Konformitéit mat der Loi du 16 mai 2023 #
EthicsPortal ass drun ausgeriicht, Är Organisatioun konform zur Lëtzebuerger Loi du 16 mai 2023, zur EU-Richtlinn 2019/1937 an zur RGPD ze halen. All Funktioun entsprécht enger konkret rechtlecher Ufuerderung — keng iwwerflësseg Zousazmoduler, keng Upsells.
Dës Säit ass d’Zouweisung vu Funktiounen zu Ufuerderungen: All Artikel vun der Richtlinn gëtt der entspriechender EthicsPortal-Fäegkeet zougewise. Wéi EthicsPortal déi onbestëmmt Rechtsbegrëffer auslegt — d'50-Mataarbechter-Schwell, wat als „sorgfälteg Follow-Up" gëllt, d’Begrënnung vun der Späicherdauer, d’RGPD-Rechtsgrondlag an de Virrang vum nationalen Recht — fannt Dir an der separater Methodik.
All 27 EU-Memberstate hunn d’Richtlinn an nationaalt Recht ëmgesat. Är Organisatioun muss d’nationaalt Recht vun Ärem Betribsland anhalen — eng Iwwersiicht vun de jeweilege Gesetzer, Strofen an Aufsichtsbehörde fannt Dir an eiser Länneriwwersiicht. Fir Luxembourg ass dat d’Loi du 16 mai 2023.
§1. Meldekanäl (Art. 8) #
Organisatioune mat 50 oder méi Mataarbechter mussen séchere interne Meldekanäl ariichten.
| Ufuerderung | Ëmsetzung an EthicsPortal |
|---|---|
| Séchere Meldekanal | Verschlësselt Web-Portal mat eegener URL pro Organisatioun |
| Vertraulechkeet vun der Identitéit | End-zu-End-verschlësselt Verarbeechtung vun alle perséinlechen Donnéeën, keng IP-Protokolléierung, automatesch Entfernung vun Dateimetadaten |
| Zougänglech fir all Mataarbechter | Webportal leeft op all Apparat, keng App, kee Kont néideg |
| Un d’Organisatioun upassbar | Konfiguréierbar Kategorien, Logo a Wëllkommtext |
§2. Verfahren (Art. 9) #
| Ufuerderung | Artikel | Ëmsetzung an EthicsPortal |
|---|---|---|
| Benennung vun enger onpartaiescher Persoun oder Plaz | Art. 9 Abs. 1 lit. c | Fall-Zouweisungssystem mat rollebaséierten Zougang — nur berechtegt Bearbeechter gesinn Meldungen |
| Empfang bannent 7 Deeg bestätegen | Art. 9 Abs. 1 lit. b | Automatesch Fristeniwwerwaachung mat E-Mail-Notifikatioun bei bevierstounender oder versäumter 7-Deeg-Fridd |
| Sorgfälteg Follow-Up | Art. 9 Abs. 1 lit. d | Fallverwaltung mat Status-Workflow (agaang, bestätegt, a Prüfung, ofgeschloss), intern Notizen fir d’Zesummenaarbecht an lëckelous Audit-Protokoll |
| Réckmeldung bannent dräi Méint | Art. 9 Abs. 1 lit. f | Automatesch 3-Méint-Fridd-Iwwerwaachung mat Warnungen un all Admins. Hiweisgeeber gesinn den Zäitplang am Portal a kënnen de Status mat Dossier-ID an Zougangscode zu all Moment kucken |
| Mëndlech Meldungen erméiglechen (Telefon, Sproochmessage oder op Wonsch perséinlecht Treffen) | Art. 9 Abs. 2 | Konfiguréierbar Telefonsnummer um Portal; Bearbeechter kënne telefonesch, perséinlech a schrëftlech Meldungen direkt am System erfassen |
| Iwwer extern Meldeméiglechkeeten informéieren | Art. 9 Abs. 1 lit. g | D’Portal informéiert iwwert dat Recht, sech un déi zoustänneg national Behörde ze wenden, mat Verweis op d’Richtlinn 2019/1937 an d’Loi du 16 mai 2023 |
§3. Schutzberäich (Art. 4) #
D’Richtlinn schützt net nëmme Mataarbechter, mee och Selbststänneg, Liwweranten, Deelhaber an aner Drëttpersounen.
EthicsPortal weist am Portal kloer un, datt d’Meldeméiglechkeet Mataarbechter, Selbststänneg, Liwweranten a soss Drëttpersounen oppen ass.
§4. Repressaliënverbot (Art. 6, 19–21) #
Hiweisgeeber musse informéiert ginn, datt Repressalie gesetzlech verbueden sinn.
EthicsPortal weist op all Säit vum Portal virun der Meldung en Hiweis zum Repressaliënverbot mat Verweis op d’Richtlinn 2019/1937 an d’Loi du 16 mai 2023.
