Incidentbehandeling en onderzoek bij Pensioenfondsen

Afbeelding Incidentbehandeling en onderzoek bij Pensioenfondsen

Als compliance officer vervul je vaak een sleutelrol bij melding, onderzoek en afhandeling van incidenten en misstanden. In mijn praktijk zie ik echter veel verschillen in de wijze waarop organisaties omgaan met onderzoek en afhandeling van incidenten en misstanden. In deze bijdrage sta ik stil bij een aantal keuzes die een organisatie moet maken bij het ontwerpen van een meld- en onderzoeksprocedure. Ik schets daarbij welke rol de compliance officer, naar mijn mening, zou moeten vervullen. Ook sta ik kort stil bij het inrichten van een centraal of gedeeld meldpunt als gevolg van de aanstaande Wet bescherming klokkenluiders.

Eerst maar eens even duidelijk maken waar ik het over heb: “Een incident is een gebeurtenis die een ernstig gevaar vormt of kan vormen voor de beheerste en integere bedrijfsuitoefening en/of een gebeurtenis waarbij directe of indirecte financiële schade ontstaat door ontoereikende of falende interne processen, verbonden personen of systemen of door externe gebeurtenissen, dan wel een datalek zoals gedefinieerd in de Algemene Verordening Gegevensbescherming”1

“Er is sprake van een misstand als het maatschappelijk belang in het geding is bij:

  • de (dreigende) schending van wet- of regelgeving; 
  • een (dreigend) gevaar voor de volksgezondheid, veiligheid van personen of het milieu; 
  • een (dreigend) gevaar voor het goed functioneren van het pensioenfonds als gevolg van onbehoorlijk handelen of nalaten; 
  • een (dreiging van) bewust onjuist informeren van publieke organen; 
  • een (dreigend) bewust achterhouden, manipuleren of vernietigen van informatie over het bovenstaande.”

De Pensioenfederatie, waar deze definities van zijn overgenomen, hanteert in haar modeldocumentatie een ruim begrip van incidenten. In feite is het een verzamelbegrip voor operationele incidenten, integriteitsincidenten, misstanden en datalekken. Waarbij de behandeling van misstanden wordt toegelicht in een separate Klokkenluidersregeling. De Pensioenfederatie behandelt incidenten en misstanden dus via aparte regelingen en procedures.

Eén regeling

Persoonlijk ben ik groot voorstander van het samenvoegen van de Incidentenregeling en Klokkenluidersregeling. Een melder (in spé) is namelijk niet geholpen met keuzemogelijkheden tussen verschillende regelingen en meldloketten. Hij wil zijn verhaal kwijt bij één en een duidelijk meldpunt, eventueel gebruikmakend van een vertrouwenspersoon om te sparren en/of vertrouwelijkheid te waarborgen. Het meldpunt moet daarna bepalen wat voor soort incident het betreft. Ik vind het ook niet nodig om een aparte regeling voor misstanden in te richten, een misstand is immers altijd een incident en dus is het logisch dat er één procedure wordt gevolgd, waar van toepassing met waarborgen voor anonimiteit, rechten betrokkenen en vertrouwelijkheid.

Bij het samenvoegen van regelingen moet goed gelet worden op de wettelijke basis die onder andere te vinden is in de Wet Huis voor klokkenluiders3 en de Pensioenwet. En natuurlijk op het doel van de regelingen: het creëren van een veilige omgeving en procedure om incidenten intern gemeld te krijgen, onafhankelijk te kunnen onderzoeken en op te lossen. Hierbij is het van belang een duidelijke rolverdeling te hebben en een goede procedure voor onderzoek, besluitvorming en escalatie. Je wilt tijdens een onderzoek geen discussie hebben over interpretaties van de regels of keuzes die gemaakt moeten worden in het proces. Zeker bij misstanden ligt dit gevoelig omdat partijen hier per definitie tegenover elkaar komen te staan.

