Moduli gestione casi ONG
Accoglienza beneficiari, divulgazioni sensibili, casi VBG e protezione, accoglienza rifugiati e migrazione, riservatezza dei donatori, report a organizzazioni partner — progettati per ONG, associazioni, fondazioni e organizzazioni umanitarie i cui beneficiari non possono permettersi che un fornitore SaaS generico legga i loro fascicoli. Conoscenza zero, hosting svizzero, allineato al manuale CICR di protezione dei dati, a OCHA Data Responsibility, alla nLPD svizzera e al GDPR UE.
Pochi settori raccolgono dati con conseguenze reali più alte di organizzazioni non profit e ONG. Il modulo di accoglienza che una piccola organizzazione consegna a una sopravvissuta di violenza domestica, il modulo di registrazione che un'agenzia umanitaria usa per una persona rifugiata in transito, il rapporto di safeguarding che un'associazione per l'infanzia riceve da una scuola partner, la casella di anonimato che un grande donatore spunta in fondo a un modulo di donazione — ognuno di questi record può cambiare la vita di un beneficiario in caso di fuga, e talvolta metterla in pericolo. Eppure il canale di accoglienza tipico di un'associazione resta ciò che era gratuito o più economico: un Google Form, una piattaforma generica tipo SurveyMonkey, un allegato e-mail o un foglio di calcolo fatto in casa che un'organizzazione partner potrebbe un giorno aprire.
Schweizerform è costruito esattamente per questo divario fra sensibilità e strumenti. Ogni invio — un'accoglienza beneficiario, un report di violenza basata sul genere (VBG), una registrazione di richiedente asilo, una segnalazione di safeguarding minori, una scelta di riservatezza per donatore, un report di terreno di un'organizzazione partner — viene crittografato nel browser di chi invia prima di raggiungere i nostri server. Tecnicamente non possiamo leggerlo. Per ONG internazionali con sede in Svizzera (hub umanitario di Ginevra), associazioni nazionali, fondazioni e piccole organizzazioni di base, questa proprietà — combinata con hosting svizzero e architettura allineata al manuale CICR, a OCHA Data Responsibility, alla nLPD e al GDPR — trasforma il canale di accoglienza da vulnerabilità per la protezione dei beneficiari a controllo tecnico difendibile.
A chi è dedicata questa pagina
ONG internazionali e organizzazioni umanitarie con sede a Ginevra; associazioni nazionali e fondazioni svizzere; team protezione / VBG / safeguarding; organizzazioni di sostegno a rifugiati, richiedenti asilo e migrazione; organizzazioni di protezione dell'infanzia e gioventù; case rifugio per donne; organizzazioni anti-tratta; reti di sostegno a difensori dei diritti umani; responsabili relazioni donatori e major gifts; e i responsabili della protezione dei dati, programme manager e IT lead che li supportano.
Perché gli strumenti generici falliscono nella presa in carico dei beneficiari e nella riservatezza dei donatori
La maggior parte degli strumenti di moduli online — Google Forms, Typeform, piattaforme tipo SurveyMonkey generiche, e persino alcune « edizioni non profit » — opera secondo un modello SaaS classico: il browser dell'utente invia dati in chiaro tramite HTTPS, e il server del fornitore li archivia. Quel server può leggere tutto. Lo stesso il personale del fornitore, i suoi partner di integrazione, chiunque comprometta l'infrastruttura e qualsiasi autorità che notifichi un ordine legale al fornitore — anche in giurisdizioni ostili alla popolazione che la ONG cerca di proteggere.
