ISO 9001 is de internationale norm voor kwaliteitsmanagementsystemen. De norm specificeert eisen voor een kwaliteitsmanagementsysteem van een organisatie die:
– moet aantonen dat zij in staat is om consequent producten en diensten te leveren die voldoen aan de eisen van de klant en aan de van toepassing zijnde wet- en regelgeving, en;
– zich ten doel stelt om de klanttevredenheid te verhogen door te werken aan continue verbetering.
De actuele versie van de ISO 9001 norm is gepubliceerd in oktober 2015 en vervangt daarmee de versie uit 2008.
De inhoud van de norm is gebaseerd op de 7 kwaliteitsprincipes: 1. klantgerichtheid, 2. leiderschap, 3. betrokkenheid van medewerkers, 4. procesbenadering, 5. verbetering, 6. op bewijs gebaseerde besluitvorming en 7. relatiemanagement.
Het besluit om een kwaliteitsmanagementsysteem volgens ISO 9001 in te voeren is een strategische beslissing. Elke organisatie moet hierin een weloverwogen keuze maken.
Een goed geïmplementeerd kwaliteitsmanagementsysteem volgens ISO 9001 kan echter bijdragen aan het verbeteren van de algehele prestaties van een organisatie en een goede basis vormen voor duurzame ontwikkel- en verbeterinitiatieven. En met het ISO 9001 certificaat toon je richting je (potentiële) klant aan dat je in staat bent om consequent producten en diensten te leveren die voldoen aan de eisen van de klant en aan van toepassing zijnde wet- en regelgeving. Vandaar dat steeds meer bedrijven van hun leveranciers eisen dat zij ISO 9001 gecertificeerd zijn.
De eis om allerlei verplichte documenten (zoals procedures) op te stellen is in de huidige ISO 9001 norm komen te vervallen. Kortom, je bent helemaal vrij wat je beschrijft en wat niet.
Zo kan de uitgebreidheid van een kwaliteitsmanagementsysteem van organisatie tot organisatie verschillen vanwege de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten, vanwege de complexiteit van de processen en vanwege de competentie van de mensen. Er is wel sprake van een registratieplicht, je moet immers aan blijven tonen dat je volledig voldoet aan de normeisen. Op welke manier je dat doet, is aan jou.
Helaas wordt ISO 9001 en de certificering ervan nog weleens geassocieerd met onnodige bureaucratie al is dit de norm zelf niet te verwijten.
Veelal wordt de onnodige bureaucratie gecreëerd door organisaties zelf, die vaak nog in de veronderstelling zijn dat het opstellen van procedures en voorschriften leidt tot meer kwaliteit. Daarnaast is er de mogelijkheid om normeisen uit te sluiten, voor zover deze geen invloed hebben op het voldoen aan de eisen van de klant. Veel bedrijven weten dit niet.
Jazeker! De directie moet leiderschap en betrokkenheid tonen met betrekking tot het kwaliteitssysteem. De ISO 9001 norm beschrijft dit in het hoofdstuk ‘Leiderschap’ en verwacht dus een actieve rol van de directie.
Zo moet de directie het kwaliteitsbeleid en de kwaliteitsdoelstellingen vaststellen en er ook voor zorgen dat de voor het kwaliteitsmanagementsysteem benodigde middelen beschikbaar zijn zodat de beoogde resultaten worden behaald. Voor de dagelijkse uitwerking mag je natuurlijk iemand aanwijzen.
Dat wordt, net zoals bij andere ISO-normen, getoetst door een onafhankelijke, geaccrediteerde, certificerende instelling (CI).
Deze CI’s staan op hun beurt weer onder toezicht van een andere controlerende instantie. In Nederland is dat de Raad voor Accreditatie (RvA). Tijdens een externe audit wordt door een auditor vastgesteld of alle normeisen in voldoende mate zijn geïmplementeerd, zowel in het gedocumenteerde systeem (fase 1) als in de praktijk (fase 2).
Ja, je bent volledig vrij om een certificerende instelling te kiezen. We adviseren om altijd bij minimaal drie aanbieders een offerte op te vragen omdat de prijzen wel eens behoorlijk kunnen variëren.