Rol compliance officer

De rol van compliance officer als meldpunt voor incidenten is vaak de basis voor de regeling(en). Ook de rol van vertrouwenspersoon als gesprekspartner en mogelijke tussenpersoon, voor meldingen waarbij de melder vertrouwelijk wil melden, is duidelijk. Wat minder duidelijk is, is de rol van de compliance officer in het onderzoek naar incidenten. In de ene regeling zien we de rol van de compliance officer beperkt tot het fungeren als meldpunt die zijn zienswijze geeft over een melding (wel of geen incident en het soort incident) en mogelijk het bestuur adviseert over het al dan niet instellen van een onderzoek. En in de andere regeling zien we de compliance officer die de melding ontvangt en vervolgens zelf onderzoek instelt. Tot aan afhandeling van het incident toe.

Adviserende rol

In het eerste geval, waarin de compliance officer een zienswijze geeft en het bestuur adviseert, voert het bestuur de regie. Zij besluit of een onderzoek wordt ingesteld en wie dat namens hen gaat uitvoeren. Het bestuur besluit vervolgens, na onderzoek, over het vervolg. Wanneer het bestuur zelf betrokken is bij het incident zal deze regierol worden ingevuld door bijvoorbeeld de (voorzitter) raad  van toezicht. De compliance officer staat hiermee op afstand van het onderzoek en kan daarmee onafhankelijk het proces monitoren.

Uitvoerende rol

In het tweede geval, onderzoek uitgevoerd door de compliance officer, is het van belang om naar het soort incident te kijken. Onderzoek naar een operationeel incident is minder spannend en hier staan de neuzen meestal dezelfde kant op om het proces te verbeteren. Deze incidenten worden daarom ook vaak onderzocht door de afdeling waar het incident zich heeft voorgedaan. Integriteitsincidenten en misstanden vragen echter om een meer zorgvuldige en onafhankelijke benadering omdat hier persoonlijke belangen, integriteit en ook ego’s mee gemoeid zijn. Niet iedere compliance officer is opgeleid om dergelijke onderzoeken uit te voeren. Zeker wanneer het gaat om persoonsgericht onderzoek, is het betrekken van een expert onvermijdelijk om de rechten van de betrokkenen te kunnen waarborgen. Ook het toepassen van hoor en wederhoor en daarin een onbevooroordeelde positie innemen is een specialisme op zichzelf. Daarnaast kan de compliance officer het proces lastig monitoren wanneer hij zelf direct betrokken is bij de melding, het onderzoek en de afhandeling. Het is dus maar de vraag of de compliance officer de aangewezen persoon is om het onderzoek uit te voeren.

Bestuur voert de regie

In mijn visie is het onderzoek naar veel integriteitsincidenten en met name misstanden het meest  gebaat bij de eerste optie waarin het bestuur (of de RvC in haar plaats) de regie voert en bij voorkeur een onafhankelijke (externe) onderzoekscommissie opdracht geeft tot onderzoek. De compliance officer ontvangt in deze variant wel de melding maar beperkt de rol vervolgens tot adviseren en monitoren. De vernieuwde Wet bescherming klokkenluiders onderstreept deze gedachte door ruimte te maken voor een centraal en gedeeld meld- en onderzoekspunt.

Wet bescherming klokkenluiders

In de concept wettekst voor de Wet bescherming klokkenluiders staat een verplichting tot het inrichten van een procedure voor het melden van een vermoeden van misstanden4. Deze verplichting is van toepassing op organisaties vanaf 50 personen of aangewezen organisaties zoals alle financiële instellingen. Maar kleinere organisaties kunnen hier uiteraard ook hun voordeel mee doen. Onderdeel van deze verplichting is het inrichten van een meld- en onderzoekspunt. Organisaties met 50-249 personen wordt de mogelijkheid geboden om samen met andere organisaties dit meld- en onderzoekspunt te delen. Dit zou betekenen dat deze organisaties gebruik zouden kunnen maken van een externe (private) instantie als meldpunt en onderzoekskanaal voor misstanden.