Per invii poco sensibili — iscrizione alla newsletter, RSVP a eventi — è accettabile. Per una ONG che raccoglie dati di beneficiari o elabora una donazione riservata, crea problemi con conseguenze molto specifiche, talvolta vitali:
- L'accoglienza di una casa rifugio per donne registra nome e indirizzo della sopravvissuta, foto delle lesioni, nome dell'autore e piano di sicurezza per i figli; il database del fornitore contiene un fascicolo leggibile prima che l'operatrice apra il caso
- La registrazione di una persona rifugiata o richiedente asilo raccoglie paese di origine, percorso, familiari rimasti all'estero, narrativo di persecuzione e documenti di identità; quel profilo risiede su un server di terzi, spesso ospitato in una giurisdizione il cui governo ha un proprio interesse negli stessi dati
- Un'accoglienza anti-tratta contiene divulgazioni dettagliate su trafficanti, percorsi di transito e posizione attuale; ogni riga è indicizzata dai log e dalle analytics del fornitore
- Un report di safeguarding contiene accuse contro un adulto nominato (insegnante, allenatore, parente); il report risiede sull'infrastruttura di un fornitore generico non abilitato per dati di protezione dell'infanzia
- Un modulo di donazione propone una casella « richiesto anonimato »; nome completo del donatore e importo restano comunque in chiaro nel database del fornitore, indicizzati dalle analytics, recuperabili da un'integrazione CRM partner e producibili sotto qualsiasi ordine legale
- Un report di terreno di un'organizzazione partner in zona di conflitto nomina volontari locali e persone di contatto; il documento viene scansionato dall'antivirus del fornitore, messo in cache CDN e replicato in regioni di backup fuori dal paese di operazione
I dati umanitari e dei beneficiari sono categoricamente ad alto rischio
Il manuale CICR sulla protezione dei dati nell'azione umanitaria tratta i dati personali dei beneficiari come intrinsecamente ad alto rischio e mette esplicitamente in guardia contro le soluzioni SaaS standard che concedono al fornitore l'accesso in lettura. Le linee guida OCHA Data Responsibility e il quadro IASC applicano la stessa logica al lavoro interagency. La nLPD svizzera tratta i dati di vittima, salute, religione, opinioni politiche, misure di assistenza sociale e origine etnica come dati personali sensibili che richiedono protezione rafforzata. Il GDPR UE classifica le stesse categorie sotto l'art. 9. Un fornitore di moduli capace di leggere i contenuti dei beneficiari in chiaro è più difficile da difendere davanti a un consiglio, ai donatori, a un ispettore — o, nel peggiore dei casi, in un'inchiesta pubblica su un danno.
Come Schweizerform preserva la riservatezza dei beneficiari
Schweizerform è una piattaforma di moduli crittografati end-to-end a conoscenza zero. La crittografia avviene nel browser di chi invia, prima che qualsiasi dato lasci il dispositivo. Solo i possessori del Codice d'accesso possono decrittare gli invii. Noi — il fornitore — non possiamo.
Generate un modulo di programma e un Codice d'accesso
Quando create un'accoglienza beneficiari, un canale VBG / safeguarding o una pagina di donazione riservata, Schweizerform genera una coppia di chiavi e un Codice d'accesso. La chiave pubblica vive nel modulo; il Codice d'accesso resta al programme manager, al protection officer o al safeguarding lead. I nostri server non lo vedono mai.
Chi invia compila da qualsiasi dispositivo
Quando un beneficiario, un partner, un volontario o un donatore compila, il browser crittografa ogni campo — narrativi, identificativi, foto caricate, scansioni di documenti — con crittografia simmetrica forte, poi avvolge la chiave simmetrica con la chiave pubblica del modulo. I nostri server ricevono blob crittografati che non possono decrittare.
Il vostro team decritta nel browser
Quando l'operatrice, il protection officer o la responsabile relazioni donatori apre l'invio, il browser recupera il blob, sblocca la chiave simmetrica con il Codice d'accesso e decritta localmente. Il chiaro non tocca mai i nostri server; atterra sulla workstation, pronto a essere spostato nel sistema di gestione casi.
La riservatezza è imposta dall'architettura, non dal contratto
Poiché non vediamo mai il chiaro, non possiamo essere obbligati a produrlo, esporlo né elaborarlo per analytics. Gli accordi di trattamento restano come rete; il controllo principale è crittografico — e ciò collima direttamente con quanto manuale CICR, OCHA Data Responsibility, nLPD (art. 8/9) e GDPR (art. 32) raccomandano per i trattamenti ad alto rischio.