Soms is een certificerende instelling sterk vertegenwoordigd binnen een bepaalde branche of beroepsgroep. Dat zou, naast de prijs, een reden kunnen zijn om voor een bepaalde CI te kiezen.
Vooropgesteld, er is geen verplichting tot het inschakelen van een adviseur. Echter, vaak ontbreekt het bedrijven aan specifieke kennis of simpelweg aan tijd.
De experts van Conformiso beschikken over de juiste kennis, kunde en ervaring en kunnen uitgaan van ‘best practices’ waardoor werkzaamheden efficiënt kunnen worden uitgevoerd. We durven dan ook te stellen dat het inschakelen van een adviseur uiteindelijk goedkoper is dan het helemaal zelf te doen. We nemen tijdens het implementatietraject alle zorg weg en zorgen voor een praktische uitwerking. Overtuigd van onze toegevoegde waarde garanderen we ook altijd certificering.
Nee, eigenlijk begint het dan pas. Het ISO 9001 certificaat is drie jaar geldig en in die periode moet je aantoonbaar blijven voldoen aan de normeisen.
Hierbij kunnen we op allerlei manieren helpen, van het uitvoeren van de interne audits tot het volledig onderhouden en beheren van het kwaliteitsmanagementsysteem. De certificerende instantie controleert minimaal een keer per jaar of je nog voldoet aan de gestelde normeisen.
Ja, we willen altijd maatwerk te leveren en inventariseren dus vooraf al uw wensen.
Neem voor een vrijblijvend kennismakingsgesprek contact met ons op via onze website. Een kennismakingsgesprek is altijd gratis en vrijblijvend
Ja hoor, onze dienstverlening is altijd maatwerk en volledig aanpasbaar aan individuele wensen en eisen.
Dat is een goeie vraag, maar moeilijk antwoord op te geven. De kosten voor het behalen van het ISO 9001 certificaat zijn afhankelijk van heel veel factoren: de omvang van de organisatie, wat is er al geregeld en wat moet er nog worden gedaan?
De ervaring leert dat het inzetten van een externe deskundige vaak goedkoper is dan het zelf intern te regelen. Voor een vrijblijvende offerte kun je contact opnemen met Conformiso.
Dat is geheel afhankelijk van de omvang van het bedrijf, de complexiteit, het toepassingsgebied, etc.
De Certificerende Instellingen vereisen in ieder geval een minimale implementatietijd van drie maanden.
In Nederland moet elke werkgever een arbobeleid voeren. Dit is wettelijk verplicht. De basis van dit beleid wordt gevormd door de risico inventarisatie en evaluatie (RI&E). De RI&E is een lijst met mogelijke risico’s.
Met deze lijst kunnen bedrijven in kaart brengen welke risico’s in hun eigen bedrijf voorkomen. Want pas als je weet welke risico’s er zijn, kan je de juiste maatregelen treffen. Deze maatregelen vermeld je in een Plan van Aanpak (PvA). In het PvA staat wie, wanneer, welke maatregel neemt. Door het PvA uit te voeren kunnen bedrijven het werk veiliger en gezonder maken.
Een RI&E is verplicht voor alle werkgevers die medewerkers in dienst hebben waarover gezag wordt uitgevoerd. Als u alleen vrijwilligers in dienst heeft, bent u alleen verplicht een RI&E uit te voeren wanneer er in uw organisatie wordt gewerkt met gevaarlijke stoffen en/of biologische agentia.
Kleine organisaties met ten hoogste 40 uur arbeid per week (alle werknemers bij elkaar opgeteld) kunnen gebruik maken van een branche-RI&E instrument maar zij mogen in plaats daarvan ook gebruik maken van de ‘Checklist Gezondheidsrisico’s’. Dit is een verkorte versie van de RI&E. Indien u gebruik maakt van uitzendkrachten bent u verplicht een kopie van uw RI&E te communiceren naar het uitzendbureau.
In de Arbowet wordt geen termijn genoemd met betrekking tot de geldigheidsduur van de RI&E.
