Artikel top billede

Sådan satser danske it-firmaer på sladre-systemer

199 danske virksomheder har søgt om godkendelse af de såkaldte whistleblower-ordninger, hvor medarbejdere kan tippe om snyd og bedrag i virksomheden. Læs hvordan KMD, TDC, Dell og Accenture gør det.

199 danske virksomheder har søgt om at få godkendt en såkaldt whistleblower-ordning hos Datatilsynet.

Således oplyser Datatilsynet til Computerworld, at der i perioden fra 1. januar 2007 til april 2013 er indgivet 199 anmeldelser og ansøgninger om tilladelser til whistleblower-ordninger.

"Heraf er 39 indgivet i perioden fra 25. maj 2012 til 5. april 2013," oplyser tilsynet.

For beskrivelser af de enkelte firmaers ordninger henvises til Datatilsynets hjemmeside, hvor man kan finde en stribe godkendelse.

Et væld af it-firmaer

En søgning på ordet whistleblower giver cirka 160 hits.

Og her kan man finde beskrivelser af ordninger hos Hitachi Data Systems Corporation A/S, Alcatel-Lucent Denmark A/S, Telenor A/S, SimCorp A/S, Ricoh Danmark A/S og mange flere.

Hos KMD er ordningen - udover på Datatilsynets hjemmeside - også beskrevet i selskabets regnskab.

Imidlertid afslører beskrivelserne også, at de danske it-virksomheder i praksis griber ordningerne vidt forskelligt an.

KMD: Krypterede mail og særskilt system

På Datatilsynets hjemmeside kan man læse mere indgående om ordningen hos KMD.

"Alle elektroniske indrapporteringer til både den eksterne databehandler samt den interne whistleblowerfunktion modtages på en fra databehandlerens eller den interne whistleblowerfunktions øvrige systemer separat mail," hedder det.

Man gør således meget ud af at holde oplysningerne separat fra det øvrige.

"Herefter printes rapporterne ud og opbevares fysisk i aflåste skabe eller arkiveres elektronisk på et system adskilt fra virksomhedens øvrige systemer," beskrives det videre.

Notater fra telefoniske og fysiske indrapporteringer til både den eksterne databehandler samt den interne whistleblowerfunktion opbevares ligeledes fysisk i aflåste skabe eller arkiveres elektronisk på et system adskilt fra virksomhedens øvrige systemer, forklares det.

"Al efterfølgende skriftlig kommunikation mellem den eksterne databehandler og KMD sker ved fortrolig postforsendelse eller krypteret e-mail," oplyses det.

Alle indrapporteringer modtaget af direktionsgruppen og bestyrelsesformanden opbevares enten elektronisk på systemer adskilt fra virksomhedens øvrige systemer, så alene de relevante medlemmer har adgang til oplysningerne, eller fysisk i aflåste skabe.

Sletter oplysninger igen

Det fremgår af anmeldelsen, at oplysningerne slettes hurtigt igen, hvis de ikke har noget på sig.

"Hvis indberetningen ikke falder inden for området for whistleblowersystemet eller viser sig grundløs, slettes oplysningerne straks eller oversendes til personaleafdelingen og fællestillidsrepræsentanten, eller oversendes til det datterselskab, hvis medarbejder indberetningen vedrører."

"Ved anmeldelse til politi eller anden myndighed, slettes oplysningerne straks efter afslutning af sagen hos pågældende myndighed, jf. dog nedenfor."

"Oplysningerne slettes endvidere, hvis der ikke inden 3 måneder efter afslutningen af undersøgelsen af de indberettede påstande er foretaget anmeldelse til politi eller anden myndighed, eller hvis oplysningerne ikke inden denne frist er oversendt til datterselskabet."

"Hvis der på baggrund af de indsamlede oplysninger gennemføres en disciplinær sanktion over for den indberettede medarbejder, eller der i øvrigt foreligger grunde til, at det er sagligt og nødvendigt fortsat at opbevare oplysninger om medarbejderen, vil oplysningerne blive opbevaret i den pågældendes personalemappe."