Moduli di programma e operativi concreti
Accoglienza beneficiari e apertura del caso
Che si tratti di un walk-in di una casa rifugio per donne, di una prima valutazione di un servizio per persone senza fissa dimora, di un appuntamento di consulenza legale migratoria o di una registrazione di distribuzione umanitaria, nel momento in cui un beneficiario rivela identità e circostanze l'organizzazione si assume un dovere di cura. Un'accoglienza Schweizerform sostituisce un modulo cartaceo o un Google Form con un canale crittografato, nella lingua del beneficiario, che il team caso può aprire da qualsiasi browser senza che il fornitore detenga mai una copia leggibile.
Violenza basata sul genere (VBG) e presa in carico protezione
I casi VBG e protezione richiedono i dati più sensibili che qualsiasi organizzazione tratti: identità della sopravvissuta, identità dell'autore, foto delle lesioni, narrativi degli incidenti, piani di sicurezza, questioni di affidamento, rinvii a organizzazioni partner. Un modulo a conoscenza zero tiene questo pacchetto fuori dallo storage SaaS generico e dalle integrazioni CRM partner mai progettate per i dati di protezione, lasciando comunque all'operatrice di aprire un fascicolo strutturato nel proprio browser.
Accoglienza rifugiati, asilo e migrazione
L'accoglienza migrazione e asilo raccoglie dati che, in mani sbagliate, possono mettere in pericolo il beneficiario, la sua famiglia nel paese di origine, o entrambi. Far passare il modulo per un canale a conoscenza zero tiene paese di origine, narrativi di persecuzione e scansioni di documenti fuori dal perimetro di lettura del fornitore e dalle regioni cloud USA — particolarmente importante quando il paese di origine è ostile agli stessi dati che la ONG cerca di raccogliere eticamente.
Safeguarding minori e segnalazioni di abuso
Associazioni per l'infanzia, federazioni sportive, organizzazioni religiose e movimenti giovanili hanno bisogno di un canale interno credibile per le segnalazioni di safeguarding. Un modulo Schweizerform consente a un genitore, un giovane, un allenatore o un collega di inviare una segnalazione riservata che va solo al safeguarding lead designato — e solo quest'ultimo può leggerla. Il fornitore non detiene mai la segnalazione in una forma che potrebbe essere obbligato a produrre o a far trapelare.
Accoglienza anti-tratta e schiavitù moderna
Le organizzazioni anti-tratta raccolgono divulgazioni dettagliate su trafficanti, percorsi di transito, posizione attuale e rischio in corso. Un canale a conoscenza zero tiene i dettagli operativi che potrebbero esporre ulteriormente la sopravvissuta lontano da analytics, supporto e scanner di contenuto di un fornitore SaaS generico.
Pagine di donazione riservate e major gifts
Molti grandi donatori donano sotto anonimato esplicito; alcuni sotto disposizioni di anonimato protetto del diritto nazionale delle fondazioni. Un modulo di donazione Schweizerform tiene nome, importo e scopo crittografati tra donatore e team sviluppo — utile per lasciti testamentari, donazioni a cause sensibili (diritti riproduttivi, sostegno a dissidenti, diritti LGBT+ in giurisdizioni restrittive) e istruzioni vincolate che non dovrebbero finire in un CRM generico interrogabile da chiunque in ufficio.
Onboarding volontari, fellow e personale
L'onboarding di volontari per programmi sensibili (visite in carcere, accompagnamento VBG, lavoro con bambini) richiede certificati penali, referenze e impegni di riservatezza. Crittografare questo modulo di accoglienza tiene i dati dei candidati fuori dallo storage SaaS generico e dà al coordinamento volontari un canale unico, scoped.
