Organisatiecultuur, integriteit en compliance
NS wil een organisatie zijn met een open en veilige cultuur, waar integer werken vanzelfsprekend is. We vinden het belangrijk om resultaatgericht te werken, maar binnen de afgesproken normen en waarden. Sinds 2017 meten we hoe volwassen de integriteitscultuur bij NS is. De metingen laten zien dat we beschikken over een beheerste aanpak van risico’s, issues en vraagstukken op het gebied van integriteit en compliance. Integriteits- en compliancevraagstukken zijn een vast onderdeel van de besluitvorming en (bij)sturing. Het doel is de komende jaren door te groeien naar een organisatie die integriteitsvraagstukken proactief aanpakt en problemen voorkomt.
Open en integere cultuur
De integriteit van NS staat of valt met het gedrag van medewerkers en de keuzes die zij maken in hun werk. We stimuleren een cultuur van openheid en aanspreekbaarheid. Hierbij maken we gebruik van de Hearts en Minds-methodiek, waarmee we integer werken bevorderen en de bereikte verbetering in volwassenheidsniveau periodiek toetsen. Daarnaast heeft NS een planning- en controlcyclus ingericht voor de risico’s en issues op het gebied van integriteit en compliance, om deze risico’s en issues beheersbaar te maken en te houden.
Verder heeft NS een geactualiseerde gedragscode inclusief socialmediagebruik die NS-medewerkers helpt afwegingen en bewuste keuzes te maken in uiteenlopende, soms lastige situaties. De gedragscode vormt ook een basis voor de behandeling van integriteitsmeldingen en de uitvoering van integriteitsonderzoek. De gedragscode is in lijn met de OECD-richtlijnen en de Nederlandse Corporate Governance Code. Op basis van de gedragscode is beleid vastgesteld voor specifieke thema’s zoals belangenverstrengeling, mededinging, informatiebescherming, anti-corruptie en fraude. Verder kent NS een landelijk programma om de omgangsvormen op de werkvloer te verbeteren. De NS Gedragscode vormt daarbij de leidraad.
Governance, integriteit en compliance
De eerste lijn heeft de verantwoordelijkheid voor een integere bedrijfsvoering en het compliant zijn met wet- en regelgeving. Diverse afdelingen adviseren de eerste lijn, zoals Legal, Risk, Finance, Procurement, HR, Security en Quality, Health, Safety & Environment. De afdeling Integriteit ondersteunt de bevordering van gewenst gedrag en naleving van wet- en regelgeving en de NS Gedragscode. De afdeling ontwikkelt beleid, informeert daarover, onderzoekt integriteitsmeldingen, geeft (gevraagd en ongevraagd) advies en stimuleert het integriteitsbesef. In 2021 is dit naar HR en NS Risk gegaan. Het toezien op de bedrijfsrisico’s rondom integriteit en compliance en rapportage hierover aan RvB, de Risk- en Auditcommissie van de RvC en de organisatie, is in 2021 overgedragen aan NS Risk, zodat integraal gerapporteerd wordt. Verder vindt afstemming plaats met de NS-vertrouwenspersonen, binnen de grenzen van vertrouwelijkheid.
NS heeft de commissie Integriteit & Compliance met daarin de directeuren HR, Legal, Security en Risk. De commissie toetst nieuw integriteit- en compliancebeleid en geeft advies over vraagstukken en meldingen op het gebied van integriteit en compliance.
Advies en voorlichting
Het Integriteitsportaal op het intranet biedt medewerkers een palet aan informatie over integriteit en compliance. Zo staat hier een actueel overzicht van het integriteits- en compliancebeleid van NS. Daarnaast kunnen medewerkers concrete vraagstukken en dilemma’s voorleggen aan de afdeling Integriteit. Vragen stellen kan per mail of telefonisch. Integriteit adviseert medewerkers over mogelijke oplossingen en acties. In 2021 zijn 293 vragen beantwoord.
Meldpunt Integriteit en Regeling Integriteitsmeldingen
De Regeling Integriteitsmeldingen (inclusief klokkenluidersmeldingen) borgt dat NS-medewerkers melding kunnen doen van (vermoedens van) onregelmatigheden, dat NS daarmee zorgvuldig en vertrouwelijk omgaat en dat medewerkers geen nadeel ondervinden van het feit dat zij melding hebben gedaan. Medewerkers kunnen op verschillende manieren – anoniem – vermeende integriteitskwesties of misstanden melden: via het Meldpunt Integriteit op het interne netwerk, via een speciale app, per e-mail of in een persoonlijk gesprek. Een integriteitsmelding kan leiden tot een advies aan de melder en het betrokken management over de verdere aanpak en maatregelen. Ook kan er een (onafhankelijk) toedrachts-onderzoek door NS Security plaatsvinden, op basis waarvan NS maatregelen bepaalt. In 2021 zijn in totaal 75 integriteitsmeldingen ontvangen. Dit is een toename ten opzichte van 2020 (66) maar dat jaar leek een eenmalige daling ten opzichte van voorgaande jaren (2019: 96). Van de meldingen die in 2021 zijn afgerond, bleek 28% (geheel of gedeeltelijk) gegrond.
