SYSTEEMCERTIFICATIE
De term managementsysteemcertificatie (ook wel: systeemcertificatie of MS-certificatie) is van toepassing op de bedrijfsvoering (het managementsysteem) van bedrijven, instellingen of onderdelen daarvan. Het bekendste voorbeeld van systeemcertificatie is gebaseerd op de internationale norm voor kwaliteitsmanagement ISO 9001, die onderdeel is van de normenfamilie ISO 9000 t/m 9004. Hierin bevat ISO 9000 de grondbeginselen en een woordenlijst, ISO 9001 de eisen voor certificatie, en ISO 9004 richtlijnen voor de toepassing. Systeemcertificatie wordt niet alleen toegepast op kwaliteitszorg (ISO 9001), maar ook op milieuzorg (ISO 14001), informatiebeveiliging (ISO/IEC 27001), en tal van andere domeinen. ISO onderscheidt twee soorten normen voor managementsystemen (Engels: MSS, management system standard): type A stelt eisen aan het MS, type B bevat alleen richtlijnen en adviezen. Type B is dus niet geschikt voor certificatie.
De Raad voor Accreditatie (RvA) geeft de volgende toelichting bij managementsysteemcertificatie (RvA publieksverslag 2015, p. 10):
Wat mogen we bijvoorbeeld verwachten van een organisatie die voor ISO 9001 of een ander managementsysteem gecertificeerd is? De norm zegt daarover vrij vertaald: ‘De organisatie is in staat om bij voortduring producten en diensten te leveren die overeenkomen met de wensen van de klant en die voldoen aan wet- en regelgeving.’ Bij normen als ISO 14001, met als onderwerp milieu, en ISO 22003, met als onderwerp voedselveiligheid, komt er nog bij dat de organisatie in staat is om zich aan milieu- of voedselveiligheidsregelgeving te houden. Een managementsysteemcertificaat doet dan ook geen uitspraak over de geleverde prestatie, een product of dienst. Daarom mag het product ook niet van een merkteken van de certificeerder worden voorzien. De afnemer moet in dit geval dus zelf goed specificeren wat hij geleverd wil hebben en kritisch toezien op de kwaliteit van het geleverde.
In de ISO-normen voor managementsystemen worden dan ook geen eisen gesteld aan de output (producten, diensten) van de organisatie waarop de norm wordt toegepast, dit in tegenstelling tot normen voor producten en diensten. Deze beperking geldt alleen voor ISO- en ISO/IEC-normen, dus niet voor schema’s voor MS-certificatie: het staat een schemabeheerder vrij om testmethoden, eisen, normen e.d. voor ingekochte of geleverde producten of diensten op te nemen, bijvoorbeeld als aanvulling op een MS-norm van ISO.
In de vorige eeuw, toen ISO 9001 nog de enige internationale MS-norm was, werd het onderwerp van de norm betiteld als kwaliteitssysteem, maar bij het verschijnen in 1996 van de MS-norm ISO 14001, die niet ging over kwaliteit, maar over milieu, werd kwaliteitssysteem vervangen door managementsysteem, en werden de begrippen kwaliteitsmanagement en milieumanagement geïntroduceerd. In veel sectoren is de term kwaliteitssysteem echter nog steeds in gebruik. ISO onderzoekt periodiek hoeveel MS-certificaten wereldwijd zijn uitgereikt voor de verschillende domeinen, en publiceert de resultaten op haar website.
Een certificatie-instelling (CI) die MS-certificatie aanbiedt onder accreditatie voert het certificatietraject uit in overeenstemming met de accreditatienorm ISO/IEC 17021-1 of een daarmee vergelijkbare accreditatienorm. De beoordeling van een organisatie voor een systeemcertificaat wordt audit of visitatie genoemd. De beoordeling wordt uitgevoerd door een of meer auditoren, die gezamenlijk beschikken over zowel auditvaardigheden als expertise op het werkterrein van de te beoordelen organisatie. In een audit kunnen de volgende methoden van onderzoek worden toegepast:
- bestudering van handboeken, procedures, reglementen, contracten, certificaten, etc.;
- interviewen van medewerkers, zowel in de uitvoering als in management en ondersteuning;
- bestudering van registraties van klachten en incidenten, rapporten van interne audits, kwalificatiedossiers van personeel, etc.