Segnalazioni e protezione contro abusi del personale
La riforma settoriale dopo i rilievi PSEA (protezione contro sfruttamento e abuso sessuale) si attende ora che ogni organizzazione di aiuto offra un canale riservato perché personale e beneficiari segnalino condotte scorrette del personale. Un modulo a conoscenza zero, ristretto a un piccolo panel designato, dà a quel canale una garanzia architetturale di riservatezza che un fornitore generico non può — e che l'IT interna non può accidentalmente compromettere.
Report di terreno di organizzazioni partner
I report di partner sul terreno — narrativi, numeri di beneficiari, segnalazioni di incidenti, riepiloghi finanziari — risalgono all'ufficio di Ginevra o all'HQ. Un modulo a conoscenza zero permette a un piccolo partner locale di inviare un report strutturato senza esporre i nomi del personale locale e delle persone di contatto a un fornitore SaaS terzo.
Cosa vedono beneficiari, donatori e autorità
| Vista | Fornitore generico / e-mail | Schweizerform |
|---|---|---|
| Beneficiario o donatore che compila il modulo | Dati in chiaro, archiviati sul cloud del fornitore | In chiaro nel proprio browser, crittografati prima dell'invio |
| Personale / supporto del fornitore | Può leggere narrativi di accoglienza, importi di donazioni, segnalazioni safeguarding | Non può decrittare; vede solo blob crittografati |
| Analytics / pipeline ML del fornitore | Indicizzano ed elaborano il contenuto | Fuori dal percorso; solo cifrato |
| Citazione / richiesta di accesso al fornitore | Accoglienze e registri di donazioni in chiaro producibili | Solo cifrato; inutile senza Codice d'accesso |
| Violazione del fornitore | Profili di beneficiari e registri di donazioni esposti in chiaro | Cifrato esposto; il contenuto resta illeggibile |
| Giurisdizione ostile che mira ai dati dei beneficiari | Il fornitore nel percorso può essere costretto (CLOUD Act, ecc.) | Il fornitore non può produrre ciò che non può leggere |
Contesto regolatorio e di settore: nLPD, GDPR, manuale CICR, OCHA, IASC, PSEA
Le ONG con sede in Svizzera operano sotto la nuova Legge federale sulla protezione dei dati (nLPD, in vigore dal 1° settembre 2023) che considera dati di vittima, salute, religione, opinioni politiche e assistenza sociale come dati personali sensibili e impone misure tecniche e organizzative proporzionate (art. 8) e obblighi rafforzati per i responsabili del trattamento (art. 9). Leggi sociali cantonali e LRD svizzera aggiungono ulteriori obblighi a seconda del contesto.
Le operazioni UE portano il GDPR — incluso l'art. 9 sulle categorie particolari e l'art. 32 sulle salvaguardie tecniche. Le operazioni umanitarie internazionali sono sempre più disciplinate dal manuale CICR sulla protezione dei dati nell'azione umanitaria (3a ed., 2024), dalle linee guida OCHA Data Responsibility, dall'Operational Guidance IASC e dai requisiti PSEA / safeguarding imposti dai donatori. In tutti questi casi il tema è coerente: l'organizzazione resta responsabile dei dati raccolti, inclusi quelli che transitano da un fornitore terzo — e un fornitore che non può leggere i dati è strutturalmente più facile da difendere in qualunque di questi quadri di uno che può.
La crittografia è una salvaguardia, non l'intero quadro
Schweizerform fornisce un livello tecnico forte di riservatezza per l'accoglienza. La vostra organizzazione ha comunque bisogno di una politica di protezione dei dati allineata ai quadri pertinenti, di una politica di safeguarding con responsabili nominati, di durate di conservazione adatte al tipo di programma e agli accordi con i donatori, di una politica di condivisione con i partner e di un protocollo chiaro per le richieste di accesso dei beneficiari. Il modulo crittografato copre la superficie di accoglienza; il vostro quadro safeguarding e data responsibility fa il resto.
