ISO club

ISO-certificering is niet wettelijk verplicht, maar in sommige sectoren, branches of contracten wel vereist. Steeds vaker vragen opdrachtgevers om aantoonbare naleving van wet- en regelgeving, en het werken volgens ISO normering waardoor certificering praktisch noodzakelijk wordt. Soms kan worden volstaan met een objectief auditrapport (Third Party Audit), uitgevoerd door bijvoorbeeld de ISO club.

Een traject duurt gemiddeld 4 tot 12 maanden, afhankelijk van de grootte van de organisatie, de complexheid van het toepassingsgebied, in hoeverre bestaande processen en risico’s reeds in kaart zijn gebracht en de gekozen norm of combinatie van normen.  

Interne kosten zijn veelal gevraagde uren van eigen management en medewerkers tijdens de implementatie en daarna voor het onderhoud van het ISO managementsysteem.  

Externe kosten bestaan uit consultancy kosten, vaak nodig bij implementatie, begeleiding en interne audit, en kosten door een certificerende instelling.  

De totale investering varieert sterk per organisatie en norm, maar ligt doorgaans tussen enkele duizenden tot tienduizenden euro’s. 

Onderhoud van het managementsysteem is een continu proces via de Plan-Do-Check-Act cyclus. Dit vereist periodieke interne audits en controles, actuele risicoanalyses, evaluatie van beleid en continue monitoring van logging, incidenten en klanttevredenheidsmetingen en klachten. 

ISO club ondersteunt bij bewaken van de PCDA cycli van het managementsysteem, of met interim inzet in de rol van bijvoorbeeld Security Officer, Kwaliteitscoördinator of Privacy Officer/ Functionaris Gegevensverwerking. Hiermee wordt de werking en doeltreffendheid van het managementsysteem gegarandeerd. 

Een ISO certificaat is drie jaar geldig. Na de eerste initiële certificerings-audit, vindt er jaarlijks een controle-audit plaats en na drie jaar volgt de hercertificerings-audit. 

Door beleid en processen te documenteren, risico’s te analyseren, beheersmaatregelen te implementeren, interne audits uit te voeren en de juiste auditees te selecteren en trainen. Goede voorbereiding en aantoonbaarheid voorkomt vertraging in de audituitvoering en verkleint de kans op afwijkingen tijdens de externe audit. 
ISO club kan ondersteunen bij al deze thema’s en de voorbereiding op de externe audit. 

Bij hercertificering beoordeelt de certificerende instelling uw volledige managementsysteem opnieuw. Door vooraf een onafhankelijke interne audit uit te voeren op het volledige managementsysteem, krijgt u inzicht in verbeterpunten en de juiste auditees en voorkomt u verrassingen tijdens de officiële audit. ISO club kan ondersteunen bij het voorbereiden op hercertificering. 

ISO 27001 is de internationale norm voor informatiebeveiliging. NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg en is gebaseerd op de ISO 27001. NEN 7510 beschrijft hoe organisaties in de zorg (bv. ziekenhuizen, huisartsen, GGZ, ZBC) en E-health organisaties (EDP leveranciers) medische en patiëntgegevens veilig dienen te beschermen. 
ISO club assisteert bij het inrichten van beide normkaders tegelijkertijd. 

NEN 7510 geldt specifiek voor de zorgsector en organisaties die medische gegevens verwerken. NEN 7510 wordt vaak verplicht vanuit wet- en regelgeving of contractuele eisen. 

Dit verschilt per norm, maar normaliter zullen de volgende documenten aanwezig moeten zijn: 

• Beleid 

• Procedures 

• Risicoanalyses 

• Registraties (zoals incidenten, klachten, contracten, systemen)

• Controle resultaten en planning 

• Interne audit rapporten 

• Management beoordelingen

• Continu verbeteroverzicht 

De vastgelegde documentatie beschrijft hoe de organisatie zou moeten werken. De registraties/bewijzen tonen aan dat de organisatie inderdaad in de praktijk zo werkt. 

