IT-beveiliging en gegevensbescherming van klokkenluiderssystemen

In digitale klokkenluiderssystemen moeten verschillende eisen inzake IT-beveiliging en gegevensbescherming worden toegepast. De meldingen van klokkenluiders over schendingen van wetten of bedrijfsbeleid kunnen persoonlijke gegevens bevatten, waarvan sommige gevoelig kunnen zijn. De volgende blogpost schetst de essentiële vereisten. Daarnaast laten we zien dat onze Hintbox aan al deze eisen voldoet, zowel technisch en organisatorisch als juridisch.

Gebruik van de nieuwste encryptietechnologieën 

De Europese wetgeving inzake gegevensbescherming bepaalt dat verantwoordelijken en verwerkers van klokkenluidersystemen passende technische en organisatorische maatregelen moeten nemen om een beschermingsniveau te waarborgen dat in verhouding staat tot het risico. Dit omvat met name de versleuteling van persoonsgegevens (artikel 32, lid 1, onder a), GDPR). 

De databases van Hintbox zijn uitgebreid beschermd tegen ongeautoriseerde toegang met behulp van state-of-the-art encryptie technologieën. TLS (Transport Layer Security) encryptie zorgt voor een veilige gegevensoverdracht tussen u en Hintbox en onze website.

Bovendien implementeren we momenteel end-to-end encryptie, vanaf de invoer van een tip door de klokkenluider tot de opslag ervan bij onze hoster, om onze klanten de hoogst mogelijke veiligheidsstandaard te bieden. Als gevolg hiervan zijn de persoonlijke gegevens in ons klokkenluidersysteem versleuteld in alle transmissie stations en alleen de geautoriseerde partijen (klokkenluider evenals het bedrijf/autoriteit of compliance officer/verantwoordelijke partij) kunnen de gegevens ontsleutelen en bekijken. De versleuteling vindt uitsluitend plaats bij de klokkenluider of compliance manager. Dit betekent dat de gegevens reeds versleuteld op onze servers aankomen, zodat noch wij, noch de wetcode, noch andere derden de informatie te allen tijde kunnen lezen.

De vertrouwelijkheid, integriteit en beschikbaarheid van de systemen en het herstel waarborgen

Ons Hintbox-systeem waarborgt ook de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen en gegevens (art. 32, lid 1, onder b), DSGVO). Elke Hintbox-gebruiker kan veilige 2-factorauthenticatie activeren om de vertrouwelijkheid van de gegevens te waarborgen. Bovendien krijgt elk van onze Hintbox-klanten zijn eigen afzonderlijke Hintbox-instantie, waardoor een strikte scheiding van gegevens wordt gewaarborgd. Ongeoorloofde toegang tot gegevens van derden is daarom uitgesloten dankzij onze geïsoleerde gegevensopslag in ons klokkenluiderssysteem.

Door de hoogste encryptietechnologieën te gebruiken en de invoer van gegevens en de wijzigingen ervan te indexeren, waarborgen wij ook de integriteit van de gegevens in de Hintbox. Ons klokkenluiderssysteem is ook zeer beschikbaar. Wij maken ook de uitvoering mogelijk van verwijderingsvereisten die zowel door de gegevensbeschermingswetgeving als door de EU-klokkenluidersrichtlijn worden opgelegd. Ons klokkenluidersysteem maakt ook de implementatie mogelijk van een autorisatieconcept waarbij alleen individuele bevoegde personen (zoals de compliance officer) toegang krijgen tot de ontvangen meldingen.

Bovendien kunnen de gegevens gemakkelijk worden hersteld door middel van realtime back-ups (Art. 32 (1) (c) GDPR). Als onderdeel van ons geïmplementeerde beheersysteem voor gegevensbescherming wordt de effectiviteit van onze technische en organisatorische maatregelen ook regelmatig gecontroleerd en geëvalueerd (Art. 32 (1) (d) GDPR).

Datahosting in een gecertificeerd datacenter in Duitsland

Alle gegevens van ons klokkenluiderssysteem worden gehost in Duitsland in een ISO/IEC 27001 gecertificeerd datacentrum. Er is geen hosting van gegevens en geen overdracht van gegevens naar derde landen. Dit betekent dat er voor onze klanten geen kritieke kwesties in verband met een overdracht naar derde landen zijn die door toezichthoudende autoriteiten voor gegevensbescherming of rechtbanken aan de orde worden gesteld (effectiviteit van standaard contractuele clausules of arresten van het EHJ "Schrems I en II").

Zorgen voor anonimiteit

De Hintbox waarborgt technisch de anonimiteit van een klokkenluider bij een anonieme melding. Er worden geen IP- of MAC-adressen, locatiegegevens of andere informatie waaruit conclusies over een betrokkene kunnen worden getrokken, opgeslagen. Ook de inloggegevens voor een anonieme klokkenluider worden willekeurig en automatisch gegenereerd. Deze inloggegevens maken anonieme communicatie tussen de klokkenluider en de compliance officer of verantwoordelijke mogelijk. Hierdoor kan informatie over de melding worden aangevuld of kunnen vervolgvragen worden gesteld.

Voldoen aan gegevensbeschermingsvereisten voor een klokkenluidersregeling

Hintbox houdt zich aan de regels voor de verwerking van persoonsgegevens en voldoet daarmee aan de Algemene Verordening Gegevensbescherming en de Federale Wet Bescherming Persoonsgegevens. De naleving van deze voorschriften is ook een uitdrukkelijke verplichting van de EU-klokkenluidersrichtlijn. Wij verwerken persoonsgegevens uitsluitend volgens gedocumenteerde instructies en in opdracht van onze klanten als verwerker. Daartoe sluiten wij met onze klanten een verwerkersovereenkomst in opdracht overeenkomstig Art. 28 DSGVO. Deze overeenkomst bevat ook de hoge normen voor technische en organisatorische maatregelen die wij met ons hintbox-systeem waarborgen. Daardoor voldoet onze Hintbox ook aan de eisen van de toezichthoudende autoriteiten voor een klokkenluiderssysteem (Conferentie van de onafhankelijke gegevensbeschermingsautoriteiten van de Bondsregering en de deelstaten, Richtsnoeren van de toezichthoudende autoriteiten voor gegevensbescherming inzake klokkenluidershotlines: Interne waarschuwingssystemen van bedrijven en gegevensbescherming van werknemers van 14 november 2018).