Samenvatting
Wenselijke situatie
Er is een grote mate van overeenstemming onder de verschillende benchmarks, inclusief het basisprofiel, dat de rvc de informatie die zij van/namens de rvb ontvangt via een online portal wil ontvangen. Een enkele benchmark ziet ook nog wel wat in het gebruik van versleutelde e-mail. Via onversleutelde e-mail of op papier is niet wenselijk.
Veranderwensen
Voor alle benchmarks gezamenlijk is het veranderpercentage met 85 procent zeer hoog. Voor zeker de helft van de gevallen is dit te herleiden tot het min of meer in de ban doen van het gebruik van papier en onversleutelde e-mails. In positieve zin betreft het meer gebruik van een online portal (11 benchmarks) en eventueel meer gebruik van versleutelde e-mail. Dit laatste is een veelal urgent bespreekbaar punt.
Huidige situatie
Bij het basisprofiel valt alleen de optie ‘ontvangt informatie van/namens de rvb via een online portal’ in de klasse min of meer mee eens. Ook bij de andere benchmarks krijgt deze optie telkens de relatief hoogste score. Relatief omdat de instemming bij deze optie sterk uiteen loopt, van deels oneens/deels eens tot duidelijk mee eens.
Onderzoeksvraag
We hebben de respondenten gevraagd op welke manier de rvc de informatie van/namens de rvb ontvangt. Dit is de eerste keer dat we deze stellingen voorleggen. We hebben daarom geen vergelijkingsmateriaal uit eerdere jaren.
Gebruikt is de 5-puntsschaal met: 1 = volstrekt oneens, 2 = oneens, 3 = deels oneens/deels eens, 4 = eens en 5 = volstrekt mee eens.
8.1 Wenselijke situatie fraudeaspecten
.
Basisprofiel: informatie via portal
Gewenste situatie basisprofiel
Het basisprofiel is duidelijk in wat wenselijk is: de informatie die de rvc ontvangt wil zij via een portal ontvangen. Deze zit in de klasse met de hoogste mate van instemming, volstrekt mee eens (score ≥ 4.5). In een enkel geval zou het ook via versleutelde e-mail kunnen. Dat zit in de klasse deels oneens/deels eens.
Het is onwenselijk om de informatie via onversleutelde e-mail of op papier te ontvangen.
Draagvlak: hoe breed delen de benchmarks de wenselijkheid?
Grote mate van overeenstemming onder de benchmarks
De procentueel meest gedeelde opvattingen (score veelal > 4.0) door de benchmarks is: informatie via een online portal (93 procent van de benchmarks). En ook zijn de respondenten het eens in hun afwijzing van papier en onversleutelde e-mails.
Andere benchmarks vergeleken met het basisprofiel
Overall afwijkingspercentage hoog, maar vaak niet relevant
Overall is het afwijkingspercentage hoog, echter zien we dat het bij de meeste afwijkingen gaat om verschillen hoe onwenselijk een bepaalde benchmark het vindt om informatie te ontvangen op papier of via onversleutelde e-mail. Ook zitten er enkele verschillen in wenselijkheid in het gebruik van een portal. De mate van instemming is daar echter ook hoog. De meeste relevante verschillen zitten bij de wenselijkheid bij het gebruik van versleutelde e-mail.
.
GB, MKB, Bapr twijfelen over versleutelde e-mail
Bedrijfsbenchmarks
Bij de profitsector zien we dat alle benchmarks daar in de deels oneens/deels eens klasse zitten wat betreft het gebruik van versleutelde e-mail voor het ontvangen van communicatie.
.
Veel verschillen over gebruik van versleutelde e-mail
Persoonsgebonden benchmarks
Bij de persoonsgebonden benchmarks zien we grote verschillen over de wenselijkheid van het gebruik van versleutelde e-mail. Merv zit in de klasse duidelijk mee eens en is daarmee de grootste voorstander. RvbEL is het min of meer eens, Remu neigt naar instemming en VZ en Jong twijfelen. AC, VR en DIR vinden het niet wenselijk.
8.2 Veranderwensen en huidige situatie
Basisprofiel
Bij het basisprofiel zien we bij alle vier de opties een veranderwens. De eerste twee, voor het gebruik van papier en onversleutelde e-mail, zijn verwaarloosbaar gezien de zeer lage score in de wenselijke situatie. De andere twee zijn interessanter gezien de forse stijging in score in de huidige situatie naar de wenselijke situatie. Basisprofiel wil meer gebruik van een online portal en vindt het een urgent bespreekbaar punt om versleutelde e-mail te gebruiken.
