Zoekresultaten

Sommige beslissingen neem je met je hoofd. Andere met je hart. En soms… duurt het even voordat die twee het met elkaar eens zijn. Na 22 jaar in Rotterdam hebben we de grote stap gezet: ISOLEASE is verhuisd naar een awesome nieuwe locatie in  Moordrecht . Echt hoor, van 010 naar 0182. We deden het. Maar we houden wel gewoon ons vertrouwde telefoonnummer. We krijgen er wel een berg moois voor terug. Om te beginnen meer ruimte, maar ook parkeerplaatsen! Gratis nog wel. En we zijn nu gevestigd op een schitterende zichtlocatie aan de A20. En zo dichtbij; we kunnen Rotterdam nog bijna aanraken. Zelfs onze vertrouwde oranje banken zijn meeverhuisd Waarom we verhuisd zijn? Heel eerlijk? Omdat het tijd was. Ruimte, bereikbaarheid – je kunt het allemaal mooi opschrijven, en het klopt ook nog. Maar wie ons kent, weet: we laten niet zomaar los wat goed voelt. Rotterdam is niet alleen onze bakermat, het zit in ons DNA.'Niet lullen maar poetsen' dus - gewoon, zoals u van ons gewend bent. Te gek detail; we delen nu het pand met een van onze dierbare opdrachtgevers; Hadley Europe , die jaloersmakend gerse 'horns' maakt voor vrachtwagens met smaak. Zo krijgen we er ook nog een berg leuke 'wandelgangcollega's' bij. Wat verandert er? Helemaal niets, louter de locatie. We zijn nog steeds gewoon ISOLEASE, maar dan op een fijnere plek. We blijven doen waar we goed in zijn – met mensen, voor mensen, op z’n Rotterdams. We zijn alleen wat makkelijker te bereiken. En u hoeft niet meer drie rondjes te rijden voor een parkeerplek. Of een vermogen te betalen voor het eindelijk gevonden en zwaar bevochten plekje voor de auto. Puntjes op onze 'I'. We zijn nog druk met de laatste details. De planten, de verhuisberichten, de bordjes met logo - u kent het wel. Maar de koffie staat gewoon wel al klaar. Dus mocht u in de buurt zijn (of naar de buurt willen komen); wees welkom. Tot zo!

Het is wat met december, qua veiligheid. Daar staat u wellicht niet meteen bij stil – en dat vergeven we u vanzelfsprekend direct – maar we geven het u op een briefje; risico’s te over. Daarom loodsen we u graag even door deze feestmaand, voor uw eigen veiligheid en die van de uwen: Gladde daken Sinterklaas is inmiddels alweer veilig terug in Spanje. Het bleek een behouden reis. Maar de aanloop naar 5 december en het ‘moment suprême’ zelf stonden duidelijk in het teken van risicomanagement. Paarden (valgevaar, allergie), boten (zinkkansen, verdrinking, onderkoeling), daken (veelal van het gladde soort, enorm valgevaar), acrobatische Pieten (verrekking, kneuzing, breuken), schoorstenen (bedwelming, brandgevaar, beklemming), slechte Hulp-Sinterklazen (geloofswaardigheidscalamiteiten),  strooigoed (voedselveiligheid, oogbescherming bij overenthousiast strooigoedwerpen) et cetera. Het wellicht grootste gevaar voor de algemene gezondheid – de discussie rondom Zwarte Piet – is in elk geval weer voor een klein jaar geweken. Maar dan is er Kerst Misschien bent u al enthousiast aan het aftellen, misschien ziet u er tegenop. Kerst. Heeft u het huis al versierd, op dat wankele trapje? De makkelijk ontvlambare boom al opgetuigd? Het is een aaneenschakeling van werken op hoogte en daarmee valgevaar, kans op snij- en schaafwonden en meer van schadelijk zulks. Opgespoten kunstsneeuw is een risico voor ogen en longen. En zorg in alle gevallen dat u het chemische goedje niet binnen krijgt. Denkt u daarbij ook even aan huisdieren en kleine kinderen? Dan zijn er nog de uit de boom gevallen glazen ballen – gemene haakjes incluis. Lego is liever. De vlijtig met ongewassen handen in elkaar geflanste toastjes met onduidelijke