Persoonsgegevens

Alle personen die met GVB in contact zijn, zoals reizigers en medewerkers, moeten erop kunnen vertrouwen dat GVB zorgvuldig en vertrouwelijk omgaat met hun persoonsgegevens. Over hoe we dit doen, informeren we reizigers en medewerkers in onze privacyverklaring. Medewerkers die in dienst treden, ontvangen deze informatie in de welkomstbrief en verder is die te vinden op het GVB-intranet. Reizigers verwijzen we daarnaar op onze GVB-website, bijvoorbeeld als ze zich aanmelden voor een GVB-account. We bieden de mogelijkheid om vragen te stellen of privacyrechten uit te oefenen.

Privacywetgeving

We informeren onze medewerkers regelmatig over de privacywetgeving en ze krijgen tools om te handelen volgens deze wetgeving. Ook informeren we ze over de gevolgen daarvan voor thuiswerken, omdat medewerkers van GVB ook in de toekomst meer thuis zullen werken.

De verwerkingsprocessen bij GVB toetsen we periodiek. Daarnaast voeren we samen met Cybersecurity controle-assessments uit bij onze leveranciers die in opdracht van GVB persoonsgegevens verwerken om te zien of zij zich aan hun verplichtingen houden.

Datalekken

In 2021 kwamen bij het GVB-meldpunt datalekken 19 meldingen binnen. Daarvan zijn er 2 gemeld bij de Autoriteit Persoonsgegevens. Het overgrote deel van de datalekken bij GVB betrof het sturen van een brief of e-mail met persoonsgegevens naar een verkeerde ontvanger.

Meldingen worden besproken met de betreffende afdeling en er worden maatregelen genomen om dit in de toekomst te voorkomen.

Een integere organisatie en bedrijfscultuur zijn essentieel voor de bedrijfscontinuïteit van GVB. Onze compliancefunctie bevordert en bewaakt de integriteit en beheerste bedrijfsvoering. We sluiten hiermee aan bij de Nederlandse Corporate Governance Code 2016.

Inzicht in en beheersing van compliancerisico’s ondersteunt GVB bij het voldoen aan wet- en regelgeving. Compliance is hierbij een samenspel tussen de diverse functionarissen (waaronder management, risicomanagement, inkoop en audit) binnen GVB. De compliance officer ondersteunt management en medewerkers bij het realiseren van compliance en een integere bedrijfscultuur.

Integriteitsbeleid

We vinden het belangrijk dat reizigers, belanghebbenden en leveranciers vertrouwen hebben in onze organisatie en dat er een veilig werkklimaat is voor iedereen bij GVB. Dit is in diverse regelingen vastgelegd, waaronder ons integriteitsbeleid. Dit ziet toe op het creëren en realiseren van de gewenste cultuur en bijbehorend gedrag. Bij de introductie van nieuwe medewerkers geven we aandacht aan integriteit, cultuur en gedrag. Voor nieuwe leidinggevenden geeft de compliance officer een interactieve boodschap met een aantal dilemma’s vanuit integriteit. Hiermee stimuleren we integer gedrag en een integere bedrijfscultuur en vergroten we het bewustzijn van compliancerisico’s. De compliance officer geeft op verzoek toelichtingen of workshops over gedrag en cultuur, in nauwe samenwerking met HR. Het thema multicultureel vakmanschap wordt uitgediept in een GVB-brede training voor alle medewerkers.

Melden van incidenten

GVB heeft een Meldpunt Integriteit waar medewerkers (vermoedens van) schending van integriteit kunnen bespreken en melden. Bij concrete vermoedens kan het Meldpunt de directie adviseren een integriteitsonderzoek te starten. In 2021 werden in totaal 40 incidenten gemeld (47 in 2020). De meeste meldingen gaan over ongewenst gedrag, belangenverstrengeling en frauduleuze handelingen. Corona speelde een bijzondere rol in meldingen over ongewenst gedrag, omdat een aantal daarvan direct samenhing met de interne en overheidsmaatregelen. De awareness in 2022 richt zich op de geactualiseerde regelgeving rondom de klokkenluidersprocedure, de GVB Gedragscode en – vanuit medewerkersintegriteit – belangenverstrengelingen (anti-corruptie bij zakelijke partners).

Gedragscode en klokkenluidersregeling

Alle medewerkers van GVB behoren zich te gedragen volgens maatschappelijke normen en wet- en regelgeving. De afspraken hierover liggen vast in de GVB Gedragscode, die eind 2021 samen met de OR is geactualiseerd. Medewerkers zijn verplicht om integriteitsrisico’s of -situaties te melden. De gedragscode wordt continu onder de aandacht van de medewerkers gebracht. Ook heeft GVB een klokkenluidersregeling die is opgenomen in de cao. De wetgeving hiervoor is in 2021 gewijzigd, en hieraan hebben we extra aandacht besteed vanwege de bewustwording. We zijn in overleg met de vakbonden om onze cao op de nieuwe wet aan te passen. Hierin is ook het interne protocol voor integriteitsonderzoeken meegenomen. Onze medewerkers moeten weten waar ze terechtkunnen met een melding en welke uitgangspunten en regels daarbij gelden.