Funzionalità rilevanti per le operazioni non profit & ONG
- Crittografia end-to-end a conoscenza zero su ogni invio — nessun accesso in lettura del fornitore a contenuto beneficiario, narrativi VBG / protezione, registri di donazioni o segnalazioni safeguarding
- Caricamenti crittografati di documenti e immagini — scansioni di ID, foto di lesioni, ordinanze di tribunale, lettere di rinvio dei partner, foto-prove di programma
- Moduli multilingue (EN / DE / FR / IT) pronti — essenziali per servizi sociali svizzeri multicantonali, ONG con sede a Ginevra e beneficiari di una di queste aree linguistiche
- Codici d'accesso per modulo — per programma, per safeguarding lead, per ufficio paese
- Hosting svizzero allineato nLPD — i payload di risposta non lasciano la Svizzera
- Audit log delle decrittazioni (chi ha aperto cosa, quando) senza esporre il contenuto
- Esportazione strutturata dopo decrittazione — pronta per gestione casi, CRM donatori o monitoraggio di programma
- Piano gratuito perché una piccola ONG o un partner locale possa far girare un modulo di accoglienza a costo zero — niente carta di credito, niente budget infrastruttura, niente ciclo di acquisti
Obiezioni frequenti
"Usiamo l'edizione non profit di un grande SaaS — sicuramente basta."
I piani SaaS donati o scontati cambiano il prezzo, non l'architettura. L'accesso in lettura del fornitore è identico a un piano a pagamento. Per lavoro poco sensibile è accettabile; per la presa in carico beneficiari che include VBG, asilo, safeguarding o anti-tratta, la proprietà architetturale — il fornitore non può leggere — è la domanda rilevante, non la fascia di prezzo.
"Il nostro sistema di gestione casi cripta già."
La maggior parte dei sistemi cripta at rest. Protegge dal furto del disco. Non protegge dal personale del fornitore, dalle sue analytics, dai suoi sub-responsabili o da un ordine di produzione legale — perché il fornitore detiene ancora le chiavi. La crittografia end-to-end a conoscenza zero cambia questa proprietà al confine dove i dati entrano.
"I nostri beneficiari non sono tecnici e non hanno sempre dispositivi affidabili."
Nessuna installazione lato beneficiario, e il modulo gira su qualsiasi browser moderno. Per un walk-in, l'operatrice può aprire il modulo su un tablet del centro e completarlo insieme alla persona; la crittografia avviene comunque nel browser, prima dell'invio. L'esperienza è quella di un qualsiasi modulo web, nella lingua preferita.
"Se perdiamo il Codice d'accesso, perdiamo i fascicoli."
Corretto, e voluto. Pratica raccomandata: custodia documentata — Codice d'accesso sigillato detenuto congiuntamente da programme manager e safeguarding lead, in escrow presso la direzione, o ripartito tra due amministratori designati. La procedura evita il single-person failure preservando la proprietà che il fornitore non può essere obbligato a produrre ciò che non può leggere — esattamente la proprietà che conta di più nel lavoro beneficiari ad alto rischio.
"Lavoriamo in un paese il cui governo potrebbe prendere di mira i nostri beneficiari."
È esattamente il modello di minaccia per cui questa architettura è progettata. Schweizerform archivia testo cifrato su server in Svizzera; il fornitore non può leggerlo; i Codici d'accesso restano alla ONG, non al fornitore. La promessa architetturale — il fornitore non può leggere — sopravvive sia alla pressione di uno Stato avversario sul fornitore sia alla pressione sull'ambiente IT locale.
"Abbiamo quasi nessun budget."
Il piano gratuito copre un singolo modulo di accoglienza beneficiari, e la proprietà architetturale di riservatezza è identica nei piani gratuiti e a pagamento. Molte piccole ONG fanno girare l'intero canale di safeguarding o di accoglienza nel piano gratuito. La crittografia non è un upgrade a pagamento.