§5. Vertraulechkeet vun der Identitéit (Art. 16) #
| Ufuerderung | Ëmsetzung an EthicsPortal |
|---|---|
| Identitéit gëtt net iwwer de Krees vun de Berechtegten eraus bekannt ginn | Rollebaséiert Zougangskontroll — nur Admins an déi zougewiese Persoun gesinn eng Meldung. Net-Admin-Bearbeechter gesinn just hinnen zougewise Fäll |
| Anonymitéit vun der bearbechtender Persoun | Hiweisgeeber gesinn an de Messagen just „Fallbearbechtung", ni den echten Numm |
| Verschlësselung vu sensiblen Donnéeën | Nimm, Kontaktdonnéeën, Meldungsinhalter an Messageinhalter ginn mat net-deterministescher Verschlësselung gespäichert |
§6. Dokumentatiounsflicht (Art. 18) #
| Ufuerderung | Ëmsetzung an EthicsPortal |
|---|---|
| Dokumentatioun vun all Meldung | Vollstänneg Audit-Protokoll vun all Aktiounen |
| Séchere Späicherung | All sensibel Felder gi verschlësselt gespäichert |
| Abroofbarkeet | Vollstännege PDF-Export inkl. Metadaten, Messagverlaf, Ubiléierungslëscht an Audit-Protokoll |
| Läschen, soubal net méi néideg | Konfiguréierbar Späicherdauer (12, 24, 36 oder 60 Méint) mat automatescher Läschung |
§7. RGPD-Konformitéit #
| Ufuerderung | Artikel | Ëmsetzung an EthicsPortal |
|---|---|---|
| Rechtsgrondlag vun der Verarbeechtung | Art. 6 Abs. 1 lit. c RGPD | Verarbeechtung ass zur Erfëllung vun de rechtleche Flichten aus der Loi du 16 mai 2023 an der Richtlinn 2019/1937 erfuerderlech |
| Informatiounsflichten | Art. 13/14 RGPD | Datenschutzhiweiser ginn virun der Meldung gewisen |
| Datenminimierung | Art. 5 Abs. 1 lit. c RGPD | Nëmmen essenziell Felder ginn erfaasst; Numm a Kontakt vun der Hiweisgeeber-Persoun sinn fräiwëlleg |
| Späicherbegrenzung | Art. 5 Abs. 1 lit. e RGPD | Konfiguréierbar Späicherdauer pro Organisatioun mat automatescher Läschung |
| Integritéit a Vertraulechkeet | Art. 5 Abs. 1 lit. f RGPD | Verschlësselt Späicherung vu sensiblen Donnéeën; keng IP-Protokolléierung op Portal-Routen; automatesch Entfernung vun Dateimetadaten |
| Recht op Läschung | Art. 17 RGPD | Automatesch Läschung op Basis vun der Späicherdauer; manuell Läschung fir Admins méiglech |
§8. Technesch an organisatoresch Moossnamen #
| Moossnam | Detail |
|---|---|
| Verschlësselt Späicherung | Meldungsinhalter, Nimm, Kontaktdonnéeën a Messageinhalter mat net-deterministescher Verschlësselung |
| Keng IP-Protokolléierung | IP-Adresse gi ni gespäichert — Rate-Limiting mat onumkehrbaren Ewweg-Hashen |
| Entfernung vun Dateimetadaten | EXIF, GPS, Auteur ginn ewechgeholl |
| Anonymitéit vun der Fallbearbechtung | Hiweisgeeber gesinn ni den echten Numm |
| Rate-Limiting | Op alle ëffentleche Portal-Endpunkten |
| Zougangskontroll | Rollebaséiert Berechtegungen |
| Audit-Protokoll | All Aktioun mat Zäitstempel, Akteur an Aktiounstyp — onveränderbar |
§9. Wat Är Organisatioun weider maache muss #
EthicsPortal iwwerhëlt déi technesch Ufuerderungen. An der Verantwortung vun Ärer Organisatioun bleiwen:
- Benennung vun enger bearbechtender Persoun — bestëmmt op mannst eng Persoun fir d’Meldungsverarbeechtung
- Intern Richtlinn — verabschiedt eng Hiweisgeeber-Richtlinn a kommunizéiert se un d’Mataarbechter
- Schoulung — stellt sécher, datt bearbechtend Persounen hir Vertraulechkeetsflichte kennen
- Duerchsetzung vum Repressaliënverbot — suergt datt d’Geschäftsleitung weess, datt Repressalie verbueden sinn
- Astëmmung bei Identitéits-Offenleeung — wann d’Identitéit iwwert de Krees vun de Berechtegten eraus offenzeleeën ass, muss vir déi ausdrécklech Astëmmung agehol ginn (Art. 16 Abs. 2)
- Informatioun vun de Mataarbechter — deelt d’Portal-URL (EthicsPortal liwwert deelbare Link a QR-Code)
Froen? #
Admins kënnen e Compliance-Rapport als PDF direkt aus den Portal-Astellungen eroflueden. E enthält eng vollstänneg Checklëscht zur Richtlinn 2019/1937, SLA-Kennzuelen, Dateschutzmoossnamen an eng Zesummefaassung vum Audit-Protokoll.
Fir länderspezifesch Ufuerderungen kuckt eis Länneriwwersiicht a besonnesch Luxembourg.
Wann Dir Hëllef braucht, d’Konformitéit géintiwwer Ärer Rechtsdepartement oder der Aufsicht ze beweisen, schreift eis un support@ethicsportal.eu.
Zulescht aktualiséiert: