De afhankelijkheid van digitale systemen is bij vrijwel alle maatschappelijke organisaties groot. Wanneer systemen uitvallen of gevoelige gegevens worden buitgemaakt, kan dit directe gevolgen hebben voor de dienstverlening, het vertrouwen van stakeholders en de financiële stabiliteit van een organisatie. Voor organisaties met een publieke taak kunnen de gevolgen bovendien groot zijn, omdat verstoringen vaak direct effect hebben op burgers, cliënten, patiënten of huurders.
Voor de Raad van Toezicht betekent dit dat digitale risico’s onderdeel moeten zijn van het bredere risicomanagement. Net zoals financiële risico’s, strategische keuzes en governancevraagstukken onderdeel zijn van het toezicht, geldt dat inmiddels ook voor digitale veiligheid.
De rol van de Raad van Toezicht
Van toezichthouders wordt niet verwacht dat zij specialistische IT-kennis hebben. Wel wordt verwacht dat zij voldoende inzicht hebben in de risico’s van digitalisering en dat zij hierover kritische vragen kunnen stellen aan het bestuur. De Raad van Toezicht heeft immers de taak om te beoordelen of risico’s goed worden beheerst en of de organisatie voldoende voorbereid is op mogelijke incidenten.
Daarbij kan het gaan om vragen over de manier waarop cybersecurity is opgenomen in de strategische risicoanalyse van de organisatie, hoe vaak het bestuur rapporteert over digitale veiligheid en welke maatregelen worden genomen om cyberincidenten te voorkomen of te beperken. Ook de voorbereiding op mogelijke incidenten, bijvoorbeeld in de vorm van crisisplannen of simulaties, kan onderdeel zijn van het toezicht.
Cybersecurity binnen audit- en risicocommissies
In veel organisaties wordt digitale veiligheid inmiddels besproken binnen de auditcommissie of risicocommissie van de Raad van Toezicht. Daar wordt gekeken naar rapportages over informatieveiligheid, investeringen in digitale infrastructuur en de manier waarop de organisatie voldoet aan relevante wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming.
Door cybersecurity structureel te bespreken binnen bestaande toezichtstructuren wordt digitale veiligheid onderdeel van het reguliere toezichtproces, in plaats van een incidenteel onderwerp.
Nieuwe expertise binnen raden van toezicht
De groeiende digitalisering van organisaties heeft ook gevolgen voor de samenstelling van raden van toezicht. Naast financiële, juridische en bestuurlijke expertise zoeken organisaties steeds vaker toezichthouders met kennis van technologie, data of digitalisering. In vacatures voor leden van de Raad van Toezicht wordt digitale expertise dan ook steeds vaker expliciet genoemd.
Deze ontwikkeling draagt bij aan een bredere en toekomstgerichte samenstelling van raden van toezicht. Organisaties hebben baat bij toezichthouders die niet alleen bestuurlijke ervaring meebrengen, maar ook inzicht hebben in technologische ontwikkelingen en de risico’s die daarmee samenhangen.
Een structureel onderwerp voor goed toezicht
De verwachting is dat cybersecurity de komende jaren een vast onderdeel blijft van goed toezicht. Net zoals financiële stabiliteit, governance en strategie regelmatig op de agenda van de Raad van Toezicht staan, zal ook digitale veiligheid structureel besproken moeten worden.
Voor toezichthouders betekent dit dat zij zich blijven verdiepen in de gevolgen van digitalisering voor hun organisatie en alert blijven op nieuwe risico’s die daarmee samenhangen.
Op rvt-vacatures.nl vindt u een actueel overzicht van vacatures voor leden van de Raad van Toezicht in de publieke en semipublieke sector.