Governance en compliance in de zorg na invoering van de Governancecode Zorg 2022 en de publicatie...

DOI: 10.5553/OenF/157012472023031002004
Wetenschap en praktijk

Governance en compliance in de zorg na invoering van de Governancecode Zorg 2022 en de publicatie van het Kader Goed Bestuur 2022

Trefwoorden compliance officer in de Zorg, risicomanagement, strategie, compliance plan, IZA
Auteurs
DOI
Bron
Open_access_icon_oaa
  • Toon PDF
  • Toon volledige grootte
  • Auteursinformatie

    W.J. Oostwouder

    Prof. mr. W.J. (Wilco) Oostwouder is advocaat bij Loyens & Loeff te Amsterdam en was van 2002 tot 2021 hoogleraar Bedrijfsfinancieel recht aan de Universiteit Utrecht. Hij heeft in 2023 in samenwerking met Boerhaave Nascholing van het LUMC en ZO. advocaten de Registeropleiding Compliance Officer in de Zorg (zesde editie) georganiseerd. Voor 2024 is weer een editie van deze opleiding gepland. Voorts is hij mederedacteur van het Handboek Compliance in de Zorg (2019).

    S. Monsma

    S. (Segrun) Monsma is eigenaar/directeur van Padkos Interim & Project Management te Haarlem. Zij is voorts als docent betrokken bij de Registeropleiding Compliance in de Zorg en secretaris van het bestuur van de Stichting Compliance in de Zorg.

    A. Peelen

    Drs. A. (Anniek) Peelen is bestuurssecretaris bij Rijndam Revalidatie, lid van de Raad van Toezicht van de Merwelanden en daarnaast als zelfstandig adviseur werkzaam op het gebied van Governance & Compliance in de zorg. Zij is voorts als docent betrokken bij de Registeropleiding Compliance in de Zorg en lid van het bestuur van de Stichting Compliance in de Zorg.

  • Statistiek

    Dit artikel is keer geraadpleegd.

    Dit artikel is 0 keer gedownload.

  • Citeerwijze

    Aanbevolen citeerwijze bij dit artikel

    W.J. Oostwouder, S. Monsma en A. Peelen, 'Governance en compliance in de zorg na invoering van de Governancecode Zorg 2022 en de publicatie van het Kader Goed Bestuur 2022', O&F 2023-2, p. 39-59

    Download RIS Download BibTex

    • 1 Inleiding

      Op 1 januari 2022 is de Governancecode Zorg1x Zie www.governancecodezorg.nl. (hierna: de code) ingevoerd en in mei 2022 is het Kader Goed Bestuur2x Zie www.igj.nl/publicaties/publicaties/2020/07/03/kader-goed-bestuur. gepubliceerd. Zowel de code als het Kader Goed Bestuur is een niet-wettelijk instrument dat gericht is op het bevorderen van een goede governance van zorgaanbieders.3x De code hanteert het begrip ‘zorgorganisatie’, het Kader Goed Bestuur stelt het begrip ‘zorgaanbieder’ centraal, terwijl in de specifieke zorgwetten, met uitzondering van de Wet toetreding zorgaanbieders (Wtza) en de Aanpassingswet toezicht zorgaanbieders, wordt uitgegaan van het begrip ‘zorginstelling’. Onder het begrip ‘zorgaanbieder’ vallen zowel natuurlijke personen die solistisch beroepsmatig zorg aanbieden als organisaties/instellingen waarmee door middel van een rechtspersoon of personenvennootschap zorg wordt aangeboden. In dit artikel worden de begrippen ‘zorginstelling’ en ‘zorgorganisatie’ als synoniemen gebruikt. De vereniging Brancheorganisaties Zorg (BoZ) heeft de code4x ActiZ, de Nederlandse ggz, de Nederlandse Federatie van Universitair Medische Centra (NFU), de Nederlandse Vereniging van Ziekenhuizen (NVZ) en de Vereniging Gehandicaptenzorg Nederland (VGN) hebben zich verenigd in de Brancheorganisaties Zorg (BoZ). vastgesteld als een vorm van zelfregulering. Over de doelstelling en het karakter van de code wordt daarin onder meer het volgende opgemerkt: ‘De code biedt de sector een instrument om de governance zo in te richten dat die bijdraagt aan het waarborgen van goede zorg, aan het realiseren van haar maatschappelijke positie en daarmee aan het maatschappelijk vertrouwen.’ En: ‘Het zelfregulerende karakter van de code vraagt van de overheid dat zij zorg­organisaties voldoende ruimte biedt om op eigen en adequate wijze invulling te geven aan de realisatie van hun maatschappelijke doelstelling.’5x Beide citaten zijn afkomstig uit de code, p. 4 (‘Inleiding’).

      De leden van ActiZ, de organisatie die zich richt op de zorg voor kwetsbare ouderen en chronisch zieken, de Nederlandse ggz (geestelijke gezondheidszorg), de Nederlandse Federatie van Universitair Medische Centra (NFU), de Nederlandse Vereniging van Ziekenhuizen (NVZ) en de Vereniging Gehandicaptenzorg Nederland (VGN) zijn op grond van hun lidmaatschap van een (of meer) van deze organisaties verplicht om de code (Governancecode Zorg 2022) toe te passen en na te leven.

      De code bestaat uit zeven principes die elk uitgewerkt worden in diverse best practice bepalingen. De principes zijn volgens de commissie die de code heeft opgesteld leidend. Dit betekent dat deze principes dwingend zijn en volgens de BoZ moeten worden opgevolgd. De bepalingen in de code verschillen van karakter: ‘Bij een open geformuleerde bepaling zal er geen behoefte zijn om af te wijken, maar is de vraag hoe de bepaling concreet wordt toegepast veel belangrijker. Bij een gesloten geformuleerde bepaling kan vanwege dat besloten karakter de toepassing (te) dwingend zijn. Dan kan de toepassing van het principe waar de bepaling bij hoort, gediend zijn met een goed gemotiveerde en toetsbare onderbouwing van een alternatieve invulling die tot een betere uitkomst leidt.’

      De code bestaat derhalve uit een aantal normen die door brancheorganisaties uit de zorg – ‘het veld’ (veldnormen) – zelf zijn vastgesteld. Van bepaalde veldnormen uit best practice bepalingen kan worden afgeweken, mits dit leidt tot een betere toepassing van het bijbehorende principe.

      Het Kader Goed Bestuur is anders dan de code niet vastgesteld door de branche­organisaties, maar door de externe toezichthouders, de Inspectie Gezondheidszorg en Jeugd (IGJ) en de Nederlandse Zorgautoriteit (NZa), en betreft dan ook geen zelfregulering. Dit Kader bevat geen zelfstandige normen, maar betreft een beleidskader dat richting geeft ‘aan de verwachtingen die IGJ en NZa hebben ten aanzien van de rol en de verantwoordelijkheid van bestuurders, interne toezichthouders en zorgverleners. Wij [de IGJ en de NZa; WO, SM & AP] gebruiken naast wet- en regelgeving veldnormen, zoals de Governancecode Zorg, in het toezicht op goed bestuur. In dit kader leggen de IGJ en NZa de verbinding tussen het beleidskader, de veldnormen en de bestaande wetten en regels. Het zorgveld ziet dit kader als richtinggevend.’6x De code, p. 1 en 2.

      Alle zorgaanbieders, en dus niet alleen zorginstellingen, maar ook zorgaanbieders die individueel zorg verlenen, moeten volgens dit Kader7x De code, p. 1. goede betaalbare en voor iedereen toegankelijke zorg leveren. In dit Kader wordt voorts opgemerkt dat de IGJ en de NZa daarop toezien en wordt duidelijk gemaakt wat deze externe toezichthouders verwachten van het bestuur en het interne toezicht van zorgaanbieders.8x Blijkens art. 1 Wet kwaliteit, klachten en geschillen zorg (Wkkgz) valt onder de term ‘zorgaanbieder’ zowel een instelling als een solistisch werkende zorgverlener. Op p. 1 van het Kader Goed Bestuur wordt opgemerkt dat ook als een zorgaanbieder geen bestuur of raad van toezicht heeft, de uitgangspunten in dit Kader van toepassing zijn. ‘Deze gelden voor alle zorgaanbieders, ongeacht hun omvang of organisatiestructuur.’ Desalniettemin gaan wij ervan uit dat bepalingen uit het Kader Goed Bestuur 2022, de Governancecode Zorg 2022 en de diverse zorgwetten die specifiek gericht zijn op het bestuur en de raad van toezicht in eerste instantie toegepast moeten worden bij zorg­instellingen.

      Met het doel om de zorg voor de toekomst goed, toegankelijk en betaalbaar te houden is in september 2022 het Integraal Zorgakkoord (IZA)9x Te downloaden via www.rijksoverheid.nl/documenten/rapporten/2022/09/16/integraal-zorgakkoord-samen-werken-aan-gezonde-zorg. gesloten. Daarbij zijn afspraken gemaakt tussen het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) en een groot aantal partijen in de zorg. Ondertekenaars van het IZA zijn onder meer10x De ondertekenende partijen zijn blijkens de brief van de Minister van VWS, de Minister voor Langdurige Zorg en de Staatssecretaris van VWS aan de voorzitter van de Tweede Kamer d.d. 16 september 2022: ActiZ, de Nederlandse ggz, de Federatie Medisch Specialisten, InEen, de Nederlandse Federatie van Universitair Medische Centra, de Nederlandse Vereniging van Ziekenhuizen, de Patiëntenfederatie Nederland, de Vereniging van Nederlandse Gemeenten, Verzorgenden en Verpleegkundigen Nederland, Zelfstandige Klinieken Nederland, Zorgthuisnl, Zorgverzekeraars Nederland en het Ministerie van VWS. In deze brief wordt opgemerkt dat ook Zorginstituut Nederland en de Nederlandse Zorgautoriteit nauw betrokken zijn geweest bij de totstandkoming van het akkoord. overkoepelende organisaties van ziekenhuizen, de geestelijke gezondheidszorg en de ouderenzorg. Deze afspraken strekken onder andere tot het bevorderen van samenwerking in de zorg. Dit moet met name in de eerste lijn en ggz, maar ook in de medisch-specialistische zorg geschieden. Wij verwachten dat dit zal leiden tot meer samenwerkingsverbanden tussen zorgaanbieders onderling en tevens tot samenwerkingsverbanden tussen een of meer zorgaanbieders en een of meer gemeenten. Zo’n samenwerkingsverband kan juridisch worden vormgegeven door middel van een overeenkomst of een personenvennootschap, maar ook door middel van een rechtspersoon, bijvoorbeeld een coöperatie.