- inspectie/bijwoning van het primaire proces (productie, dienstverlening).
De eventueel aangetroffen afwijkingen of non-conformiteiten (NC’s) worden geclassificeerd als belangrijk of niet belangrijk (ook wel: kritisch of niet kritisch; Engels: major of minor). Het auditrapport met de rapportage van de onderzoeken vormt de basis voor de certificatiebeslissing: toekenning, verlenging, schorsing, intrekking, of aanpassing van het certificaat.
Aspecten van systeemcertificatie
Deze paragraaf gaat in op de volgende aspecten van managementsysteemcertificatie:
- functies van certificaten, gebruik logo
- inhoud van certificatieschema’s
- voldoen aan wet- en regelgeving
- vrijheidsgraden in het certificatietraject
- harmonisatie van schema’s
- certificaten met verschillende niveaus
- inrichting managementsysteem
- alternatieve beoordelingsmethoden
Deze onderwerpen worden hieronder achtereenvolgens besproken.
Functies van certificaten, gebruik logo
Managementsysteemcertificaten kunnen de volgende functies vervullen.
1) Het certificaat fungeert als waarborg voor (contract)partners (afnemers, opdrachtgevers, etc.). Dit is de primair beoogde functie, gericht op vertrouwen dat de certificaathouder voldoet aan wet- en regelgeving en de wensen van klanten, en de gemaakte afspraken nakomt. Zaken als efficiëntieverbetering, kostenverlaging en winstmaximalisatie kunnen bijkomende effecten zijn, maar zijn in principe geen doelen van MS-certificatie. In de brochure Expected outcomes … beschrijft ISO wat van een gecertificeerd managementsysteem wel en niet mag worden verwacht.
2) De certificatiecriteria fungeren als richtsnoer voor het managementsysteem van organisaties. Deze functie wordt soms al vervuld door zusternormen in de normenfamilies van ISO, zoals ISO 9004 dat doet voor ISO 9001, maar niet alle MS-normen en -schema’s worden vergezeld door een dergelijke adviesvariant (type B in de classificatie van ISO). Ook organisaties die het certificaat niet aanvragen kunnen de certificatiecriteria toepassen op hun bedrijfsvoering, aangezien het onderliggende basale besturingsmodel geschikt is voor zeer uiteenlopende organisatiestructuren en bedrijfsculturen. Bovendien is de systematiek ingebed in een goed ontwikkelde infrastructuur van adviseurs, opleidingen, professionele netwerken, e.d.
3) De certificaten leiden tot aangepast overheidstoezicht, hetzij in combinatie met de wettelijke verplichting om een MS-certificaat te voeren, hetzij via de risicobeoordeling die de toezichthouder hanteert voor het controleregime. De Nederlandse overheid heeft hiervoor beleid vastgesteld, zie verder Voldoen aan wet- en regelgeving.
Het certificaat fungeert soms als aankoopinformatie met de suggestie van goede kwaliteit van de output (producten, diensten) die de certificaathouder levert. Deze suggestie is verleidelijk maar niet terecht, omdat iedere certificaathouder zelf bepaalt op welke klantengroep hij zich richt en welk niveau van de output daarbij hoort, zie ook Inhoud van certificatieschema’s.
Het certificatielogo, dat de verschijningsvorm is van de primaire functie, mag niet worden gepresenteerd in combinatie met een product of dienst, en er mag geen misverstand kunnen rijzen over het toepassingsgebied (Engels: scope) waarvoor het geldt. De details van het toepassingsgebied (activiteiten, vestigingen) worden vermeld op (een bijlage bij) het certificaat. Tenzij het certificatieschema anders bepaalt, is het niet verplicht om alle activiteiten en vestigingen te laten certificeren. De certificaathouder moet dan wel overal waar hij melding maakt van het certificaat het toepassingsgebied volledig specificeren, eventueel met behulp van een verwijzing. De ISO-brochure Misuse of third party marks of conformity geeft voorbeelden van ontoelaatbaar logogebruik bij systeemcertificatie.