smeersels zijn de warming up voor het testen van uw resistentie voor Salmonella. Past u ook op met het grote scherpe mes, als u die kalkoen aansnijdt. U bent meer van het gourmetten of fonduen? Dan is het van belang dat we u even op de risico’s van rauw vlees in het algemeen wijzen. Overigens ook op het risico van verrassingsflamberen. Houdt blusmiddelen altijd bij de hand. Zet u er een muziekje bij op? Gezellig. Er bestaat wel een kans dat Chris Rea in alle haast Mariah Carey aanrijdt (Sky Risico). Maar dat kan ook in risicoduiding verhuld wensdenken onzerzijds zijn. Wanneer u trouwens het vuurwerk écht tot de jaarwisseling wilt bewaren, is het wellicht verstandig om de stopcontacten niet te veel te belasten (kortsluitingsrisico). Verlengsnoeren zijn er immers niet om treintje mee te spelen. Geeft ook zo’n rommel, een afgefakkelde boom en dito huis. Nu we het er toch over hebben… Vuurwerk, oliebollen en champagne Daags na al dat kerstgeweld steken we collectief – vlak voor onze voordeur nog wel – explosieven af om het nieuwe jaar in te luiden. Harde klappen gegarandeerd (gehoorschade). Vrachtladingen fijnstof overigens ook (longschade, milieuschade). Vooral het siervuurwerk is hier debet aan. Voor alle hardnekkige runderen hier tips ter behoud van uw vingers en gezichtsvermogen. Verder raden we u sterk aan om enige terughoudendheid te betrachten bij het nuttigen van champagne en/of andere alcoholische versnaperingen. Wegens uiteenlopende redenen. Zowel zakelijk als privé. Deze hele maand is sowieso een beproeving qua familiebanden en buurrelaties (psychosociale risico’s), een aanslag op uw portemonnee (faillissementsgevaar) en uw lijn (calorisico’s). Niettemin, of juist daarom, wensen we u het allerbeste. Maak er wat moois van. ‘Hou je veilig!’

De RAVIB methodiek is zeer geschikt om toe te passen bij een risicoanalyse op het gebied van informatiebeveiliging. Wij laten je zien hoe, en wat daar allemaal bij komt kijken! Het dreigingsmodel wordt gratis te beschikking gesteld onder de merknamen RAVIB en RAFIS. Het RAVIB model is gericht op het ondersteunen van risicoanalyses op het gebied van informatiebeveiliging. Hoe, dat leggen we hieronder graag uit. Dreigingsanalyse Pak je de ISO 27001 of BIO norm erbij, dan valt meteen op dat de risicoanalyse een centrale plek heeft gekregen. En terecht, want het is een uitstekende manier om gestructureerd inzicht te krijgen in de probleemgebieden voor jouw organisatie. Tijdens zo'n risicoanalyse wordt gekeken naar de (belangrijkste) risico's (deze term wordt hieronder min of meer als synoniem gehanteerd voor dreigingen) voor jouw organisatie. De zogenaamde identificatiefase. Vervolgens wordt een analyse en beoordeling van de risico's gemaakt. Per risico wordt de kans op dat risico en de impact van het risico vastgesteld. Er wordt met andere woorden een rangorde gemaakt. Ieder risico krijgt bovendien een eigenaar. Dit is de zogenaamde analysefase. Dan is het tijd voor de actiefase. In deze fase wordt vastgesteld hoe de organisatie om wenst te gaan met het risico. Grofweg heeft een organisatie hierbij vier opties: Vermijden: de activiteit wordt beëindigd; Verminderen: het risico wordt afgedekt; Overdragen: het risico wordt overgedragen; Accepteren: het risico wordt geaccepteerd. Opzet identificatiefase Hoe pak je nu zo'n identificatiefase aan, waarbij het doel is om de (belangrijkste) risico's in beeld te krijgen? Daar zijn veel verschillende mogelijkheden voor. Wil je snel en praktisch invulling geven aan de identificatiefase? Dan zou je het volgende stappenplan kunnen doorlopen: Stel samen met de opdrachtgever een lijst