Andere richtlijnen

• We hebben beleid voor samenwerking en omgang binnen GVB bij privé-, familiaire of vriendschappelijke relaties.
• In de cao staan regels over alcohol en drugs, met een nultolerantiebeleid als uitgangspunt.
• De Richtlijn social media helpt medewerkers om social media goed te benutten en vervelende ervaringen te voorkomen. Communicatie namens GVB wordt alleen verzorgd door de afdeling Corporate Communicatie.
• In de cao staat de Gedragslijn Vermoeden van misstanden. Het gaat om strafbare feiten, grove schending van regel- en wetgeving en grote gevaren voor volksgezondheid, veiligheid of milieu, of bewust achterhouden van informatie hierover. Medewerkers zijn verplicht serieuze aanwijzingen van misstanden te melden.
• GVB heeft een richtlijn voor het aannemen van geschenken en uitnodigingen.

Meer over de Gedragscode en andere richtlijnen staat op de pagina Interne besturing op onze website.

Wereldwijd hebben we in 2021 het voorspelde scenario gezien van steeds meer cyberdreiging in het algemeen en een verschuivende focus naar sectoren als de maakindustrie en het transport. Bij GVB onderkennen we dat die dreiging een grote impact kan hebben op de reizigers.

Met de integratie van de gemeentelijke Tram en Metro en onze afdeling Rail Services tot GVB Railinfrabedrijf (RIB, zie OV-domein en taken GVB voor uitleg hierover) krijgt GVB integrale verantwoordelijkheid voor de cybersecurity van de hele keten van Operationele Technologie (OT). Dit is een kans, maar ook een forse verzwaring van de verantwoordelijkheden. Gezien de genoemde trends hebben we veel geïnvesteerd om de governance van de cybersecurity voor het OT-domein goed in de nieuwe organisatie te laten landen. Door een risicogestuurde aanpak proberen wij met de beschikbare middelen een zo groot mogelijke positieve impact te bereiken. Samen met de Vervoerregio en onze leveranciers gaan we in 2022 flinke stappen zetten voor de robuustheid van de systemen.

De risico’s in de IT die we vorig jaar rapporteerden – kantoorautomatisering en het hybride thuiswerken – zijn breed onderkend. Samen met leveranciers en de afdeling ICT is hard gewerkt om meer controle te krijgen over de risico’s voor cybersecurity, informatiebeveiliging en privacy.

We werken met het hele bedrijf naar een nieuwe toekomst – volledig elektrisch, maar ook digitaal en verbonden – waarvan cybersecurity een integraal onderdeel vormt. In 2021 hebben we goede stappen gezet op het vlak van cybersecurity, voor GVB, maar ook in de hele keten van personenvervoer. Omdat onze systemen lang meegaan en altijd in operatie zijn en omdat veiligheid op de eerste plaats staat, zijn de uitdagingen voor onze sector ook navenant groter dan in andere sectoren. Daarom investeren we de komende jaren fors en wordt cybersecurity blijvend geborgd in de organisatie.

Interne Audit GVB heeft een kwaliteitscertificaat van de beroepsorganisatie Institute of Internal Auditors (IIA), dit toont aan dat Interne Audit GVB werkt volgens de Professional Standards.

Interne Audit valt rechtstreeks onder de algemeen directeur en overlegt regelmatig met de externe accountant. Er is een directe rapportagelijn naar de auditcommissie, en interne audit neemt deel aan de vergaderingen van de auditcommissie. Interne Audit voert GVB-breed jaarlijks diverse audits uit om te controleren of GVB voldoet aan eigen regels en normen, maar ook of GVB voldoet aan relevante wet- en regelgeving. Zo verleent interne audit assurance over de mate van interne beheersing van processen binnen GVB.

Ons inkoopbeleid volgt de juridische kaders voor Europees aanbestedingsrecht. GVB hanteert externe en interne drempelwaarden. We stellen een inkoopplan op met de inkoopstrategie en een schets van het juridische kader. Onze Tenderboard moet dit goedkeuren.

Rechtmatig inkopen is de regel; afwijken van aanbestedingsregels is uitzondering. Relatief gezien gaat het om enkele procenten van het totaal aantal inkopen. Voor het BORI-domein (Beheer en Onderhoud Railinfrastructuur) is dit percentage nog lager. Verzoeken tot afwijking verlopen (gemotiveerd) via de Tenderboard en het directieteam van GVB.

Meer over ons inkoop- en aanbestedingsbeleid staat op de pagina Inkoopbeleid op onze website.

Ondernemingsraad en onderdeelcommissies

GVB heeft een ondernemingsraad (OR) voor alle medewerkers van GVB en een onderdeelcommissie (OC) voor medewerkers van Operatie en Techniek. Ook is er een overlegstructuur voor afzonderlijke vestigingen en afdelingen, waarmee de medezeggenschap zo laag mogelijk in de organisatie is belegd.

De OR ziet onder meer toe op de arbeidsvoorwaarden, de arbeidsomstandigheden en de werk- en rusttijden. Ook is de OR betrokken bij vier vaste commissies voor investeringen, organisatie­wijzigingen en regelingen op het gebied van gewenste omgangsvormen en sociale veiligheid namelijk:

- vaste commissie VGWM beleid (veiligheid, gezondheid, welzijn en milieu)

- vaste commissie Financiën

- vaste commissie Centrale stafafdelingen

- vaste commissie Facilitair Bedrijf

- vaste Verkiezingscommissie

Vergaderfrequentie

• OR zes keer per jaar
• OC zes keer per jaar
• VGWM vier keer per jaar
• Vestigingsoverleggen zes keer per jaar
• Afdelingsoverleggen zes keer per jaar