Attentie boardpreventie
Een tas laten slingeren met daarin de laatste jaarstukken, een mail doorsturen naar je privé-account en vervolgens gehackt worden, een memo dat op onverklaarbare wijze is gelekt naar de verkeerde partij: het is de nachtmerrie van iedere commissaris. En terecht, want de consequenties (aansprakelijkheid, reputatieschade, et cetera) kunnen verstrekkend zijn. Dat we digitaler met elkaar communiceren, heeft onmiskenbaar de nodige voordelen. Maar het brengt ook meer (cyber)risico’s met zich mee.
Steeds meer organisaties werken mede daarom met een board portal: daarmee blijven alle relevante communicatiestromen in een beveiligde digitale omgeving binnen de bedrijfsmuren. Zowel bestuurders als commissarissen kunnen hier makkelijk mee werken via een app op bijvoorbeeld iPad of laptop. Zo raak je als commissaris niet verdwaald in allerlei papieren versies en e-mail-updates van jaarverslagen, notulen en andere stukken. Geen gehannes meer met verouderde versies van stukken en gebruikers kunnen makkelijk en goed zichtbaar commentaar toevoegen en uitwisselen. Commissarissen die met een uitpuilende loodgieterstas op weg zijn naar een vergadering van de raad van commissarissen (rvc). Het is vrijwel voltooid verleden tijd. Die digitalisering maakt de vergaderingen een stuk efficiënter en effectiever, omdat iedereen zich makkelijker heeft kunnen voorbereiden dan wanneer je met enorme pakken papier werkt. En onderling communiceren voor, tijdens en na een bestuursvergadering wordt makkelijker en tegelijk veiliger. Het managen van de informatiestromen tussen het bedrijf en de board en tussen de boards onderling is in principe een belangrijke taak voor de company secretary. Maar wat mag je als commissaris van hem of haar verwachten? En wat moeten commissarissen zelf doen, of wellicht nalaten? Daarover praten Charlotte Insinger, Fieke van der Lecq en Maarten Schönfeld. Insinger is commissaris bij Vastned Retail, Staatsbosbeheer (voorzitter), PZEM en de Volksbank. Van der Lecq is toezichthouder bij Arriva Nederland, Syntrus Achmea Real Estate & Finance en Triodos Bank en werkt daarnaast onder andere als deeltijdhoogleraar pensioenmarkten aan de Amsterdamse Vrije Universiteit. Schönfeld heeft commissariaten bij Fugro, Arcadis en Sif.
Ondanks dat de risico’s bekend zijn, vinden veel commissarissen het nog wel comfortabel, de stukken op papier te krijgen. En als ze digitaal communiceren, realiseren ze zich vaak niet de risico’s daarvan. Wat zijn uw ervaringen?
Van der Lecq: ‘De rvc moet absoluut het goede voorbeeld geven. Als commissarissen vanuit hun toezichthoudende rol roepen dat het hele bedrijf de regels rond cyber security moet naleven, moeten ze dat zelf ook doen. Maar dat zie ik nog niet altijd gebeuren. Ik vind het soms lastig om aan te zien dat de company secretary de grootst mogelijke moeite heeft om de commissarissen te bewegen hun onveilige Gmail- en Hotmailaccounts níet te gebruiken voor bedrijfscorrespondentie. Zie je dat gebeuren, dan moet je elkaar daar als commissaris zeker op aanspreken. Wat we van medewerkers verlangen, moeten we zelf ook doen.’
Schönfeld: ‘Dat je protectiemaatregelen rond alle communicatie in acht moet nemen, bijvoorbeeld geen eigen mailadres moet gebruiken, dat zijn no brainers. Naleving van beveiligingsmaatregelen hangt ook af van hoe je bent ‘opgegroeid’ in het houden van toezicht op een onderneming. Het draait, ook in mijn eigen gedrag, uiteindelijk gewoon om discipline. Maar ja, die ontbreekt soms.’
Van der Lecq: ‘Die discipline mis ik ook weleens, bij bedrijven. Dan zit je in een boardroom meeting en krijg je bij aanvang nog even snel de handouts, want die waren nog niet klaar. Ik weiger die altijd categorisch, want ik werk vrijwel volledig papierloos. Niet alleen omdat ik niet wil sjouwen met pakken papier, maar ook vanwege de risico’s. Dan vraag ik om een mail met die handouts, maar dat vinden ze soms lastig. Inmiddels weten ze dat van me en houden ze er rekening mee. Ik woon op twee plekken, werk bij allerlei organisaties en heb geen kantoor. Dus alsjeblieft geen last minute-papieren, en alle slide packs ontvang ik liefst 48 uur van tevoren in een veilige ICT-omgeving. Ik vind het ook heel normaal dat je een mailaccount krijgt van het bedrijf, maar dat lukt vaak niet omdat je achter een firewall moet.’