      In dit artikel beantwoorden wij de vraag hoe binnen zorginstellingen een goede governance gewaarborgd kan worden en welke rol compliance, strategie en risicomanagement daarbij spelen. Daartoe dienen de volgende subvragen te worden beantwoord:

      1. Wat houden de begrippen governance, compliance, strategie en risicomanagement bij zorginstellingen in en hoe verhouden deze begrippen zich tot elkaar?

      2. Hoe past compliance binnen de drie verdedigingslijnen van risicomanagement?

      3. Wat is de rol van het bestuur, de raad van toezicht en de compliance officer/functie bij compliance?

      4. Wat is het nut van een goed en effectief compliance programma voor een zorg­organisatie, wat houdt een compliance charter in en waarom is voor effectieve compliance een goed compliance plan wenselijk?

      5. Wat zijn belangrijke elementen uit de Governancecode Zorg 2022 voor zo’n compliance plan?

      6. Hoe kunnen een goed en effectief compliance programma en compliance plan binnen een zorgorganisatie tot stand worden gebracht?

      7. Wie is er verantwoordelijk voor de governance en compliance van een samenwerkingsverband tussen zorgorganisaties onderling en met gemeenten?

      Het geheel wordt afgesloten met een conclusie.

    • 2 Governance, strategie en compliance bij zorgaanbieders die tevens een zorgorganisatie vormen

      2.1 Governance bij zorgorganisaties

      In het Kader Goed Bestuur 2022,11x Te downloaden via www.igj.nl/publicaties/publicaties/2020/07/03/kader-goed-bestuur. de Governancecode Zorg 202212x Zie www.governancecodezorg.nl/. en de diverse zorgwetten13x Waaronder de Wkkgz, de Wet medezeggenschap cliënten zorginstellingen 2018 (Wmcz 2018), de Wet marktordening gezondheidszorg (Wmg), de Wtza, het Uitvoeringsbesluit Wtza, de Regeling transparantie zorgaanbieders, de Wet zorg en dwang (Wzd), de Zorgverzekeringswet (Zvw), de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG), de Wet maatschappelijke ondersteuning (Wmo) en de Wet langdurige zorg (Wlz). staat geen definitie van het begrip ‘governance’. Peij14x S.C. Peij, Handboek Corporate Governance, Amsterdam: Boom 2022, p. 13. merkt op dat corporate governance duidt op ‘het effectief besturen van en toezicht houden in een onderneming’: ‘Het bevat ook de interne beheersing en de relatie met de belangrijkste belanghebbenden bij de onderneming zoals geldverschaffers (banken en aandeelhouders), werknemers, afnemers en de samenleving als geheel.’ Hoewel de meeste zorgorganisaties de rechtsvorm van een stichting en niet de rechtsvorm van een besloten vennootschap (bv) of een naamloze vennootschap (nv) hebben en ook geen vennootschappen (corporations) zijn, kan het effectief besturen van en toezicht houden in de zorgorganisatie en de daaraan verbonden onderneming niet gezien worden als ‘Corporate [curs. WO, SM & AP] governance’. Toch geeft voornoemde definitie van Peij ‘het effectief besturen van en toezicht houden in een onderneming’ de kern van het begrip governance bij zorgorganisaties goed weer.

      Wel leiden de maatschappelijke taakopdracht van zorgorganisaties om goede en betaalbare zorg te leveren,15x Zie principe 1 van de code: ‘De maatschappelijke doelstelling en legitimatie van de zorgorganisatie is het bieden van goede zorg aan cliënten.’ het feit dat de meeste zorgorganisaties de rechtsvorm van een stichting hebben waarbij het bestuur en de raad van commissarissen geen verantwoording hoeven af te leggen aan aandeelhouders, en het bijzondere karakter16x F.L. Leijdesdorff, L.E. Haanraadts & W.J. Oostwouder merken in hoofdstuk 3 Governance in de zorg, Handboek compliance in de zorg (tweede druk), Zutphen: Uitgeverij Paris 2019, p. 53 hierover op dat patiënten geen volledig vrije keuze hebben bij het kiezen van een zorginstelling, dit in tegenstelling tot een klant van een leverancier in andere sectoren. ‘Patiënten zijn afhankelijk van de zorginstelling waar door hen benodigde behandeling verricht wordt en waar op het moment dat zorg noodzakelijk is, een bed vrij is. Met betrekking tot de zorg zelf is het voor patiënten vaak moeilijk in te schatten wat de kwaliteit van zorg is, met name voordat de behandeling heeft plaatsgevonden (er is dan sprake van informatie-asymmetrie).’ van de zorg ertoe dat er extra eisen worden gesteld aan zorgorganisaties boven op de eisen die Boek 2 van het Burgerlijk Wetboek (BW) stelt aan de gover­nance van een reguliere rechtspersoon.

      De belangrijkste eisen die Boek 2 BW aan de governance van een civielrechtelijke rechtspersoon stelt, zijn de regels met betrekking tot de (verdeling van de) taken en bevoegdheden tussen het bestuur, de raad van commissarissen, bij de nv en de bv de aandeelhoudersvergadering en bij de coöperatie en de vereniging de ledenvergadering. Voorts bevat dit wetboek regels met betrekking tot benoeming, het aantal commissariaten dat een bestuurder of commissaris van een ‘grote’ nv, bv, stichting of coöperatie mag hebben, belet- en ontstentenisregeling, schorsing, ontslag en vertegenwoordigingsbevoegdheid van bestuurders. Ook de statuten van de betrokken rechtspersoon kunnen regels over deze onderwerpen bevatten.

      Sinds de invoering van de Wet bestuur en toezicht rechtspersonen (WTBR) op 1 juli 2012 is het wettelijk kader in Boek 2 BW van de stichting en de coöperatie, rechtsvormen die veel zorgorganisaties gebruiken, veel meer in lijn met dat van de nv en de bv. Zo zijn ingevoerd (1) een wettelijke tegenstrijdigbelangregeling voor de stichting en de vereniging die ook van toepassing is op de coöperatie naar het model van de tegenstrijdigbelangregeling bij de nv en de bv (besluitvormingsregeling) en (2) een wettelijk kader gecreëerd voor de instelling van een raad van commissarissen bij de stichting, en is (3) de aansprakelijkheidsregeling voor bestuurders en commissarissen bij de stichting en de vereniging aangescherpt.

      Luijendijk heeft onlangs een artikel gepubliceerd17x E. Luijendijk, Governance van zorginstellingen: een overzicht van inrichtingsvereisten, MvO 2022, afl. 8/9, p. 236-248. waarin hij een doeltreffend overzicht geeft van de inrichtingsvereisten die vanuit wet- en regelgeving (waaronder ook de Governancecode Zorg 2022) aan de governance van zorgaanbieders worden gesteld. Hierin beantwoordt hij ook belangrijke vragen, zoals welke (transparantie-)eisen met betrekking tot de financiële bedrijfsvoering van zorgaanbieders zijn opgenomen in de Wmg en welke bevoegdheden een cliëntenraad op grond van de Wmcz 2018 heeft. Voorts bespreekt hij een aantal eisen die de Wtza stelt aan de bestuursstructuur van bepaalde zorginstellingen, zoals de verplichting om een afzonderlijke raad van toezicht in te stellen, uit hoeveel personen zo’n raad van commissarissen moet bestaan en het verbod van het monistische bestuursmodel bestaande uit uitvoerende en niet-uitvoerende bestuurders bij de betrokken zorg­instellingen. Wij beperken ons in dit artikel tot een aantal belangrijke consequenties die de Governancecode Zorg 2022 en het Kader Goed Bestuur 2022 voor governance voor zorginstellingen hebben.

      Binnen de code neemt medezeggenschap een belangrijke plaats in. Principe 3 bepaalt dat de zorgorganisatie randvoorwaarden en waarborgen schept voor een adequate invloed van belanghebbenden. Blijkens de introductie op bpb 3.1.1-3.4 moeten interne belanghebbenden invloed kunnen uitoefenen op de zorg, dienstverlening en de koers van de organisatie: ‘Medezeggenschap van cliënten (Cliëntenraad) en hun verwanten en van medewerkers (OR), en advisering door professionals is van groot belang voor de koersbepaling van de zorgorganisatie, het bewaken van de maatschappelijke doelstelling van de organisatie en het delen van waarden en normen. Medezeggenschap ligt in het verlengde van het primair proces.’

