Les 1Operatorrollen en governancemodel: interne meldmedewerker(s), plaatsvervanger, Juridisch, HR en externe aanbiederrollenDeze sectie verduidelijkt het governancemodel en operatorrollen. Het definieert verantwoordelijkheden van interne meldmedewerkers, plaatsvervangers, Juridisch, HR en externe aanbieders, en legt escalatiepaden, onafhankelijkheidsbescherming en back-upregelingen uit.
Mandate of the internal reporting officerDeputy arrangements and business continuityInterfaces with Legal, HR, and ComplianceUse of external ombuds or hotline providersIndependence, conflicts, and reporting linesLes 2Procesmapping: intake, triage, voorlopige beoordeling, formeel onderzoek, correctieve actie, afsluitingDeze sectie legt uit hoe u het end-to-end meldproces in kaart brengt, van intake tot afsluiting. Het definieert triage, voorlopige beoordeling, formeel onderzoek, correctieve acties en documentatie, met duidelijkheid over rollen, termijnen en beslispunten.
Designing the intake and registration stepsTriage rules and risk-based prioritizationPreliminary assessment and scopingFormal investigation workflow and controlsCorrective action, closure, and lessons learnedLes 3Toegangscontrole en rolgebaseerde toestemmingen voor intake-, onderzoek- en archiefsysteemDeze sectie definieert toegangscontroleconcepten voor meldsystemen. Het behandelt rolgebaseerde toestemmingen, taakenscheiding, least privilege en veilige archivering, zodat alleen geautoriseerd personeel gevoelige zaadgegevens kan bekijken, bewerken of exporteren.
Role design for intake and investigation teamsLeast privilege and need-to-know principlesSegregation of duties and conflict checksAccess reviews and recertification cyclesSecure archive access and export controlsLes 4Technische en organisatorische maatregelen voor vertrouwelijkheid: encryptie, pseudonimisering, auditlogs, bewaarschema'sDeze sectie beschrijft technische en organisatorische waarborgen voor vertrouwelijkheid, inclusief encryptie, pseudonimisering, toegangscontroles, logging en bewaring. Het koppelt deze maatregelen aan wettelijke vereisten, risicobeoordelingen en interne beveiligingsbeleid.
End-to-end encryption for reporting channelsPseudonymisation and data minimization rulesSecure storage, backups, and key managementAudit logging and monitoring of accessRetention schedules and secure deletionLes 5Escalatiegovernance en raad van bestuur-rapportage: wanneer senior management, Juridisch, Compliance Comité betrekkenDeze sectie legt escalatieregels, governancestructuren en raad van bestuur-rapportage uit. Het verduidelijkt wanneer senior management, Juridisch of Compliance-organen betrokken moeten worden, en hoe beslissingen te documenteren, onafhankelijkheid te beschermen en represaillesrisico's te vermijden.
Escalation criteria and materiality thresholdsRoles of senior management in case handlingInvolvement of Legal and Compliance bodiesBoard and committee reporting formatsDocumenting escalation decisionsLes 6Selectie en specificatie van meldkanalen (veilige online intakeformulieren, telefonische hotline, post, persoonlijk, gedelegeerde e-mail)Deze sectie legt uit hoe u meldkanalen selecteert en specificeert, inclusief online formulieren, hotlines, post, persoonlijk en e-mail. Het behandelt beveiliging, gebruiksvriendelijkheid, beschikbaarheid en documentatie voor vertrouwd, conform toegang voor alle melders.
Channel mix: online, phone, postal, in-personSecurity requirements for each channel typeDesigning usable and clear intake formsDelegated email and mailbox managementBusiness continuity and fallback channelsLes 7Termijnen en SLA's afgestemd op HinSchG: bevestigingstijdframe, onderzoeksmijlpalen, feedback aan melderDeze sectie richt zich op termijnen en SLA's onder HinSchG. Het legt bevestigingstermijnen, onderzoeksmijlpalen en feedbackverplichtingen uit, en toont hoe deze in procedures, tools en monitoringdashboards te integreren voor naleving.
HinSchG timelines and legal benchmarksAcknowledgement and status update deadlinesInvestigation duration and milestone trackingFeedback obligations to the reporterMonitoring SLA breaches and remediationLes 8Meertalige en toegankelijkheidsvereisten (Duits, Engels en Duits-Oostenrijks taaloverwegingen; anonieme meldopties)Deze sectie behandelt meertalige en toegankelijkheidsbehoeften voor melders. Het omvat gebruik van Duits en Engels, Oostenrijkse varianten, eenvoudige taal, anonieme opties en aanpassingen voor beperkingen, voor gelijke, veilige toegang tot alle meldkanalen.
Language strategy for German and EnglishHandling Austrian-German terminologyPlain language and easy-to-read draftingAccessibility for disabilities and assistive techAnonymous and confidential reporting optionsLes 9Beoordeling derden-aanbieder en contractclausules (DPA, vertrouwelijkheid, auditrechten, SLA voor reactietijden)Deze sectie begeleidt bij de beoordeling van externe hotline- of platformaanbieders. Het behandelt due diligence, verwerkersovereenkomsten, vertrouwelijkheid, auditrechten, SLA's en lopende monitoring voor wettelijke naleving, gegevensbeveiliging en betrouwbare dienstverlening.
Due diligence on hotline and platform vendorsData Processing Agreement key clausesConfidentiality and conflict-of-interest termsAudit and inspection rights in contractsSLAs for uptime and response timesLes 10Sjabloondocumenten en recordkeeping: intakeformulieren, bevestigingsbrieven, onderzoeksplannen, eindrapporten, anonimiseringssjablonenDeze sectie behandelt verplichte sjablonen en records over de levenscyclus van de zaak. Het legt uit hoe u intake, bevestigingen, onderzoeksplannen, rapporten en anonimisering standaardiseert voor consistentie, controleerbaarheid en naleving van HinSchG en AVG.
Standardized intake and case opening formsAcknowledgement and follow-up letter templatesInvestigation planning and scoping templatesFinal report and management summary formatsRedaction standards for shared documents
