NS wil een organisatie zijn met een open en veilige cultuur, waar integer werken vanzelfsprekend is. We vinden het belangrijk om resultaatgericht te werken, maar wel binnen de normen en waarden die we hebben afgesproken. Sinds 2017 meten we hoe volwassen de integriteitscultuur bij NS is. De metingen laten zien dat we beschikken over een beheerste aanpak van risico’s, issues en vraagstukken op het gebied van integriteit en compliance. Integriteits- en compliancevraagstukken zijn een vast onderdeel van de besluitvorming en (bij)sturing. Het doel is de komende jaren door te groeien naar een organisatie die integriteitsvraagstukken proactief aanpakt en problemen voorkomt.
Open en integere cultuur
De integriteit van NS staat of valt met het gedrag van medewerkers in de dagelijkse praktijk en de keuzes die zij maken in hun werk. We stimuleren een cultuur van openheid en aanspreekbaarheid. Hierbij maken we gebruik van de Hearts- en Minds methodiek, waarmee integer werken wordt bevorderd en de bereikte verbetering in volwassenheidsniveau periodiek wordt getoetst. Daarnaast heeft NS een planning- en controlcyclus ingericht voor de risico’s en issues op het gebied van integriteit en compliance, om deze risico’s en issues beheersbaar te maken en te houden.
Verder hanteert de NS een geactualiseerde gedragscode, die NS-medewerkers helpt afwegingen en bewuste keuzes te maken in uiteenlopende, soms lastige situaties. De gedragscode vormt ook een basis voor de behandeling van integriteitsmeldingen en de uitvoering van integriteitsonderzoek. De gedragscode is in lijn met de OECD-richtlijnen en de Nederlandse Corporate Governance Code. Op basis van de gedragscode is beleid vastgesteld voor specifieke thema’s zoals belangenverstrengeling, mededinging, informatiebescherming en fraude.
Governance Integriteit & Compliance
De eerste lijn heeft de verantwoordelijkheid voor een integere bedrijfsvoering en het compliant zijn met wet- en regelgeving. Diverse afdelingen adviseren de eerste lijn, zoals Legal, Risk, Finance, Procurement, HR en Quality, Health, Safety & Environment. De afdeling Integriteit & Compliance (I&C) zich richt op bevordering van gewenst gedrag en naleving van wet- en regelgeving en de NS Gedragscode. I&C ontwikkelt beleid, informeert daarover, onderzoekt integriteitsmeldingen, geeft (gevraagd en ongevraagd) advies en stimuleert het integriteitsbesef. Ook ziet I&C toe op de bedrijfsrisico’s rondom integriteit en compliance en rapporteert hierover aan RvB, de Risk- en Auditcommissie van de RvC en de organisatie. Verder vindt afstemming plaats met de NS-vertrouwenspersonen, binnen de grenzen van vertrouwelijkheid.
Tenslotte kent NS de commissie Integriteit met daarin de directeuren HR, I&C, Legal en Risk. De commissie toetst nieuw integriteit- en compliancebeleid en geeft advies over vraagstukken en meldingen op het gebied van integriteit en compliance.
Meldpunt Integriteit en Regeling Integriteitsmeldingen
De Regeling Integriteitsmeldingen (inclusief klokkenluidersmeldingen) borgt dat NS-medewerkers melding kunnen doen van (vermoedens van) onregelmatigheden, dat daarmee zorgvuldig en vertrouwelijk wordt omgegaan en dat ze geen nadeel zullen ondervinden van het feit dat zij melding hebben gedaan. Medewerkers kunnen op verschillende manieren – anoniem – vermeende integriteitskwesties of misstanden melden: via het Meldpunt Integriteit op het interne netwerk, via een speciale app, per e-mail of in een persoonlijk gesprek. Een integriteitsmelding kan leiden tot een advies aan de melder en het betrokken management over de verdere aanpak en maatregelen. Ook kan er een toedrachts-onderzoek plaatsvinden, op basis waarvan maatregelen worden bepaald. In 2020 zijn in totaal 66 integriteitsmeldingen ontvangen (2019: 96). In het tweede kwartaal waren er minder meldingen, vermoedelijk door thuiswerken en verminderde contacten. In het tweede halfjaar steeg dit naar het oude niveau.
Van de meldingen die in 2020 zijn afgerond, is 39% (geheel of gedeeltelijk) gegrond gebleken.
Medewerkers kunnen zich (zowel bij een integriteitsmelding als daarbuiten) laten ondersteunen door een vertrouwenspersoon van NS. In 2020 is 80 keer gebruik gemaakt van dergelijke ondersteuning. Ook voor externe stakeholders is er een meldpunt.