      Bpb 3.1.1 bepaalt dat de zorgorganisatie een actief en transparant beleid voert voor de omgang met medezeggenschapsorganen: ‘De doelen van de medezeggenschap en de dialoog staan in dit beleid centraal en het beleid komt tot stand na overleg met de betreffende belanghebbenden. De zorgorganisatie waarborgt dat professionals invloed kunnen hebben op beleid dat hen raakt in de dagelijkse beroepsuitoefening, maar ook betrokken worden bij “de zorg van morgen”.’ Wij leiden hieruit af dat in de code ook de wijze waarop medezeggenschap wordt gefaciliteerd tot de governance wordt gerekend. Het gaat dan om medezeggenschap in de brede zin van het woord, in die zin dat niet alleen de medezeggenschapsorganen die thans wettelijk zijn geregeld (de ondernemingsraad en de cliëntenraad) gehoord moeten worden bij het beleid van het bestuur, maar ook de professionele deskundigen die binnen de zorgorganisatie werkzaam zijn. Dit leiden wij ook af uit bpb 2.4.1, die het volgende bepaalt: ‘De raad van bestuur richt zijn beeld-, oordeels- en besluitvorming zo in, dat er vanuit verschillende (professionele) deskundigheden en betrokkenen toetsing kan plaatsvinden en advies kan worden gegeven en dat de voor- en nadelen en risico’s van het besluit gedurende de procedure zichtbaar blijven. De raad van bestuur zorgt dat ook op andere managementniveaus in de organisatie inspraak, samenspraak en tegenspraak zijn functie kan vervullen.’

      In het Kader Goed Bestuur 2022 zien de IGJ en de NZa zowel voor het bestuur als voor de raad van toezicht een rol weggelegd ten aanzien van medezeggenschap in de brede zin van het woord:

      ‘Het bestuur is voortdurend in dialoog met de interne toezichthouder, de cliëntenraad, de ondernemingsraad en de zorgverleners.
      Het bestuur voorziet de raad van toezicht, de cliëntenraad, de ondernemingsraad en de zorgverleners tijdig van informatie, communiceert duidelijk en ondersteunt hen (financieel) met adequate scholing. Het bestuur weet wat er speelt in en om zijn organisatie, heeft affiniteit met de dagelijkse praktijk van de zorgverlening en vertaalt dit in zijn handelen.’

      ‘De raad van toezicht voorziet zich tijdig van goede informatie en haalt deze onder andere op in dialoog met interne en externe belanghebbenden. Bij ingrijpende besluiten van de raad van bestuur, die niet eenvoudig terug te draaien zijn en veel impact hebben op lange termijn, toetst de interne toezichthouder of de raad van bestuur tijdig inspraak van en tegenspraak door belanghebbenden heeft georganiseerd en belangen zorgvuldig heeft afgewogen. De externe toezichthouders verwachten dat de raad van toezicht periodiek maar minimaal jaarlijks verantwoording aflegt over zijn activiteiten, op voor belanghebbenden relevante wijze. Daarmee geeft de raad van toezicht het goede voorbeeld.’

      De code en het Kader Goed Bestuur liepen vooruit op het aannemen door de Eerste Kamer van het initiatiefwetsvoorstel invloed zorgverleners van de Tweede Kamerleden Ellemeet en Veltman. Dit kern van dit voorstel houdt in dat aan de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) een bepaling wordt toegevoegd waarmee wordt vastgelegd dat zorgverleners invloed hebben op het beleid van de zorginstelling. Dit is een open norm. Hoe dit in de praktijk wordt vormgegeven, wordt aan de praktijk overgelaten.18x Zie over de diverse wijzen waarop deze invloed van zorgprofessionals binnen zorgorganisaties zou kunnen worden vormgegeven, A.G.H. Klaassen, Shared governance. Naar een grotere invloed van zorgprofessionals binnen zorgorganisaties, WPNR 2022, afl. 7359, p. 118-127. Dit wetsvoorstel is op 1 november 2022 door de Eerste Kamer aangenomen. De wet is gepubliceerd op 12 december 202219x Stb. 2022, 498. en treedt in werking op 1 juli 2023.20x Stb. 2023, 22.

      2.2 Strategie, risicomanagement, governance en compliance bij zorgorganisaties

      De belangrijkste taak van het bestuur van een zorgorganisatie is het besturen van de betrokken organisatie. Een belangrijk onderdeel van de bestuurstaak is het bepalen van de strategie.21x De Hoge Raad heeft voor het bestuur van een nv in diverse arresten (o.a. HR 13 juli 2007, ECLI:NL:HR:2007:BA7970, JOR 2007/178 en HR 20 april 2018, ECLI:NL:HR:2018:652, NJ 2018/331) bepaald dat het bepalen van de strategie behoort tot de bestuurstaak. Wij zijn van mening dat hetzelfde geldt voor het bestuur van een stichting (de rechtsvorm van de meeste zorgorganisaties), een coöperatie en een bv. Bij het bepalen van de strategie gaat het volgens Cuppen22x J. Cuppen is eigenaar van CILUX Compliance Consultancy en adviseert ondernemingen, instellingen en organisaties op het gebied van compliance en integriteit in brede zin. Hij publiceert regelmatig en treedt op als gastdocent bij verschillende opleidingen, waaronder de Registeropleiding Com­pliance Officer in de Zorg. Hij volgde de postgraduate opleiding Compliance en Integriteit Management bij de VU Amsterdam. Na diverse leidinggevende rollen op juridisch en HR-gebied richt hij zich sinds 2004 volledig op Compliance & Integriteit en in het bijzonder op compliance strategie, export compliance en compliance monitoring. om de antwoorden op de volgende vragen:23x Powerpointlezing ‘Compliance Charter & Governance Compliance’ in het kader van de Register­opleiding Compliance Officer in de Zorg 2023, slide 4 (hierna: Cuppen 2023).

      1. Waarom (is deze organisatie actief)?

      2. Wie willen wij zijn?

      3. Wat willen wij zijn?

      4. Hoe willen wij zijn?

      Het antwoord op deze vragen leidt tot beleidskeuzes. Deze beleidskeuzes worden weer vertaald in processen en bedrijfsvoering. Daarbij worden ook een visie en interne normen en waarden geformuleerd. De strategie kan alleen goed worden uitgevoerd indien binnen de betrokken organisatie verantwoord en dus conform interne normen en externe dwingende regels gehandeld wordt. Uitvoering van de strategie vereist derhalve compliance, terwijl de uitkomsten van onderzoek naar compliance binnen de organisatie kunnen leiden tot bijstelling van de strategie.

      Het bestuur beoordeelt regelmatig (cyclisch) of de doelstellingen en plannen van de organisatie bereikt worden. In het Kader Goed Bestuur24x Cuppen 2023, p. 5. wordt daarover het volgende opgemerkt:

      ‘Het bestuur behoort altijd zicht te hebben op de staat van de eigen organisatie en “in control” te zijn. Het bestuur weet waar de risico’s zich voordoen en welke thema’s aandacht nodig hebben. De informatie ontleent het bestuur aan velerlei metingen, onderzoeken en controlemechanismen. Controle en monitoring zijn daarbij de basis van een continu leerproces. (…) Van belang zijn ook de systematische verbeteracties en een aanspreekcultuur. Wij verwachten dat interne toezichthouders deze gesprekken stimuleren, eventueel eraan deelnemen, en de verbeteracties in de gaten houden.’

      Bpb 5.2 van de code bepaalt dat de raad van bestuur verantwoordelijk is voor het beheersen van de risico’s verbonden aan de strategie en de verschillende activiteiten van de zorgorganisatie, het handelen van de medewerkers en ingeschakelde derden en voor de maatschappelijke positionering van de zorgorganisatie. Het bestuur is derhalve in de eerste plaats verantwoordelijk voor een deugdelijk risico­management van de zorgorganisatie, ook waar dit het verantwoord handelen (com­pliance) van medewerkers en ingeschakelde derden betreft.

      Compliance bij zorgaanbieders wordt door Notermans25x R.M. Notermans heeft meer dan twaalf jaar ervaring als Hoofd Juridische Zaken en Compliance bij diverse onderdelen van het Philips-concern. In 2010 richtte hij NUX Compliance Consultancy op: hij adviseert organisaties over hun compliance programma’s, gedragscodes, beleid en trainingsprogramma’s. Daarnaast publiceert hij regelmatig en geeft hij maandelijks workshops en cursussen, o.a. aan de Compliance Academie en de Governance University en bij de Registeropleiding Compliance Officer in de Zorg. in het Handboek compli­ance in de zorg26x R.M. Notermans, Hoofdstuk 2-1, Compliance Officers en experts aan het woord, Onderdeel 1 – De zeven elementen van een effectief compliance programma, in: F.L. Leijdesdorff, L.E. Haanraadts & W.J. Oostwouder (red.), Handboek compliance in de zorg (tweede druk), Zutphen: Uitgeverij Paris 2019, p. 19. als volgt omschreven:

      ‘[W]at verstaat deze organisatie onder “verantwoord handelen”? Hoe willen wij onze doelen bereiken? Verantwoord handelen omvat zowel controlerende (regulatoire) als stimulerende (ethische) aspecten. Kort samengevat:

      • Waar staat deze organisatie voor (missie, visie, kernwaarden, beloften aan de buitenwereld)?

      • Hoe trekt die haar grenzen (zoeken we de randen op van de wet of blijven wij daar ruimschoots binnen)?

      • Welke principes (liefst beschreven in een gedragscode) moet de gemiddelde medewerker tot uitgangspunt nemen bij moeilijke beslissingen?

      • Wat verwachten wij van iedere medewerker (bijvoorbeeld dat zij op gepaste wijze van zich laten horen indien zij een vermoeden hebben van een overtreding van de gedragscode)?’

      Notermans visualiseert de relatie tussen governance en compliance door middel van een dubbele trechter (zie figuur 1). Hij kiest voor dit beeld omdat ‘beide normenkaders elkaar voortdurend beïnvloeden en in open verbinding met elkaar staan: de normen uit de ene trechter zijn van invloed op de principes en uitgangspunten uit de andere trechter. Het eerste gedeelte ziet op de bovenste lagen van de organisatie. Het tweede raakt bestuur, medewerkers en derden zoals leveranciers en klanten.’27x Notermans 2019, p. 20.