op van medewerkers die gaan participeren in de risicoanalyse. Focus daarbij op verbaal mondige medewerkers en zorg voor een brede afvaardiging. Dus niet alleen mensen van IT, maar ook iemand van inkoop, directie, sales, financiën. Stuur deze medewerkers een uitnodiging voor een eerste bijeenkomst. Stuur meteen een uitdraai van het RAVIB overzicht met dreigingen mee. Leg uit waarom ze zijn uitgenodigd. Leg uit dat in de bijeenkomst een en ander nader wordt toegelicht. Begeleid de eerste bijeenkomst. Daarin licht je mondeling toe wat van de medewerkers wordt verwacht. Geef aan dat iedere medewerker in de aankomende periode (bijvoorbeeld 2 weken) zijn vijf belangrijkste risico's moet identificeren, gebaseerd op het RAVIB dreigingsmodel. Vraag medewerkers daarbij om het risico specifiek voor de organisatie te definieren. Een risico als 'slecht wachtwoordgebruik' kan weliswaar correct zijn, maar geeft onvoldoende het daadwerkelijke risico weer. Een betere formulering zou kunnen zijn: 'binnen de organisatie delen meerdere medewerkers wachtwoorden voor systeem X'. Verzamel alle risico's (dit kan in Normity), en ontdubbel de lijst. Nu is het tijd om aan de risico's een eerste risico, impact, eigenaar en actie te koppelen. Tijd om een tweede bijeenkomst te plannen om deze lijst te bespreken met alle betrokken medewerkers. Tijd voor de tweede bijeenkomst. Je doorloopt met de betrokken medewerkers de resultaten. Licht bij alle risico's toe waarom je deze zodanig hebt beoordeeld. Laat ruimte ontstaan voor de discussie en pas waar nodig de beoordelingen van de risico's aan. Sluit de risicoanalyse af met een eindrapportage. Daarin is het overzicht opgenomen met de risico's, inclusief de bijbehorende beoordeling (en daarmee sortering). Geef daarnaast per risico aan welke maatregelen genomen moeten worden om de risico's aan te pakken. Bij dat laatste kan RAVIB ook ondersteunen. Het is van belang dat de betrokken medewerkers bij het vaststellen van hun belangrijkste risico's steeds aangeven op welke RAVIB dreiging het risico is gebaseerd. Waarom is dat nu zo belangrijk? In de RAVIB methodiek zijn aan alle dreigingen maatregelen uit de ISO 27002 gekoppeld. Dat betekent dat je bij een dreiging dus meteen kunt zien welke maatregelen je als organisatie moet nemen. Hieronder volgt hiervan een voorbeeld! Voorbeeld van dreiging Op het moment van schrijven bevat de RAVIB methodiek 51 dreigingen, verdeeld over de volgende categorieën: Verantwoordelijkheid Continuïteit en betrouwbaarheid van systemen Menselijk handelen Toegang tot informatie Uitwisselen en bewaren van informatie Wet- en regelgeving Incidentafhandeling Fysieke beveiliging Bedrijfscontinuïteit Voor het voorbeeld pakken we een risico uit de categorie 'Toegang tot informatie', namelijk 'Slecht wachtwoordgebruik'. Het gaat dan om het slecht omgaan met wachtwoorden binnen de organisatie. Hierbij moet je denken aan het gebruik van zwakke wachtwoorden, het opschrijven van wachtwoorden of het gebruik van hetzelfde wachtwoord voor meerdere systemen. Dit kan bijvoorbeeld ontstaan door het ontbreken van een wachtwoordbeleid of onvoldoende bewustzijn bij medewerkers. Heeft een medewerker deze dreiging uit de RAVIB methodiek geselecteerd? Dan geeft RAVIB jou direct de maatregelen uit de ISO 27002 (en de BIO) die bij deze dreiging horen. In dit concrete geval zijn dit 5.17 (Beheren van authenticatie informatie), 6.3 (Bewustwording, opleiding en training op informatiebeveiliging), 8.5 (Beveiligde authenticatie) en 8.12 (Voorkomen van gegevenslekken). Deze koppeling tussen dreiging en maatregelen is terug te vinden op de website van RAVIB.