"Efter fratrædelse opbevares oplysningerne om medarbejderen i op til 5 år," hedder det afslutningsvis i den længere beskrivelse af opbevarelsen af data inden sletning.

Accenture: Krypteret website

Hos en anden stor it-virksomhed er formålet, "at etablere et internt informationssystem (en Whistleblower-funktion) i Accenture, som skal sikre at oplysninger omkring potentielle ulovligheder og uregelmæssigheder hurtigt og fortroligt kan videregives til relevante personer...". 

Her beskrives proceduren således:
 
"Accenture har oprettet to separate kanaler til 'The Ethics Lines Company', alle ansatte kan enten ringe på et direkte nummer, som er åbent 24 timer i døgnet alle ugens dage eller de kan gå ind på en krypteret webside."

"Det er muligt at anmelde anonymt," hedder det om ordningen her.

Accenture-ordningen er således skruet sammen, at oplysningerne tilgår "The Ethics Lines Company, og i et begrænset omfang Accentures senior management".

Dermed er der visse ligheder med ordningen hos Dell, hvor det dog er en person i Holland, der får adgang til oplysningerne.

Dell hyrer eksternt firma

Hos Dell A/S skal indberetningen fra de ansatte til Whistleblowersystemet ske direkte til Global Compliance Services Inc via e-post eller telefon.

GCS er et firma med ekspertise i at håndtere følsomme oplysninger i forbindelse med Whistleblower-systemer, oplyses det.

"CCS sender oplysningerne til Dell i Holland hvor kun en person har adgang til oplysningerne. Denne person træffer herefter beslutning om hvorvidt oplysningerne skal videregives til de lokal Dell firmaer og hvorvidt offentlige myndigheder skal indvolveres," fremgår det videre.

På samme måde fremgår det af en anmeldelse fra Symantec Danmark fra 2011, at selskabet samarbejder med en ekstern partner.

Her omtales firmaet Ethics Point Inc., der ifølge det oplyste "samarbejder med mere end 2.300 virksomheder i 300 forskellige brancher over hele verden."

150 sprog: 24 timer i døgnet
"Selskabet modtager henvendelser på mere end 150 forskellige sprog 24 timer i døgnet og har tilknyttet oversættelsesservice".

I det hele taget bærer listen hos Datatilsynet præg af, at det ofte er udenlandske firmaers danske datterselskaber, der har anmeldt ordningerne til tilsynet.

Måske fordi der er mere fokus på det fra deres koncernen i udlandet.

Imidlertid er udover KMD også danske YouSee og TDC altså tilmeldt.

TDCs anbefaler brevpost ved anonymitet

Hos danske YouSee A/S fremgår det, at man i forbindelse med dets ordning kan tippe om "alvorlig økonomisk kriminalitet, bestikkelse, bedrageri, dokumentfalsk og korruption, brud på arbejdssikkerheden, sexchikane vold og tilfælde, hvor medarbejdere væsentligt udnytter systemadgange til at skaffe sig oplysninger om kollegaer eller andre, uden at der er et arbejdsmæssigt behov."

Hos TDC's datterselskab sker anmeldelsen til Revisionsudvalget i TDC A/S, hvis det drejer sig om "forhold af finansiel karakter".

"Revisionsudvalget undersøger og forbereder behandling af sådanne anmeldelser, mens beslutninger i en hver henseende vedrørende sådanne anmeldelser træffes af TDC A/S´ bestyrelse."

Revisionsudvalget er et underudvalg under TDCs bestyrelse, oplyses det.

"Revisionsudvalget består af 4 medlemmer, hvoraf mindst 1 er uafhængigt, og har kompetence inden for regnskab eller revision. Revisionsudvalgets sekretær er tillige bestyrelsessekretær og intern advokat i TDC," fremgår det.

Andre forhold ryger direkte til bestyrelsesformanden for telegiganten.

