Organisatiecultuur, integriteit en compliance

Cultuur

NS wil een organisatie zijn met een open en veilige cultuur, waar integer werken vanzelfsprekend is. We vinden het belangrijk om resultaatgericht te werken en binnen de afgesproken normen en waarden. We beschikken over een beheerste aanpak van risico’s, issues en vraagstukken op het gebied van integriteit en compliance.

De integriteit van NS staat of valt met het gedrag van medewerkers en de keuzes die zij maken in hun werk. We stimuleren een cultuur van openheid en aanspreekbaarheid. NS heeft een gedragscode die voor alle NS'ers de basis vormt voor professioneel handelen op de werkvloer. In 2022 hebben we de gedragscode geactualiseerd en aangevuld met beleid voor sociale-mediagebruik. Hiermee willen we NS-medewerkers helpen om in uiteenlopende, soms lastige situaties de juiste afwegingen en bewuste keuzes te maken. De gedragscode is beschikbaar voor medewerkers via intranet.

De gedragscode is ook een basis voor de behandeling van integriteitsmeldingen en de uitvoering van integriteitsonderzoek. De gedragscode is in lijn met de OECD-richtlijnen en de Nederlandse Corporate Governance Code. Daarmee is de bescherming van mensenrechten binnen NS geborgd. Op basis van de gedragscode is beleid vastgesteld voor specifieke thema’s zoals belangenverstrengeling, mededinging, informatiebescherming, anti-corruptie en fraude. Verder kent NS een landelijk programma om de omgangsvormen op de werkvloer te verbeteren. Daarmee gaan we onder andere intimidatie en racisme tegen. De NS Gedragscode vormt daarbij de leidraad. Bovendien heeft NS een planning- en controlcyclus ingericht voor de risico’s en issues op het gebied van integriteit en compliance, om deze risico’s en issues beheersbaar te maken en te houden.

Governance en integriteit

De operationele afdelingen van NS hebben de verantwoordelijkheid voor een integere bedrijfsvoering. De afdeling Integriteit ondersteunt de bevordering van gewenst gedrag en naleving van wet- en regelgeving en de NS Gedragscode. De afdeling ontwikkelt beleid, informeert daarover, onderzoekt integriteitsmeldingen, onderzoekt trends, geeft (gevraagd en ongevraagd) advies en stimuleert het integriteitsbesef. Verder vindt afstemming plaats met de NS-vertrouwenspersonen, binnen de grenzen van vertrouwelijkheid en heeft de afdeling een directe (escalatie)lijn voor integriteit met de voorzitter van de raad van bestuur en de raad van commissarissen.
NS heeft de commissie Integriteit met daarin de directeuren HR, Legal, Security en Risk. De commissie toetst nieuw integriteitbeleid en geeft advies over vraagstukken en meldingen op het gebied van integriteit.

Advies en voorlichting

Het Integriteitsportaal op het intranet biedt medewerkers een palet aan informatie over integriteit en het NS-beleid. Daarnaast kunnen medewerkers concrete vraagstukken en dilemma’s voorleggen aan de afdeling Integriteit. Vragen stellen kan per mail of telefonisch. Integriteit adviseert medewerkers over mogelijke oplossingen en acties. In 2022 zijn 297 vragen beantwoord.

Meldpunt Integriteit en Regeling Integriteitsmeldingen

De Regeling Integriteitsmeldingen (inclusief klokkenluidersmeldingen) borgt dat NS-medewerkers melding kunnen doen van (vermoedens van) onregelmatigheden, dat NS daarmee zorgvuldig en vertrouwelijk omgaat en dat medewerkers geen nadeel ondervinden van het feit dat zij melding hebben gedaan. Medewerkers kunnen op verschillende manieren – anoniem – vermeende integriteitskwesties of misstanden melden: via het Meldpunt Integriteit op het interne netwerk, via een speciale app, per e-mail of in een persoonlijk gesprek. Een integriteitsmelding kan leiden tot een advies aan de melder en het betrokken management over de verdere aanpak en maatregelen. Ook kan er een (onafhankelijk) toedrachts-onderzoek door NS Security plaatsvinden, op basis waarvan NS maatregelen bepaalt. In 2022 zijn in totaal 82 integriteitsmeldingen ontvangen (2021: 75). Van de meldingen die in 2022 zijn afgerond, bleek 17% (geheel of gedeeltelijk) gegrond.
Medewerkers kunnen zich (zowel bij een integriteitsmelding als daarbuiten) laten ondersteunen door een vertrouwenspersoon van NS. In 2022 is hiervan 163 keer gebruikgemaakt (2021: 118). Deze stijging komt door bredere bekendheid van vertrouwenspersonen als gevolg extra communicatie en door de maatschappelijke aandacht rondom ongewenste omgangsvorm. Ook voor externe stakeholders heeft NS een meldpunt.