Inhoud van certificatieschema’s
Een schema voor MS-certificatie legt vast aan welke criteria de bedrijfsvoering, oftewel het managementsysteem, bij een organisatie (hierna: object) moet voldoen om bij voortduring bepaalde prestaties te kunnen leveren op bepaalde domeinen (kwaliteit, milieuzorg, informatiebeveiliging, veiligheid, e.d.), en hoe kan worden vastgesteld of dit het geval is. RvA-document T033 bevat richtlijnen voor de inhoud van certificatieschema’s. Voor het onderbouwen van de validiteit geeft T033 alleen aanwijzingen voor de ontwikkelingsfase van het schema (par. 3.5.2); aldus kan de validiteit van een schema voor systeemcertificatie hoogstens aannemelijk worden gemaakt (zie ook Validiteit in het hoofdstuk Certificatie).
– Doelen, prestatie-indicatoren
Kenmerkend voor MS-certificatie is dat de certificaathouder zijn eigen doelen vaststelt, met dien verstande dat het voldoen aan wet- en regelgeving een verplicht doel is. Het voldoen aan de wensen van klanten is ook een verplicht doel, maar de certificaathouder is vrij om zelf te bepalen welk marktsegment en welke doelgroep hij wil bedienen. Doelen die niet direct meetbaar zijn worden vertaald in een of meer wel meetbare prestatie-indicatoren, zoals omzet, winst, productiekosten, wachttijd, doorlooptijd, aantal terechte klachten, gemiddelde klantwaardering, gehalte zware metalen, snijverliezen, etc. De validiteit van deze vertalingen (de mate waarin ze daadwerkelijk iets zeggen over het nagestreefde doel) is de verantwoordelijkheid van de organisatie, en hoeft niet te worden aangetoond. Al met al zegt een MS-certificaat dus weinig tot niets over de producten of diensten (output) die de certificaathouder levert.
– Besturingsmodel, pdca-cyclus
De ISO-normen voor systeemcertificatie zijn gebaseerd op een basaal besturingsmodel voor organisaties: stel doelen, zet ze om in activiteiten, meet de resultaten, herstel de eventuele afwijkingen en stel de doelen waar nodig bij. De prestaties van het managementsysteem worden als volgt gemeten:
- op uitvoeringsniveau met interne audits: onderzoek door of in opdracht van de eigen organisatie (dus niet door een CI) van de werking van onderdelen van het managementsysteem en de implementatie daarvan;
- op managementniveau in de directiebeoordeling (Engels: management review): evaluatie van de geschiktheid en de werking van het managementsysteem in het licht van de gestelde doelen, uitgevoerd door het management (het is dus geen beoordeling vàn de directie).
In het Engels worden de vier stappen in het besturingsmodel aangeduid met plan, do, check, act. Samen vormen ze de pdca-cyclus of –cirkel, die ook wel (naar de bedenker) de kwaliteitscirkel van Deming wordt genoemd. Naar de richting van de bijstellingen van de doelen of het systeem wordt de cirkel met de interne audits de horizontale cirkel genoemd, en die met de directiebeoordeling de verticale cirkel.
Mede door zijn eenvoud is dit besturingsmodel toepasbaar op een breed scala van activiteiten, en te combineren met uiteenlopende organisatiestructuren en bedrijfsculturen (mits een minimale verbetercultuur aanwezig is). De vier onderdelen van de pdca-cirkel zijn in steeds meer MS-normen van ISO te vinden in de hoofdstukken 6 (planning), 8 (operation), 9 (perform evaluation) en 10 (improvement); de interne audit en de directiebeoordeling zitten in hoofdstuk 9. De overige inhoudelijke hoofdstukken bevatten randvoorwaarden voor de werking van de pdca-cirkel: context van de organisatie (4), leiderschap (5) en ondersteuning (7). Als de Harmonized Structure (zie Structuur hieronder) volledig is uitgerold, zullen de MS-normen van ISO qua inhoud alleen verschillen waar het toepassingsgebied van de norm dat vereist.