Implementare un canale di accoglienza Schweizerform
Scegliere un primo modulo per la superficie a rischio più alto
Prime scelte tipiche: un canale di safeguarding, un'accoglienza VBG / protezione, una pagina di donazione riservata, o una sostituzione di accoglienza beneficiari per un Google Form già in uso. Sostituire il canale legacy con un solo link a modulo crittografato.
Definire la custodia della chiave e documentarla nella politica di protezione dei dati
Decidere chi detiene il Codice d'accesso (es. direzione più safeguarding lead, o programme manager più amministratore data trustee). Documentare la procedura nella politica di protezione dei dati e referenziarla nella politica di safeguarding. Testare il recupero dall'escrow prima del primo invio live.
Tradurre nelle lingue effettivamente parlate dai beneficiari
Per una ONG con sede a Ginevra o nazionale svizzera, tipicamente EN / DE / FR / IT. Per il lavoro migrazione / asilo, lingue del paese di origine possono contare più delle quattro ufficiali. Pianificare le traduzioni come parte del rollout, non come ripensamento.
Aggiornare i percorsi di beneficiari e donatori
Puntare le call-to-action « richiedi sostegno », « segnala una preoccupazione », « dona riservatamente » al modulo crittografato. Aggiornare i materiali di programma e gli SOP di accoglienza perché il personale sappia cosa aspettarsi; aggiornare i materiali di stewardship donatori perché i donatori sappiano che la loro donazione è crittografata end-to-end.
Misurare ed estendere
Dopo una fase pilota, confrontare tassi di completamento, tempo dal primo contatto all'apertura del caso e numero di richiami rispetto al canale storico. Estendere ad altri moduli — report di partner, follow-up safeguarding, monitoraggio di programma — quando il flusso è stabile.
La conclusione
Le organizzazioni non profit e le ONG promettono già ai beneficiari e ai donatori un tipo molto specifico di riservatezza — talvolta implicita, talvolta statutaria, quasi sempre centrale per stabilire se la prossima persona si fiderà della prossima accoglienza. Un fornitore di moduli capace di leggere ogni campo di un report VBG, ogni riga di un narrativo di asilo, ogni donazione riservata — per quanto economico o conosciuto — è una dipendenza di outsourcing che consigli, donatori, autorità e una futura inchiesta esamineranno sempre più severamente.
Schweizerform offre una risposta diretta: crittografia end-to-end a conoscenza zero su ogni modulo, hosting svizzero e una postura allineata al manuale CICR, a OCHA Data Responsibility, alla nLPD e al GDPR. Nessun upgrade a pagamento per la sicurezza. Nessuna dipendenza dal cloud USA per i dati dei beneficiari. Nessuna copia leggibile da terzi di un'accoglienza di una sopravvissuta o di una donazione riservata su un server fuori dal vostro controllo.
Iniziate con un singolo modulo di safeguarding, accoglienza VBG o donazione riservata nel piano gratuito. Hosting svizzero, crittografia a conoscenza zero e pieno supporto EN / DE / FR / IT — nessuna carta di credito richiesta.
Avvertenza: Questa pagina è informazione generale e contenuto di marketing, non consulenza legale, regolatoria, di safeguarding o di compliance. I riferimenti alla nLPD svizzera, al GDPR UE, al manuale CICR sulla protezione dei dati nell'azione umanitaria (3a ed. 2024), alle linee guida OCHA Data Responsibility, all'Operational Guidance IASC, agli standard PSEA / safeguarding, al CLOUD Act USA e ai quadri correlati sono riassunti a livello concettuale e soggetti a interpretazione giurisdizionale, a condizioni contrattuali specifiche dei donatori, a evoluzioni giuridiche nei paesi di programma e a future modifiche normative. La responsabilità per safeguarding, protezione dei dati, accesso dei beneficiari, stewardship dei donatori, antiriciclaggio e conformità giuridica nei paesi di programma resta dell'organizzazione e del suo consiglio. Consultate consulenza svizzera/UE in diritto associativo e protezione dei dati e un consulente di safeguarding esperto del settore prima di prendere decisioni di compliance o di acquisto.