NIS2 is een Europese richtlijn die organisaties verplicht om hun netwerk- en informatiesystemen te beveiligen. De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking van de NIS2-richtlijn. De Cbw is van toepassing op middelgrote en grote organisaties in sectoren die belangrijk zijn voor de samenleving, zoals energie, IT, zorg. 

ISO club kan helpen met het inschatten of de organisatie voldoet aan de NIS2 en wat daar verder voor nodig is. Vaak kan met een ISO 27001 certificaat de organisatie al voldoende aantonen dat ze compliant is.

Vooral organisaties in zorg, overheid, IT, energie, logistiek en andere kritieke sectoren. Meer concreet zijn dit:

• Organisaties die gevoelige data verwerken. Denk aan IT/cloud providers, zorginstellingen, financiele instellingen;
• Organisaties waar klanttevredenheid hoog in het vaandel staat, zoals webshops en horeca bedrijven en organisaties waar de concurrentie hoog is;
• Leveranciers in grotere ketens (B2B). Denk aan bedrijven die aan multinationals leveren, IT leveranciers, managed service providers;
• Organisaties met compliance- en regelgevingseisen. Denk aan organisaties die te maken hebben met privacywetgeving (AVG), medische wetgeving (zorg), overheidsregelgeving (BIO) of financiële toezichtsregels (DORA);
• Organisaties die vertrouwen moeten aantonen. Denk aan consultancy bedrijven en dataverwerkers.

Zonder ISO certificering of aantoonbare compliance ontbreekt het vaak aan vertrouwen, transparantie en controleerbaarheid. Voor potentiële klanten betekent dit dat zij feitelijk moeten vertrouwen op aannames van verkopers, in plaats van op bewezen en door onafhankelijke partijen getoetste managementsystemen en resultaten.

Risico’s zijn bijvoorbeeld datalekken, boetes, klachten, reputatieschade en gemiste opdrachten doordat verantwoordelijkheden binnen organisaties en met derden niet duidelijk zijn en worden nageleefd. 

Met praktische begeleiding, implementatie van managementsystemen, interim-rollen, uitvoeren interne audits en voorbereiding op externe certificering. 

Altijd ervaren (vak)consultants, een pragmatische aanpak, maatwerk per organisatie en focus op werkbare processen in plaats van alleen documentatie. Lees hier meer over ISO club. 

ISO club heeft een eigen aanpak ontwikkeld, gebaseerd op jarenlange ervaring. Bij een ISO implementatietraject onderscheiden wij de volgende 4 fasen: 

1. Plan:Vaststellen van het managementsysteem (grenzen vastleggen) 
2. Do: Implementeren en uitvoeren (aantoonbaar maken beleid en procedures)
3. Check: Bewaken en beoordelen (toetsen). Hierna is de organisatie gereed voor de eerste certificering.
4. Act: Bijhouden en verbeteren 

Bij het uitvoeren van interne audits hanteren we een duidelijke structuur, planning, gespreksopbouw, rapportage en interne kwaliteitsreview. 

Dit hangt af van scope en gevraagde ondersteuning. We bieden zowel projectmatige ondersteuning (implementaties, trainingen, eenmalige audits) als jaarlijkse abonnementen (onderhoud managementsysteem, interim consultancy, interne audits). 

Bij een nieuwe aanvraag tot certificering starten we vaak met een 0-meting of kickoff. 

Bij een vastgelopen certificeringstraject starten we met een GAP analyse. 

Daarna wordt precies bepaald wat er moet gebeuren, wat daarvoor nodig is, en welke tijdsinspanning wordt gevraagd. Neem contact met ons op voor een vrijblijvende kennismaking, meestal 30 minuten remote. Hier bespreken we de mogelijkheden. Daarna volgt een concreet voorstel en stappenplan.