Andere benchmarks
Zeer hoog overall veranderpercentage
Voor alle benchmarks gezamenlijk is het veranderpercentage met 85 procent zeer hoog. De scores van die veranderingen liggen in de wenselijke situatie niet allemaal boven de 3.2. Dat betekent dat een deel ook bespreekbare punten zijn (score < 3.2). Voor de bedrijfsbenchmarks in totaal is het percentage 91 procent. De profitsector heeft een iets hoger veranderpercentage dan de non-profitsector (100 om 80 procent).
Voor de persoonsgebonden benchmarks is het overall veranderpercentage 81 procent, waarbij de commissarissen en niet-commissarissen uit elkaar liggen met respectievelijk 86 en 50 procent.1
1 Secr en IA hadden te weinig waarnemingen.
.
Bij alle stellingen door alle drie veranderwensen
Bedrijfsbenchmarks
In de profitsector hebben zowel het beursgenoteerde bedrijf als GB en MKB bij alle vier de opties veranderwensen. Alle drie geven aan nog minder gebruik te willen maken van onversleutelde e-mail en meer van een online portal. Meer gebruik van versleutelde e-mail is een urgent bespreekbaar punt.
Bij de non-profitsector zien we dat de benchmarks Corp, Zorg en ONP ook aangeven nog minder gebruik te willen maken van onversleutelde e-mail en meer van een online portal.
.
Veel verbeterwensen
Persoonsgebonden benchmarks
Bij de commissarissen is het aantal veranderwensen ook talrijk. Alleen AC heeft bij slechts twee van vier opties een veranderwens. De andere benchmarks hebben bij drie van de vier opties of bij alle vier een veranderwens.
DIR wil nog minder gebruik papier en onversleutelde e-mail
Bij de niet-commissarissen zien we dat DIR twee veranderwensen heeft. Voor zover nu in gebruik mag het gebruik van papier en onversleutelde e-mail nog een stuk minder.
.
Zeer veel gedeelde veranderwensen
Gedeelde veranderwensen
Bij alle vier de opties hebben minstens tien benchmarks een veranderwens. Koploper met dertien benchmarks is de wens om het gebruik van onversleutelde e-mail terug te dringen en meer gebruik te maken van een online portal (11). Eventueel meer gebruik van versleutelde e-mail is een veelal urgent bespreekbaar punt (12).
Huidige situatie
Basisprofiel gebruikt online portal
Het basisprofiel geeft aan op dit moment voornamelijk gebruik te maken van een online portal. Het profiel is het min of meer mee eens met deze optie. De andere drie opties krijgen een afwijzende score.
In de huidige situatie is bij geen van de vier opties meer dan de helft van de benchmarks het minimaal duidelijk eens. Het ‘dichtst’ in de buurt komt het gebruik van een online portal. Daar geven drie benchmarks aan het duidelijk eens te zijn met deze stelling. Het gaat hierbij om AC, Remu en DIR.
Lagerescores dan 2.8 (oneens tot en met volstrekt oneens) komen veelvuldig voor. Dat betreft altijd de opties op papier ontvangen, via onversleutelde en via versleutelde e-mail. Deze afwijzende score zien we niet bij het gebruik van een online portal die bij alle benchmarks bovenaan staat.
De instemming bij het gebruik van een online portal verschilt wel sterk per benchmark. Zo hadden we al eerder geconstateerd dat AC, Remu en DIR daar duidelijk mee instemden, maar we zien aan de andere kant bijvoorbeeld dat MKB en Zorg slechts in de deels oneens/deels eens klasse zitten. Bij MKB zit onversleutelde e-mail in dezelfde klasse.
Geregeld genoemde alternatieve vormen van informatieoverdracht
Zowel in de huidige als de wenselijke situatie wees men geregeld op het gebruik van WhatsApp, telefoon en digitale vergaderingen als communicatie instrumenten.
8.3 Enige bespiegelingen/vragen/kanttekeningen
Heeft rvc voldoende nagedacht over consequenties gebruik van een online portal? Denkt rvc voldoende na over hoe de informatie wordt verstuurd?
