GVB heeft integriteit en transparantie hoog in het vaandel staan. Onze interne besturingssystemen en beleid zijn erop gericht dat we voldoen aan wat wet- en regelgeving van ons vraagt.

We hebben een interne gedragscode met afspraken over hoe wij ons opstellen ten opzichte van elkaar en van andere belanghebbenden. Met onze medewerkers zijn we gedurende het jaar in constructieve dialoog, onder meer via de medezeggenschap. Met onze leveranciers hebben we in een gedragscode afspraken vastgelegd over hoe we met elkaar zaken willen doen. De interne auditafdeling toetst of we ons houden aan de wet- en regelgeving en aan de interne (GVB-)normen en bedrijfsregels.

Privacy-compliance

Persoonsgegevens

Alle personen die met GVB in contact zijn, zoals reizigers en medewerkers, moeten erop kunnen vertrouwen dat GVB zorgvuldig en betrouwbaar omgaat met hun persoonsgegevens. Over hoe wij dit doen, informeren we reizigers en medewerkers in onze privacyverklaring. Medewerkers die in dienst treden, ontvangen deze informatie in de welkomstbrief en verder is die te vinden op intranet. Reizigers verwijzen we daarnaar op onze GVB-website, bijvoorbeeld als ze zich aanmelden voor een GVB-account. We bieden de mogelijkheid om vragen te stellen of privacy-rechten uit te oefenen.

AVG

Medewerkers worden via e-mail en intranet regelmatig geïnformeerd over de AVG. Nieuwe medewerkers krijgen een e-learning. Zo krijgen ze voldoende kennis en tools om te handelen volgens de privacyregels. Van belang is ook dat we met de organisaties die onze persoonsgegevens verwerken in gesprek zijn en blijven over privacy-compliance. Daarom hebben we in 2020 een evaluatie voor onze verwerkers ontwikkeld, aan de hand waarvan we periodiek met hen in gesprek gaan.

Thuiswerken

Kantoormedewerkers van GVB werken sinds maart 2020 zo veel mogelijk thuis. Om ervoor te zorgen dat zij ook daar veilig werken met persoonsgegevens, hebben we informatiebeveiligingsmaatregelen getroffen. Daarnaast hebben we instructies gegeven over hoe onze medewerkers thuis privacy-proof kunnen werken. Het mag niet uitmaken waar onze medewerkers werken: ze moeten overal privacy-compliant werken.

Compliance

Een integere organisatie en bedrijfscultuur zijn essentieel voor de bedrijfs­continuïteit van GVB. Onze compliancefunctie bevordert en bewaakt de integriteit en beheerste bedrijfsvoering. We sluiten hiermee aan bij de Nederlandse Corporate Governance Code 2016.

Inzicht hebben in en het beheersen van compliancerisico’s ondersteunt GVB bij het voldoen aan wet- en regelgeving. Compliance is hierbij een samenspel tussen de diverse functionarissen binnen de organisatie. De compliance officer ondersteunt het management en de medewerkers van GVB bij het realiseren van compliance en een integere bedrijfscultuur.

Integriteit

We vinden het belangrijk dat reizigers, belanghebbenden en leveranciers vertrouwen hebben in onze organisatie en dat er een veilig werkklimaat is voor iedereen bij GVB. Dit is in diverse regelingen bij GVB vastgelegd, waaronder het integriteitsbeleid. Dit beleid, geactualiseerd in 2020, ziet in het bijzonder toe op het creëren en realiseren van de gewenste cultuur en bijbehorend gedrag. Bij de introductie van nieuwe medewerkers geven we aandacht aan integriteit, cultuur en gedrag. Voor nieuwe leidinggevenden geeft de compliance officer geeft een een interactieve boodschap met daarin een aantal dilemma’s vanuit integriteit. Hiermee stimuleren we integer gedrag en een integere bedrijfscultuur en vergroten we de bewustwording van compliancerisico’s. De compliance officer geeft op verzoek in werkoverleggen toelichtingen of workshops over gedrag en cultuur. Hiermee stuurt GVB proactief op gewenst gedrag. De compliance officer werkt hierin nauw samen met HR, van waaruit komend jaar het thema multicultureel vakmanschap wordt opgepakt.

Melden van incidenten

GVB heeft een Meldpunt Integriteit waar medewerkers (vermoedens van) integriteit­schendingen kunnen bespreken en melden. Bij concrete vermoedens kan het Meldpunt de directie adviseren een integriteitsonderzoek te starten. In 2020 werden in totaal 47 incidenten gemeld, tegenover 53 in 2019. Het merendeel van de meldingen spitsen zich toe op ongewenst gedrag, diefstal en frauduleuze handelingen. Er is voor 2021 een ruim awareness programma opgezet dat juist op deze thema’s inzet. Hierbij zal eveneens de geactualiseerde regelgeving rondom Klokkenluidersprocedure en de gedragscode worden meegenomen.

Gedragscode en klokkenluidersregeling

Alle medewerkers van GVB behoren zich te gedragen overeenkomstig maatschap­pelijke normen en wet- en regelgeving. De afspraken hierover liggen vast in de GVB Gedragscode. Medewerkers zijn verplicht om integriteitsrisico’s of -situaties te melden. Zij kunnen bij twijfel hun leidinggevende of de compliance officer raadplegen. De gedragscode is in 2019 geactualiseerd. Deze zal continue onder de aandacht van de medewerkers worden gebracht. Ook heeft GVB een klokken­luidersregeling die is opgenomen in de cao. De wetgeving hieromtrent wijzigt in 2021, hiervoor zal in de awareness nadere aandacht zijn.

