznym i dużym spółkom prywatnym

Zauważyliśmy, że wiele organizacji posiadających wdrożone procedury związane ze zgłaszaniem nieprawidłowości przez sygnalistów wykorzystuje standardowe środki do budowy kanału zgłoszeń np. zgłoszenia pisemne składane w skrzynkach, wysyłane listem tradycyjnym, obsługiwane telefonicznie czy poprzez pocztę e-mail lub aplikacje.

Są one obarczone różnym stopniem ryzyka utraty kontroli nad zgłoszeniami i ich właściwej obsługi. W konsekwencji możemy za późno dowiedzieć się o dokonywanych nadużyciach w organizacji generujących ogromne straty finansowe i wizerunkowe oraz narazić się na sankcje określone w obowiązującym prawie.

Dlatego przypomnijmy sobie nadrzędny cel budowy kanału zgłoszeń

Nadrzędnym celem budowy kanału zgłoszeń nieprawidłowości zarówno w jednostce publicznej, jaki i organizacji prywatnej jest bezwzględne zapewnienie ochrony poufności tożsamości samego sygnalisty, osoby lub osób, których dotyczy owo zgłoszenie oraz ewentualnych świadków tych naruszeń.

Każdy przemyślany, zaprojektowany i zorganizowany kanał powinien, co do zasady niwelować ryzyka, które mogą się w nim pojawić i dotyczą utraty ochrony tożsamości.

Zdefiniowaliśmy możliwe ryzyka w poszczególnych kanałach zgłoszeń

Oto one:

  • Gdy mamy do czynienia ze zgłoszeniem pisemnym, powinniśmy zadbać o stały nadzór na nim, wykorzystując do tego celu np. monitoring pomieszczenia, w którym znajduje się zabezpieczona skrzynka/urna do dokonywania zgłoszeń. Ryzyko – brak jakiegokolwiek monitoringu lub monitoring, który ujawnia tożsamość – źle zamontowana kamera, niewystarczająco zabezpieczona skrzynka.
  • W przypadku zgłoszeń tradycyjną pocztą powinniśmy zadbać o to, by list został opatrzony odpowiednią adnotacją i trafił bezpośrednio do osoby (administratora), który jest powołany do przyjmowania zgłoszeń i ich obsługi.
    Ryzyko – brak odpowiedniego oznaczenia korespondencji, która trafia do niewłaściwej osoby, może skutkować ujawnieniem poufnych informacji w sieci przed ich zweryfikowaniem.
  • Zgłoszenia telefoniczne to kolejny kanał, który jest wykorzystany do obsługi zgłoszeń. Problem z tym kanałem może pojawić się w momencie, gdy telefon odbierze osoba, która nie jest delegowana do obsługi zgłoszeń i np. dokona nieuprawnionego nagrania rozmowy, czyli zgłoszenia nieprawidłowości.
    Ryzyko – sygnalista przekonany jest, że dokonuje ustnego zgłoszenia odpowiedniej osobie. Dodatkowym ryzykiem staje się możliwość rozpoznania sygnalisty po głosie.
  • Najbardziej rozpowszechnionym kanałem, z którym mamy do czynienia jest skrzynka e-mail ze specjalnie przygotowanym adresem. W tym przypadku musimy zwrócić uwagę na zabezpieczenia uniemożliwiające włamanie np. zabezpieczenia logowania dwuskładnikowego. O ile sposób dokonywania zgłoszenia wydaje się prosty i wygodny to obsługa tych zgłoszeń staje się bardzo pracochłonna i obarczona ewentualnymi pomyłkami przy samej korespondencji administratora z sygnalistą.
    Ryzyko – możliwość wysłania informacji pod błędny adres czy konto pocztowe niewiadomego pochodzenia. Dodatkowym problemem może stać się wysłanie informacji od administratora do sygnalisty na niezabezpieczony serwer poczty łatwy do zhakowania, z którego wysłał anonimowe zgłoszenie sygnalista. Właściwie nie do końca kontrolujemy proces komunikacji i pozyskiwania dowodów w postaci dokumentów pdf, czy zdjęć lub nagranego materiału video.
  • Ostatnim kanałem, który zdobywa coraz więcej zwolenników, jest zgłaszanie z wykorzystaniem różnego rodzaju aplikacji. Problem, który może wystąpić, wiąże się z brakiem wdrożonych odpowiednich zabezpieczeń, jak: brak zaawansowanego szyfrowania komunikacji pomiędzy administratorem a sygnalistą, brak właściwej kontroli nad dostępem do aplikacji, niejasne zarządzanie zgłoszeniem – dokumenty/dowody zostały przypisane do innego zgłoszenia, brak zabezpieczeń w postaci alertów o nieprzekraczalności terminów obsługi zgłoszeń, czy pojawiające się błędy przy tworzeniu rejestru zgłoszeń. Ryzyko – aplikacja nie spełnia wymogów dyrektywy UE i obowiązującego prawa pod względem zapewnienia bezpiecznego kanału komunikacji i generuje chaos w obsłudze zarządzania konkretnym zgłoszeniem oraz tworzy błędny rejestr zgłoszeń.