Het gaat erom dat de RI&E actueel blijft en dus wordt aangepast bij ingrijpende wijzigingen aan werkmethoden, werkomstandigheden of gebruikte techniek. Wij adviseren om minimaal 2x per jaar de actualiteit van de RI&E te beoordelen en deze, indien nodig, aan te passen.
De RI&E hoeft niet getoetst te worden als een bedrijf minder dan 25 werknemers heeft èn er gebruik is gemaakt van een goedgekeurde branche-RI&E.
Heeft uw bedrijf meer dan 25 werknemers of is een goedgekeurde branche-RIE voor uw branche niet beschikbaar? Dan is toetsing van de RI&E altijd verplicht.
Een RI&E mag alleen getoetst worden door een daartoe bevoegde kerndeskundige (bijvoorbeeld een gecertificeerd HVK’er).
Binnen Conformiso zijn deze kerndeskundigen aanwezig zodat wij uw RI&E altijd voor u kunnen toetsen.
VCA staat voor Veiligheid, Gezondheid & Milieu Checklist Aannemers.
VCA is bedoeld voor bedrijven die risicovolle werkzaamheden uitvoeren of in een risicovolle omgeving werken.
VCA*
is gericht op de directe beheersing van Veiligheid, Gezondheid en Milieu (VGM) tijdens het uitvoeren van werkzaamheden op de werkvloer, zonder inschakeling van onderaannemers.
VCA**
is gericht op de directe beheersing van VGM tijdens het uitvoeren van werkzaamheden op de werkvloer. Daarnaast ook op de GVM structuur en de aansturing van onderaannemers.
VCA-P
is gelijk aan VCA**, aangevuld met specifieke aanvullende eisen voor de petrochemie.
Het willen voldoen aan de VCA norm is een keuze voor ieder bedrijf. Deze keuze kan opgelegd worden door opdrachtgevers.
Kiezen voor VCA betekent in ieder geval dat het bedrijf beschikt over een gecertificeerd veiligheidssysteem wat de naleving van de veiligheidswetgeving aantoonbaar maakt. De grote van het bedrijf maakt hierbij niet uit.
Alle projecten zijn V&G plichtig. Er kunnen projecten zijn (klein / standaard) waar geen V&G plan voor geschreven wordt. In dat geval gelden de interne (algemene) veiligheidsregels. Meestal is dit een veiligheidshandboek met de standaard veiligheidsmaatregelen.
Veiligheidsinstructie eigen personeel? Als het een project zonder V&G-plan is en de instructie van de standaard veiligheidsafspraken is aantoonbaar (Toolbox, instructie nieuwe medewerkers), dan kan de instructie op het project achterwege blijven.
Alleen ernstige ongevallen moeten worden gemeld aan inspectie SZW.
Deze melding kan digitaal via de website: https://www.inspectieszw.nl/melden/arbeidsongeval.
Ernstige ongevallen worden gedefinieerd als:
- Dodelijk ongeval;
- Ongeval met blijvend letsel;
- Ernstig letsel, wat blijkt uit ziekenhuisopname.
Melding dient in principe direct te gebeuren (uiterlijk 24 uur na de gebeurtenis). Meldingsplicht geldt voor de eigen medewerkers en de medewerkers dien onder eigen gezag vallen (o.a. stagiaires, uitzendkrachten)
ISO 14001 is de internationale norm voor milieumanagementsystemen en specificeert de eisen van een milieumanagementsysteem dat een organisatie kan gebruiken om haar milieuprestaties te verbeteren.
Deze internationale norm is bedoeld voor gebruik door een organisatie die op een systematische wijze haar milieuverantwoordelijkheden wil managen, die bijdraagt aan de milieupijler van duurzaamheid.
De actuele versie van de ISO 14001 norm is gepubliceerd in oktober 2015 en vervangt daarmee de versie uit 2004.
Het besluit om een milieumanagementsysteem volgens ISO 14001 in te voeren is een strategische beslissing. Elke organisatie moet hierin een weloverwogen keuze maken.
