‘Tijd voor Integriteit, Tijd voor Actie’ over de rol van de CISO, PO en HR binnen het integriteitsmanagement
Op 2 september j.l. organiseerde VHIC de webinar “Tijd voor Integriteit”. Een pleidooi voor de noodzaak van een systematische en integrale aanpak op het thema integriteit en hoe dit te realiseren. Speciale aandacht binnen het webinar was er voor noodzaak tot actie en de samenwerking tussen de CISO, Privacy Officer en Personeelszaken.
“Informatie is vandaag de dag niet meer weg te denken uit onze organisaties. Waar informatie niet meer toegankelijk is, komt de organisatie tot stilstand. Om die reden doen organisaties er alles aan om te zorgen dat informatie goed beveiligd is. Echter in de praktijk zien we dat de effectiviteit van technische en procedurele beveiligingsmaatregelen veelal onderhevig is aan (onveilig) gedrag van medewerkers. Terwijl juist het menselijk gedrag kan leiden tot onbedoeld ‘bedenkelijke beslissingen’. Dat is waar goed informatiebeheer, de kernexpertise van VHIC, samenkomt met het thema integriteit en waar actie noodzakelijk is. Waar geen actie wordt ondernomen kan dit effect hebben op zaken als het publiek vertrouwen, de kwaliteit van publieke dienstverlening en de motivatie van medewerkers. Kortom: het is tijd om hier samen, met elkaar, verandering in te brengen” aldus Tineke van Heijst, directeur van VHIC tijdens de opening van de webinar.
Dat dit niet zo eenvoudig is bleek uit het interview met Alain Hoekstra, beleidsadviseur van het Huis voor Klokkenluiders. Hij hield een pleidooi voor het verder professionaliseren van integriteitsmanagement binnen alle organisaties maar zeker ook overheden. Uit zijn verhaal bleek tevens dat menselijk gedrag key is als het gaat om integriteit en daarmee in alle aspecten van de bedrijfsvoering terugkomt. Het definiëren wat integriteit is, is lastig. Integriteit is namelijk geen vastomlijnd begrip. In een poging integriteit toch te definiëren gebruikt Hoekstra bij voorkeur de definitie van Leo Huberts, emeritus professor bestuurskunde aan de VU. Hij omschrijft integriteit als ‘het handelen in overeenstemming met de morele normen en waarden die heersen in onze maatschappij’. Deze definitie benadrukt dat integriteit verder strekt dan wat in juridische zin wel en niet mag; integriteit is immer ook een kwestie van waarden. Integriteit is daarmee absoluut een dynamisch concept aldus Hoekstra omdat er steeds nieuwe elementen aan worden toegevoegd. Zo hebben diverse actuele onderwerpen (denk aan #metoo, #blacklivesmatter etc) integriteit opnieuw geagendeerd.
Wanneer we specifiek kijken naar informatieveiligheid, raakt dit absoluut aan integriteit. Denk daarbij aan de omgang met en het lekken van vertrouwelijke informatie. Toch is er nog onvoldoende sense of urgency om structureel middelen vrij te maken om echt iets met integriteit te doen. Daarnaast is gebleken dat er nog niet voldoende wordt geïnvesteerd in bewustwording en er onvoldoende aandacht is voor maatregelen die al wel zijn of worden getroffen. Dit brengt een belangrijk risico met zich mee. Net als een sneeuwbal beginnen integriteitsschendingen vaak onschuldig en vanuit een zekere naïviteit. Wanneer er niet tijdig wordt ingegrepen, dan wordt in feite het signaal afgegeven dat dit oké is. Door vroeg te signaleren en te handelen kan voorkomen worden dat er uiteindelijk een lawine ontstaat.
Hoewel veel organisaties integriteitsmaatregelen hebben getroffen, bestaan deze vaak in splendid isolation. Hiermee wordt bedoeld dat organisaties onvoldoende samenhang aanbrengen tussen de diverse maatregelen. Het is de uitdaging om de verbinding expliciet en zichtbaar te maken, zodat de maatregelen elkaar kunnen versterken. Systematische organisatie van maatregelen gaat overigens net zo goed over de ontwikkeling als de implementatie hiervan. Het is belangrijk om aan monitoring te doen en zaken die niet voldoende aanslaan aan te passen. Hiervoor is de Plan-Do-Check Act cyclus (PDCA-cyclus) een nuttig hulpmiddel. In het denken over integriteit en integriteitsbeleid heeft dit stukje lang ontbroken.
In veel organisaties is integriteitsbeleid belegd bij verschillende functionarissen. Het is de uitdaging om dit in de toekomst meer samen te brengen. Idealiter wordt er een interdisciplinair projectteam opgericht dat de problematiek vanuit een risicoanalyse aanvliegt. Die risicoanalyse zou in kaart moeten brengen waar (in welke processen, functies en afdelingen) de grootste kans op misstanden bestaat. Vervolgens moet geïnventariseerd worden welke maatregelen er al zijn genomen om die risico’s te mitigeren. Dit moet, tot slot, leiden tot een constructieve discussie over die maatregelen. Zijn deze maatregelen ‘goed’, is het effect voldoende en waar is eventueel aanpassing nodig? Die uitkomsten vormen ingrediënten voor een mooie, organisatiespecifieke toekomstagenda die door het interne netwerk verder opgepakt zou moeten worden.
De deelnemers aan dit webinar ondersteunden de door Hoekstra geschetste situatie met diverse voorbeelden waaronder de onlangs gepubliceerde Factsheet Integriteit van de IBD en VNG met voorbeelden op welke onderwerpen HR, CISO en Privacy Officer zouden moeten samenwerken. Uit de (anonieme) verkenning onder de deelnemers aan de hand van diverse stellingen bleek dat het onderwerp zeer actueel en herkenbaar is bij alle drie de genoemde functies. Belangrijker nog dan het gevoel van herkenning dat dit opriep, was de gedeelde onderkenning dat dit anders kan.
Het webinar werd afgesloten met een presentatie van Marjolijn Uringa, associate consultant bij VHIC. Zij liet zien dat ENI – het integriteitsmanagementsysteem van VHIC juist dat ongrijpbare gedrag en het effect van interventies (zoals bewustwording, effect van processen en meldloketten) inzichtelijk weet te maken waardoor integriteit en interventie steeds beter meetbaar worden. Ook wordt met ENI het afleggen van interne en externe verantwoording over de getroffen maatregelen op het gebied van integriteit eenvoudig. Dit maakt ENI tot een product dat onmisbaar is voor de verdere professionalisering van integriteitmanagement.
Meer weten over integriteitsmanagementsysteem ENI? Neem vrijblijvend contact met ons op voor een afspraak via info@vhic.nl.