In eerdere onderzoeken hebben we de vraag over hoe de rvc de informatie van/namens de rvb ontvangt niet direct gesteld. Wel kwam deze vraag indirect naar voren in interviews als het ging over digitalisering en dan met name cyberweerbaarheid. We hebben ons deelrapport in 2022 niet voor niets de titel ‘Welk risico vormt de commissaris zelf’ meegegeven. Dat zouden we prima nog eens kunnen herhalen want ondanks dat het gebruik van een online portal, op basis van de interviews toen en nu, wel lijkt te zijn gestegen, zien we een hele duidelijke instemming dat een rvc zo’n portal gebruikt niet terug. Slechts drie benchmarks kunnen daar duidelijk mee instemmen. De onderzoeksresultaten laten ook zien dat niet elke rvc zo’n portal gebruikt. Met name in kleinere organisaties lijkt e-mail nog steeds de meest gebruikte manier om de informatie van/namens de rvb naar de rvc te krijgen. We zien over de hele linie wel een sterke wens om het gebruik van onversleutelde e-mail terug te dringen. In dat laatste kunnen we ons helemaal vinden, maar we verbazen ons over het ontbreken van een duidelijke instemming bij het gebruik van een portal dan wel versleutelde e-mail. De vraag is of de organisatie, en ook de rvc zelf, wel voldoende stilstaat bij het informatieproces van/namens de rvb. Hoe veilig en werkbaar zijn de huidige methoden en met welk doel gaat de organisatie/rvc dan over op een portal? Staat men stil bij de gedachte of die doelen van het in gebruik nemen van een online portal worden bereikt? Denkt men bijvoorbeeld na over het wel of niet mogen downloaden uit zo’n portal? Of welke stukken wel en welke stukken niet geschikt zijn om te uploaden en downloaden? Of moet elke commissaris de mogelijkheid hebben om stukken te downloaden ter eigen archivering?
Nog zaken te regelen door de commissaris bij gebruik van een online portal?
Bij diverse organisaties is en wordt vastgelegd dat een organisatie verplicht is medewerking te verlenen aan het beschikbaar stellen van stukken en notulen van rvc-vergaderingen indien een(ex-)commissaris daar op een later moment de beschikking over moet krijgen in verband met bijvoorbeeld een rechtszaak. Ook het krijgen van een logboek van eventueel later aangebrachte veranderingen kan in dergelijke contractueel vastgelegde afspraken zijn opgenomen. Een aantal commissarissen is de laatste jaren mede aansprakelijk gesteld voor situaties bij het bedrijf waar zij destijds commissaris waren.Het automatisch ter beschikking krijgen over de destijds op een rvc geagendeerde punten met onderliggende stukken en de betrokken notulen en besluitenlijsten bleek om het eufemistisch te zeggen niet erg vanzelfsprekend te zijn.
Het ziet er niet naar uit dat in de nabije toekomst commissarissen en rvb-leden minder aansprakelijk gesteld zullen worden dan nu gebruikelijk. Ons advies is dus: regel de zaken nu, voordat je terzijnertijd misschien met je rug tegen de muur staat. Voorkomen is beter dan genezen.
WhatsApp, Signal of iets Europees?
Niet opgenomen in onze vragenlijst, maar meerdere keren genoemd tijdens interviews, is het gebruik van een mondelinge toelichting vanuit de rvb en het gebruik van WhatsApp om informatie te ontvangen en/of te delen. Vaak heeft de rvc een eigen WhatsAppgroep en een aparte WhatsAppgroep met daarin de bestuurder(s). We vragen ons ten eerste sterk af of rvc’s heldere afspraken hebben gemaakt over wat ze daar wel en niet in delen. Ten tweede vragen wij ons af of rvc’s zich afvragen wat er met die (meta)data kan gebeuren…? Niet wat er op dit moment wel of niet mee gebeurt.
Kan een commissaris aangesproken worden op het gebruik van een ‘gratis’ e-mailadres?
In het kader van toenemende geopolitieke spanningen is het de vraag of een commissaris nog kan volstaan met een ‘gratis’, veelal Amerikaans, e-mailadres waarin rvc-stukken worden ontvangen. Wij denken dat een e-mailadres van Outlook, Gmail, Yahoo niet langer of eigenlijk al heel lang niet, de juiste plek is om (on)gevoelige rvc-informatie te ontvangen. Niets is unhackable, maar een commissaris kan best de moeite nemen een betaalde Europees of zelfs Nederlandse account aan te schaffen.