Een goed geïmplementeerd milieumanagementsysteem volgens ISO 14001 kan echter bijdragen aan het verbeteren van je milieuprestaties, het voldoen aan compliance verplichtingen en het bereiken van milieudoelstellingen. En met het ISO 14001 certificaat toon je richting je (potentiële) klant aan dat je niet alleen in staat bent om producten en diensten te leveren die voldoen aan de eisen van de klant, maar ook aandacht hebt voor duurzaamheid. Vandaar dat steeds meer bedrijven van hun leveranciers eisen dat zij ISO 14001 gecertificeerd zijn.
De eis om allerlei verplichte documenten (zoals procedures) op te stellen is in de huidige ISO 14001 norm komen te vervallen. Kortom, je bent helemaal vrij wat je beschrijft en wat niet.
Zo kan de uitgebreidheid van een milieumanagementsysteem van organisatie tot organisatie verschillen vanwege de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten, vanwege de complexiteit van de processen en de impact op het milieu. Er is in veel gevallen wel sprake van een registratieplicht, je moet immers aan blijven tonen dat je volledig voldoet aan de normeisen. Op welke manier je dat doet, is aan jou.
Jazeker! De directie moet leiderschap en betrokkenheid tonen met betrekking tot het milieumanagementsysteem.
De ISO 14001 norm beschrijft dit in het hoofdstuk ‘Leiderschap’ en verwacht dus een actieve rol van de directie. Zo moet de directie het milieubeleid en de milieudoelstellingen vaststellen en er ook voor zorgen dat de voor het milieumanagementsysteem benodigde middelen beschikbaar zijn zodat de beoogde resultaten worden behaald. Voor de dagelijkse uitwerking mag je natuurlijk iemand aanwijzen.
Dat wordt, net zoals bij andere ISO-normen, getoetst door een onafhankelijke, geaccrediteerde, certificerende instelling (CI).
Deze CI’s staan op hun beurt weer onder toezicht van een andere controlerende instantie. In Nederland is dat de Raad voor Accreditatie (RvA). Tijdens een externe audit wordt door een auditor vastgesteld of alle normeisen in voldoende mate zijn geïmplementeerd, zowel in het gedocumenteerde systeem (fase 1) als in de praktijk (fase 2).
Ja, je bent volledig vrij om een certificerende instelling te kiezen. We adviseren om altijd bij minimaal drie aanbieders een offerte op te vragen omdat de prijzen wel eens behoorlijk kunnen variëren.
Soms is een certificerende instelling sterk vertegenwoordigd binnen een bepaalde branche of beroepsgroep. Dat zou, naast de prijs, een reden kunnen zijn om voor een bepaalde CI te kiezen.
Vooropgesteld, er is geen verplichting tot het inschakelen van een adviseur. Echter, vaak ontbreekt het bedrijven aan specifieke kennis of simpelweg aan tijd.
De experts van Conformiso beschikken over de juiste kennis, kunde en ervaring en kunnen uitgaan van ‘best practices’ waardoor werkzaamheden efficiënt kunnen worden uitgevoerd. We durven dan ook te stellen dat het inschakelen van een adviseur uiteindelijk goedkoper is dan het helemaal zelf te doen. We nemen tijdens het implementatietraject alle zorg weg en zorgen voor een praktische uitwerking. Overtuigd van onze toegevoegde waarde garanderen we ook altijd certificering.
Nee, eigenlijk begint het dan pas. Het ISO 14001 certificaat is drie jaar geldig en in die periode moet je aantoonbaar blijven voldoen aan de normeisen.
Hierbij kunnen we op allerlei manieren helpen, van het uitvoeren van de interne audits tot het volledig onderhouden en beheren van het milieumanagementsysteem. De certificerende instantie controleert minimaal een keer per jaar of je nog voldoet aan de gestelde normeisen.
Ja, we willen altijd maatwerk te leveren en inventariseren dus vooraf al uw wensen.
Neem voor een vrijblijvend kennismakingsgesprek contact met ons op via onze website. Een kennismakingsgesprek is altijd gratis en vrijblijvend.