Insinger: ‘Ik heb thuis een goede papierversnipperaar. Daar stop ik uiteindelijk alles in. Sommige commissarissen vinden papier makkelijker om bijvoorbeeld getallenreeksen met elkaar te kunnen vergelijken. E-mail? Dat vind ik een eindig medium. Ik vind het onprettig om stukken via de mail te krijgen. Die board-applicaties zijn veel handiger, daarin kun je makkelijk terugzien wat er in een vergadering is of wordt besproken. Wat betreft die discipline, daar kan ik nog een mooi voorbeeld van noemen: ik zit in een rvc waar alles aanvankelijk nog via mail ging. Ik liet bij iedere vergadering weten dat dat echt anders moest. Toen stuitte ik op ontzettend veel weerstand, niet alleen van mijn medecommissarissen maar ook van het secretariaat. Die waren het nou eenmaal zo gewend om pakketten samen te stellen met zipfiles, die op de post te doen of via e-mail te versturen. Na lang aandringen is het me, onder leiding van een hele goede company secretary, gelukt dat proces te verbeteren. We kregen er laatst een nieuwe commissaris bij, ze zei al snel dat zij dit zo’n geweldig communicatiesysteem vond. Toen moest ik wel even hard lachen en heb ik ons allemaal veel complimenten gegeven.’
Het is dus vooral een kwestie van bewustwording. Hoe kun je dat onder commissarissen verbeteren?
Schönfeld: ‘Dat bewustzijn heeft toch ook te maken met een generatiekloof. Veertigers hebben hier gemiddeld genomen in mijn beleving minder moeite mee dan zestigers. Dus over een jaar of tien is deze discussie helemaal niet meer relevant.’
Insinger: ‘Mmm, dat ben ik toch niet geheel met je eens. Ik ken genoeg zestigers en ook zeventigers die op gebied van ICT, en dus ook van veilig communiceren, echt on top zijn.’
Van der Lecq: ‘Ik zie sommige bedrijven die alle communicatie in een board portal plaatsen en alle gebruikers verbieden te printen. Dat wordt dan gewoon geblokkeerd. Dat gaat wellicht weer wat ver, want heel soms kan een printje handig zijn. Je hebt als rvc nou eenmaal niet alles te kiezen. Je moet je aanpassen aan het organisatiebeleid’.
Schönfeld: ‘Ik zie een andere ontwikkeling, die voortkomt uit cynisme. Dat is de opvatting dat cybercriminelen, hoe goed je alle communicatie ook beveiligt, er vroeg of laat toch wel doorheen komen. So why bother? Ik vind dat een heel fatalistische, gevaarlijke opvatting. Al zie je dat niet bij de grote, beursgenoteerde bedrijven.’
Insinger: ‘Je moet altijd doorgaan om het aantal inbraken te minimaliseren. Mijn buurman zegt altijd: zolang ik mijn huis nét iets beter beveilig dan jullie, heb ik geen zorgen. En zo is het. Je moet hoe dan ook een zo hoog mogelijke drempel voor cybercriminelen opwerpen.’
Van der Lecq: ‘Het zijn meestal van die praktische problemen. Ik krijg bijvoorbeeld conceptnotulen toegestuurd die met een wachtwoord zijn beveiligd. Prima. Ik ga vervolgens in een Word-document wijzigen en aanvullen en wil dat dan weer veilig terugsturen. Maar hoe doe je dat? Via WeTransfer met een wachtwoord? Dan zou ik als eenpitter een WeTransfer Pro abonnement of zoiets moeten afsluiten, voor die paar keer per jaar...’
Wie draagt uiteindelijk de verantwoordelijkheid van een veilige communicatiestroom, wie moet dat regelen?
Van der Lecq: ‘Ik zou dat om te beginnen aankaarten bij de company secretary. Daarnaast vind ik dat IT-risico’s bij de audit & risk committee geagendeerd moeten worden, en het gehele IT-beleid bij de volledige rvc.’