Andere richtlijnen

• GVB heeft beleid opgesteld over samenwerking en omgang binnen GVB bij privé-, familiaire of vriendschappelijke relaties.
• In de cao van GVB staan regels over alcohol en drugs, met een nul­tolerantie­beleid als uitgangspunt.
• Met de 'richtlijn Social Media' helpen we medewerkers om social media goed te benutten en vervelende ervaringen te voorkomen. Communicatie namens GVB wordt alleen verzorgd door de afdeling Corporate Communicatie.
• In de cao staat de 'gedragslijn Vermoeden van misstanden'. Het gaat daarbij om strafbare feiten, grove schending van regel- en wetgeving en grote gevaren voor volksgezondheid, veiligheid of milieu, of het bewust achterhouden van informatie hierover. Medewerkers zijn verplicht serieuze aanwijzingen van misstanden te melden.
• GVB heeft ook een richtlijn voor het aannemen van geschenken en uitnodigingen. In 2020 onderzochten we of medewerkers voldoende bekend zijn met de regeling en of de regeling wordt nageleefd. Hoewel er geen noemenswaardige incidenten waren, concluderen we dat de regeling duidelijker kan en opnieuw onder de aandacht gebracht moet worden.

Meer over de Gedragscode en andere richtlijnen staat op onze website.

Door corona werken veel medewerkers thuis. Dit heeft gevolgen voor de cybersecurity. We zien een verhoogde aandacht van cybercriminelen. En er is een grotere vraag naar op afstand samenwerken, ook met partners en leveranciers. Daarom is de planning van maatregelen gewijzigd en sommige activiteiten zijn naar voren gehaald.

Samen met de afdeling ICT zijn noodzakelijke aanpassingen gemaakt om thuis veilig en effectief te kunnen werken. We bereiden nog extra aanpassingen voor om onze medewerkers veilig te laten samenwerken met een zo klein mogelijke impact van cybersecuritymaatregelen op het dagelijks werk.

Om te kunnen voldoen aan onze plicht rond bescherming van persoonsgegevens van klanten en medewerkers, voeren we compliance-assessments uit op de eerste toeleveranciers en verwerkers op de AVG en de informatiebeveiliging. Zo zorgt GVB dat de beveiliging van persoonsgegevens ook bij verwerkers van gegevens up-to-date blijft en dat het vertrouwen van klanten in GVB intact blijft.

Hoewel GVB nu minder reizigers vervoert dan in eerdere jaren, gaan de aanpassingen, het onderhoud en de vernieuwingen van de infrastructuur en voer- en vaartuigen door. Deze zijn steeds meer afhankelijk van IT, en daardoor is cybersecurity essentieel. Samen met onze leveranciers werken we aan moderne oplossingen om dit type cybersecurityrisico’s te minimaliseren.

Interne audit is een onafhankelijke functie waarvan de bevoegdheden zijn vastgelegd in een audit charter. Interne Audit GVB heeft een kwaliteitscertificaat van de beroepsorganisatie Institute of Internal Auditors (IIA), dit toont aan dat Interne Audit GVB werkt volgens de Professional Standards.

Interne audit valt rechtstreeks onder de algemeen directeur en overlegt regelmatig met de externe accountant. Er is een directe rapportagelijn naar de auditcommissie, en interne audit neemt deel aan de vergaderingen van de auditcommissie. Interne audit voert GVB-breed jaarlijks diverse audits uit om te controleren of GVB voldoet aan eigen regels en normen, maar ook of GVB voldoet aan relevante wet- en regelgeving. Zo verleent interne audit assurance over de mate van interne beheersing van processen binnen GVB.

Ons inkoopbeleid volgt de juridische kaders voor Europees aanbestedingsrecht. GVB hanteert externe en interne drempelwaarden. We stellen een inkoopplan op met de inkoopstrategie en een schets van het juridische kader. Onze Tenderboard moet dit goedkeuren.

Rechtmatig inkopen is de regel; afwijken van aanbestedingsregels is uitzondering. Relatief gezien gaat het om enkele procenten van het totaal aantal inkopen. Voor het BORI-domein (Beheer en Onderhoud Railinfrastructuur) is dit percentage nog lager. Verzoeken tot afwijking verlopen (gemotiveerd) via de Tenderboard en het directie­team van GVB.

Meer over ons inkoop- en aanbestedingsbeleid staat op onze website.

Ondernemingsraad en onderdeelcommissies

GVB heeft een ondernemingsraad (OR) voor alle medewerkers van GVB en een onderdeelcommissie (OC) voor medewerkers van Operatie en Techniek. Ook is er een overlegstructuur voor afzonderlijke vestigingen en afdelingen, waarmee de medezeggenschap zo laag mogelijk in de organisatie is belegd.

De OR ziet onder meer toe op de arbeidsvoorwaarden, de arbeidsomstandigheden en de werk- en rusttijden. Ook is de OR betrokken bij vier vaste commissies voor investeringen, organisatie­wijzigingen en regelingen op het gebied van gewenste omgangsvormen en sociale veiligheid namelijk:

- vaste commissie VGWM beleid (veiligheid, gezondheid, welzijn en milieu)

- vaste commissie Financiën

- vaste commissie Centrale stafafdelingen

- vaste commissie Facilitair Bedrijf

- vaste Verkiezingscommissie

Vergaderfrequentie

• OR zes keer per jaar
• OC zes keer per jaar
• VGWM vier keer per jaar
• Vestigingsoverleggen zes keer per jaar
• Afdelingsoverleggen zes keer per jaar