Co powinna gwarantować aplikacja pracodawcy, sygnaliście i administratorowi?

Naszym zdaniem

  • Bezpieczeństwo i poufność – wiesz dokładnie, gdzie fizycznie znajdują się dane w postaci zarejestrowanej korespondencji, czy dostarczonych plików/dowodów oraz masz pewność, że ich przetwarzanie odbywa się w sposób zaszyfrowany, a ujawnienie tożsamości sygnalisty jest tylko w jego rękach. Sama aplikacja poddawana jest regularnemu backupowi. 
  • Elastyczność – jako pracodawca i administrator masz możliwość dopasowania aplikacji do swoich potrzeb np. poszerzenia obligatoryjnego katalogu naruszeń o listę nieprawidłowości wynikających z wewnętrznych kodeksów, regulaminów. Dopuszczenia rejestracji zgłoszeń spoza samej aplikacji, gdy regulamin przewiduje inną metodę zgłoszenia.
  • Prostota wdrożenia – minimum formalności przy uruchomieniu aplikacji oraz dostęp do informacji (np. szkolenie z obsługi, instrukcje) pozwalających na szybkie uruchomienia zaszyfrowanego kanału zgłoszeń. W razie problemów szybki dostęp do konkretnych osób odpowiedzialnych za jej działanie.
  • Intuicyjność – prosta i opisana w krokach z komentarzem ścieżka dokonywania zgłoszeń oraz bezproblemowa ich obsługa wyposażona w powiadomienia, alerty czasowe, mechanizm automatyzacji tworzenia rejestru czy statystyk.
  • Zgodność z prawem – twórca aplikacji gwarantuje Ci zgodność jej działania z faktycznie obowiązującym prawem, a w razie jego zmiany natychmiastowej aktualizacji oraz dostarczenia niezbędnych informacji mających znaczenie dla wprowadzenia poprawek w wewnętrznym regulaminie zgłoszeń.
  • Zarzadzanie ryzykiem – aplikacja powinna wspomóc proces zarządzania ryzykiem, dostarczając jasnych i konkretnych danych do analizy.

Jeżeli kanał zgłoszeń nieprawidłowości przez sygnalistów został zbudowany w oparciu o skrzynkę e-mail lub inne ww. kanały w Twojej organizacji to powinieneś jeszcze raz zweryfikować proces:

  • przyjmowania zgłoszeń, czy aby na pewno zapewnia on sygnaliście ochronę i poufność tożsamości oraz innym uczestnikom ujawnionym w zgłoszeniu – na pracodawcy ciąży obowiązek zapewnienia ochrony sygnalistom przed działaniami odwetowymi
  • komunikacji pomiędzy administratorem a sygnalistą, czy aby na pewno jest szyfrowana a przesyłane dokumenty (dowody), są odpowiednio zabezpieczone i przypisane do konkretnej sprawy
  • przestrzegania procedury, którą wprowadziłeś (Twoja organizacja), jest na tyle przypilnowana by administrator (osoba delegowana do obsługi zgłoszeń) nie zapomniała o obowiązującym czasowym informowaniu sygnalisty o przyjęciu lub odrzuceniu zgłoszenia (do 7 dni) i odpowiedzi na temat podjętych działań następczych (do 3 miesięcy)
  • tworzenia rejestru zgłoszeń wewnętrznych – pamiętaj, że rejestr powinien być prowadzony w formie elektronicznej dostępny tylko uprawnionym osobom, dać realną kontrolę nad całym przebiegiem zgłoszenia i jego ostatecznego zakończenia, być zgodny z RODO i móc być odpowiednio zarchiwizowany.   

Sygnalista.net spełnia wszystkie obecne wymogi prawa i bezpieczeństwa IT. Z jednej strony zapewnia sygnalistom skuteczną ochronę tożsamość, a z drugiej strony pozwala administratorom sprawnie obsługiwać zgłoszenia i prowadzić sprawy w odpowiednich terminach i właściwie je rejestrować. Dodatkową zaletą aplikacji dla pracodawców jest możliwość skuteczniejszego zarządzania ryzykiem uwidocznionym na drodze zgłoszenia.