Door de pdca-cyclus herhaaldelijk toe te passen is er in theorie sprake van permanente verbetering: het managementsysteem en de implementatie ervan zouden de organisatiedoelen gestaag dichterbij kunnen brengen. Ook zou de bedrijfsvoering steeds efficiënter kunnen verlopen, met minder uitval, tijdverlies, miscommunicatie, etc. Uit de inhoudelijke ontwikkeling van ISO 9001 (zie Kwaliteitszorg, ISO 9001) blijkt dat dit niet altijd lukte, en zelfs in zijn tegendeel kon verkeren. In vroegere versies van de norm was er teveel aandacht voor (geschreven) procedures, waarschijnlijk vanuit de gedachte dat duidelijke voorschriften onvermijdelijk zouden leiden tot een goed functionerende organisatie. Dit had echter een stroperige bureaucratie tot gevolg, die in de praktijk slechts plichtmatig werd gevolgd of zelfs omzeild. Het besturingsmodel liet de mogelijkheid van terugval, bijvoorbeeld door ziekte en personeelsverloop, automatiseringsproblemen, falende toeleveranciers, reorganisaties, etc., onbenoemd. Met het – overigens terechte – schrappen van veel verplichte procedures verdween de gehoopte borging (vergrendeling) van bereikte resultaten uit de MS-normen, en is permanente verbetering veranderd van belofte in opdracht. Daarom wordt het tegenwoordig continue verbetering genoemd. Verder bleek dat het voldoen aan wet- en regelgeving moest worden voorzien van extra voorschriften om dit doel daadwerkelijk dichterbij te brengen (zie Voldoen aan wet- en regelgeving).
– Onderwerpen
Het hoofdonderwerp van het schema zijn de systemen in de interne organisatie (procedures, registraties, gedragsregels, beveiligingsmaatregelen, etc.) en de beheersing daarvan, dus niet de producten en diensten die de organisatie genereert. De manier waarop de systemen worden beheerst in termen van bewaking/monitoring van de prestatie-indicatoren en andere procesparameters, controlefrequentie, reactie op afwijkingen e.d. is onderworpen aan risicomanagement: het mag afhankelijk zijn van het risico dat de certificaathouder loopt bij onverhoopte afwijkingen van het gestelde doel. De dagelijkse beheersing van de interne systemen is de verantwoordelijkheid van de direct betrokken medewerkers. Los daarvan moet het management periodiek interne audits laten uitvoeren en een directiebeoordeling opstellen.
De interne voorschriften van ISO voor het ontwikkelen van MS-normen bevatten in Annex SL van ISO/IEC Directives, Part 1 een kenmerkend voorschrift (SL.6 General criteria, Exclusions):
An MSS shall not include directly related product or service specifications, test methods, performance levels (i.e. setting of limits) or other forms of standardization for products or services provided by the implementing organization.
Dit betekent dat een ISO-norm voor een managementsysteem geen testmethoden, eisen, normen e.d. mag opleggen aan de output (producten, diensten) van de organisatie waarop de norm wordt toegepast, dit in tegenstelling tot normen voor producten en diensten. In de praktijk kan dit verbod worden omzeild door de ISO-norm op te nemen in een eigen certificatieschema, of door te verwijzen naar normen die wel eisen aan de output bevatten, zoals de verwijzing in ISO/IEC 27001 (MS-norm voor informatiebeveiliging) naar de zusternorm ISO/IEC 27002 (Beheersmaatregelen voor informatiebeveiliging), zie verder Informatiebeveiliging, ISO/IEC 27001. Annex SL geldt alleen voor ISO-normen, dus niet voor MS-certificatieschema’s: het staat een schemabeheerder vrij om testmethoden, eisen, normen e.d. voor ingekochte of geleverde producten of diensten op te nemen, bijvoorbeeld als aanvulling op een ISO-norm voor systeemcertificatie. Voorbeelden zijn de verplichting om professionele standaarden toe te passen in de HKZ-schema’s voor de zorg (zie Zorg en welzijn), en de verplichting om te werken met gecertificeerde professionals in het schema voor jb & jr (zie Jeugdbescherming en jeugdreclassering). Als dit gebeurt wordt het schema niet ineens een productcertificatieschema, want het hoofdonderwerp en de kenmerkende onderdelen van de MS-normen van ISO, zoals de pdca-cyclus, blijven gehandhaafd, en op basis hiervan mag dan ook geen productcertificaat worden verleend.