De meeste mensen die zich bezighouden met informatiebeveiliging zullen weleens gehoord hebben van ISO 27001. Het is immers de meest bekende standaard op dit gebied. Dat ISO 27002 een soort van uitbreiding is op ISO 27001, dat is minder bekend. In dit artikel leggen we in het kort uit wat de twee normen inhouden, wat het verschil is en wanneer je welke norm kunt gebruiken. Wat is ISO 27001? Kortgezegd is de ISO 27001 norm een wereldwijd erkende standaard die gaat over informatiebeveiliging. Met ISO 27001 certificering laat je zien dat je een managementsysteem hebt geïmplementeerd - een ISMS - dat voldoet aan alle eisen rondom informatiebeveiliging. De norm laat zien hoe je procesmatig om moet gaan met het beveiligen van informatie. Het uiteindelijke doel? De vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen een organisatie zeker stellen. Dit wordt in de basis bereikt door het beheersen van risico's. H(L)S en Annex A Als je kijkt naar ISO 27001, zie je dat de norm is opgesplitst in twee delen. Het eerste deel gaat over de structuur van het managementsysteem voor informatiebeveiliging. Dit werd vroeger High Level Structure (HLS) genoemd, nu heet dit Harmonised Structure (HS). Het tweede stuk, de Annex A, bestaat uit een groot aantal onderwerpen. Deze worden ook wel beheersmaatregelen of controls genoemd. De maatregelen gaan over verschillende aspecten van informatiebeveiliging die geadresseerd dienen te worden. Denk hierbij aan bijvoorbeeld apparatuur, personeel, toegangsbeveiliging, encryptie, fysieke beveiliging, incidentenbeheer, leveranciersmanagement of bedrijfscontinuïteit. Het is niet verplicht voor alles iets te hebben, maar je moet een goede reden hebben om een control of een gedeelte daarvan niet van toepassing te laten zijn. In de Annex worden de verschillende onderwerpen summier uitgelegd, maximaal een of twee zinnen. Zo staat er bijvoorbeeld over eigendom van bedrijfsmiddelen dat de bedrijfsmiddelen die in een overzicht worden bijgehouden een eigenaar moeten hebben. Dat vindt ISO 27001 en daar moet u het mee doen. Wat is ISO 27002? De ultrakorte definitie: ISO 27002 is een uitbreiding op ISO 27001. In 27002 wordt de summiere uitleg die in de Annex van 27001 wordt gegeven een stuk uitgebreid en krijgt elke beheersmaatregel meer handen en voeten. Concreet wordt er in plaats van een of twee zinnen, een complete pagina of meer aan een beheersmaatregel gewijd, bestaande uit de beheersmaatregel zelf, een implementatierichtlijn en daar waar relevant een kopje overige informatie. Je weet dus veel beter wat er van je organisatie wordt verwacht. In het eerdergenoemde voorbeeld over eigendom van bedrijfsmiddelen, zie je dat de implementatierichtlijn o.a. aangeeft wie er in aanmerking komen om eigenaar te zijn, dat er meestal een procedure is over het toekennen van het eigendom, dat de eigenaar zich aan een aantal, benoemde, regels moet houden en dat de eigenaar niet per se eigendomsrechten hoeft te hebben. ISO 27001 versus 27002 Als je het bovenstaande hebt gelezen, zal het je niet verbazen dat er een behoorlijk verschil zit tussen ISO 27001 en ISO 27002. Toepasbaarheid Daar waar 27001 je vertelt hoe een ISMS eruit zou moeten zien, geeft 27002 je alleen maar informatie over het implementeren over de beheersmaatregelen. Een referentiemodel. Maar het vertelt je niets over bijvoorbeeld het bepalen van je scope, het bepalen van je huidige stand van zaken op informatiebeveiligingsgebied, de 'gap' tussen wat je hebt en wat er moet gebeuren, je risicoanalyse en de processen daarvoor, de te nemen maatregelen, je documentatie en de processen daaromheen, de bewustmaking van de betrokkenen en de interne en externe auditing. Plus het continue verbeteren van techniek, gedrag en organisatie. Dat hoort allemaal bij 27001. Certificatie Voor ISO 27001 kun je je laten certificeren. Hiermee kun je aan de wereld laten zien dat je een succesvol managementsysteem op het gebied van informatiebeveiliging hebt.Voor ISO 27002 kun je je niet laten certificeren. Je kunt het uiteraard wel toepassen in je organisatie en daarmee je informatiebeveiliging naar een hoger niveau tillen. Maar je hebt daarmee nog geen managementsysteem waarmee dat ook zo blijft. Detail Daar waar ISO 27001 in de Annex weinig detail geeft over de beheersmaatregelen die je kunt implementeren, doet ISO 27002 dat juist wel. Van een of twee regels per beheersmaatregelen naar soms wel een pagina per maatregel. Wanneer gebruik je ISO 27001 en wanneer ISO 27002? Eigenlijk kunnen de normen niet zonder elkaar. Als je ISO 27001 wilt gaan implementeren, dan zul je vaak vastlopen bij de beheersmaatregelen uit de Annex A omdat deze simpelweg vaag zijn omschreven. Dan helpt ISO 27002 enorm. En als je informatiebeveiliging goed wilt optuigen in je organisatie, dan is het uitvoeren van de richtlijnen uit ISO 27002 niet voldoende, omdat dit geen garantie biedt voor o.a. de betrokkenheid van de directie, risicomanagement en continue verbetering.

