Opis aplikacji WhistBoard

W skrócie

  • Panel sygnalisty zawiera wszystkie istotne elementy i zapewnia zgłaszającemu możliwość wyboru trybu zgłoszenia oraz dodatkowo wyboru kategorii.
  • Poziom zabezpieczeń jest zgodny z wyborem odpowiedniego dla sygnalisty trybu.
  • Zapewniono gradację ról w panelu administracyjnym, minimalizowanie przepływu wiedzy w organizacji.
  • Jest to aplikacja godna polecenia, intuicyjna i zapewniająca odpowiedni poziom bezpieczeństwa, która może również stanowić uniwersalne narzędzie do wykorzystania w zakresie compliance.

Opis aplikacji

Logo Whistboard

Opis aplikacji

WhistBoard to platforma dla sygnalistów oferowana przez producenta oprogramowania Deviniti oraz firmę doradczą Olesiński i Wspólnicy sp.k. – obie z Wrocławia. Aplikacja zaprojektowana w szaro-żółto zielonej kolorystyce, z czytelnymi czcionkami sprawia korzystne ogólne wrażenie. Deniviti reklamuje aplikację jako bezpieczną dla sygnalisty, zapewniającą anonimowość, obsługę całego procesu zgłaszania naruszeń oraz szybkość wdrożenia. WhistBoard w wersji podstawowej działa w chmurze (SaaS), a dostęp do platformy odbywa się poprzez przeglądarkę, dzięki czemu nie jest konieczne angażowanie wewnętrznego działu IT organizacji. Według autorów aplikacji, WhistBoard to przede wszystkim prostota obsługi, możliwość anonimizacji zgłoszenia naruszenia oraz elastyczność (wiele języków, doradztwo prawne w zakresie whistleblowing/ compliance).

Firma zwraca uwagę, że system do przyjmowania informacji o nieprawidłowościach jest nie tylko nieuchronnie zbliżającym się wymogiem prawnym, ale także z powodzeniem stosowanym w wielu organizacjach elementem ograniczania ryzyka i zapewniania compliance, a zatem aplikacja może być narzędziem uniwersalnym.

Panel sygnalisty (formularz zgłoszeniowy)

Zgłoszenie naruszenia

Zgłoszenie naruszenia przez sygnalistę odbywa się poprzez link (tzw. strumień, kanał informacyjny), który generuje dana firma z poziomu panelu administratora, wybierając odpowiednie parametry (o czym później). Zgłoszenie następuje poprzez wypełnienie formularza, z wyborem wersji językowej (5 języków), kategorii naruszenia (BHP/PPOŻ, działania na szkodę podmiotu, korupcja, nieuczciwa konkurencja, sprawy pracownicze), trybu (anonimowe, poufne, jawne) oraz oczywiście wpisanie treści zgłoszenia. Można dodać maksymalnie 5 plików z powszechnie stosowanymi rozszerzeniami, również mp3 i mp4. Do formularza dołączane są odpowiednie klauzule dotyczące ochrony danych osobowych, dostarczane przez klienta. Zawartość formularza zależy od wybranych przez administratora opcji.

Wszystkie załączniki przesyłane przez sygnalistów do aplikacji są czyszczone z tzw. metadanych, umożliwiających identyfikację sygnalisty, również w przypadku zdjęć zrobionych za pomocą telefonów komórkowych, lokalizacji GPS, gdzie konkretnie zdjęcie zostało wykonane. Aplikacja zawiera mechanizmy chroniące dane sygnalistów.

Szczególnie istotny dla sygnalisty jest wybór trybu zgłoszenia. Aplikacja w sposób czytelny i jasny informuje, jakie są konsekwencje określonego wyboru. Anonimowość oznacza, że przyjmujący zgłoszenie nie pozna tożsamości sygnalisty, poufność – nikt nie pozna danych sygnalisty, ale możliwy będzie z nim kontakt, jawność – przyjmujący pozna jego tożsamość.

Wysłałem zgłoszenie poufne. Na podany e-mail przyszła natychmiast następująca informacja:

Potwierdzamy wpłynięcie Twojego zgłoszenia. Dołożymy wszelkich starań, aby postępowanie zagwarantowało poufność Twoich danych. Zostaną one przekazane osobie prowadzącej sprawę wyłącznie w celu nawiązania niezbędnego kontaktu, który zostanie podjęty, jeśli konieczne okaże się zdobycie większej ilości informacji. Korzystając z linka oraz PIN-u, które wyświetliły się po dokonaniu zgłoszenia, możesz śledzić jego postęp oraz nawiązać kontakt z osobą przyjmującą zgłoszenie poprzez dodanie wiadomości lub załączników

Na stronie natomiast wyświetlił się następujący komunikat.

Komunikat - zgłoszenie Uzupełnienie zgłoszenia

Można wtedy dostać kod PIN zgłoszenia, skopiować URL, otworzyć zgłoszenie i je uzupełnić oraz prowadzić dialog przyjmującym zgłoszenie.

Panel administratora

Logowanie do panelu administratora odbywa się poprzez dedykowaną dla danej firmy stronę. Rejestracja w aplikacji wymaga weryfikacji maila oraz ustanowienia hasła. W tym celu należy otworzyć otrzymaną wiadomość e-mail oraz kliknąć w link (ważny 24 godziny) w celu ustawienia hasła, spełniającego określone w bezpiecznym szyfrowaniu warunki. W celu zalogowania się należy wpisać adres e-mail, na który został wysłany link rejestracyjny oraz podać zdefiniowane wcześniej hasło. Oczywiście, istnieje możliwość zresetowania hasła.

