Compliance

Een integere organisatie en bedrijfscultuur zijn essentieel voor de bedrijfs­continuïteit van GVB. Onze compliancefunctie bevordert en bewaakt de integriteit en beheerste bedrijfsvoering. We sluiten hiermee aan bij de Nederlandse Corporate Governance Code 2016.

Inzicht hebben in en het beheersen van compliancerisico’s ondersteunt GVB bij het voldoen aan wet- en regelgeving. Compliance is hierbij een samenspel tussen de diverse functionarissen binnen de organisatie. De compliance officer ondersteunt het management en de medewerkers van GVB bij het realiseren van compliance.

Zorgvuldig omgaan met privacy

GVB vindt het belangrijk dat iedere medewerker zorgvuldig omgaat met persoonsgegevens. Reizigers, zakelijke relaties en medewerkers worden via de privacyverklaringen op de website en het intranet geïnformeerd over hoe we dat doen.

Om te voldoen aan de Algemene verordening gegevensbescherming (AVG) is het belangrijk dat de medewerkers zich voldoende bewust zijn van het belang ervan en daar vervolgens naar handelen. Medewerkers worden regelmatig geïnformeerd over de wetgeving. Ook heeft 69% van de medewerkers een e-learning gevolgd om hun bewustwording en kennis hierover te vergroten.

De functionaris Gegevensbescherming van GVB ziet erop toe dat we zorgvuldig omgaan met persoonsgegevens. Deze functie is onder de AVG verplicht voor vervoerbedrijven.

Integriteit

We vinden het belangrijk dat reizigers, belanghebbenden en leveranciers vertrouwen hebben in onze organisatie en dat er een veilig werkklimaat is voor iedereen bij GVB. Dit is in diverse regelingen bij GVB vastgelegd, waaronder het integriteitsbeleid. Dit beleid ziet in het bijzonder toe op het creëren en realiseren van de gewenste cultuur en bijbehorend gedrag. Bij de introductie van nieuwe medewerkers geven we aandacht aan integriteit, cultuur en gedrag. Voor nieuwe leidinggevenden verzorgt de compliance officer een workshop integriteit. Hiermee stimuleren we integer gedrag en een integere bedrijfscultuur en vergroten we de bewustwording van compliancerisico’s. De compliance officer geeft op verzoek in werkoverleggen toelichtingen of workshops over gedrag en cultuur. Hiermee stuurt GVB proactief op gewenst gedrag.

Melden van incidenten

GVB heeft een Meldpunt Integriteit waar medewerkers (vermoedens van) integriteit­schendingen kunnen bespreken en melden. Bij concrete vermoedens kan het Meldpunt de directie adviseren een integriteitsonderzoek te starten. In 2019 werden in totaal 53 incidenten gemeld, tegen 74 in 2018. Hoewel het aantal meldingen over ongewenst gedrag terugliep van 24 in 2018 naar 16 in 2019, blijven we hier aandacht voor hebben, omdat er nog steeds ongewenste situaties voorkomen. Ook van diefstal werd verhoudingsgewijs veel melding gemaakt, zowel in 2018 als 2019. Komend jaar zal hier extra aandacht voor zijn.

Vertrouwenspersoon

Medewerkers kunnen een beroep doen op een van drie vertrouwenspersonen binnen GVB als ze te maken hebben met ongewenst gedrag. In 2019 is 21 keer een vertrouwenspersoon ingeschakeld (tegenover 16 in 2018). Komend verslagjaar breiden we het aantal vertrouwenspersonen bij GVB uit naar in totaal zes.

Gedragscode en klokkenluidersregeling

Alle medewerkers van GVB behoren zich te gedragen overeenkomstig maatschap­pelijke normen en wet- en regelgeving. De afspraken hierover liggen vast in de GVB Gedragscode. Medewerkers zijn verplicht om integriteitsrisico’s of -situaties te melden. Zij kunnen bij twijfel hun leidinggevende of de compliance officer raadplegen. De gedragscode is in 2019 geactualiseerd en wordt in 2020 via HR-projecten opnieuw onder de aandacht gebracht. Ook heeft GVB een klokken­luidersregeling die is opgenomen in de cao.

Andere richtlijnen

• GVB heeft beleid opgesteld over samenwerking en omgang binnen GVB bij privé-, familiaire of vriendschappelijke relaties.
• In de cao van GVB staan regels over alcohol en drugs, met een nul­tolerantie­beleid als uitgangspunt.
• Met de 'richtlijn Social Media' helpen we medewerkers om social media goed te benutten en vervelende ervaringen te voorkomen. Communicatie namens GVB wordt alleen verzorgd door de afdeling Corporate Communicatie.
• In de cao staat de 'gedragslijn Vermoeden van misstanden'. Het gaat daarbij om strafbare feiten, grove schending van regel- en wetgeving en grote gevaren voor volksgezondheid, veiligheid of milieu, of het bewust achterhouden van informatie hierover. Medewerkers zijn verplicht serieuze aanwijzingen van misstanden te melden.
• GVB heeft ook een richtlijn voor het aannemen van geschenken en uitnodigingen. In 2019 onderzochten we of medewerkers voldoende bekend zijn met de regeling en of de regeling wordt nageleefd. Hoewel er geen noemenswaardige incidenten waren, concluderen we dat de regeling duidelijker kan en opnieuw onder de aandacht gebracht moet worden.

Meer over de Gedragscode en andere richtlijnen staat op onze website.