      De relatie tussen governance en compliance
      /xml/public/xml/alfresco/Periodieken/OenF/OenF_2023_2

      Volgens Notermans duidt governance in het algemeen op de regels en afspraken tussen (interne) toezichthouders en bestuur (soms ook aandeelhouders, waar van toepassing), terwijl compliance wordt gebruikt om aan te geven hoe ‘verantwoord handelen’ intern is geregeld. Als – zoals wij in deze bijdrage doen – de wijze waarop medezeggenschap wordt gefaciliteerd ook tot de governance wordt gerekend, dan wordt het verband tussen governance en compliance nog duidelijker.

      Goede governance van een zorgorganisatie veronderstelt dat het bestuur ‘in control’ is van de zorgorganisatie en erop toeziet dat de organisatie en haar medewerkers verantwoord handelen en in die zin compliant zijn. Goede compliance brengt ook mee dat governance normen en -regels worden nageleefd. Verantwoord handelen begint bij de bovenste lagen van de organisatie! Dit blijkt ook uit bpb 4.4.1 van de code, die het volgende bepaalt: ‘De raad van bestuur en de raad van toezicht zijn overeenkomstig hun wettelijke en statutaire taken ieder verantwoordelijk voor de governance van de zorgorganisatie en voor de naleving van de code door de zorg­organisatie en de daarmee verbonden groeps- en dochtermaatschappijen.’ Met een goede en effectieve compliance beheerst een zorgorganisatie risico’s die worden veroorzaakt door het niet naleven van wetten, regels, veldnormen en overige vormen van onverantwoord handelen binnen en door die(zelfde) zorgorganisatie. Daarom dient compliance een belangrijk onderdeel te zijn van het risicomanagement van zorgaanbieders. Sterker nog, risicomanagement is de basis van een goede compliance in de organisatie. Dit betekent dat compliance ook terug hoort te komen in het zogenoemde model met drie verdedigingslinies (Three Lines of De­fence-model) voor risicomanagement, waarmee een zorgaanbieder zich teweer kan stellen tegen de risico’s die de realisatie van zijn doelstellingen bedreigen.28x Zie over het model van de drie verdedigingslijnen: ILA Policy Paper, Internal audit, risk and corporate governance – the Three Lines of Defence Model, www.iia.org.uk/resources/delivering-internal-audit/position-paper-the-three-lines-of-defence/ en KBC, Model met drie verdedigingslinies, www.kbc.com/nl/no-menu/model-met-drie-verdedigingslinies-.html.

      De eerste verdedigingslinie bestaat uit het bestuur, de managers en de medewerkers van de zorgaanbieder. Zij zijn (lijn)verantwoordelijk voor het herkennen en managen van risico’s bij de bedrijfsvoering. Daartoe moeten zij gezamenlijk beschikken over de kennis, vaardigheden en informatie die nodig zijn om het beleid en de procedures ten aanzien van het beheersen van risico’s uit te voeren. Zij dienen hierbij te worden geholpen, bijvoorbeeld met een compliance plan. Later in dit artikel staan wij hier uitgebreid bij stil.

      De tweede verdedigingslinie bestaat uit de risico- en compliance functies en voor bepaalde kwesties de financiële, juridische en fiscale afdeling. De onderdelen van deze ondersteunende tweedelijns linie beoordelen onafhankelijk van de eerste linie de risico’s waarmee de zorgaanbieder zich geconfronteerd ziet. Daarnaast formuleren zij het beleid, de procedures en de technieken die de eerste linie ondersteunen bij het te beoordelen managen van risico’s. Ook monitoren zij hoe effectief de eerste linie omgaat met risico’s.

      De interne auditfunctie vormt de derde verdedigingslinie en is verantwoordelijk voor de onafhankelijke kwaliteitscontrole van de bedrijfsprocessen van de zorgaanbieder. Daarbij moet zij de effectiviteit van het risicomanagement door de eerste twee verdedigingslinies beoordelen en adviseren hoe de effectiviteit daarvan kan worden verbeterd. De interne auditfunctie rapporteert aan het bestuur en aan de commissie Kwaliteit en Veiligheid van de raad van toezicht van de zorgorganisatie.

      2.3 Uit welke elementen bestaat een goed en effectief raamwerk voor compliance bij zorgorganisaties?

      Om verantwoord handelen binnen een zorgorganisatie te waarborgen is vereist dat het bestuur stappen onderneemt om te zorgen dat voor eenieder die werkzaam is binnen de zorgorganisatie duidelijk is welke normen en waarden bij de dagelijkse zorgpraktijk en de algehele bedrijfsvoering gelden. Voorts moet er een structuur worden opgetuigd waarmee wordt gecontroleerd of deze normen en waarden worden nageleefd en of er nieuwe normen en waarden moeten worden geformuleerd (en oude moeten worden geschrapt). Ook is het van belang dat de (rechts)positie van degene(n) die het bestuur adviseert (adviseren) en bijstaat (bijstaan) bij het compliancebeleid wordt beschermd.
      Ons inziens bevat een goed en effectief compliance raamwerk van een zorgorganisatie de volgende cruciale elementen:29x Cuppen 2023, slide 7 noemt in plaats van het ‘compliance plan’ de ‘compliance governance’ als cruciaal element van een goed en effectief compliance stramien (raamwerk). Hij merkt op dat de ‘compliance governance’ de ‘compliance functie’ positioneert ten opzichte van de andere spelers in de organisatie. Wij zijn met hem van mening dat dit cruciaal is voor een goed en effectief compliance raamwerk. Dit element kan (en moet) echter worden benoemd in het het ‘compliance charter’. Daarom noemen wij ‘compliance governance’ niet als afzonderlijk element. Wij voegen als cruciaal element het ‘compliance plan’ toe omdat dit het communicatiemiddel bij uitstek is om nut en noodzaak van compliance onder de aandacht van de medewerkers te brengen.

      1. het compliance charter;

      2. het compliance programma;

      3. het compliance plan

      In de volgende paragrafen worden deze drie elementen nader toegelicht.

      2.3.1 Het compliance charter

      Cuppen30x Cuppen 2023, slide 8. beveelt aan om de volgende elementen in het compliance charter op te nemen. Het charter bevat de definitie, de missie en de doelstellingen en de reikwijdte van compliance binnen de organisatie. Voorts worden daarin de verschillende rollen en verantwoordelijkheden ten aanzien van compliance vastgelegd. Zo wordt daarin bepaald dat het bestuur eindverantwoordelijk is voor compliance en met zijn gedrag het goede voorbeeld geeft (tone at the top). Beschreven wordt ook hoe de compliance functie is belegd. Daarbij wordt aangegeven of er een compliance team is ingesteld, en zo ja, wat de rol hiervan is. In het charter wordt ook de vraag beantwoord wat de verschillende escalatiemogelijkheden (intern-extern) zijn.

      Het charter waarborgt ook de positie van de compliance officer. Daarbij wordt de positionering van de compliance officer en met name de onafhankelijkheid en ‘bestendigheid’ van zijn rol (door middel van ontslagbescherming bij een ‘functionele discussie’) vastgelegd. Ook worden zijn bevoegdheden (toegang, escalatie, recht tot instellen van onderzoek, recht op ondersteuning door andere functionarissen binnen en buiten de organisatie) beschreven. Uiteraard bevat het charter ook een beschrijving van de werkzaamheden en de rapportagelijnen van de compliance officer en de relaties met de andere afdelingen van de zorgorganisatie (zoals Interne ­Audit, Human Resources, Juridische Zaken en Interne Controle).

      Het compliance charter dient expliciet te worden goedgekeurd door het bestuur en de raad van commissarissen/toezicht. Hiermee worden ook de betrokkenheid en verantwoordelijkheid van deze organen onderstreept.

      Cuppen31x Cuppen 2023, slide 8. benadrukt ons inziens terecht dat het compliance charter breed (en goed) gecommuniceerd moet worden binnen de organisatie: ‘pas toe en leg uit …’ Wij zijn het met hem eens dat opvolging van voornoemde aanbevelingen ertoe leidt dat het compliance charter de grondslag voor de compliance functie en de compliance functionaris en de maatstaf voor (de uitvoering van) het compliance programma is.

      2.3.2 Het compliance programma

      Met een goed, effectief compliance programma (regelstellend én stimulerend) kan het bestuur van een zorginstelling vervolgens effectief sturen op verantwoord handelen binnen de zorginstelling. Maar wat moet er nou in zo’n compliance programma staan? Notermans beantwoordt deze vraag als volgt. Volgens hem32x Notermans 2019, p. 20 en zie voor de uitwerking van deze zeven elementen p. 21-32. zou zo’n programma de volgende zeven elementen moeten bevatten:

      1. de toon aan de top (en eigenlijk bij alle leidinggevenden);

      2. een risicoanalyse met navenante beheersing, waaronder hard en soft controls;

      3. een heldere gedragscode;

      4. een gedegen communicatie- en trainingsprogramma;

      5. een adequate organisatie van de compliance functie;

      6. een open meldcultuur;

      7. het voortdurend monitoren, controleren en opvolgen.

      Wij zijn het met Notermans eens dat een compliance programma de door hem genoemde zeven elementen moet bevatten.

      Ons inziens zou bij zorginstellingen element 3 in plaats van de gedragscode het compliance programma en het compliance plan moeten worden vermeld. Regelmatig moet immers worden gecontroleerd of het compliance programma en het compliance plan – dat het belangrijkste communicatiemiddel richting de medewerkers is om het compliance programma uit te leggen – nog wel ‘up-to-date’ zijn. De gedragscode maakt dan onderdeel uit van het compliance programma en wordt samen met dit programma periodiek getoetst.

      Over het monitoren (en verbeteren) merkt Notermans33x Notermans 2019, p. 30. onder meer op dat bij een compliance programma voortdurend moet worden bekeken of het wel effectief blijkt in de praktijk. Het controleren of het compliance programma daadwerkelijk is ingevoerd, is volgens hem meestal een taak van de interne auditafdeling.34x Idealiter voert deze afdeling ook de kwaliteitsaudits uit. Dat is vaak niet zo in zorgorganisaties. Dit wordt daar vaak door een aparte afdeling Kwaliteit gedaan. ‘Daarnaast is het samen onderzoeken van opvallende of afwijkende trends verstandig.’ Hij noemt als voorbeeld dat uit een cultuuronderzoek komt dat ruim 95% van de medewerkers heel positief is. ‘Dergelijke ongeloofwaardige statistieken zouden alarmbellen moeten laten afgaan en nader onderzoek rechtvaardigen.’