Po zalogowaniu się do aplikacji użytkownik dokonuje wyboru konta. Jeden dostęp oznacza jedno konto w aplikacji. Jeżeli administrator uruchomi opcję podwójnej autentykacji do konta, to osoby logujące się na dane konto będą proszone przez system o dodatkową autoryzację swojej tożsamości. Możliwość uruchomienia opcji wieloskładnikowego uwierzytelnienia ma każdy administrator w ramach danego konta, przy zastosowaniu powszechnie używanych aplikacji mobilnych (m.in. Google Authenticator, Microsoft Authenticator), które należy skonfigurować poprzez wyświetlany przez system kod QR. Reset konfiguracji jest możliwy w profilu użytkownika. WhistBoard prosi o podanie kodu raz dziennie, ponieważ uwierzytelnienie jest resetowane co 24 godziny.

Wybór konta

Aplikacja umożliwia ustanowienie użytkownikom następujących ról: administratora, operatora oraz administratora i jednocześnie operatora. Administrator ma możliwość dodania/edycji strumienia (kanału zgłoszenia) oraz użytkowników, przypisania operatora do zgłoszenia i dokonania zgłoszenia w imieniu sygnalisty oraz dostęp do ustawień konta. Operator może obsługiwać przypisane mu zgłoszenia oraz dokonać zgłoszenia w imieniu sygnalisty. Liczba administratorów i operatorów w ramach konta jest zależna od wykupionego pakietu.

Poniżej przedstawiono, jak wygląda dashboard – ekran startowy, pokazujący aktywność w aplikacji, liczbę zgłoszeń z podziałem na otwarte (do rozpatrzenia) oraz zamknięte (podjęto tzw. działania następcze), a także spam (administratorzy mają prawo dokonania selekcji zgłoszeń również pod kątem nie mających związku z organizacją i niewiarygodnych treści). Po lewej stronie znajduje się nieskomplikowane menu, które odsyła do poszczególnych podstron aplikacji.

dashboard

Lista strumieni to opcja dostępna wyłącznie dla administratora. Jednym z pierwszych kroków podczas konfiguracji systemu powinno być właśnie stworzenie strumienia, czyli kanału zgłoszeniowego dla sygnalistów. Można stworzyć np. odrębne strumienie – kontrahentów i pracowników. Aby zdefiniować strumień, administrator powinien m.in. zdecydować, czy podczas dokonywania zgłoszenia sygnalista będzie miał możliwość wybrania określonych kategorii naruszeń oraz wybrać rodzaje zgłoszeń możliwe do wysłania przez sygnalistów (anonimowe, poufne, jawne.

Aplikacja nie pozwala użytkownikom na kasowanie strumieni, co ma zabezpieczyć spółkę przed nieuczciwymi próbami manipulowania zgłoszeniami. Administrator może jedynie wyłączyć aktywność strumienia, czyli nie będzie możliwe przesłanie nowego zgłoszenia w ramach danego kanału zgłoszeniowego.

Lista strumieni Edycja strumienia Edycja strumienia Edycja strumienia Edycja strumienia Edycja strumienia Edycja strumienia

Lista zgłoszeń jest dostępna dla wszystkich użytkowników przypisanych do konta, ale jej widok różni się w zależności od roli, jaką pełni użytkownik, administratora czy operatora. Wszelkie operacje w tym zakresie są dokumentowane w aplikacji oraz poprzez powiadomienia mailowe odpowiednich osób. Widok operatora jest  ograniczony wyłącznie do zgłoszeń, do których został on przypisany przez administratora. Operator ma oczywiście możliwość zapoznania się ze szczegółami zgłoszenia, do którego został przypisany. 

WhistBoard umożliwia nadanie zgłoszeniu statusu: odrzucone, nowe, działania następcze, weryfikacja, zakończone. W opcji dostępnej dla administratorów i operatorów, w przypadku otrzymania zgłoszenia o nieprawidłowości poza WhistBoard (np. poprzez skrzynkę zgłoszeniową, na e-mail itd.), istnieje możliwość odnotowania go w systemie w celu prowadzenia pełnego rejestru spraw w aplikacji. Aby tego dokonać, należy wybrać z listy menu „Nowe zgłoszenie wewnętrzne”.

Lista zgłoszeń Zgłoszenie w imieniu sygnalisty

W ramach edycji listy użytkowników administrator ma podgląd, jacy użytkownicy zostali przypisani do konta, może zmienić rolę użytkowników, napisać e-maila do danego użytkownika z zaproszeniem do rejestracji, dodać nowych użytkowników oraz deaktywować konto danego użytkownika.

Lista użytkowników

Administrator ma możliwość podglądu szczegółów konta oraz ustanowienia w ramach wszystkich strumieni przypisanych do konta tzw. dodatkowego powiadomienia nadzoru albo podwójnej autentykacji (zabezpieczenia 2FA).

Dodatkowe powiadomienie nadzoru to specjalny tryb dostępny dla każdego z kont, jeżeli sygnalista uzna, że jego zgłoszenie może dotyczyć osób obsługujących aplikację albo osób pełniących kluczowe funkcje w przedsiębiorstwie, może on przesłać powiadomienie o takim zgłoszeniu również do dodatkowych osób, wskazanych przez administratora.

Dane konta

Zanim wdrożysz aplikację dla sygnalistów zaktualizuj swoje procedury bezpieczeństwa. Tego wymaga prawo.

Więcej

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".