Jazeker, onze dienstverlening is altijd maatwerk en volledig aanpasbaar aan individuele wensen en eisen.
Dat is een goeie vraag, Om antwoord te geven kijken wij naar enkele factoren.
De kosten voor het behalen van het ISO 14001 certificaat zijn afhankelijk van: de omvang van de organisatie, wat is er al geregeld en wat moet er nog worden gedaan? De ervaring leert dat het inzetten van een externe deskundige vaak goedkoper is dan het zelf intern te regelen. Voor een vrijblijvende offerte kun je contact opnemen met Conformiso.
Dat is geheel afhankelijk van de omvang van het bedrijf, de complexiteit, het toepassingsgebied, etc.
De Certificerende Instellingen vereisen in ieder geval een minimale implementatietijd van drie maanden.
Met de invoering van de AVG (Algemene Verordening Gegevensbescherming) op 25 mei 2018 geldt in de gehele Europese Unie dezelfde privacywetgeving (general data protection regulation).
De AVG zorgt o.a. voor versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties die met persoonsgegevens werken en dezelfde bevoegdheden voor alle Europese privacytoezichthouders.
Ja, er wordt geen onderscheid gemaakt tussen grote en kleine bedrijven.
Ook een kleine MKB’er of ZZP-er die gegevens verwerkt (denk aan telefoonnummers van klanten of personeelsinformatie) moet voldoen aan de AVG.
Een persoonsgegeven is informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Voor de hand liggende persoonsgegevens zijn iemands naam, adres, woonplaats, telefoonnummer, BSN-nummer en e-mailadres. Daarnaast zijn er ook bijzondere persoonsgegevens, bijvoorbeeld iemands ras, godsdienst, politieke opvatting, seksuele voorkeur of strafrechtelijk gedrag. Deze bijzondere persoonsgegevens zijn extra beschermd door de wetgever.
Ja, je moet inzichtelijk maken welke persoonsgegevens je (hebt) verwerkt en met welk doel.
Het opstellen van een register van verwerkingsactiviteiten (verwerkingsregister) is onder de AVG vaak een verplichte maatregel. Of je zo’n register moet opstellen, hangt af van de omvang van jouw organisatie en het type gegevens dat je verwerkt.
Nee, er is geen specifieke AVG-norm. Er zijn wel diverse marktpartijen die hier commercieel op inspringen en zelf een norm hebben opgezet.
Vanuit de Autoriteit Persoonsgegevens wordt geen certificering vereist of erkend.
Ja, Als je andere partijen inschakelt om persoonsgegevens voor je te verwerken, moet je met deze organisaties een ‘verwerkersovereenkomst’ afsluiten.
Het gaat daarbij om gevallen waarbij jij die andere partij de opdracht geeft persoonsgegevens waarvoor je zelf verantwoordelijk bent, te verwerken. Met andere woorden: jij bepaalt wat er moet gebeuren met de gegevens en hoe.
Ja, je bent en blijft verantwoordelijk
Het aanstellen van een FG is in drie situaties verplicht:
– Overheidsinstanties en publieke organisaties (o.a. gemeenten, zorg, onderwijs) zijn altijd verplicht een FG aan te stellen;
– organisaties die op grote schaal individuen volgen of diens activiteiten in kaart brengen moeten ook een FG aanstellen. Hierbij is wel relevant hoeveel mensen worden gevolgd, hoeveel gegevens worden verwerkt en hoe lang deze mensen worden gevolgd
– een FG is verplicht voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken.
Organisaties die een Functionaris Gegevensbescherming hebben aangesteld moeten deze ook melden bij de Autoriteit Persoonsgegevens.
Ja, dat mag. De Functionaris Gegevensbescherming hoeft niet noodzakelijk een vaste medewerker te zijn binnen de organisatie.
Het zijn werkzaamheden die je prima eenvoudig kunt uitbesteden aan een gespecialiseerde partij, bijvoorbeeld Conformiso
Binnen de AVG is geen concrete bewaartermijn voor persoonsgegevens opgenomen.