Incidentenloket

Het Incidentenloket staat medewerkers bij in het strafproces nadat ze aangifte hebben gedaan van zaken als belediging, bedreiging, agressie, geweld en overvallen. Zo helpt het Incidentenloket de medewerkers bij het vorderen van materiële en immateriele schade en gaat een medewerker van het loket mee naar de rechtbank. Het loket legt uit hoe een strafproces verloopt en managet de verwachtingen van de slachtoffer-medewerkers door alle mogelijke uitkomsten van een proces te bespreken.

Het Incidentenloket – een waardevolle partner voor GVB, de medewerkers en het Openbaar Ministerie – onderhoudt goede contacten met collega’s van onder andere NS en RET en bespreekt inhoudelijk met hen bepaalde zaken en vorderingen. Daarnaast is het loket betrokken bij opleidingen door de Slachtofferhulp Academy. Dankzij professionele samenwerking lukt het ons om steeds betere resultaten te boeken.

In samenwerking met onze belangrijkste IT-leveranciers hebben we een (cloud) security baseline opgesteld. Om in de toekomst ook veilig te zijn, passen we de huidige inrichting en processen aan, zowel voor de (IT-)organisatie als voor het gebruik van de cloud. De veranderingen zijn in volle gang en we ervaren hiervan al een positief effect. In 2020 volgen noodzakelijke aanpassingen, zowel op de digitale werkplek als bij het gebruik van telefoons en laptops.

Gegevensbescherming

Om te kunnen voldoen aan de Algemene verordening gegevensbescherming (AVG) passen we de manier waarop we met onze gegevens en toeleveranciers omgaan aan. Verschillende projecten waren hierop gericht. Deze aanpassingen creëren ook nieuwe mogelijkheden, die de eerste gebruikers van de systemen al benutten. Het is onze ambitie om deze aanpassingen in 2020 af te ronden en de nieuwe manieren van samenwerken die daarmee gepaard gaan in de hele organisatie door te voeren.

Cybersecurity-experts voorspellen op basis van analyses dat de cybersecurityrisico’s voor GVB de komende jaren groter worden. Tegelijkertijd worden we afhankelijker van de systemen voor IT en operational technology (OT). Een integrale aanpak van cybersecurity en informatiebeveiliging wordt steeds belangrijker om deze uitdagingen het hoofd te kunnen bieden. Voor 2020 wordt dit dan ook, in samenhang met vernieuwd beleid, onze primaire focus.

Interne audit

Interne audit is een onafhankelijke functie waarvan de bevoegdheden zijn vast­gelegd in een audit charter. Interne Audit GVB is gecertificeerd door de beroeps­organisatie IIA (Institute of Internal Auditors). Dit is een kwaliteitscertificaat dat aantoont dat er wordt gewerkt conform de Professional Standards. Interne audit ressorteert rechtstreeks onder de algemeen directeur, overlegt regelmatig met de externe accountant, heeft een directe rapportagelijn naar de auditcommissie en neemt deel aan de vergaderingen van de auditcommissie.

Assurance

Interne audit voert GVB-breed jaarlijks diverse audits uit. De aandacht richt zich op de vraag of GVB voldoet aan de door GVB zelf opgestelde regels en normen, maar ook of GVB voldoet aan relevante wet- en regelgeving. Interne audit verleent op deze wijze assurance over de mate van interne beheersing van processen binnen GVB.

Rapportage en follow-up

Naar aanleiding van onderzoeken worden rapportages aan het management uitgebracht met, indien van toepassing, aanbevelingen voor verbetering. De opvolging van deze aanbevelingen wordt door middel van follow-up audits gemonitord. De bevindingen komen ook in een halfjaarrapportage, die wordt besproken met de auditcommissie en wordt gedeeld met de rvc.

Ons inkoopbeleid volgt de juridische kaders voor Europees aanbestedingsrecht. GVB hanteert externe en interne drempelwaarden. We stellen een inkoopplan op met de inkoopstrategie en een schets van het juridische kader. Onze Tenderboard moet dit goedkeuren.

Rechtmatig inkopen is de regel; afwijken van aanbestedingsregels is uitzondering. Relatief gezien gaat het om enkele procenten van het totaal aantal inkopen. Voor het BORI-domein (Beheer en Onderhoud Railinfrastructuur) is dit percentage nog lager. Verzoeken tot afwijking verlopen (gemotiveerd) via de Tenderboard en het directie­team van GVB.

Meer over ons inkoop- en aanbestedingsbeleid staat op onze website.

Ondernemingsraad en onderdeelcommissies

GVB heeft een ondernemingsraad (OR) voor alle medewerkers van GVB en een onderdeelcommissie (OC) voor medewerkers van Operatie, Railmaterieel, Rail Services en het Garagebedrijf Bus. Ook is er een overlegstructuur voor afzonderlijke vestigingen en afdelingen, waarmee de medezeggenschap zo laag mogelijk in de organisatie is belegd. Voor veiligheid, gezondheid, welzijn en milieu is er een overkoepelende commissie (VGWM).

De OR ziet onder meer toe op de arbeidsvoorwaarden, de arbeidsomstandigheden en de werk- en rusttijden. Ook is de OR betrokken bij investeringen, organisatie­wijzigingen en regelingen op het gebied van gewenste omgangsvormen en sociale veiligheid.

Vergaderfrequentie

• OR zes keer per jaar
• OC zes keer per jaar
• VGWM vijf keer per jaar
• Vestigingsoverleggen maandelijks
• Afdelingsoverleggen maandelijks