3.3 STRUCTUREN EN PROCEDURES

Derde van de zeven onderdelen van integriteit

Bij gebruik van digitale middelen is het belangrijk om heldere werkprocessen in te richten, waarin medewerkers op de hoogte zijn van de regels omtrent integer gebruik van digitale middelen.

Hierbij is het van belang dat zij op de hoogte zijn van relevante wet- en regelgeving. Met een risicoanalyse gericht op integriteitsrisico’s in het digitale domein kunnen werkgevers inzicht krijgen in de kwetsbaarheden van hun organisatie op digitaal vlak. Digitale middelen zijn in sommige werkprocessen onontbeerlijk geworden. Kan een organisatie nog functioneren zonder digitale middelen wanneer blijkt dat deze onwenselijk grote risico’s met zich meebrengen? (zie voor deze laatste vraag ook hoofdstuk 3.1 Leiderschap)

Wet- en regelgeving in het digitale domein ontwikkelt zich snel. Daarom is het belangrijk om na te gaan of de structuren en procedures in de organisatie nog voldoen aan de meest recente wet- en regelgeving op gebied van digitalisering. Denk hierbij aan Europese richtlijnen voor databeveiliging om datalekken te voorkomen. Wanneer digitale middelen worden ingezet voor gegevensverzameling en -verwerking, dan moet de organisatie daarbij voldoen aan privacywetgeving, zoals de AVG. Soms biedt de wetgever organisaties een soepel wettelijk kader, de ‘regelluwe ruimte’, zodat zij kunnen experimenteren met het inzetten van nieuwe technologieën zonder dat zij moeten voldoen aan de hoge eisen van bestaande wet- en regelgeving.

3.3.1. Tips

  1. Digitale middelen kunnen integriteitsrisico’s met zich meebrengen, gerelateerd aan specifieke functies binnen de organisatie. Actualiseer het overzicht kwetsbare functies op het gebruik van en toegang tot specifieke digitale systemen in de organisatie.
  2. Ga na welk risiconiveau het gebruik van AI in de organisatie heeft volgens de AI Act. Kijk of de werkprocessen van de organisatie voldoen aan de eisen van deze Europese richtlijn en pas procedures in de organisatie daarop aan.
  3. Houd er rekening mee dat overtredingen van Europese wetgeving als de AI Act zware boetes tot gevolg kunnen hebben. 

3.3.2. Aandachtspunten

  1. Hoe kunnen medewerkers integer omgaan met data in de organisatie? Hoe zijn deze mogelijkheden verankerd werkprocessen?
  2. Nodigt de huidige inrichting van de organisatie uit tot integer gebruik van digitale middelen? Denk hierbij bijvoorbeeld aan: hebben medewerkers alleen toegang tot documenten waartoe zij geautoriseerd zijn?
  3. Hoe wordt er in de huidige procedures in de organisatie rekening gehouden met de snelle veranderingen in het digitale domein? Welke controlemechanismen zijn ingesteld om te voorkomen dat personen binnen of buiten de organisatie disproportioneel getroffen worden door het gebruik van digitale middelen?
  4. Wat is de wettelijke grondslag voor de inzet van digitale middelen, met name van AI-systemen en de besluiten die deze systemen in de organisatie nemen?
  5. Wat is de impact van het mogelijk uitvallen of disfunctioneren van digitale systemen? Welke integriteitsrisico’s komen kijken bij het niet-functioneren van digitale middelen in de organisatie? In hoeverre is het mogelijk om te stoppen met het gebruik van bepaalde digitale middelen, mocht het systeem onwenselijke effecten of foutieve resultaten voortbrengen?

Beeld: © Huis voor Klokkenluiders