In het laatste kwartaal van 2022 zag de wereld de opkomst van ISO 27001:2022, de nieuwste iteratie van de veelgeprezen ISO 27001-standaard. Binnen onze adviespraktijk hebben we geconstateerd dat deze ontwikkeling veel vragen oproept over de ideale tijd om het informatiebeveiligingsmanagementsysteem (ISMS) te baseren op deze standaard. Dit vraagstuk is relevant voor zowel organisaties die al gecertificeerd zijn als voor diegenen die recentelijk zijn gestart met implementatietrajecten of dit binnenkort van plan zijn. In dit artikel zullen we de voornaamste inzichten en overwegingen uitlichten. De verschuivingen De meest in het oog springende wijzigingen in deze nieuwe versie van de ISO 27001-norm bevinden zich in Annex A, de bijlage met best practices voor beheersmaatregelen. Het interessante is dat deze maatregelen een directe overname zijn van de herziene ISO 27002-norm uit 2022. Daarnaast zijn er enkele subtiele veranderingen opgetreden in de hoofdstukken 4-10 (de 'managementmethode'), die nu beter passen binnen de zogenaamde 'Harmonized Structure', de opvolger van de High Level Structure. In het kort komt het erop neer dat er meer aandacht is voor het procesmatig werken, terwijl het beheersen van 'extern geleverde producten en diensten' nu meer nadruk krijgt. Richtlijnen voor de overgang De transitieperiode van ISO 27001:2017 naar ISO 27001:2022 brengt enkele belangrijke richtlijnen met zich mee die invloed hebben op het moment van overstappen: Vanaf 1 mei 2024 is het certificerende instellingen (CI's) niet meer toegestaan initiële audits of hercertificeringsaudits uit te voeren op basis van ISO 27001:2013/2017. Organisaties met bestaande certificaten hebben tot uiterlijk oktober 2025 de mogelijkheid om gecertificeerd te worden volgens de oude versie van de norm. CI's zullen pas vanaf februari/maart 2023 initiële en hercertificeringsaudits kunnen uitvoeren op basis van de nieuwe ISO 27001:2022. Er zijn twee accreditatiemomenten gepland voor 2023: de eerste in februari 2023 en de tweede in juni 2023. Het exacte moment kan variëren per CI, dus het is raadzaam om hierover informatie in te winnen bij de betreffende CI. Voor organisaties die nog niet gecertificeerd zijn en bezig zijn met implementatietrajecten (of binnenkort willen starten), betekent dit het volgende: Als de initiële certificeringsaudit gepland is (of al gepland staat) vóór maart 2023, kies dan voor implementatie en certificering volgens de oude versie (ISO 27001:2017). De keuze tussen implementatie en certificering volgens de oude of nieuwe versie van de norm hangt af van het moment waarop jouw CI accreditatie ontvangt (in februari of juni 2023) en wanneer de initiële certificeringsaudit naar verwachting plaatsvindt in de periode maart tot en met juni 2023. Raadpleeg jouw CI voor meer informatie en advies in dat geval. Als de initiële certificeringsaudit naar verwachting plaatsvindt in juli 2023 of later, kies dan voor implementatie en certificering volgens de nieuwe 2022-versie van de norm. Bedenk wel dat, hoewel CI's in de periode juli-oktober nog kunnen certificeren volgens de oude norm, het verstandig is om eventuele non-conformiteiten die tijdens de initiële audit naar voren komen te herstellen. Dit kan ervoor zorgen dat de certificeringsbeslissing na 1 mei 2024 valt, waardoor certificering volgens de oude norm niet meer mogelijk is. Voor organisaties die al gecertificeerd zijn, zijn de volgende praktische richtlijnen van toepassing: Tussen nu en oktober 2025 moet de overgang naar de 2022-versie van de norm gerealiseerd zijn. Dit vereist een transitie-audit bij de certificerende instelling. Het is raadzaam om deze audit te plannen in combinatie met de eerstvolgende hercertificeringsaudit, niet met een tussentijdse surveillancemeting. Als de eerstvolgende hercertificeringsaudit gepland is vóór maart 2023, zal deze nog steeds plaatsvinden volgens de oude (2017) versie van de norm. De transitie moet dan op een later moment (vóór oktober 2025) worden uitgevoerd. Als de eerstvolgende hercertificeringsaudit verwacht wordt in de periode maart tot en met juni 2023, hangt de keuze om te hercertificeren volgens de oude of nieuwe versie van de norm af van het moment waarop jouw CI accreditatie ontvangt (in februari of juni 2023). Vraag hierover informatie en advies bij jouw CI. Als de eerstvolgende hercertificeringsaudit gepland is of verwacht wordt in de periode juli 2023 tot april 2024, wordt sterk aangeraden om de overgang naar de nieuwe 2022-versie tijdens die audit te realiseren. Dit voorkomt het risico dat de hercertificeringsbeslissing pas na 1 mei 2024 wordt genomen, waardoor certificering volgens de oude norm niet meer mogelijk is. Als de eerstvolgende hercertificeringsaudit gepland is of verwacht wordt na april 2024, zal deze plaatsvinden volgens de 2022-versie van de norm. Het moment van overstappen voor uw organisatie bepaalt dus of u snel moet beginnen met aanpassingen aan uw ISMS volgens de nieuwe norm, of dat u hier ruimschoots de tijd voor hebt.