Een extern (privaat) onderzoekskanaal is voor sommige organisaties een goede oplossing om incidenten onafhankelijk te laten onderzoeken. Hiermee wordt in ieder geval de onbevooroordeeldheid van de onderzoekers beter gewaarborgd dan in de situatie waarin melding en onderzoek naar misstanden in huis wordt georganiseerd. Daarnaast is er sprake van een bundeling van expertise en ervaring. Een groot nadeel is dat het bestuur bij een dergelijke uitbesteding direct de regie verliest. Immers worden niet alle meldingen ter goeder trouw gedaan en is het voor een extern meldpunt moeilijker om de achtergrond van een individuele melding in context te plaatsen. Hoor en wederhoor is hier van nog groter belang in het onderzoek.

Persoonsgericht onderzoek

Eén van de grotere risico’s bij het onderzoeken van integriteitsincidenten en misstanden is dat betrokken personen beschadigd raken omdat het onderzoek niet zorgvuldig wordt uitgevoerd. Er is bijvoorbeeld te weinig aandacht voor de rechten van de betrokkenen, anonimiteit wordt niet gewaarborgd, te weinig aandacht voor hoor/wederhoor, bewuste of onbewuste vooringenomenheid ten aanzien van personen, termijnen worden niet gewaarborgd of persoonlijke/vertrouwelijke informatie wordt onterecht gedeeld. Allemaal redenen om het (persoonsgericht) onderzoek over te laten aan professionele onderzoekers.

Een aantal punten waar in ieder geval rekening mee moet worden gehouden bij een persoonsgericht onderzoek zijn:

  1. Voor speciale onderzoeksbevoegdheden is een (opsporings)bevoegdheid nodig.
  2. De persoon over wie de melding gaat wordt onverwijld op de hoogte gesteld dat er een onderzoek tegen hem gestart wordt tenzij dit het onderzoek kan frustreren.
  3. Voorafgaand aan het onderzoek kunnen gegevens veilig worden gesteld wanneer hier zwaarwegende redenen toe zijn.
  4. Een persoonsgericht onderzoek wordt ingesteld en afgerond binnen een redelijke termijn nadat voldoende aanwijzingen bekend zijn voor verdachtmaking.
  5. De persoon over wie de melding gaat wordt in gelegenheid gesteld tot wederhoor en kan zich daarin (juridisch) laten bijstaan.
  6. De onderzoekers handelen onafhankelijk van de betrokkenen in het onderzoek.
  7. Er is sprake van uitvoerige vastlegging door de onderzoekers en verklaringen worden, waar van toepassing, getekend door de betrokkenen.
  8. De onderzoekers brengen schriftelijk advies uit aan het bestuur. Wanneer het bestuur het advies niet of slechts gedeeltelijk opvolgt, dan wordt gemotiveerd vastgelegd waarom anders is besloten.
  9. De betrokkenen worden onverwijld geïnformeerd over het besluit en eventuele opvolging, waarbij vertrouwelijke informatie niet wordt gedeeld.
  10. Alle relevante documenten worden opgenomen in het dossier. Het dossier wordt vervolgens vertrouwelijk behandeld.

Conclusie

Bij het inrichten van een Incidenten- en klokkenluidersregeling moet gedacht worden aan het faciliteren van de melder. Daarnaast moet de procedure zo sluitend mogelijk worden beschreven en moeten de rechten van betrokkenen bewaakt worden. Het onderzoeken van incidenten en met name misstanden moet niet worden onderschat, een foutje met vervelende gevolgen voor de betrokkenen is zo gemaakt. Daarom is het, ook vanuit het oogpunt van onafhankelijkheid, te adviseren om (persoonsgericht) onderzoek over te laten aan onderzoekexperts en dit is vaak niet de compliance officer.

Deze bijdrage is geschreven door Ruud van der Mast, directeur en compliance officer bij het Nederlands Compliance Instituut. 

Auteur

Afbeelding ruud-van-der-mast

Ruud van der Mast

senior compliance officer, adviseur en directeur