      Met ‘opvolgen’ wordt gedoeld op het analyseren van gebreken in de compliance, het leren daarvan en het aanbrengen van ‘verbeteringen in processen en procedures’, zodat compliance bijdraagt aan een jaarlijkse verbetercyclus van Plan, Do, Check en Act (PDCA-cyclus). Zie figuur 2 voor een schematisch overzicht.

      PDCA-cyclus
      /xml/public/xml/alfresco/Periodieken/OenF/OenF_2023_2

      Naleving van toepasselijke wet- en regelgeving en de eigen waarden en normen van de instelling is essentieel voor een zorginstelling om goede, betaalbare en voor eenieder toegankelijke zorg te kunnen leveren. Alleen op deze wijze kan een zorgorganisatie verantwoord handelen (compliant zijn). Het betekent dat de interne regels en normen in harmonie moeten zijn met externe regels en dat medewerkers zich gedragen conform deze regels en normen.

      2.3.3 Het compliance plan

      Het compliance plan speelt een belangrijke rol om het compliance programma onder de aandacht van de medewerkers te brengen. Het bevat niet alleen een samenvatting van het compliance programma, maar fungeert ook als communicatiemiddel richting de medewerkers om nut en noodzaak van verantwoord handelen binnen de zorgorganisatie onder hun aandacht te brengen. Daarin wordt uiteraard niet alleen informatie verschaft over interne normen en waarden en normen uit de Governancecode Zorg 2022, maar ook over andere normen en waarden die nageleefd moeten worden om verantwoord te kunnen handelen, zoals regels die betrekking hebben op Kwaliteit en Veiligheid, correct declareren, de vergewisplicht (het checken van referenties van nieuwe zorgverleners), het melden en evalueren (in een veilige omgeving) van medische missers en fouten en opname daarvan in het medisch dossier, adequate, transparante en informele klachtenafhandeling met behulp van een klachtenfunctionaris, het kunnen melden van ongewenst gedrag bij een vertrouwenspersoon, de privacy van cliënten en medezeggenschap. Steeds vaker committeren zorgorganisaties zich aan duurzaamheidsdoelen, bijvoorbeeld in het kader van de op 4 november 2022 gesloten Green Deal Zorg 3.0.35x Zie www.vergroendezorg.nl. In deze Green Deal ‘Samenwerken aan duurzame zorg’ zijn concrete doelen gesteld. De vijf thema’s zijn (1) actievere inzet op gezondheidsbevordering, (2) vergroting bewustwording van duurzaamheid in het zorgonderwijs, (3) verlagen van CO2-uitstoot, (4) vermindering van primair grondstoffengebruik en (5) terugbrengen milieubelasting door medicijngebruik. Indien een zorgorganisatie zich duurzaamheidsdoelen heeft gesteld, dan passen deze duurzaamheidsdoelen en de wijze waarop de medewerkers daaraan kunnen bijdragen goed in een compliance programma en een compliance plan.

    • 3 Hoe kan de compliance functie binnen een zorgorganisatie goed worden georganiseerd?

      Hoe de compliance functie wordt belegd, valt of staat met hoe de raad van bestuur/toezicht tegen compliance aankijkt. Denken zij dit te kunnen borgen in losse functies (interne controle, kwaliteitsaudit, functionaris gegevensbescherming, enzovoort), of zien zij de meerwaarde van het centraal beleggen van deze functie? Wij zijn van mening dat om ‘in control’ te zijn op alle facetten van governance en compliance deze functie centraal belegd moet worden. Alleen dan kan er sprake zijn van één plek waar altijd de laatste stand van zaken bekend is. Dit betekent dus een positie onder de raad van bestuur, of in ieder geval met een directe (rapportage)lijn naar de raad van bestuur. Het moet ook een plaats in het besturingsmodel van de organisatie zijn waarin escalatie naar de raad van toezicht mogelijk is. Omdat dit de functie kwetsbaar maakt, zou de functie beschermd moeten worden, net zoals de functionaris gegevensbescherming een beschermde functie is in organisaties.36x Zie het door de Autoriteit Persoonsgegevens in juni 2021 gepubliceerde document ‘Positionering van de FG. Uitgangspunten: rollen, processen en verantwoordelijkheden’, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/positionering_van_de_fg.pdf. Opvallend is dat daarin niets wordt vermeld over arbeidsrechtelijke bescherming van de functionaris gegevensbescherming (FG), maar dit wel (onder meer) de volgende uitgangspunten bevat: (1) ‘De FG is de interne, onafhankelijke privacyfunctionaris ten dienste van de organisatie. (…)’ en (2) ‘De FG is de onafhankelijke interne toezichthouder (…)’ Ons inziens zou de bedoelde onafhankelijkheid moeten worden geborgd door een adequate ontslagbescherming van de FG.

      Vaak wordt met de compliance functie gedoeld op de compliance officer in enkelvoud. Deze functie kan echter heel goed bestaan uit een compliance team. Dit zijn meerdere functionarissen die allemaal een deel van de compliance borgen in hun functie. Te denken valt dan aan de hiervoor genoemde functionaris(sen), aangevuld met onder anderen een jurist, de bestuurssecretaris en de HR-officer. Dit compliance team behoort dan ons inziens ook arbeidsrechtelijk (in het compliance charter en/of hun arbeidscontracten) te worden beschermd, in die zin dat de betrokken functionarissen niet voor hun adviezen of documenten ontslagen kunnen worden.

    • 4 Waar moeten normen uit de Governancecode Zorg 2022 binnen de zorgorganisatie worden vastgelegd en welke rol speelt het compliance plan bij de naleving daarvan?

      Op grond van bpb 2.1.1 van de code moet de raad van bestuur de waarden en normen verwoorden die voor een zorgorganisatie gelden en passen bij de maatschappelijke positie van de zorgorganisatie: ‘Deze waarden en normen komen tot stand in dialoog binnen en tussen alle niveaus van de organisatie en zijn duidelijk en vindbaar voor cliënten, verwanten,37x Bedoeld wordt uiteraard: verwanten van cliënten. medewerkers en vrijwilligers.’ Een compliance plan kan hierbij helpen, doordat hierin een duidelijke structuur opgenomen wordt van de waarden en normen die gelden binnen de betrokken zorgorganisatie, met een duidelijke verwijzing naar waar en hoe die te vinden zijn. Een duidelijke vermelding van het compliance plan met daarin doorklikmogelijkheden naar de diverse regelingen die gelden op de intrawebsite van de zorgorganisatie draagt ons inziens in belangrijke mate bij aan de hiervoor bedoelde vindbaarheid.

      De volgende best practice bepalingen uit de Governancecode Zorg 2022 lichten we hierbij toe. Bpb 2.1.2 bepaalt dat de raad van bestuur de waarden en normen actief uitdraagt en het gesprek erover op alle niveaus in de organisatie bevordert. Ons inziens kan het uitdragen van deze waarden en normen op een goede wijze geschieden door deze op te nemen in een compliance plan en een gedragscode voor de medewerkers. Hierbij is het raadzaam vooral de ‘Waarom’ expliciet toe te lichten: waarom een organisatie het belangrijk vindt integer/verantwoord te handelen en waarom dit in het DNA van de organisatie geborgd moet worden. In de gedrags­code en het compliance plan past ook opname van de in bpb 2.2.1 verwoorde norm dat de raad van bestuur, de raad van toezicht, het management en de professioneel verantwoordelijken laten zien en uitdragen dat zij het vanzelfsprekend en noodzakelijk vinden om elkaar aan te spreken. Daarnaast moet de raad van bestuur op grond van bpb 2.3 een cultuur bevorderen waarin dilemma’s besproken en fouten gemeld worden, en waarin open en eerlijk wordt gecommuniceerd om ervan te leren. De raad van bestuur moet voorts maatregelen treffen om veilig en zorgvuldig melden mogelijk te maken en zorgen voor procedures om met die fouten om te gaan en ervan te leren. Het vastleggen van deze norm in het compliance plan maakt het de medewerkers gemakkelijker om dilemma’s te bespreken en fouten te melden. Voorts dient de zorgorganisatie volgens bpb 2.5.1 te beschikken over een vertrouwenspersoon als meldpunt voor afwijkend gedrag, zorg over integriteit en/of misstanden. Ook moet de organisatie op grond van bpb 2.5.2 voor het melden van (vermoedens van) misstanden en inbreuken op EU-recht beschikken over een klokkenluidersregeling, die openbaar en vindbaar is. Notermans38x R.M. Notermans bij zijn presentatie op 11 maart 2023 in het kader van de Registeropleiding Compliance Officer in de Zorg. merkt op dat het wenselijk is om de inhoud van zo’n ‘klokkenluidersregeling’ (die bij voorkeur vanwege de negatieve connotatie van het woord klokkenluider niet zo genoemd moet worden) deel uit te laten maken van een veel bredere meldprocedure voor medewerkers. Hiermee kan worden bereikt dat niet alleen ‘misstanden’ binnen de betrokken zorgorganisatie boven water komen, maar ook andere mogelijke overtredingen van externe en interne regels die belangrijk zijn voor de zorgorganisatie (zoals de gedragscode) gemeld worden. De vindbaarheid van deze meldregelingen (voor fouten en afwijkend gedrag) wordt ons inziens bevorderd door deze te vermelden in het compliance plan en op het intranet van de zorgorganisatie. Maatregelen om belangenverstrengeling van een of meer leden van de raad van bestuur of van de raad van toezicht in een zo vroeg mogelijk stadium te signaleren, om ongewenste belangenverstrengeling te voorkomen en de schijn hiervan te vermijden, en om te waarborgen dat op een zorgvuldige wijze met ongewenste belangenverstrengeling wordt omgegaan, moeten volgens bpb 2.6.1 in de reglementen van de raad van bestuur en de raad van toezicht worden vastgelegd.