Het is weer zo ver: vandaag is de internationale dag van de standaarden. Ieder jaar wordt op 14 oktober aandacht besteed aan de duizenden experts die bijdragen aan de ontwikkeling van normen, en dit jaar is dat niet anders. Inmiddels zijn er ruim 20.000  internationale standaarden gepubliceerd, en dat aantal blijft groeien. Onze lezers (en vakbroeders- of zusters) weten het natuurlijk al lang: er gaat geen dag voorbij of je komt in aanraking met zeker één van die normen. Zo zijn er standaarden die handelen over (het testen van) koffie, tandenborstels of fietsen. Feit is dat normalisatie bijdraagt aan een markt waarin organisaties en hun producten beter op elkaar aansluiten, waardoor (internationale) concurrentie en innovatie worden gestimuleerd. ‘Standards level the playing field’ is dit jaar dan ook het thema. Overigens zijn wij trots deel uit te maken van de normcommissie, en zo bij te dragen aan de ontwikkeling van de ISO 9001. Wij nemen vandaag in ieder geval een extra koekje bij de koffie. Fijne World Standards Day!

We weten dat het –ondanks reclamecampagnes van de overheid en andere initiatieven- vaak nog een ondergeschoven kindje is: de RI&E. In zo’n risico inventarisatie en evaluatie met bijbehorend plan van aanpak (PvA), leg je als organisatie vast welke (veiligheid- en gezondheids-)risico’s er zijn bij het werk, wat de weging van die risico’s is, en hoe de risico’s geadresseerd worden. Werknemers horen vervolgens op de hoogte te zijn van de voor hen geldende risico’s en maatregelen. Vooral bij het actueel houden van de RI&E en het opvolgen van het PvA zien wij het nog wel eens misgaan. In de praktijk zijn er namelijk altijd andere onderwerpen die ook op de agenda moeten staan, en vergeet men vergeet nog wel eens dat het hebben van een RI&E kosten voorkomt. Zo wordt mogelijk verzuim (of erger) voorkomen doordat risico’s bekend zijn en incidenten vermeden worden. Iets anders om rekening mee te houden is dat een RI&E voor vrijwel alle ondernemers met personeel verplicht is – ongeacht het type werk. Zowel voor kantoorpersoneel als voor onderwaterlassers (om maar een zijstraat te noemen) moet er een inventarisatie zijn, al zij die in het ene geval wat eenvoudiger zijn dan in het andere. Handhaving is een taak van de Inspectie SZW, waarbij het ontbreken van een (actuele) RI&E kan leiden tot een geldboete. Hulp nodig bij het opstellen of bijwerken van uw RI&E? We helpen u graag verder. Overigens: de Inspectie SZW gaat vanaf januari 2022 de ‘Nederlandse Arbeidsinspectie’ heten. Waren we er nèt aan gewend om het niet meer over de Arbeidsinspectie te hebben, worden we weer ingehaald door de realiteit…

Voor je er erg in hebt, ben je zomaar verworden tot thuiswerker. En voor je het weet, zijn er een paar maanden voorbij dat je niet - of veel minder frequent - op locatie aan het werk bent geweest. En dat er dus dingen blijven liggen. Een van die dingen, weten wij uit ervaring, is de auditplanning. Die ligt er in deze tijden vaak maar verloren bij. Maar hoe zit het nou met interne audits tijdens COVID-19? Handhaven auditplanning Bij veel organisaties merken we dat de taken die bij ‘de ISO’ horen op een laag pitje zijn gezet tijdens de