Lektion 1Operatörsroller och styrningsmodell: intern rapporteringsofficer(ar), biträdande, juridik, HR och externa leverantörsrollerDenna sektion klargör styrningsmodellen och operatörsrollerna. Den definierar ansvar för interna rapporteringsofficerare, biträdande, juridik, HR och externa leverantörer samt förklarar eskaleringspaths, oberoendesskydd och reservarrangemang.
Mandate of the internal reporting officerDeputy arrangements and business continuityInterfaces with Legal, HR, and ComplianceUse of external ombuds or hotline providersIndependence, conflicts, and reporting linesLektion 2Processkartläggning: mottagning, triagering, preliminär bedömning, formell utredning, korrigerande åtgärd, avslutDenna sektion förklarar hur man kartlägger hela rapporteringsprocessen från mottagning till avslut. Den definierar triagering, preliminär bedömning, formell utredning, korrigerande åtgärder och dokumentation med tydlighet i roller, tidsramar och besluts punkter.
Designing the intake and registration stepsTriage rules and risk-based prioritizationPreliminary assessment and scopingFormal investigation workflow and controlsCorrective action, closure, and lessons learnedLektion 3Åtkomstkontroll och rollbaserade behörigheter för mottagning, utredning och arkivsystemDenna sektion definierar åtkomstkontrollkoncept för rapporteringssystem. Den täcker rollbaserade behörigheter, separationsprincipen, minst-privilegiering och säker arkivering så att endast auktoriserad personal kan visa, redigera eller exportera känsliga ärendedata.
Role design for intake and investigation teamsLeast privilege and need-to-know principlesSegregation of duties and conflict checksAccess reviews and recertification cyclesSecure archive access and export controlsLektion 4Tekniska och organisatoriska åtgärder för konfidentialitet: kryptering, pseudonymisering, auditloggar, förvaringsschemanDenna sektion beskriver tekniska och organisatoriska skyddsåtgärder för konfidentialitet, inklusive kryptering, pseudonymisering, åtkomstkontroller, loggning och förvaring. Den kopplar dessa åtgärder till rättsliga krav, riskbedömningar och interna säkerhetspolicyer.
End-to-end encryption for reporting channelsPseudonymisation and data minimization rulesSecure storage, backups, and key managementAudit logging and monitoring of accessRetention schedules and secure deletionLektion 5Eskaleringstyrning och styrelserapportering: när man involverar ledning, juridik, compliance-kommittéDenna sektion förklarar eskaleringregler, styrningsstrukturer och styrelserapportering. Den klargör när man involverar ledning, juridik eller compliance-organ och hur man dokumenterar beslut, skyddar oberoende och undviker vedergällningsrisker.
Escalation criteria and materiality thresholdsRoles of senior management in case handlingInvolvement of Legal and Compliance bodiesBoard and committee reporting formatsDocumenting escalation decisionsLektion 6Val och specifikation av rapporteringskanaler (säkra online-mottagningsformulär, telefonhotline, post, personliga möten, delegerad e-post)Denna sektion förklarar hur man väljer och specificerar rapporteringskanaler, inklusive online-formulär, telefonhotlines, post, personliga möten och delegerad e-post. Den täcker säkerhet, användbarhet, tillgänglighet och dokumentation för att säkerställa pålitlig, compliant tillgång för alla rapporterare.
Channel mix: online, phone, postal, in-personSecurity requirements for each channel typeDesigning usable and clear intake formsDelegated email and mailbox managementBusiness continuity and fallback channelsLektion 7Frister och SLA i linje med HinSchG: kvittotidsram, utredningsmilstolpar, återkoppling till rapporterareDenna sektion fokuserar på frister och SLA enligt HinSchG. Den förklarar kvittotidsramar, utredningsmilstolpar och återkopplingsskyldigheter samt visar hur man integrerar dem i procedurer, verktyg och övervakningsdashboards för efterlevnad.
HinSchG timelines and legal benchmarksAcknowledgement and status update deadlinesInvestigation duration and milestone trackingFeedback obligations to the reporterMonitoring SLA breaches and remediationLektion 8Flerspråkiga och tillgänglighetskrav (tyska, engelska och tysk-österrikiska språköverväganden; anonyma rapporteringsalternativ)Denna sektion behandlar flerspråkiga och tillgänglighetsbehov för rapporterare. Den täcker användning av tyska och engelska, österrikiska varianter, enkelt språk, anonyma alternativ och anpassningar för funktionshinder för att säkerställa jämlik, säker tillgång till alla rapporteringskanaler.
Language strategy for German and EnglishHandling Austrian-German terminologyPlain language and easy-to-read draftingAccessibility for disabilities and assistive techAnonymous and confidential reporting optionsLektion 9Bedömning av tredjepartsleverantörer och kontraktklausuler (DPA, konfidentialitet, revisionsrättigheter, SLA för svarstider)Denna sektion vägleder bedömningen av externa hotline- eller plattformsleverantörer. Den täcker due diligence, DPA, konfidentialitet, revisionsrättigheter, SLA och löpande övervakning för att säkerställa rättslig efterlevnad, datasäkerhet och pålitlig tjänsteleverans.
Due diligence on hotline and platform vendorsData Processing Agreement key clausesConfidentiality and conflict-of-interest termsAudit and inspection rights in contractsSLAs for uptime and response timesLektion 10Malledokument och registerföring: mottagningsformulär, kvittobrev, utredningsplaner, slutrapporter, rensningsmallarDenna sektion täcker obligatoriska mallar och register genom ärendelivscykeln. Den förklarar hur man standardiserar mottagning, kvitton, utredningsplaner, rapporter och rensning för att säkerställa konsistens, granskbarhet och efterlevnad av HinSchG och GDPR.
Standardized intake and case opening formsAcknowledgement and follow-up letter templatesInvestigation planning and scoping templatesFinal report and management summary formatsRedaction standards for shared documents