Schönfeld: ‘Ik zou ook beginnen bij de company secretary. Die is intermediair tussen rvb en rvc en moet de cyberrisico’s aangeven.’
Insinger: ‘Wat betreft dat regelen en agenderen: ik zou de digitalisering van de rvc in één keer goed inrichten en daarna het proces laten auditen, bijvoorbeeld door de president-commissaris en de company secretary. Dat hoeft toch niet telkens op de agenda? Als het loopt, dan loopt het. Onderhoud is wel belangrijk natuurlijk. Gevraagd naar de uiteindelijke verantwoordelijkheid, die ligt in mijn ogen wel bij de commissarissen. En hoe je als commissaris ondersteund wenst te worden, is ook je eigen verantwoordelijkheid. Waar nodig kun je daarvoor de company secretary inschakelen. Overigens moeten we hier nou ook niet te negatief over doen. Ik zie in mijn omgeving een zeer helder, groeiend bewustzijn onder commissarissen dat ze zich absoluut aan de regels willen houden en hun verantwoordelijkheid nemen. Er zijn een stuk of zes board apps, nou, die heb ik allemaal. De een werkt beter dan de ander, maar het gaat mij erom dat ik zo snel en efficiënt mogelijk kan zoeken en ook oude stukken kan terugvinden.’
Van der Lecq: ‘Bij Delta Lloyd hadden we iemand van IT die naast ander werk ook dedicated was aan IT-vraagstukken bij de rvc. Die man wist van alle commissarissen hoe iedereen zich gedroeg, waar de cyberrisico’s zaten. Hij probeerde ons op te voeden en te helpen. Service en veiligheid gingen heel mooi samen. Als we vergaderden, was hij altijd standby.’
Insinger: ‘Als je met een goede board portal werkt, heb je die ondersteuning nauwelijks nodig, is mijn ervaring. Als het nodig is, kun je altijd iemand bellen. Ik heb wel een systeembeheerder aan huis die maandelijks langskomt om te checken of alles nog klopt, of ik geen virussen verspreid, of mijn telefoon, iPad en computer niet gehackt zijn.’
Schönfeld: ‘Ik onderscheid twee niveaus van ondersteuning. De company secretary moet het beleid rond veilige communicatie uitstippelen en moet aangeven wat nodig is. Daarnaast heb je dan het secretariaat, waar je als commissaris terecht kunt met detailvragen. Het dagelijks contact met het secretariaat is intensiever dan met de company secretary.’
Welke aanbevelingen heeft u om een veilige informatievoorziening in de contacten tussen rvc en het bedrijf te stimuleren?
Insinger: ‘Ik zou zeggen, geef iedereen om te beginnen een board portal. Dan is het rondsturen van mail, wat ik vanuit het oogpunt van veiligheid onwenselijk vind, snel voorbij.’
Van der Lecq: ‘En doe daar dan een mailaccount van het bedrijf bij, dan zit je meteen in de beveiligde, interne omgeving. Wat ik ook adviseer: organisaties doen vaak oefeningen met phishing mails om het cyberbewustzijn van hun medewerkers te testen. Ik zou daar de commissarissen bij laten aansluiten. En verder: als je een company secretary benoemt, kijk dan ook automatisch naar de ICT-vaardigheden van die persoon.’
Als we het breder trekken naar ICT: moet iedere commissaris daar niet verstand van hebben?
Van der Lecq: ‘Ik vind het lastig hoe we het kennisniveau van commissarissen op peil krijgen als het gaat om IT en beveiliging. Je kunt één commissaris aanwijzen binnen de rvc, die IT in de portefeuille heeft. Vervolgens moet de rest ook zijn verantwoordelijkheid nemen, maar hoe regel je dat? De kennisvergroting is nog niet zo eenvoudig. Positief is dat ik vrijwel geen commissarissen meer zie die geen flauw benul van ICT hebben. Dat zou ook echt niet meer kunnen vandaag de dag.’
Insinger: ‘ICT is tegenwoordig een cruciaal onderdeel van het profiel van een commissaris, al varieert dat sterk per organisatie. Binnen een rvc moet er ten minste één commissaris zijn die echt veel weet van ICT. En van de gehele rcv mag je toch verwachten dat ze voldoende zicht hebben op zaken als de IT-architectuur en -systemen, en de manier waarop de data worden beheerd en bewaard.’
Gepubliceerd in Management Scope 02 2018.
Dit artikel is voor het laatst aangepast op 15-02-2018