– Structuur
In 2021 heeft ISO voor haar MS-normen de Harmonized Structure (HS) ingevoerd. De interne voorschriften van ISO voor het ontwikkelen van MS-normen bepalen in Annex SL hoe de HS eruit ziet; zie ook de toelichting in Wikipedia. Appendix 2 van de bovengenoemde ISO/IEC Directives, Part 1 is een praktische Engelstalige toelichting op de HS; zie ook de toelichting op de HS op de website van NEN. Door deze harmonisatie van ISO-normen kunnen organisaties die managementsystemen hebben voor verschillende domeinen (kwaliteit, milieu, etc.) dubbel werk vermijden, en – als ze hiervoor certificaten aanvragen – gemakkelijker en efficiënter worden beoordeeld: er zijn geen onnodige verschillen tussen passages in de normen en hun interpretaties, en wat gemeenschappelijk is wordt slechts één keer beoordeeld.
– Toelichting, voorbeelden
Diverse MS-normen en schema’s zijn voorzien van informatieve bijlagen, of gaan vergezeld van toelichtende zusternormen, zoals de ISO-normenfamilies met een eisenstellende norm voor MS-certificatie (normtype A) en een adviesnorm met richtlijnen voor de implementatie (normtype B). Zie ook de lijst van MS-normen op de ISO-website. Ook schemabeheerders kunnen toelichtende documenten uitgeven, zoals SCCM dat doet voor haar werkterreinen, waar onder ISO 14001 en ISO 45001.
Voldoen aan wet- en regelgeving
Voorbeelden van systeemcertificatie als onderdeel van wet- en regelgeving zijn de certificatie in het hoger onderwijs en van de instellingen voor jeugdbescherming en jeugdreclassering. In het hoofdstuk Certificatie is de relatie met wet- en regelgeving beschreven, met name de algemene onderdelen daarvan. De voor het toepassingsgebied specifieke wet- en regelgeving wordt doorgaans vermeld in het schema. Als een RvA-geaccrediteerd schema (mede) tot doel heeft te beoordelen of een organisatie voldoet aan bepaalde wettelijke eisen, dan mag het certificaat alleen verklaren dat een gerechtvaardigd vertrouwen bestaat dat de organisatie aan de wettelijke eis voldoet. Lees verder in RvA-document T033 (par. 3.1.4).
Alle MS-certificatienormen van ISO, alsmede de meeste MS-certificatieschema’s, bevatten de verplichting om het voldoen aan wet- en regelgeving als doel te stellen, en de bedrijfsvoering zo in te richten dat de organisatie daartoe in staat is. Het voldoen aan wet- en regelgeving wordt dus niet, zoals dat zou gebeuren bij productcertificatie, rechtstreeks verplicht gesteld, maar via de omweg van het managementsysteem; dit geldt voor alle specificaties die de certificaathouder hanteert voor zijn producten en diensten. Omdat deze indirecte benadering onzekerheid introduceert over het bij voortduring voldoen aan de geldende wetten en regels, en de auditoren van de CI dit niet zelf toetsen, zijn in en rond de accreditatienorm voor systeemcertificatie extra regels uitgevaardigd om toch in de buurt te komen van dit streven. Dit is niet alleen ingegeven door de plicht om aan wet- en regelgeving te voldoen en sancties te voorkomen, maar ook door de verwachting die een certificaat wekt bij klanten en zakenpartners (opdrachtgevers, afnemers) en toezichthouders. In het kabinetsstandpunt over accreditatie en certificatie geeft de Nederlandse overheid expliciet ruimte voor het inzetten van private certificatie als ondersteuning van het wettelijke toezicht, inclusief MS-certificatie.