corona-crisis. Terwijl dat nu juist niet hoeft, en ook niet de bedoeling is. Zo stelt ook de Stichting Coördinatie Certificatie voor Managementsystemen voor milieu en gezond en veilig werken (SCCM) in hun memo ‘Aandachtspunten uitvoering interne audits tijdens COVID-19-crisis’ van 16 juni jl. De planning zou nu eenmaal moeten blijven staan, zeker met de mogelijkheid van een audit op afstand (of: remote audit). In het begin van de Corona-crisis was er nog redelijk wat onduidelijkheid over audits op afstand: kan een certificatie-audit geheel op afstand worden uitgevoerd? Kunnen alle onderwerpen wel remote geaudit worden? Mogen we de interne audits nu schrappen voor dit jaar? Maar ook: is er wat flexibiliteit mogelijk bij het plannen van externe audits in verband met vervaldatums van certificaten? Wat kan, mag, en moet er nu? Inmiddels zijn er vanuit onder meer het International Accreditation Forum (IAF) en nu ook het SCCM wat antwoorden gekomen. Zo stelt het SCCM dat de interne audits gewoon doorgang moeten vinden, tenzij de wijziging van de planning goed gemotiveerd kan worden. Dat kan ook betekenen dat men weer op locatie aanwezig moet zijn om te auditen of om geaudit te worden, uiteraard met inachtneming van de richtlijnen van het RIVM.Verder mogen ook –waar mogelijk- procesbeheersing en V&G risico’s in het kader van OHSAS of ISO 45001 op afstand geaudit worden volgens het IAF, in tegenstelling tot een restrictie die eerder was opgenomen in IAF MD5. In theorie is het zo mogelijk om een hele certificatieaudit op afstand uit te voeren.Tot slot is de transitieperiode voor ISO 45001:2018 volgens het IAF verlengd tot 30 september 2021, en is het in bepaalde gevallen mogelijk om de vervaldatum van een certificaat ‘op te rekken’. Meer van dit soort vragen en antwoorden is te vinden in de FAQ van het International Accreditation Forum (IAF), kijk daar vooral eens rond als je met een dergelijk vraagstuk zit. Een andere optie is om ons gewoon even te contacten; waar mogelijk helpen we graag!

The show must go on… We waren er al een poosje bekend mee; ‘de Audit op Afstand‘, ook wel ‘de Online Audit’. Uiteraard is deze vorm van auditen in deze ‘anderhalvemetersamenleving’ actueler dan ooit. Nu het (voorlopig) niet langer verantwoord is om op locatie te komen, is echter de frequentie ervan flink toegenomen en worden we hier steeds vaker naar gevraagd. De bestaande auditplanning blijft immers gewoon van kracht, en hetzelfde geldt voor de vervaldatum van uw managementsysteemcertificaat (ISO 9001, ISO 14001, ISO 45001, ISO 17025 etc.). The show must go on, zo u wilt. Om die reden besloten we er extra aandacht aan te besteden. Goed om te weten dat er meer mogelijk is dan u wellicht denkt. Een arsenaal aan communicatiemiddelen staat tot onze beschikking (we vinden samen de tool die het beste bij uw situatie past) en met een vergelijkbare hoeveelheid creativiteit en opgestroopte mouwen maken we er een prettige en succesvolle audit van. Beloofd. Dit geldt overigens ook voor het begeleiden van uw externe audit. Meer weten? Hier treft u uitgebreide informatie. Direct contact opnemen kan natuurlijk ook (snappen we), namelijk zo. Samen kunnen we alles. En bovenal; blijf gezond.

