Statens Whistleblowersystem

Statens Whistleblowersystem (SWS) er et fællesstatsligt system til at håndtere anonyme og ikke-anonyme whistleblowerindberetninger til statslige myndigheder.

Alle virksomheder med mere end 50 ansatte, herunder offentlige myndigheder, skal senest den 17. december 2021 etablere en selvstændig whistleblowerordning.

Statens It har udviklet Statens Whistleblowersystem (SWS) baseret på standard-whistleblowersystemet GlobalLeaks. Systemet er konfigureret, så det passer til en statslig whistleblower best practice-proces og kan således umiddelbart anvendes af statslige myndigheder.

Statens It fortager løbende kontrol af udførelsen og resultaterne af de tredjeparts pentests og kode-reviews, som fortages af systemet, og som offentliggøres på GlobaLeaks hjemmeside

Systemet kan tilpasses den enkelte myndigheds særlige behov – inden for de muligheder standardsystemet stiller til rådighed.

SWS – til henvendelser og dialog

Formålet med SWS er at modtage whistleblower-henvendelser og at facilitere eventuel efterfølgende dialog med whistleblower.

Selve realitetsbehandlingen af indberetningerne vil foregå i den enkelte myndigheds ESDH-system.

SWS stilles til rådighed som en færdig Software as a Service til håndtering af whistleblowerhenvendelser, og systemet lever op til krav fastsat i EU’s whistleblowerdirektiv og den danske whistleblowerlov.

Statens It har udført grundige og relevante informationssikkerhedsmæssige vurderinger af SWS, som er konfigureret og testet i forhold til relevante behov baseret på Økonomistyrelsens foranalyse til et fælles statsligt whistleblowersystem.

SWS driftes og vedligeholdes af Statens It. Hver myndighed har sin egen del af systemet, der tilgås fra myndighedens hjemmeside.

Læs Lov om beskyttelse af whistleblowere LOV nr 1436 af 29/06/2021.

Loven implementerer EU’s whistleblowerdirektiv i dansk ret og pålægger i overensstemmelse med direktivet, at alle virksomheder med mere end 50 ansatte, herunder offentlige myndigheder, skal etablere en selvstændighed whistleblowerordning.

SWS i jeres organisation

  • Hver myndighed etablerer egen organisatorisk enhed og udpeger sagsbehandlere, der via adgang til SWS håndterer de indkomne sager.
  • Realitetsbehandlingen vil foregå i myndighedernes lokale systemer, fx ESDH- eller HR-system.
  • SWS tilgås fra myndighedens hjemmeside og/eller intranet via et link

Første version af Statens It’s Whistleblowerservice indeholder følgende funktionalitet:

  • Myndighedsspecifik indgang til whistleblowersystemet fra myndighedens hjemmeside, så whistleblower kan se, hvilken myndighed der indberettes til
  • Indberetningen baseres på samme spørgeramme (information der kan/skal afgives) for alle myndigheder og mulighed for vedhæftninger af filer
  • Der er mulighed for både anonym og ikke-anonym indberetning
  • Advisering om og adgang til indberetninger for sagsbehandlere i myndighedens whistleblowerenhed
  • Mulighed for tovejsdialog med whistleblower via systemet under hele sagsforløbet
  • Fuld segregering af data mellem myndighederne
  • Mulighed for at opsætte egen visuel profil, f.eks. logo
  • Mulighed for at tilpasse vejledninger og spørgetekster
  • Overholder de databeskyttelsesretlige regler
  • Højt niveau af informationssikkerhed

Efter 17. december 2021, hvor systemet er er implementeret hos alle myndigheder, vil der blive mulighed for at ønske yderligere funktionaliteter, som implementeres efter myndighedernes fælles prioritering.

Der åbnes også for, at den enkelte myndighed kan bestille egne tilpasninger inden for de rammer, som standardsystemet tilbyder.

 

Fordele for de enkelte myndigheder

 

Sagsbehandling

  • Fælles standarder og vejledning

  • Ensartede processer og sagsbehandling

  • Deling af best practice implementeret i systemet

Funktionalitet

 Et avanceret system, der er skræddersyet til statslige myndigheders behov, herunder:

  • Modtagelse og besvarelse af både mundtlige og skriftlige indberetninger, med mulighed for anonymitet

  • Styring og dokumentation af komunikation med indberetter

  • Sagsstyring inkl. friststyring

Sikkerhed og kontrol

  • Efterlever GDPR og relevante informationssikkheredsstandarder, fx ISO

  • Sikkert kontrolmiljø

  • Sletning i henhold til myndighedens fastsatte slettefrister

Økonomi

  • Lave omkostninger pr. myndighed for adgang til en løsning af høj kvalitet

Drift og vedligehold

  • Statens It håndterer drift og vedligehold på vegne af myndigheder, fx drifts- og sikkerhedshændelser, vurdering og håndtering af opdateringer, fejlrettelser og ændringshåndteringer løbende leverandørkontakt mv. 

 

Ansvarsfordeling mellem myndigheden og Statens It

 

  Rolle Opgaver

Myndighed

Sagsbehandlere

  • Bemande ordningen og sagsbehandle indberetninger

Myndighed

Lokalsystem
administrator

  • Varetage kontakt til Statens It, fx i relation til ressortændringer, aktindsigter mv.

  • Som dataejer overvåge GDPR-opgaver ift. egen del af løsningen (sletning og oprydning)

Statens It

  

  • Alle aspekter af drift af it-systemet

    • Almindelige driftsaktiviteter, fx backup
    • Overvågning af systemet
    • Sikkerhedsopdateringer
    • Brugeradministration

  • Ansvarlig for informationssikkerhed

    • Håndterer sikkerhedshændelser og logon-administration
    • Sikrer at systemet lever op til de på statsligt niveau stillede krav og informationssikkerhed
    • Løbende risikovurderinger

  • Yder support til myndighederne af løsningen

  • Vedligeholder, videreudvikler og tester løsningen

    • Fejl og ændringsanmodninger
    • Opdateringer og ny funktionalitet

  • Varetager kontakt til leverandør og kommercielle aspekter

  • Bistår med aktindsigter og øvrige henvendelser

 

 

 

Forudsætninger og begrænsninger

  • Myndigheden etablerer en landing page, hvorfra indberetningsportalen kan tilgås

  • SWS forudsætter en opdateret browser. IE 11 fungerer ikke med SWS

  • SWS tofaktor-autentificering udgøres af SWS-adgangskode plus en tofaktor autentificerings app på de enkelte sagsbehandleres mobiltelefon

  • Tofaktor autentificerings app, f.eks FreeOTP, installeres af sagsbehandler eller dennes it- koordinator

  • Kunden har ansvar for deres sagsbehandleres sagsbehandlingspraksis for håndtering af whistleblowerhenvendelser. Kunden er dataejer, og Statens It er databehandler.