Advies en voorlichting
Het Integriteitsportaal op het intranet biedt medewerkers een palet aan informatie over integriteit en compliance. Zo is hier een actueel overzicht te vinden van het integriteits- en compliancebeleid van NS. Daarnaast geeft het Integriteitsportaal medewerkers de mogelijkheid concrete vraagstukken en dilemma’s voor te leggen aan I&C. Het stellen van vragen kan ook telefonisch of door bij I&C langs te lopen. I&C adviseert medewerkers dan over mogelijke oplossingen en acties.
Verder worden medewerkers periodiek geïnformeerd over actuele ontwikkelingen en onderwerpen, bijvoorbeeld tijdens de Week van de Integriteit. Ook wordt met berichten, themabulletins en nieuwsbrieven aandacht gevraagd voor thema’s als communicatie en gedrag, belangenverstrengeling of omgangsvormen. I&C verzorgt dilemmasessies in de hele organisatie, van de RvB tot aan teams in de regio, waarbij teams het gesprek met elkaar aangaan over integriteit, compliance en omgangsvormen. In 2020 hebben er 377 dilemmasessies en -gesprekken plaatsgevonden.
Compliance
We beseffen ons als staatsdeelneming dat we een voorbeeldfunctie hebben, transparant dienen te zijn over naleving van wet- en regelgeving en te allen tijde integer moeten handelen. Derhalve zien we erop toe dat we voldoen aan de geldende wet- en regelgeving en aansluiten bij de geldende normen en waarden.
NS heeft daarbij te maken met een omvangrijk compliancekader. We dienen ons te houden aan externe wet- en regelgeving, zoals de Spoorwegwet, de Mededingingswet, de Concessie voor het Hoofdrailnet, de CAO-afspraken en de Arbeidstijdenwet. Daarnaast gelden er interne beleidskaders zoals de Gedragscode, het inkoopreglement en het machinistenhandboek. Om te borgen dat NS grip houdt op deze verscheidenheid aan regels en normen en zorgdraagt voor onze maatschappelijke verantwoordelijkheid, kent NS een beheersstructuur voor compliance. In de operationele uitvoering zijn wettelijke eisen vertaald naar prestatie-indicatoren en normen voor onder andere mededinging, aanbesteding, privacy en arbeidseisen. Daarnaast is er een NS-breed dashboard met daarin de toprisico’s en issues ten aanzien van integriteit en compliance, en een overzicht van de relevante kpi’s. Verder kent NS het landelijk programma Gewenst Gedrag, om de omgangsvormen op de werkvloer te verbeteren. De NS Gedragscode vormt daarbij de leidraad. Ook investeert NS in het kennisniveau van medewerkers op specifieke compliancethema’s; zo zijn er in 2020 trainingsprogramma’s geweest op het gebied van mededinging en privacy.
Privacy
Voor NS is de zorgvuldige omgang met de persoonsgegevens van reizigers en medewerkers een vanzelfsprekendheid. We werken hierbij vanuit vier leidende principes: ‘Transparant’, ‘Veilig bij NS’, ‘Keuze en control’ en ‘Innovatief en open’. Om te borgen dat NS compliant blijft aan de privacywetgeving is een privacy-structuur en governance ingericht en wordt er continu aandacht besteed aan opleiding en bewustzijn rondom privacy, onder meer door (verplichte) e-learnings, trainingen en nieuwsbrieven. Er zijn ‘privacy champions’ aangesteld die naast hun reguliere werkzaamheden eerstelijns vragen beantwoorden en de van ogen en oren van het Privacy Office binnen hun specifieke bedrijfsonderdeel zijn. Zij vormen samen met de Functionaris voor Gegevensbescherming en de Privacy Officers de privacy-organisatie binnen NS. Zo houden we de lijnen tussen de bedrijfsonderdelen en de privacy-experts kort en zorgen we voor een breed netwerk van privacy kennis binnen heel NS.
Ondanks de zorgvuldigheid die NS betracht met de data van klant en medewerker kunnen er zich incidenten voordoen. Dit is bijvoorbeeld al het geval bij het verlies van een mobiele telefoon indien deze niet is vergrendeld. Ernstiger was afgelopen jaar het incident waarbij er onbedoeld meer gegevens van klanten van NS International dan waarvoor zij toestemming hadden verleend aan Facebook werden gezonden. Die data zijn verwijderd. Het meest vervelende incident betrof een aanval waarbij met elders verkregen wachtwoorden eveneens de accounts van klanten van NS kon worden ingezien. Die klanten zijn geïnformeerd, hun wachtwoorden zijn gereset. In voorkomende gevallen informeert NS de toezichthouder en/of de betrokkene. In alle gevallen zijn datalekken input voor procesverbeteringen.
Goede en zorgvuldige gegevensverwerking begint met het toepassen van privacy by design. NS betrekt zo reeds in het ontwerp van een product of dienst de bescherming van de persoonlijke levenssfeer van betrokkenen. Data protection impact assessments worden veelvuldig binnen NS uitgevoerd om daarmee eventuele risico’s voor betrokkenen te identificeren alsmede de te nemen maatregelen om die risico’s te mitigeren.