      Vastlegging van de eveneens in deze best practice bepaling neergelegde regel dat een bestuurder of toezichthouder niet deelneemt aan de voorbereiding, beraadslaging en besluitvorming indien hij een dusdanig tegenstrijdig belang heeft, dat hij niet meer in staat is om de belangen van de zorgorganisatie op een integere, objectieve en onbevooroordeelde wijze te behartigen, behoort ons inziens in de statuten te worden opgenomen. Ditzelfde geldt voor het daaropvolgende voorschrift dat wanneer hierdoor geen besluit door de raad van bestuur kan worden genomen, het besluit door de raad van toezicht wordt genomen onder schriftelijke vastlegging van de overwegingen die aan het besluit ten grondslag liggen. Deze normen zijn voor een belangrijk deel mede gebaseerd op de wet (onder andere art. 2:291 lid 6 en 2:292a lid 7 BW voor de stichting) en verdienen derhalve een prominentere plaats dan de reglementen. De maatregelen die de raad van bestuur op grond van bpb 2.6.3 moet nemen om te zorgen dat ongewenste belangenverstrengeling van professionals, managers en medewerkers wordt voorkomen en dat (een vermoeden van) ongewenste belangenverstrengeling bij de raad van bestuur wordt gemeld en door de raad van bestuur wordt beoordeeld, verdienen een prominente plaats in de gedragscode en in het compliance plan.

      Het compliance programma bevat het geheel aan maatregelen – met verwijzing naar de na te leven interne normen en overige relevante wet- en regelgeving – die de betrokken zorgorganisatie neemt om goede zorg te kunnen verlenen en ook voor het overige verantwoord te kunnen handelen. Het plan is een heldere samenvatting daarvan. Het compliance plan dient als communicatiemiddel over verantwoord handelen gericht te zijn op alle personen die werkzaam zijn bij de betrokken zorgorganisatie.

    • 5 Wie is bij een zorginstelling verantwoordelijk voor compliance?

      De eindverantwoordelijkheid van een compliance programma ligt bij het bestuur. Iedere medewerker dient echter verantwoording te voelen voor goede compliance, doordat zij het ‘waarom’ begrijpen. De compliance officer/het compliance team (hierna ook: de compliance functie) coördineert, maar is niet eindverantwoordelijk voor de inhoud. Wel is de compliance functie medeverantwoordelijk voor processen in het programma, compliance trainingen en het opstellen én up-to-date houden van een compliance plan. Uiteraard stelt het bestuur het compliance plan en wijzigingen daarin vast. De raad van toezicht ziet toe op het handelen en nalaten van het bestuur (ook op het gebied van compliance).

    • 6 Wat is de rol van een compliance officer in de zorg?

      De rol van de compliance officer is om verschillende acties te coördineren die ervoor zorgen dat de zorginstelling een handzaam en actueel compliance plan krijgt en houdt en het compliance programma wordt uitgevoerd. Daarbij hoort ook het regelmatig organiseren van trainingen. Hij brengt de informatiebronnen samen en vertaalt dit in het plan. Voorts dient de compliance officer alert te zijn op niet-compliant handelen en nalaten en dit zo nodig bij het bestuur en de raad van toezicht te melden. De kans bestaat dat dit niet altijd door de betrokken actoren (waaronder mogelijk ook leidinggevenden) op prijs wordt gesteld. Daarom is het, zoals ook verwoord in paragraaf 3, erg belangrijk de positie van de compliance officer te waarborgen door de rechten en plichten (ook arbeidsrechtelijk) van de compliance officer/leden van het compliance team vast te leggen. Ook zal een compliance officer/het compliance team op de hoogte moeten zijn van strategische wijzigingen in een organisatie om te coördineren dat eventuele risico’s op non-compliant zijn voorkomen kunnen worden.

    • 7 Hoe kunnen een goed en effectief compliance programma en compliance plan binnen een zorginstelling tot stand worden gebracht en up-to-date worden gehouden?

      Het tot stand brengen van een goed compliance programma en daarmee ook een goed compliance plan kan het beste uit de verf komen door het eigenaarschap goed te duiden; uiteindelijk is het bestuur eindverantwoordelijk, maar het eigenaarschap van de verschillende onderdelen binnen het programma dient gedragen te worden door de afdeling die hier zelf over gaat of waar die regel (of wet) op van toepassing is. Dit kan de eerste keer dat het compliance programma en het compliance plan worden opgesteld het best door hier een duidelijk project van te maken in de organisatie met een goed businessplan, dat gesteund en goedgekeurd wordt door het bestuur. Het bestuur doet er goed aan om de organisatie te informeren over ‘waarom’ het wil dat de organisatie compliant is. Vervolgens is een compliance team (met verantwoordelijken van de verschillende afdelingen) een ‘must’, met het liefst ambassadeurs die nut en noodzaak verder uitdragen. Dit team heeft het mandaat met de compliance officer om het programma uit te werken en vraagt op diverse momenten goedkeuring van het bestuur, zo blijven zij ook betrokken/eigenaar. In zo’n project is het belangrijk dat de deelnemers aan het project bewust tijd hebben ingeruimd en dat verantwoordelijkheden per deelnemer (dus ook de compli­ance officer) met deadlines zijn benoemd. Als hier een gedegen werkwijze voor is opgezet en het compliance programma komt van de grond met een handzaam en voor iedere medewerker goed leesbaar compliance plan is het zaak dit goed uit te rollen met trainingen, kwaliteitscriteria en goede communicatie. Eenmaal uit­gerold blijft vervolgens de motivatie belangrijk om het met toepassing van de ­PDCA-cyclus continu te willen verbeteren, met speerpunten en/of verbeterpunten per jaar. Dit alles geschiedt met het doel om risico’s voor de organisatie te voorkomen en ‘verantwoord’ te blijven ‘handelen’.

    • 8 Wie is verantwoordelijk voor de governance en compliance van samenwerkingsverbanden met betrekking tot zorg?

      In het Integraal Zorgakkoord (IZA) speelt regionale samenwerking een belangrijke rol om (ook in de toekomst) passende zorg te kunnen waarborgen. Wat is passende zorg? In het IZA39x IZA 2022, p. 13. wordt hierop het volgende antwoord gegeven:

      ‘Passende zorg is de Juiste Zorg op de Juiste Plek. IZA-partijen maken afspraken over samenwerking in de regio. Partijen maken regiobeelden (per zorgkantoorregio) op basis waarvan zij concrete regioplannen opstellen. Zo organiseren zij de nodige transformaties met als doel de integrale gezondheidszorg in de regio te waarborgen.’

      Met name in de acute zorg staat samenwerking hoog op de agenda binnen het IZA. Waarom? Het IZA bevat hierover de volgende passage:40x IZA 2022, p. 14.

      ‘De kwaliteit en toegankelijkheid van de acute zorg staan onder druk. Om met de beperkt beschikbare mensen en middelen de toegankelijkheid en kwaliteit van zorg te kunnen blijven borgen, maken we afspraken over het voorkomen van acute zorg, zorgcoördinatie en triage, kwaliteit van acute zorg, differentiatie, concentratie en spreiding, samenwerken in de keten, ROAZ-plannen, delen van informatie en bekostiging.’

      Ook binnen de medisch-specialistische zorg moet meer worden samengewerkt. Het IZA41x IZA 2022, p. 14. zegt hierover:

      ‘Om toekomstbestendige medisch specialistische zorg te organiseren willen de partijen gezamenlijk de kwaliteit en continuïteit van de zorg voor de patiënt verder verbeteren, de transparantie daarover verhogen, het innoverend vermogen bevorderen en de samenwerking in netwerken en, in en tussen goed opgeleide teams waarborgen, zodat voor het toenemend aantal patiënten de beste zorg geboden blijft worden met de beste kwaliteit, doelmatigheid en doeltreffendheid. Het gaat daarbij om zowel diagnostiek, behandeling, nazorg als palliatieve zorg.’

      Bij de afspraken in het IZA42x IZA 2022, p. 14. ter versterking van de eerstelijns zorg speelt samenwerking eveneens een belangrijke rol. Het gaat dan om het volgende: ‘Visie en plan van aanpak Optimaal benutten van beschikbare personele capaciteit en expertise Meer tijd voor de patiënt Organiseren en samenwerken Inhoud en kwaliteit van zorg Beschikbaarheid en inzet van financiële middelen.’ De in dit akkoord over Samenwerking sociaal domein, huisartsenzorg en ggz43x IZA 2022, p. 14. gemaakte afspraken zien op de volgende zaken: ‘Versterken sociale basis Verbeteren samenwerking tussen sociaal domein, huisartsenzorg en ggz-zorg Wettelijke en financiële mogelijkheden domeinoverstijgende samenwerking.’ Ook het bereiken van de doelstelling ‘Preventie en gezond leven’ uit het IZA staat of valt met het bereiken van een goede samenwerking: ‘De afspraken gaan over: Ketenafspraken preventie en leefstijl Afspraken vanuit of in het Zvw-domein Randvoorwaarden, zoals health in all policies.’44x IZA 2022, p. 14.

      Het is te verwachten dat samenwerking binnen de zorg en met het sociaal domein na implementatie van het IZA een grote vlucht zal nemen. Deze min of meer gedwongen samenwerking tussen zorgaanbieders onderling en met partners uit het sociaal domein zoals gemeenten levert een aantal interessante vragen op, zoals:

      1. Wat zijn de mededingingsrechtelijke consequenties van de verschillende samenwerkingsvormen?

      2. Hoe kan medezeggenschap van medewerkers, cliënten en professionals ten aanzien van het netwerk waarbinnen wordt samengewerkt, worden gerealiseerd?