Compliance

We beseffen ons als staatsdeelneming dat we een voorbeeldfunctie hebben, transparant dienen te zijn over naleving van wet- en regelgeving en te allen tijde integer moeten handelen. Daarom zien we erop toe dat we voldoen aan de geldende wet- en regelgeving en aansluiten bij de geldende normen en waarden. NS heeft daarbij te maken met een omvangrijk compliance kader. We moeten ons houden aan externe wet- en regelgeving, zoals de Spoorwegwet, de Mededingingswet, de Concessie voor het hoofdrailnet, cao-afspraken en de Arbeidstijden- en Arbeidsomstandighedenwet. Daarnaast gelden er interne beleidskaders zoals de Gedragscode, het inkoopreglement en het machinistenhandboek.
Om te borgen dat NS grip houdt op deze verscheidenheid aan regels en normen en maatschappelijke verantwoordelijkheid neemt, kent NS een beheersstructuur voor compliance. De businessonderdelen van NS zijn primair verantwoordelijk voor het compliant werken. Zij kunnen daarbij gebruik maken van het advies van diverse compliance kennishouders, zoals NS Legal en Quality, Health, Safety & Environment. De afdeling Risk & Compliance houdt op dit alles toezicht en rapporteert hierover aan de raad van bestuur en raad van commissarissen.
In de operationele uitvoering zijn wettelijke eisen vertaald naar prestatie-indicatoren en normen voor onder andere mededinging, aanbesteding, privacy en veiligheid. Daarnaast is er een NS-breed dashboard met daarin de toprisico’s en issues ten aanzien van compliance, zoals kritische datalekken of ongewenste omgangsvormen, en een overzicht van de relevante kpi’s. Ook worden NS-breed trainingen verzorgd om de kennis van wet- en regelgeving bij medewerkers op peil te houden.

Privacy

Voor NS is het vanzelfsprekend dat we zorgvuldig omgaan met de persoonsgegevens van reizigers en medewerkers. We werken vanuit de principes ‘Transparant’, ‘Veilig bij NS’, ‘Keuze en control’ en ‘Innovatief en open’. Om compliant te blijven aan de privacywetgeving heeft NS een privacystructuur en governance ingericht en besteden we continu aandacht aan opleiding en bewustzijn rondom privacy. Dat gebeurt onder meer door (verplichte) e-learnings, trainingen en nieuwsbrieven. We hebben afgelopen jaar opnieuw ‘privacy champions’ aangesteld die naast hun reguliere werkzaamheden vragen beantwoorden en de ogen en oren van het Privacy Office zijn binnen hun specifieke bedrijfsonderdeel. Zij vormen samen met de Functionaris voor Gegevensbescherming en de Privacy Officers de privacy-organisatie binnen NS. Zo houden we de lijnen tussen de bedrijfsonderdelen en de privacy-experts kort en zorgen we voor een breed netwerk van privacy kennis binnen heel NS. Per december 2022 zijn er 92 privacy champions actief (2021: 80).

Incident Mijn NS

Ondanks de zorgvuldigheid die NS betracht met de data van klanten en medewerkers kunnen zich incidenten voordoen. Een ernstig incident in 2022 was een zogeheten ‘credential stuffing’-aanval op de Mijn NS-accounts van klanten. Met elders verkregen wachtwoorden konden hackers de accounts van NS-klanten inzien. We hebben deze klanten geïnformeerd en hun wachtwoorden gereset. In voorkomende gevallen informeert NS de toezichthouder en de betrokkenen. In alle gevallen zijn datalekken input voor procesverbeteringen.

Privacy by design

Goede en zorgvuldige gegevensverwerking begint met privacy by design. Dit betekent dat we al bij het ontwerp van een product of dienst rekening houden met de bescherming van de privacy van betrokkenen. We voeren daarnaast veelvuldig data protection impact assessments uit om daarmee eventuele risico’s voor betrokkenen te identificeren en maatregelen te nemen om die risico’s te beheersen.