Ett sjukhus i ett EU-land anlitade ett IT-företag för att tillhandahålla ett visselblåsare rapporteringssystem. Lösningen syftade till att göra det möjligt för personalen att rapportera om missförhållanden och annan oroande praxis så att en utredningsgrupp på sjukhuset kunde följa upp ärendet på ett konfidentiellt sätt.
Programmet som IT-företaget tillhandahöll var dock inte förenligt med den allmänna dataskyddsförordningen (GDPR) och skulle inte ha uppfyllt konfidentialitetskraven i EU:s visselblåsardirektiv. Detta är också ett krav eftersom direktivet vid den tidpunkt då tillsynsmyndigheten bötfällde båda parter för deras roll i incidenten redan hade införlivats i landets nationella lagstiftningen.
Bakgrund
Visselblåsare är avgörande för att avslöja oegentligheter inom företag och organisationer. De som på plats bevittnar olaglig eller farlig verksamhet kan varna ledningen för sådana incidenter innan de sprider sig och blir etablerade. Detta kan minska risken för sanktioner, skadat rykte och, särskilt i fallet med ett sjukhus, sjukdom eller till och med dödsfall.
Sjukhuset samarbetade med IT-företaget för att utveckla ett internt rapporteringssystem. Målet var att låta anställda och andra intressenter rapportera om felaktigheter, vilket skulle kunna leda till en utredning som kunde fastställa fakta och besluta om en handlingsplan för att rätta till eventuella problem.
Men den programvara som IT-företaget installerade stred mot GDPR. Den loggade användare som kom åt programvaran genom att registrera deras aktivitet och lagra den i brandväggsloggar.
Detta innebar att vem som helst med tillgång till loggarna kunde identifiera användarna, inklusive visselblåsaren. Vid inget tillfälle informerades någon av parterna användarna om denna aspekt av databehandlingen.
Vid den tidpunkt då detta uppdagades innebar det att båda parter riskerade sanktioner för bristande efterlevnad av GDPR. Ytterligare en konsekvens kan dock vara att alla som rapporterar missförhållanden kan få sina uppgifter exponerade för förövarna av de påstådda brotten, vilket gör dem sårbara för repressalier.
Båda parterna fick böter på €40,000.
Betydelsen av konfidentialitet
Det är avgörande att ditt rapporteringssystem skyddar uppgifter om visselblåsare. Detta är viktigt både för att följa GDPR-reglerna och för att ge de rapporterande personerna det förtroende de behöver för att rapportera missförhållanden utan rädsla för repressalier.
Endast behörig personal bör ha tillgång till en visselblåsares rapport via ert interna rapporteringssystem. Dessutom, där företagets regler och landets nationella lag tillåter det, kan rapportörer förbli anonyma så att ingen annan part känner till deras identitet.
I många fall är detta nödvändigt för att uppmuntra visselblåsare att komma fram med sina rapporter och bevis.
Lösningen
IntegrityLog tar visselblåsares datasekretess på allvar. Vårt online-rapporteringssystem är GDPR-kompatibelt och säkert så att endast de som behöver känna till visselblåsarens identitet har tillgång till den informationen. Dessutom finns det möjlighet att aktivera anonym rapportering.
Genom att använda ett pålitligt system som IntegrityLog kan dina medarbetare känna sig trygga med att de kan rapportera på ett privat sätt, och det hjälper compliance-teamen att följa EU:s strikta sekretesslagar.
Boka en demo för att ta reda på hur du skapar ett kompatibelt visselblåsare rapporteringssystem för din organisation.
Referenser och vidare läsning
- Hur man uppmuntrar visselblåsning (och varför det är nyckeln till efterlevnad)
- 4 Intressanta Exempel på Visselblåsning på Arbetsplatsen
- Vad är skillnaderna mellan en uppförandekod och en etikkod?
- Hur man ställer in mål för efterlevnadsplaner som ger resultat
- Banken som fick 2,5 miljarder dollar i böter