In zijn document T033, Toelichting op de eisen aan schema’s voor conformiteitsbeoordelingen, verlangt de RvA dat schema’s voor systeemcertificatie – als het borgen van de naleving van wet- en regelgeving een doelstelling is – beschrijven op welke wijze de resultaten moeten worden geïnterpreteerd in relatie tot deze wettelijke eisen. Ook verwijst T033 naar het document EA-7/04 – Legal Compliance as a Part of Accredited ISO 14001:2015 Certification. Dit document licht toe in hoeverre een ISO 14001-certificaat zekerheid geeft over het voldoen aan de geldende wet- en regelgeving voor het milieu, en bevat richtlijnen voor CI’s om dit te bevorderen. Enkele van die richtlijnen zijn:
- de beoordeelde organisatie toont aan dat zij de van toepassing zijnde wet- en regelgeving volledig in beeld heeft, en alle elementen passend heeft verwerkt in het managementsysteem;
- in het auditteam van de CI is gedegen kennis aanwezig over de relevante wet- en regelgeving, en hoe hieraan te voldoen in de praktijk van de beoordeelde organisatie;
- in de audit is een goede balans aanwezig tussen het bestuderen van documenten en registraties rond wet- en regelgeving, en het onderzoeken van de implementatie van de daarbij horende maatregelen;
- als de organisatie opzettelijk of bij voortduring niet voldoet aan de geldende wet- en regelgeving wordt het certificaat niet verleend, dan wel geschorst of ingetrokken;
- bij geconstateerde overtredingen van wet- en regelgeving die niet snel genoeg kunnen worden hersteld informeert de CI de autoriteiten.
Document EA-7/04 is verplicht bij certificatie op basis van ISO 14001 die onder accreditatie wordt uitgevoerd. De inhoud van EA-7/04 is – mutatis mutandis – ook toepasbaar op andere normen en schema’s voor MS-certificatie, althans in situaties met belangrijke wet- en regelgeving. De richtlijnen in EA-7/04 kunnen niet leiden tot een productcertificaat, omdat bij MS-certificatie de borging van het voldoen aan wet- en regelgeving altijd verloopt via de omweg van het managementsysteem van de certificaathouder. Een conform EA-7/04 uitgevoerde en gerapporteerde MS-audit kan toezichthouders namens de overheid echter wel argumenten geven om minder en/of beperktere controles uit te voeren, mits de toezichthouder inzage krijgt in de auditrapporten – alleen het certificaat geeft onvoldoende informatie.
Naast EA-7/04 kan ook de internationale norm ISO 37301, Compliance management systems — Requirements with guidance for use worden toegepast. Deze vrijwillige MS-norm behelst niet alleen het voldoen aan wet- en regelgeving, maar betreft het realiseren van alle doelen die een organisatie nastreeft. Zie ook de toelichting op deze norm door NEN.
Vrijheidsgraden in het certificatietraject
Zoals de accreditatienorm ISO/IEC 17021-1 in paragraaf 9.4.8.2.o benadrukt, is MS-certificatie gebaseerd op een proces van het nemen van steekproeven van de beschikbare informatie. Dit weerspiegelt de gedachte dat een managementsysteem wel eenduidig kan zijn beschreven en ingericht, maar nooit ieder moment op iedere plek en bij iedere gebeurtenis identiek zal functioneren. Toch moet de CI, in samenwerking met de beoordeelde organisatie, zich ervoor inspannen om een representatief beeld te verkrijgen van de werking van het systeem. De resultaten van de audits moeten reproduceerbaar zijn, wat kan worden bemoeilijkt doordat de CI in het certificatietraject diverse keuzes maakt die vatbaar zijn voor interpretatieverschillen. Hoewel de accreditatienormen en certificatieschema’s verschillende bepalingen bevatten om de representativiteit, reproduceerbaarheid en interpretatieverschillen te beheersen, behelst het certificatietraject een aantal vrijheidsgraden (variaties en onzekerheden) die samen de (veelal ongewenste) spreiding bepalen in de mate waarin de gecertificeerde objecten voldoen aan de criteria in het certificatieschema. In de volgende onderdelen van een certificatietraject kunnen significante variaties en onzekerheden optreden die de meerwaarde van het certificaat beïnvloeden:
- uitvoering onderzoek;
- classificatie van afwijkingen;
- oorzaakanalyse door certificaathouder;
- implementatie en verificatie van maatregelen.