      3. Op welke wijze kan worden gewaarborgd dat de diverse samenwerkingspartners compliant zijn met betrekking tot zorgregelgeving?

      4. Hoe kunnen bij de overdracht van een zorgaanbieder naar een partij uit het sociaal domein en vice versa de persoonsgegevens van patiënten/cliënten afdoende worden beschermd?

      5. Waar kunnen patiënten/cliënten terecht die tussen wal en schip van de samenwerking vallen?

      6. Hoe kun je de diverse administratiesystemen van de diverse samenwerkingspartners goed laten communiceren?

      7. En last but not least: wie is verantwoordelijk voor de governance en compli­ance van het verband waarbinnen samengewerkt wordt?

      Beantwoording van de eerste zes vragen valt buiten het bestek van deze bijdrage. Het antwoord op de zevende vraag hangt volgens ons af van de wijze waarop het desbetreffende samenwerkingsverband is vormgegeven. Indien de activiteiten van het samenwerkingsverband worden uitgeoefend door een aparte rechtspersoon, zoals een coöperatie, dan ligt de verantwoordelijkheid voor de governance en de compliance van dit samenwerkingsverband in de eerste plaats bij het bestuur en de raad van toezicht van deze rechtspersoon. Indien dit niet het geval is, dan ligt de verantwoordelijkheid voor de governance en de compliance van het samenwerkingsverband bij de besturen en raden van toezicht van de diverse samenwerkingspartners gezamenlijk. Uiteraard is iedere samenwerkingspartner in beide voornoemde gevallen (ook) verantwoordelijk voor zijn eigen activiteiten die in samenwerkingsverband worden uitgeoefend.

      In de Governancecode Zorg 2022 wordt met geen woord gerept over de eventuele verantwoordelijkheid van het bestuur en de raad van toezicht voor de governance (en compliance) van verbanden waarbinnen wordt samengewerkt. Het Kader Goed Bestuur 2022 bevat hiervoor wel het volgende aanknopingspunt in een van de zes thema’s die de IGJ en de NZa hebben geformuleerd voor de raad van toezicht:45x Kader Goed Bestuur 2022, p. 8.

      3. De raad van toezicht dient ook het maatschappelijk belang over de grenzen van de eigen organisatie
      De raad van toezicht dient vooral de evenwichtige belangenafweging te waarborgen en spreekt de raad van bestuur hierop aan. Organisatiebelang, maatschappelijk belang en de belangen van betrokkenen – voor de korte en lange termijn – maken hier onderdeel van uit. Als het gaat om continuïteit, toegankelijkheid en betaalbaarheid van de zorg kijkt de raad van toezicht over de grenzen van de eigen organisatie heen. De raad van toezicht en het bestuur hebben een gezamenlijke visie op netwerk- en ketenzorg in de regio en hebben aandacht voor de governance daarvan. De maatschappelijke belangen zijn regelmatig onderwerp van gesprek met netwerk- en ketenpartners.’

      Een van ons46x W.J. Oostwouder, Verscherpt kader goed bestuur in de zorg: schoenmaker(s), blijf bij je leest!, O&F (28) 2020, afl. 3, p. 21-22. heeft naar aanleiding van het Kader Goed Bestuur 2020 erop gewezen dat hiermee de indruk wordt gewekt dat de raad van toezicht bij het over de grenzen van de eigen organisatie heen kijken ten aanzien van continuïteit, toegankelijkheid en betaalbaarheid van zorg het initiatief zou moeten nemen. De geuite kritiek hierop door een van ons is dat men meent dat het bestuur hierbij desgewenst het voortouw moet nemen. ‘Het bestuur bestuurt, zet de lijnen uit en is verantwoordelijk voor risicobeheersing. De interne toezichthouders stimuleren, controleren en geven advies.’ Zowel het bestuur als de raad van toezicht dient zich op grond van het BW47x Zie voor de stichting art. 2:291 lid 3/292a lid 2 BW, voor de nv art. 2:129 lid 5/140 lid 2 BW, voor de bv art. 2:239 lid 5/250 lid 2 BW en voor de coöperatie art. 2:53a jo. art. 2:44 lid 2/47 lid 2 BW. bij de vervulling van zijn taak te richten op het belang van de rechtspersoon en de daaraan verbonden onderneming of organisatie. Principe 1 van de code bepaalt voorts dat de maatschappelijke doelstelling en legitimatie van de zorgorganisatie het bieden van goede zorg aan cliënten is.

      Omdat de continuïteit van de betrokken zorgorganisatie en het bieden van goede zorg aan cliënten afhangen van de continuïteit, toegankelijkheid en betaalbaarheid van de zorg, is het volgens ons van belang dat zowel de raad van toezicht als het bestuur over de grenzen van de eigen organisatie heen kijkt en een gezamenlijk visie heeft op netwerkzorg in de regio en de governance (en compliance) daarvan.

    • 9 Conclusie

      Een goede governance binnen zorgorganisaties kan alleen worden gewaarborgd indien het bestuur ‘in control’ is. Om dat te zijn moet het bestuur bepaald hebben wat de koers (de strategie) van de organisatie is, borgen dat de organisatie en degenen die daar werkzaam zijn verantwoord handelen (compliant zijn), en de risico’s die de organisatie loopt beheersen. Dit betekent dat governance, strategie, compliance en risicomanagement bij een zorgorganisatie onlosmakelijk met elkaar verbonden behoren te zijn.

      Een goed en effectief raamwerk voor compliance bevat de volgende drie elementen: het compliance charter, het compliance programma en het compliance plan. Het charter bevat de definitie, de missie en de doelstellingen van compliance binnen de organisatie. Voorts worden daarin de verschillende rollen en verantwoordelijkheden ten aanzien van compliance vastgelegd. Met een goed en effectief programma (regelstellend én stimulerend) kan het bestuur van een zorgorganisatie vervolgens effectief sturen op verantwoord handelen binnen de zorgorganisatie.

      Het compliance plan bevat een voor iedere medewerker begrijpelijke samenvatting van het compliance programma en dient een geschikt communicatiemiddel te zijn om alle personen die werkzaam zijn binnen de zorgorganisatie bewust te maken van de noodzaak om verantwoord te handelen. Om ‘in control’ te zijn op alle facetten van governance en compliance dient de compliance functie (de compliance officer/het compliance team) centraal belegd te worden. Alleen dan kan er sprake zijn van één plek waar altijd de laatste stand van zaken bekend is. Dit betekent dus een positie onder de raad van bestuur, of in ieder geval met een directe (rapportage)lijn naar de raad van bestuur. Het moet ook een plaats in het besturingsmodel van de organisatie zijn waarin escalatie naar de raad van toezicht mogelijk is. Omdat dit de functie kwetsbaar maakt, zou de functie (arbeidsrechtelijk) beschermd moeten worden, net zoals de functionaris gegevensbescherming een beschermde functie is in organisaties.

      De vraag wie verantwoordelijk is voor de governance en compliance van een zorg­samenwerkingsverband, is na het sluiten van het Integraal Zorgakkoord (IZA) extra actueel geworden. Samenwerking tussen het sociaal domein, de huisartsenzorg en de ggz is een van de expliciete doelstellingen van dit akkoord. Dit leidt ongetwijfeld tot meer zorgsamenwerkingsverbanden binnen de eerste lijn. Maar ook binnen de medisch-specialistische zorg voorziet het IZA in (meer) samenwerking in netwerken. Ons inziens ligt – indien de activiteiten van het samenwerkingsverband worden uitgeoefend door een aparte rechtspersoon, zoals een coöperatie – de verantwoordelijkheid voor de governance en de compliance van dit verband in de eerste plaats bij het bestuur en de raad van toezicht van deze rechtspersoon. Indien de samenwerkingsactiviteiten niet in een aparte rechtspersoon zijn ondergebracht, dan ligt de verantwoordelijkheid voor de governance en de compliance van het samenwerkingsverband bij de besturen en raden van toezicht van de diverse samenwerkingspartners gezamenlijk.

    Noten

    • 1 Zie www.governancecodezorg.nl.

    • 2 Zie www.igj.nl/publicaties/publicaties/2020/07/03/kader-goed-bestuur.

    • 3 De code hanteert het begrip ‘zorgorganisatie’, het Kader Goed Bestuur stelt het begrip ‘zorgaanbieder’ centraal, terwijl in de specifieke zorgwetten, met uitzondering van de Wet toetreding zorgaanbieders (Wtza) en de Aanpassingswet toezicht zorgaanbieders, wordt uitgegaan van het begrip ‘zorginstelling’. Onder het begrip ‘zorgaanbieder’ vallen zowel natuurlijke personen die solistisch beroepsmatig zorg aanbieden als organisaties/instellingen waarmee door middel van een rechtspersoon of personenvennootschap zorg wordt aangeboden. In dit artikel worden de begrippen ‘zorginstelling’ en ‘zorgorganisatie’ als synoniemen gebruikt.

    • 4 ActiZ, de Nederlandse ggz, de Nederlandse Federatie van Universitair Medische Centra (NFU), de Nederlandse Vereniging van Ziekenhuizen (NVZ) en de Vereniging Gehandicaptenzorg Nederland (VGN) hebben zich verenigd in de Brancheorganisaties Zorg (BoZ).

    • 5 Beide citaten zijn afkomstig uit de code, p. 4 (‘Inleiding’).

    • 6 De code, p. 1 en 2.

    • 7 De code, p. 1.