In andere wetten (bijv. belastingwet) zijn wel concrete bewaartermijnen opgenomen waar organisaties zich aan moeten houden. Meer informatie hierover vind je op de website van de Autoriteit Persoonsgegevens.
Een datalek wordt in de AVG gedefinieerd als ‘inbreuk in verband met persoonsgegevens’.
Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG). Kijk voor meer informatie op de website van de Autoriteit Persoongegevens.
Een datalek hoeft niet altijd gemeld te worden.
Wel wanneer een datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen, moet dit gemeld worden bij de Autoriteit Persoonsgegevens. Kijk hiervoor op de website van de AP
ISO 27001 is de internationale norm voor informatiebeveiliging.
Met het certificaat ISO 27001 toon je aan dat je een goed ingericht informatiebeveiligingsmanagementsysteem hebt.
Steeds meer partijen willen uitsluitend nog zaken doen met ISO-gecertificeerde bedrijven.
Nee, de AVG gaat over privacy en ISO 27001 gaat over informatiebeveiliging. Er is uiteraard wel overlap.
Wanneer je alles goed hebt geregeld om te voldoen aan de AVG, vormt dat een goede basis om het certificaat voor ISO 27001 te behalen.
Er is veel overlap tussen beide normen. Het belangrijkste verschil is dat NEN 7510 specifiek bedoeld is voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie, terwijl ISO 27001 de algemene en internationaal geldende norm is voor informatiebeveiliging ongeacht de branche waarin men actief is.
Meer informatie hierover lees je in de blog ISO 27001 versus NEN 7510
Nee, dat is niet voldoende.
ISO 27001 vereist ook organisatorische maatregelen en een goed geïmplementeerd managementsysteem binnen uw bedrijf.
Stappen overslaan kan niet, de normen hebben wel overeenkomsten. Bij ISO 9001-gecertificeerde bedrijven ligt al een stevige basis voor de implementatie van de ISO 27001-normeisen
Ja, ISO 27001 vereist niet alleen technische maatregelen maar zeker ook om organisatorische maatregelen
Dat is afhankelijk van heel veel factoren: de omvang van de organisatie, wat is er al geregeld en wat moet er nog worden gedaan?
De ervaring leert dat het inzetten van een externe deskundige vaak goedkoper is dan het zelf intern te regelen. Voor een vrijblijvende offerte kun je contact opnemen met Conformiso.
Ja, er is geen verplichting vanuit de norm dat implementatie begeleid moet worden door een externe deskundige.
De ervaring leert dat het inzetten van een externe deskundige vaak goedkoper is dan het zelf intern te regelen. Voor een vrijblijvende offerte kun je contact opnemen met Conformiso.
Dat is geheel afhankelijk van omvang bedrijf, complexiteit, toepassingsgebied, etc.
De Certificerende Instellingen vereisen bovendien een minimale implementatietijd van drie maanden.
ISO 27001 is internationale norm voor informatiebeveiligingsmanagementsystemen en verplicht je tot het nemen van een groot aantal beheersmaatregelen.
Deze beheersmaatregelen worden in ISO 27002 nader uitgewerkt (best practices). Certificering gebeurt altijd op basis van ISO 27001
Ja, ISO 27001 vereist dat je een Information Security Officer aanstelt. Deze senior manager is verantwoordelijk voor de informatiebeveiliging en cybersecurity binnen de organisatie.
Dat wordt, net zoals bij andere ISO-normen, getoetst door een onafhankelijke certificerende instelling (CI)
Ja, je bent volledig vrij om een certificerende instelling te kiezen.
Nee, het certificaat is drie jaar geldig maar in die periode moet je aantoonbaar blijven voldoen aan de normeisen.
Middels tussentijdse audits wordt dit ook getoetst
Ja, we willen altijd maatwerk te leveren en inventariseren dus vooraf al uw wensen.
Neem voor een vrijblijvend kennismakingsgesprek contact met ons op via onze website. Een kennismakingsgesprek is altijd gratis en vrijblijvend
Ja, onze dienstverlening is altijd maatwerk en volledig aanpasbaar aan individuele wensen en eisen.