Interne besturing

Privacy-compliance

Privacy-compliance Persoonsgegevens

Alle personen die met GVB in contact zijn, zoals reizigers en medewerkers, moeten erop kunnen vertrouwen dat GVB zorgvuldig en vertrouwelijk omgaat met hun persoonsgegevens. Over hoe we dit doen, informeren we reizigers en medewerkers in onze privacyverklaring. Sinds 29 november kunnen reizigers bij GVB in- en uitchecken met een betaalpas. Naar aanleiding daarvan hebben we de privacyverklaring aangepast. Medewerkers die in dienst treden, ontvangen deze informatie in de welkomstbrief en verder is die te vinden op het GVB-intranet. Reizigers verwijzen we daarnaar op onze GVB-website, bijvoorbeeld als ze zich aanmelden voor een GVB-account. We bieden de mogelijkheid om vragen te stellen of privacyrechten uit te oefenen.

Privacywetgeving

We informeren onze medewerkers regelmatig over de privacywetgeving en ze krijgen tools om te handelen volgens deze wetgeving. Ook informeren we ze over de gevolgen daarvan voor thuiswerken, omdat medewerkers van GVB ook in de toekomst meer thuis zullen werken. De verwerkingsprocessen bij GVB toetsen we periodiek. Daarnaast voeren we samen met Cybersecurity controle-assessments uit bij onze leveranciers die persoonsgegevens verwerken in opdracht van GVB, om te zien of zij zich aan hun verplichtingen houden.

Datalekken

In 2022 kwamen bij het GVB-meldpunt datalekken 13 meldingen binnen. Daarvan is er 1 gemeld bij de Autoriteit Persoonsgegevens. Meldingen worden besproken met de betreffende afdeling en we nemen maatregelen om incidenten in de toekomst te voorkomen.

Integriteit

Een integere organisatie en bedrijfscultuur zijn essentieel voor de bedrijfscontinuïteit van GVB. Onze compliancefunctie bevordert en bewaakt de integriteit en beheerste bedrijfsvoering. We sluiten hiermee aan bij de Nederlandse Corporate Governance Code 2016.

Inzicht in en beheersing van compliancerisico’s ondersteunt GVB bij het voldoen aan wet- en regelgeving. Compliance is hierbij een samenspel tussen de diverse functionarissen (waaronder management, risicomanagement, inkoop en audit) binnen GVB. De compliance officer ondersteunt management en medewerkers bij het realiseren van compliance en een integere bedrijfscultuur.

Integriteitsbeleid

We vinden het belangrijk dat reizigers, belanghebbenden en leveranciers vertrouwen hebben in onze organisatie en dat er een veilig werkklimaat is voor iedereen bij GVB. Dit is in diverse regelingen vastgelegd, waaronder ons integriteitsbeleid. Dit ziet toe op het creëren en realiseren van de gewenste cultuur en bijbehorend gedrag. Bij de introductie van nieuwe medewerkers geven we aandacht aan integriteit, cultuur en gedrag. Voor nieuwe leidinggevenden geeft de compliance officer een interactieve boodschap met een aantal dilemma’s vanuit integriteit. Hiermee stimuleren we integer gedrag en een integere bedrijfscultuur en vergroten we het bewustzijn van compliancerisico’s. De compliance officer geeft op verzoek toelichtingen of workshops over gedrag en cultuur, in nauwe samenwerking met HR. Het thema multicultureel vakmanschap wordt uitgediept in een GVB-brede training voor alle medewerkers.

Ons integriteitsbeleid passen we aan. Tot nu toe kunnen medewerkers misstanden melden bij het Meldpunt integriteit, en ongewenst gedrag bij de vertrouwenspersoon. Maar omdat het verschil tussen een misstand en ongewenst gedrag voor medewerkers niet duidelijk is, willen we dat ze voor beide terechtkunnen bij de vertrouwenspersoon.

Melden van incidenten

GVB heeft een Meldpunt Integriteit waar medewerkers (vermoedens van) schending van integriteit kunnen bespreken en melden. Bij concrete vermoedens kan het Meldpunt de directie adviseren een integriteitsonderzoek te starten. In 2022 werden in totaal 31 vermoedens van integriteitsschendingen gemeld (40 in 2021). Bij twee bedrijfsonderdelen is er sprake van een stijging van integriteitszaken (diefstal en vermoeden van belangenverstrengeling). In 2022 zijn er 2 persoonsgerichte integriteitsonderzoeken uitgevoerd. Opvallend was het aantal anonieme meldingen waardoor nader onderzoek niet mogelijk bleek. We maken anoniem melden via de vertrouwenspersoon mogelijk en voldoen daarmee ook aan een van de vereisten uit de nieuwe klokkenluidersregeling. We verwachten dat deze aanpassingen begin 2023 zijn afgerond.

Gedragscode en klokkenluidersregeling

Alle medewerkers van GVB behoren zich te gedragen volgens maatschappelijke normen en wet- en regelgeving. De afspraken hierover liggen vast in de GVB Gedragscode, die eind 2021 samen met de OR is geactualiseerd. Medewerkers zijn verplicht om integriteitsrisico’s of -situaties te melden. De gedragscode wordt continu onder de aandacht van de medewerkers gebracht. Begin 2023 gaat GVB de klokkenluidersregeling, die is opgenomen in de cao, aanpassen aan de vereisten in de nieuwe wet Bescherming Klokkenluiders.