"Forhold vedr. brud på arbejdssikkerheder, sexchikane, vold mv. anmeldes derimod til formanden for bestyrelsen for TDC A/S," hedder det.

Giv dig til kende

Selskabet anbefaler i øvrigt, at man giver sig til kende, når man tipper om forhold.

"For at revisionsudvalget/bestyrelsesformanden kan undersøge forholdet, anbefales det, at den, der retter henvendelse, identificere og beskrive det konkrete forhold rimelig detaljeret."

"Jo mere information, Revisionsudvalget/bestyrelsesformanden modtager, jo nemmere vil det være at iværksætte en undersøgelse af forholdet."

"TDC anbefaler at henvendelserne ikke sker anonymt."

"Baggrunden er, at det ellers ikke vil være muligt at finde tilbage til medarbejderen for at få evt. yderligere information," skriver man.

Dog vil anonyme henvendelser også blive behandlet.

"Anonyme henvendelser kan kun ske pr. brev og ikke pr. mail, da identiteten vil fremgå af en mail," fremgår det.

En medarbejder kan kontakte revisionsudvalget ved at sende et almindeligt brev eller ved at sende en e-mail.

Det praktiske

"Breve mærkes FORTROLIGT og sendes til Revisionsudvalget for TDC A/S att. sekretæren for revisionsudvalget.

"En medarbejder kan kontakte bestyrelsesformanden: ved at sende et almindeligt brev eller ved at sende en e-mail.

"Breve mærket FORTROLIGT sendes til følgende: Bestyrelsesformanden for TDC A/S, att.: sekretæren for bestyrelsen. E-mail mærket FORTROLIGT sendes til: en særlig postkasse, hvortil kun Revisionsudvalget/bestyrelsesformanden og dets sekretær/bestyrelsessekretæren har adgang," lyder den praktiske anvisning.

Må ikke misbruges

Alle tip vil naturligvis blive behandlet fortroligt, understreger TDC.

"I tilfælde af at anmeldelsen ender med en retssag, kan anmelderen uanset ønske om fortrolighed blive forpligtet til at give vidneforklaring, da man ikke kan afgive vidneforklaring anonymt."

"Man kan i langt de fleste tilfælde heller ikke afvise at afgive vidneforklaring, men der findes enkelte undtagelser," anfører man dog også.

Selskabet anfører også, at man ikke må misbruge ordningen og i ond tro dolke og sende misinformation om andre.

"En medarbejder, som i god tro har rettet henvendelse til Revisionsudvalget/bestyrelsesformanden, risikerer ikke at blive udsat for ansættelsesmæssige sanktioner, selvom det viser sig, at der ikke er begået en væsentlig overtrædelse."

"Det er vigtigt at undgå, at uskyldige personer mistænkes for uregelmæssigheder. Det er derfor vigtigt, at man overvejer meget nøje, om der er tale om væsentlige kritisable forhold, inden man henvender sig til Revisionsudvalget."

"Indberetning af forhold i ond tro vil kunne få ansættelsesretlige konsekvenser og efter omstændigheder kunne være strafbart," skriver selskabet. 

I øvrigt opbevares skriftlige henvendelser "fortroligt og sikkert i et aflåst skab i Jura og Regulering, hvortil kun bestyrelsessekretæren og sekretæren for revisionsudvalget har adgang".

"Elektronisk materiale vil blive opbevaret på en separat maskine, hvortil der ikke er adgang for andre end ovennævnte personkreds, således at det sikres, at persondataloven opfyldes," hedder det. 

Databehandlerens navn

YouSee-anmeldelsen er fra den 22. februar 2011, således er "Databehandlerens navn" angivet til at være TDC A/S og CSC India Private Limited.

Hvorvidt det fortsat er tilfældet efter TDC valgte TATA som leverandør, fremgår ikke. 

Det koster 1.000 kroner at få tilmeldt en ordning hos Datatilsynet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere