Att välja extern lösning för visselblåsartjänst

Efter att den svenska visselblåsarlagen trädde i kraft 17 december 2021, är det många företag och organisationer i Sverige som behöver implementera ett visselblåsarsystem. Men hur avgör man vilken lösning som blir bäst för den egna organisationen? Här följer några viktiga saker att tänka på för att välja en bra extern lösning för visselblåsartjänst.

Vilka krav ställer lagen?

Visselblåsarlagen ställer inga krav på utformningen av organisationens visselblåsarfunktion förutom att de interna kanalerna ska vara utformade så att rapporter kan lämnas in både skriftligt och muntligt samt vid ett fysiskt möte om personen så önskar. Vidare specificerar lagen att man ska bekräfta att rapporten är mottagen inom 7 dagar och man ska också ge återkoppling till visselblåsaren inom 3 månader. Dessutom behöver man utse en ansvarig person eller enhet och skriftligen dokumentera alla kanaler och förfaranden. Även rapporterna ska man dokumentera och spara på lämpligt sätt.

Vidare måste kanalerna enligt lagen också: 

• Vara säkra
• Garantera anonymitet
• Vara lättillgängliga
• Följa GDPR

Intern eller extern lösning för visselblåsartjänst i Sverige?

Inom organisationen kan man välja att själva bygga upp organisationens rapportkanaler och -processer, men varför binda upp organisationens resurser i onödan? Många organisationer väljer att använda sig av externa lösningar för sin visselblåsarfunktion, och implementera ett visselblåsarsystem från en utomstående part. Ett SaaS-system är en enkel lösning som direkt är klart att användas.

Det är dock inte säkert att alla system klarar kraven i EU-direktivet och visselblåsarlagen, så hur vet man vad man bör beakta innan man väljer ett system?

Många system kan verka funktionella utgående från marknadsföringen, men du måste fortfarande försäkra dig om att det system du väljer faktiskt hjälper just din organisation att uppnå efterlevnad av lagens krav. Förutom detta vill du naturligtvis också ha ett system som är både användarvänligt och enkelt att implementera och underhålla.

Hur lätt är det att rapportera

Fundera på vad ert huvudsakliga mål med visselblåsarlösningen är. Vill ni uppmuntra medarbetare att våga rapportera och skapa en säker miljö för rapporteringen, så bör du prioritera en leverantör som erbjuder ett stort utbud av rapportkanaler (både skriftliga och muntliga) samt anonym tvåvägskommunikation med visselblåsaren och en lösning som är skräddarsydd för just din organisation. Se till att gränssnittet är enkelt och intuitivt och fungerar på olika sorters enheter. Finns det möjlighet att hjälpa användaren med guider och hjälptexter?

GDPR och datasäkerhet

Personuppgifter är endast säkra om systemet är säkert. Kontrollera därför vilka åtgärder man vidtar för att skydda sig mot risker. Till exempel kryptering av ärendedata, multifaktorverifiering, åtkomst- och åtgärdskontroll samt skydd mot externa angrepp. Tänk på saken ur visselblåsarens perspektiv – upplever man lösningarna som säkra och trovärdiga?

Visselblåsarlagen förutsätter efterlevnad av GDPR, vilket omfattar hanteringen av persondata och -uppgifter i visselblåsarsystemet. Kontrollera var den tilltänkta tjänsten lagrar känsligt material och vilka säkerhetsåtgärder som vidtagits. Efter Schrems II-domen kan företag som behandlar europeiska medborgares personuppgifter inte längre använda sig av Privacy Shield-avtalet mellan EU och USA för överföring av personuppgifter. Genom att välja ett system med datalagring inom Europa (EU/EES-området) slipper du det bekymret.

Hantering av rapporter

Systemens interna processer skiljer sig oftast åt när det kommer till hur man samlar in och hanterar rapporterna, och hur man sedan vidarebefordrar ärendet till rätt person eller rätt nivå inom er organisation. Granska hur hanteringen ser ut i det tilltänkta visselblåsarsystemet. Finns det möjlighet att ge begränsad access till specifika roller för enskilda ärenden? En del leverantörer kan erbjuda större flexibilitet och skräddarsydda processer för just er organisation.

Extern visselblåsartjänst: Tekniska lösningar

Olika system använder sig av olika tekniska lösningar för själva rapporteringsprocessen och programvaran som hanterar ärendena. Försök ta reda på om de tekniska lösningarna erbjuder funktioner som är viktiga för dig, är tillräckligt användarvänliga och erbjuder lämpliga säkerhetslösningar. Finns det inbyggda funktioner för en säker, anonym tvåvägskommunikation mellan mottagare av rapporten och visselblåsaren?

Du kan ofta få en bättre helhetsbild av systemet genom att be om en gratis demonstration av visselblåsarsystemet.

Övriga tjänster

En del leverantörer erbjuder också andra tjänster utöver själva rapporteringskanalerna för visselblåsare. Det kan till exempel vara extern, oberoende ärendemottagning samt möjlighet till rådgivning för varje enskilt visselblåsarfall.

Överväg en mer omfattande lösning som kan vara bra på längre sikt, speciellt om visselblåsarsystemet är ett första steg i utvecklingen av ett mera omfattande risk- och complianceprogram.

Välj rätt leverantör av extern visselblåsartjänst

Som vi kan se är det en hel del att tänka på vid valet av ett externt visselblåsarsystem.

• Rapportkanalerna behöver vara 100% säkra och anonyma
• All data ska lagras inom EU/EES
• Tröskeln för att skicka in en rapport ska vara låg genom flera alternativa rapportlösningar
• Det ska finnas möjlighet till anonym kommunikation med visselblåsaren
• Systemet ska göra det lätt att vidarebefordra ärendet till rätt person(er)

Interaktiv Säkerhet kan hjälpa dig med allt detta. Vi har hanterat känslig information i mer än 10 års tid, och kan erbjuda skräddarsydda lösningar för just er organisations behov. Bekanta dig med våra lösningar här och kontakta oss sedan för en vidare diskussion!