Andere richtlijnen

  • We hebben beleid voor samenwerking en omgang binnen GVB bij privé-, familiaire of vriendschappelijke relaties.
  • In de cao staan regels over alcohol en drugs, met een nultolerantiebeleid als uitgangspunt.
  • De Richtlijn social media helpt medewerkers om social media goed te benutten en vervelende ervaringen te voorkomen. Communicatie namens GVB wordt alleen verzorgd door de afdeling Corporate Communicatie.
  • In de cao staat de Gedragslijn Vermoeden van misstanden. Het gaat om strafbare feiten, grove schending van regel- en wetgeving en grote gevaren voor volksgezondheid, veiligheid of milieu, of bewust achterhouden van informatie hierover. Medewerkers zijn verplicht serieuze aanwijzingen van misstanden te melden.
  • GVB heeft een richtlijn voor het aannemen van geschenken en uitnodigingen.

Meer over de Gedragscode en andere richtlijnen staat op de pagina Interne besturing op onze website.

Informatiebeveiliging en cybersecurity

Cybersecurity is integraal onderdeel van de strategische pijler Robuust fundament. Het GVB-brede awareness-programma ‘Ik maak het verschil…’, heeft daarom in 2022 in het teken gestaan van informatiebeveiliging en cybersecurity. We hebben integrale crisisoefeningen gedaan waarbij cybersecurity een essentieel onderdeel was. De cybersecurity-roadmaps voor de kantoorautomatisering (IT) en de operationele technologie (OT) zijn flink op stoom aan het raken.

Cybersecurity is ook een integraal onderdeel van nieuwe ontwikkelingen in onze organisatie, zoals het Railinfrabedrijf en de outsourcing van de IT. Deze ontwikkelingen komen de informatiebeveiliging en cybersecurity ten goede, precies zoals we vorig jaar verwachtten.

Aan de voertuigkant is dit jaar de Europese standaard voor cybersecurity in het vervoer uitgekomen, de TS 50701. Die gaat ons helpen verder te professionaliseren naar onze leveranciers en in de voertuigen. Dit creëert kansen om verder te digitaliseren en meer data uit het spoor en de voertuigen te onttrekken.

Het Europees Parlement heeft de richtlijn NIS2 aangenomen. In Nederland gaat dit leiden tot een nieuwe versie van de Wet beveiliging netwerk- en informatiesystemen (Wbni). In dat kader is samen met de andere (spoor)vervoerders en onderhoudspartijen het ISAC Spoor opgericht. Daarin werken we onder begeleiding van het Nationaal Cyber Security Centrum samen om de cybersecurity in het OV naar een hoger plan te tillen. De aankondiging van de Cyber Resilience Act door het Europees parlement geeft de hoop dat we volgend jaar hetzelfde met onze leveranciers kunnen gaan doen.

Ook in het ‘ecosysteem’ Amsterdam werken we met diverse partijen samen om van elkaar te leren en elkaar te helpen de cybersecurity voor de stad en ver daarbuiten te verbeteren.

Interne audit

Interne Audit GVB heeft een kwaliteitscertificaat van de beroepsorganisatie Institute of Internal Auditors (IIA), dit toont aan dat Interne Audit GVB werkt volgens de Professional Standards.

Interne Audit valt rechtstreeks onder de algemeen directeur en overlegt regelmatig met de externe accountant. Er is een directe rapportagelijn naar de auditcommissie, en interne audit neemt deel aan de vergaderingen van de auditcommissie. Interne Audit voert GVB-breed jaarlijks diverse audits uit om te controleren of GVB voldoet aan eigen regels en normen, maar ook of GVB voldoet aan relevante wet- en regelgeving. Zo verleent interne audit assurance over de mate van interne beheersing van processen binnen GVB.

Inkoop en aanbesteding

Ons inkoopbeleid volgt de juridische kaders voor Europees aanbestedingsrecht. GVB hanteert externe en interne drempelwaarden. We stellen een inkoopplan op met de inkoopstrategie en een schets van het juridische kader. Onze Tenderboard moet dit goedkeuren.

Rechtmatig inkopen is de regel; afwijken van aanbestedingsregels is uitzondering. Relatief gezien gaat het om enkele procenten van het totaal aantal inkopen. Voor het AMRI-domein (Asset Management Rail Infra) is dit percentage nog lager. Verzoeken tot afwijking verlopen (gemotiveerd) via de Tenderboard en het directieteam van GVB.

Meer over ons inkoop- en aanbestedingsbeleid staat op de pagina Inkoopbeleid op onze website.

Medezeggenschap

Ondernemingsraad en onderdeelcommissies

GVB heeft een ondernemingsraad (OR) voor alle medewerkers van GVB en een onderdeelcommissie (OC) voor medewerkers van Operatie en Techniek. Ook is er een overlegstructuur voor afzonderlijke vestigingen en afdelingen, waarmee de medezeggenschap zo laag mogelijk in de organisatie is belegd.

De OR ziet onder meer toe op de arbeidsvoorwaarden, de arbeidsomstandigheden en de werk- en rusttijden. Ook is de OR betrokken bij 5 vaste commissies voor investeringen, organisatie­wijzigingen en regelingen op het gebied van gewenste omgangsvormen en sociale veiligheid namelijk:

- vaste commissie VGWM beleid (veiligheid, gezondheid, welzijn en milieu)

- vaste commissie Financiën

- vaste commissie Centrale stafafdelingen

- vaste commissie Facilitair Bedrijf

- vaste Verkiezingscommissie

Vergaderfrequentie

  • OR 6 keer per jaar
  • OC 6 keer per jaar
  • VGWM 4 keer per jaar
  • Vestigingsoverleggen 6 keer per jaar
  • Afdelingsoverleggen 6 keer per jaar

Zoek

PDF

Home/Governance/Interne besturing