    • 8 Blijkens art. 1 Wet kwaliteit, klachten en geschillen zorg (Wkkgz) valt onder de term ‘zorgaanbieder’ zowel een instelling als een solistisch werkende zorgverlener. Op p. 1 van het Kader Goed Bestuur wordt opgemerkt dat ook als een zorgaanbieder geen bestuur of raad van toezicht heeft, de uitgangspunten in dit Kader van toepassing zijn. ‘Deze gelden voor alle zorgaanbieders, ongeacht hun omvang of organisatiestructuur.’ Desalniettemin gaan wij ervan uit dat bepalingen uit het Kader Goed Bestuur 2022, de Governancecode Zorg 2022 en de diverse zorgwetten die specifiek gericht zijn op het bestuur en de raad van toezicht in eerste instantie toegepast moeten worden bij zorg­instellingen.

    • 9 Te downloaden via www.rijksoverheid.nl/documenten/rapporten/2022/09/16/integraal-zorgakkoord-samen-werken-aan-gezonde-zorg.

    • 10 De ondertekenende partijen zijn blijkens de brief van de Minister van VWS, de Minister voor Langdurige Zorg en de Staatssecretaris van VWS aan de voorzitter van de Tweede Kamer d.d. 16 september 2022: ActiZ, de Nederlandse ggz, de Federatie Medisch Specialisten, InEen, de Nederlandse Federatie van Universitair Medische Centra, de Nederlandse Vereniging van Ziekenhuizen, de Patiëntenfederatie Nederland, de Vereniging van Nederlandse Gemeenten, Verzorgenden en Verpleegkundigen Nederland, Zelfstandige Klinieken Nederland, Zorgthuisnl, Zorgverzekeraars Nederland en het Ministerie van VWS. In deze brief wordt opgemerkt dat ook Zorginstituut Nederland en de Nederlandse Zorgautoriteit nauw betrokken zijn geweest bij de totstandkoming van het akkoord.

    • 11 Te downloaden via www.igj.nl/publicaties/publicaties/2020/07/03/kader-goed-bestuur.

    • 12 Zie www.governancecodezorg.nl/.

    • 13 Waaronder de Wkkgz, de Wet medezeggenschap cliënten zorginstellingen 2018 (Wmcz 2018), de Wet marktordening gezondheidszorg (Wmg), de Wtza, het Uitvoeringsbesluit Wtza, de Regeling transparantie zorgaanbieders, de Wet zorg en dwang (Wzd), de Zorgverzekeringswet (Zvw), de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG), de Wet maatschappelijke ondersteuning (Wmo) en de Wet langdurige zorg (Wlz).

    • 14 S.C. Peij, Handboek Corporate Governance, Amsterdam: Boom 2022, p. 13.

    • 15 Zie principe 1 van de code: ‘De maatschappelijke doelstelling en legitimatie van de zorgorganisatie is het bieden van goede zorg aan cliënten.’

    • 16 F.L. Leijdesdorff, L.E. Haanraadts & W.J. Oostwouder merken in hoofdstuk 3 Governance in de zorg, Handboek compliance in de zorg (tweede druk), Zutphen: Uitgeverij Paris 2019, p. 53 hierover op dat patiënten geen volledig vrije keuze hebben bij het kiezen van een zorginstelling, dit in tegenstelling tot een klant van een leverancier in andere sectoren. ‘Patiënten zijn afhankelijk van de zorginstelling waar door hen benodigde behandeling verricht wordt en waar op het moment dat zorg noodzakelijk is, een bed vrij is. Met betrekking tot de zorg zelf is het voor patiënten vaak moeilijk in te schatten wat de kwaliteit van zorg is, met name voordat de behandeling heeft plaatsgevonden (er is dan sprake van informatie-asymmetrie).’

    • 17 E. Luijendijk, Governance van zorginstellingen: een overzicht van inrichtingsvereisten, MvO 2022, afl. 8/9, p. 236-248.

    • 18 Zie over de diverse wijzen waarop deze invloed van zorgprofessionals binnen zorgorganisaties zou kunnen worden vormgegeven, A.G.H. Klaassen, Shared governance. Naar een grotere invloed van zorgprofessionals binnen zorgorganisaties, WPNR 2022, afl. 7359, p. 118-127.

    • 19 Stb. 2022, 498.

    • 20 Stb. 2023, 22.

    • 21 De Hoge Raad heeft voor het bestuur van een nv in diverse arresten (o.a. HR 13 juli 2007, ECLI:NL:HR:2007:BA7970, JOR 2007/178 en HR 20 april 2018, ECLI:NL:HR:2018:652, NJ 2018/331) bepaald dat het bepalen van de strategie behoort tot de bestuurstaak. Wij zijn van mening dat hetzelfde geldt voor het bestuur van een stichting (de rechtsvorm van de meeste zorgorganisaties), een coöperatie en een bv.

    • 22 J. Cuppen is eigenaar van CILUX Compliance Consultancy en adviseert ondernemingen, instellingen en organisaties op het gebied van compliance en integriteit in brede zin. Hij publiceert regelmatig en treedt op als gastdocent bij verschillende opleidingen, waaronder de Registeropleiding Com­pliance Officer in de Zorg. Hij volgde de postgraduate opleiding Compliance en Integriteit Management bij de VU Amsterdam. Na diverse leidinggevende rollen op juridisch en HR-gebied richt hij zich sinds 2004 volledig op Compliance & Integriteit en in het bijzonder op compliance strategie, export compliance en compliance monitoring.

    • 23 Powerpointlezing ‘Compliance Charter & Governance Compliance’ in het kader van de Register­opleiding Compliance Officer in de Zorg 2023, slide 4 (hierna: Cuppen 2023).

    • 24 Cuppen 2023, p. 5.

    • 25 R.M. Notermans heeft meer dan twaalf jaar ervaring als Hoofd Juridische Zaken en Compliance bij diverse onderdelen van het Philips-concern. In 2010 richtte hij NUX Compliance Consultancy op: hij adviseert organisaties over hun compliance programma’s, gedragscodes, beleid en trainingsprogramma’s. Daarnaast publiceert hij regelmatig en geeft hij maandelijks workshops en cursussen, o.a. aan de Compliance Academie en de Governance University en bij de Registeropleiding Compliance Officer in de Zorg.

    • 26 R.M. Notermans, Hoofdstuk 2-1, Compliance Officers en experts aan het woord, Onderdeel 1 – De zeven elementen van een effectief compliance programma, in: F.L. Leijdesdorff, L.E. Haanraadts & W.J. Oostwouder (red.), Handboek compliance in de zorg (tweede druk), Zutphen: Uitgeverij Paris 2019, p. 19.

    • 27 Notermans 2019, p. 20.

    • 28 Zie over het model van de drie verdedigingslijnen: ILA Policy Paper, Internal audit, risk and corporate governance – the Three Lines of Defence Model, www.iia.org.uk/resources/delivering-internal-audit/position-paper-the-three-lines-of-defence/ en KBC, Model met drie verdedigingslinies, www.kbc.com/nl/no-menu/model-met-drie-verdedigingslinies-.html.

    • 29 Cuppen 2023, slide 7 noemt in plaats van het ‘compliance plan’ de ‘compliance governance’ als cruciaal element van een goed en effectief compliance stramien (raamwerk). Hij merkt op dat de ‘compliance governance’ de ‘compliance functie’ positioneert ten opzichte van de andere spelers in de organisatie. Wij zijn met hem van mening dat dit cruciaal is voor een goed en effectief compliance raamwerk. Dit element kan (en moet) echter worden benoemd in het het ‘compliance charter’. Daarom noemen wij ‘compliance governance’ niet als afzonderlijk element. Wij voegen als cruciaal element het ‘compliance plan’ toe omdat dit het communicatiemiddel bij uitstek is om nut en noodzaak van compliance onder de aandacht van de medewerkers te brengen.

    • 30 Cuppen 2023, slide 8.

    • 31 Cuppen 2023, slide 8.

    • 32 Notermans 2019, p. 20 en zie voor de uitwerking van deze zeven elementen p. 21-32.

    • 33 Notermans 2019, p. 30.

    • 34 Idealiter voert deze afdeling ook de kwaliteitsaudits uit. Dat is vaak niet zo in zorgorganisaties. Dit wordt daar vaak door een aparte afdeling Kwaliteit gedaan.

    • 35 Zie www.vergroendezorg.nl.

    • 36 Zie het door de Autoriteit Persoonsgegevens in juni 2021 gepubliceerde document ‘Positionering van de FG. Uitgangspunten: rollen, processen en verantwoordelijkheden’, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/positionering_van_de_fg.pdf. Opvallend is dat daarin niets wordt vermeld over arbeidsrechtelijke bescherming van de functionaris gegevensbescherming (FG), maar dit wel (onder meer) de volgende uitgangspunten bevat: (1) ‘De FG is de interne, onafhankelijke privacyfunctionaris ten dienste van de organisatie. (…)’ en (2) ‘De FG is de onafhankelijke interne toezichthouder (…)’ Ons inziens zou de bedoelde onafhankelijkheid moeten worden geborgd door een adequate ontslagbescherming van de FG.

    • 37 Bedoeld wordt uiteraard: verwanten van cliënten.

    • 38 R.M. Notermans bij zijn presentatie op 11 maart 2023 in het kader van de Registeropleiding Compliance Officer in de Zorg.

    • 39 IZA 2022, p. 13.

    • 40 IZA 2022, p. 14.

    • 41 IZA 2022, p. 14.

    • 42 IZA 2022, p. 14.

    • 43 IZA 2022, p. 14.

    • 44 IZA 2022, p. 14.

    • 45 Kader Goed Bestuur 2022, p. 8.

    • 46 W.J. Oostwouder, Verscherpt kader goed bestuur in de zorg: schoenmaker(s), blijf bij je leest!, O&F (28) 2020, afl. 3, p. 21-22.

    • 47 Zie voor de stichting art. 2:291 lid 3/292a lid 2 BW, voor de nv art. 2:129 lid 5/140 lid 2 BW, voor de bv art. 2:239 lid 5/250 lid 2 BW en voor de coöperatie art. 2:53a jo. art. 2:44 lid 2/47 lid 2 BW.

Reageer

Tekst