Stel, je hebt een heel eind gereden. Beetje moe. En eigenlijk zowel je ontbijt als je lunch overgeslagen. Beetje honger. Eigen schuld. En je ziet ineens een terrasje. Een zonnig terrasje. Van een hotel. Dan wil je met alle geweld op dat terrasje gaan zitten. Om te hangen, uit te puffen en wat te eten en te drinken. Mijn oog viel meteen op een verse jus en een ‘verse kwarkpunt’. Oh joy! Kwark. Zo heel slecht is kwark nou toch ook weer niet, maakte ik mezelf wijs. Verse jus en een aardbeienkwarkpunt dus. Allemaal fruit. Dus gezond. Een ontzettend aardig meisje neemt mijn bestelling op en komt het zelfs relatief snel brengen ook nog. So far so good. Dat er vrijwel direct een wesp in de jus vliegt, daar kan niemand wat aan doen. Maar de opmerkelijke staat waarin het kwarkpuntje – of wat daarvoor moest doorgaan – verkeerde wel. Maar dat is slechts mijn mening. Verwachtingsmanagement Om te beginnen heeft een kwarkpunt niet de vorm van een tompouce. Niet dat dat nou het belangrijkst is, de vorm, maar het schept een zekere verwachting wanneer het menu over ‘punt’ spreekt. Het is maar wat je denkt dat je klanten verwachten. Maar op zijn minst verwachten de klanten ‘kwark’ in de kwarkpunt. Ik merkte dat ik meer viel over het griezelige gebrek aan kwark in de kwarkpunt dan het gebrek aan punt. Het was een onduidelijke, rechthoekige maagvulling. Met veel cakelagen zoals je ze in een slagroomtaart treft. En iets jam-erigs. En een dun laagje ondefinieerbaar wit spul dat doorging voor kwark - maar het beslist niet was. Er lag een aardbei naast. Voeg ik daar nog ‘halfbevroren’ aan toe en u heeft wellicht een beeld. Ik ben van nature heus niet moeilijk, maar dit had helemaal niets met een kwarkpunt te maken. Zoveel honger kan je niet hebben. Ik werd gesterkt in mijn bevinding dat dit een oneetbare calorieënbom was door het feit dat ook de kolonie wespen het gelegenheidsgebakje volledig links liet liggen. De durfal die erop landde en terstond bevroor, vloog pas na een paar minuten verward weg. Nee, dit was geen beste beurt. Wat de klant wil Klanten zijn best vergeeflijk, overigens. Als je even sorry zegt. Of je er nou iets aan doen of niet. Maar dat lieve meisje van zojuist beet me lelijk toe dat ‘dit altijd de manier is waarop we kwarkpuntjes serveren’. Dat kon geen diepvriescakeje tegenop. Dit is kennelijk de standaard kwaliteit van de kwarkpunt? U mag mij best verwijten de kwarkpunt te veel te romantiseren. Dat ik denk dat alle kwarkpunten eruit zien als het plaatje hierboven. Maar dit was echt het andere uiterste. Als ze even had gezegd dat ze het jammer vond dat het mij niet smaakte en of ik wellicht iets anders wilde proberen, had ik vriendelijk gelachen en het misschien nog wel geprobeerd ook. Maar nu verwachtte zij misschien dat ik er gewoon voor ging betalen. Dat is nou opmerkelijk. Ik verwachtte een kwarkpunt. Allebei niet gelukt. Verwachtingsmanagement is belangrijker dan je denkt. En helemaal bij een gebrek aan kwaliteit.

Het is u ongetwijfeld niet ontgaan; op 25 mei aanstaande wordt de nieuwe privacy wetgeving van kracht. We vertellen u daarom graag hoe wij ermee omgaan. Eigenlijk niets anders dan we al gewoon deden. We delen uw informatie namelijk onder geen beding voor commerciële doeleinden met derden en verzamelen sowieso weinig informatie. U treft de volledige verklaring hier. Een bijkomstigheid van de nieuwe wetgeving is niet onbelangrijk; we sturen zo af en toe een nieuwsbrief. Niet om u iets aan te smeren, maar om u op de hoogte te houden van relevante zaken en andere vermakelijkheden. Voor zover onze informatie strekt wordt dat goed gewaardeerd. We krijgen zelfs af en toe de vraag ‘waar blijft-ie nou?!’. Om die reden willen we u wel vragen om toestemming zodat u deze puike nieuwsbrief met volstrekt onvoorspelbare frequentie kunt blijven ontvangen. Moet u alleen even HIER klikken. Excuses hoor, voor het extra werk. Maar we zijn zoals het ons betaamt wel graag ‘compliant’. Bij vragen weet u ons vast te vinden. We zijn slechts een telefoontje of e-mail ver weg.

U bent geaudit. Intern of extern. Tijdens deze audit zijn er enkele tekortkomingen geconstateerd ten aanzien van het systeem. De tekortkomingen of NC’s (non conformities) moeten vanuit het kwaliteitssysteem gezien binnen een bepaalde periode opgelost worden. Maar wat is de meest efficiënte manier om hier mee om te gaan? Er wordt namelijk verwacht dat een en ander goed benoemd wordt en dat ook de oplossing en operationaliteit goed aantoonbaar is. Een goede manier om dat te doen is de 4 O systematiek. De 4 O systematiek is gebaseerd op de Oorzaak, Omvang, Oplossing en de Operationaliteit. Wanneer deze parameters goed benoemd zijn, kan het niet anders dan dat de follow-up afdoende is. Vaak wordt gebruik gemaakt van een standaard tabel zoals hieronder weergegeven. Ter inspiratie.