Medewerkers kunnen zich (zowel bij een integriteitsmelding als daarbuiten) laten ondersteunen door een vertrouwenspersoon van NS. In 2021 is 118 keer gebruik gemaakt van dergelijke ondersteuning (2020: 80). Deze toename komt door meer vragen over arbeidsconflicten als gevolg van de transformatie en de daarmee samenhangende reorganisatie. Ook voor externe stakeholders heeft NS een meldpunt.
Compliance
We beseffen ons als staatsdeelneming dat we een voorbeeldfunctie hebben, transparant dienen te zijn over naleving van wet- en regelgeving en te allen tijde integer moeten handelen. Daarom zien we erop toe dat we voldoen aan de geldende wet- en regelgeving en aansluiten bij de geldende normen en waarden. NS heeft daarbij te maken met een omvangrijk compliancekader. We moeten ons houden aan externe wet- en regelgeving, zoals de Spoorwegwet, de Mededingingswet, de Concessie voor het hoofdrailnet, cao-afspraken en de Arbeidstijden- en Arbeidsomstandighedenwet. NS heeft afgelopen jaar aanvullende maatregelen getroffen om de (digitale) thuiswerkplekken van medewerkers te laten aansluiten op de eisen uit de Arbowet.
Daarnaast gelden er interne beleidskaders zoals de Gedragscode, het inkoopreglement en het machinistenhandboek. Om te borgen dat NS grip houdt op deze verscheidenheid aan regels en normen en zorgdraagt voor haar maatschappelijke verantwoordelijkheid, kent NS een beheersstructuur voor compliance. In de operationele uitvoering zijn wettelijke eisen vertaald naar prestatie-indicatoren en normen voor onder andere mededinging, aanbesteding, privacy en veiligheid. Daarnaast is er een NS-breed dashboard met daarin de toprisico’s en issues ten aanzien van compliance, en een overzicht van de relevante kpi’s. Ook worden NS-breed trainingen verzorgd om de kennis van wet- en regelgeving bij medewerkers op peil te houden.
Privacy
Voor NS is de zorgvuldige omgang met de persoonsgegevens van reizigers en medewerkers vanzelfsprekend. We werken hierbij vanuit vier principes: ‘Transparant’, ‘Veilig bij NS’, ‘Keuze en control’ en ‘Innovatief en open’. Om compliant te blijven aan de privacywetgeving heeft NS een privacystructuur en governance ingericht en besteden we continu aandacht aan opleiding en bewustzijn rondom privacy. Dat gebeurt onder meer door (verplichte) e-learnings, trainingen en nieuwsbrieven. We hebben ‘privacy champions’ aangesteld die naast hun reguliere werkzaamheden vragen beantwoorden en de ogen en oren van het Privacy Office binnen hun specifieke bedrijfsonderdeel zijn. Zij vormen samen met de Functionaris voor Gegevensbescherming en de Privacy Officers de privacy-organisatie binnen NS. Zo houden we de lijnen tussen de bedrijfsonderdelen en de privacy-experts kort en zorgen we voor een breed netwerk van privacy kennis binnen heel NS.
Incident Mijn NS
Ondanks de zorgvuldigheid die NS betracht met de data van klanten en medewerkers kunnen zich incidenten voordoen. Een ernstig incident in 2021 was een cyberaanval op de Mijn NS-accounts van klanten. Met elders verkregen wachtwoorden konden de accounts van NS-klanten worden ingezien. We hebben deze klanten geïnformeerd en hun wachtwoorden gereset. In voorkomende gevallen informeert NS de toezichthouder en de betrokkenen. In alle gevallen zijn datalekken input voor procesverbeteringen.
Privacy by design
Goede en zorgvuldige gegevensverwerking begint met privacy by design: NS betrekt al bij het ontwerp van een product of dienst de bescherming van de persoonlijke levenssfeer van betrokkenen. We voeren daarnaast veelvuldig data protection impact assessments uit om daarmee eventuele risico’s voor betrokkenen te identificeren en maatregelen te nemen om die risico’s te beheersen.