Deze onderwerpen worden hieronder achtereenvolgens toegelicht, en afgesloten met een conclusie.
– Uitvoering onderzoek
Een eerste bron van variatie komt voort uit de doelen en de bijbehorende prestatie-indicatoren van de beoordeelde organisatie, die iedere organisatie zelf vaststelt (behalve het verplicht voldoen aan wet- en regelgeving). Vervolgens bepaalt de organisatie op basis van risicomanagement hoe intensief men het realiseren van de gekozen doelen nastreeft. Dit komt tot uiting in de manier waarop, en de frequentie waarmee de prestatie-indicatoren worden gemeten, en in de snelheid waarmee gevonden afwijkingen worden hersteld. De CI heeft in principe geen oordeel over de hierin gemaakte keuzes, maar stemt haar onderzoek en beoordeling erop af. Prestatie-indicatoren kunnen aldus behoorlijk variëren, en gedurende langere tijd onder het streefniveau van de beoordeelde organisatie dalen, zonder dat de CI hierop een non-conformiteit (NC) uitschrijft, tenzij de wet- en regelgeving of het certificatieschema een grenswaarde oplegt.
Het certificatie-onderzoek begint met het bepalen van een doordachte combinatie van enerzijds de onderdelen van het systeem die onder het certificaat vallen (diensten, locaties), en anderzijds de methoden van onderzoek die daarop worden toegepast. De CI maakt hierbij keuzes in de te besteden tijd (auditduur), te bezoeken locaties, te interviewen medewerkers, te bestuderen documenten, registraties en rapportages, en bij te wonen activiteiten. De accreditatienorm en de verplichte documenten van RvA, EA en IAF bevatten diverse voorschriften om een verantwoorde steekproef te trekken, en het certificatieschema kan dit verder uitwerken. Om een representatief beeld te krijgen van het managementsysteem is enig inzicht nodig in de spreiding van de prestatie-indicatoren binnen de organisatie: zijn er variaties per afdeling/locatie, per dagdeel/shift, per medewerker, per soort product/dienst/proces, etc. Soms kan de auditor dat zelf overzien op basis van ervaring, soms moet hij/zij gebruik maken van gegevens van de organisatie, zoals logboeken en interne auditrapporten. Voor het bepalen van de auditduur geldt het verplichte document IAF MD5 met regels voor de te besteden tijd. Hierin staan wel tabellen met richttijden afhankelijk van de activiteiten en formatie-omvang van de te auditen organisatie, maar deze worden gevolgd door diverse factoren die moeten of kunnen leiden tot verhoging of verlaging ten opzichte van de richttijd – dit ter beoordeling van de CI. In het certificatieschema kan de spreiding in de prestatie-indicatoren worden beperkt door eisen aan de input of output van bepaalde indicatoren (in de ISO-en ISO/IEC-normen voor MS-certificatie komt dit niet voor). Bij latere controles en herkeuringen wordt de steekproef waar mogelijk verbeterd door verder te variëren in de combinatie van systeemonderdelen en methoden van onderzoek.
– Classificatie van afwijkingen
De auditor die een afwijking van de criteria (NC) constateert moet ook noteren welke bepaling(en) in de norm of het schema is/zijn overtreden. Vaak zijn hiervoor verschillende mogelijkheden, bijvoorbeeld als de levertijden die zijn overeengekomen met afnemers herhaaldelijk worden overschreden. Bij ISO 9001 kan deze afwijking onder andere worden gekoppeld aan de normparagrafen 6.2 (planning doelstellingen), 7.1 (middelen om de doelen te realiseren), 7.3 (bewustzijn van medewerkers over de doelen), 8.2.3 (beoordeling van de eisen van afnemers), en 9.1 (monitoren, meten, analyseren en evalueren). De keuze die de auditor hierin maakt kan de certificaathouder in een bepaalde richting sturen bij het ontwikkelen van een verbeterplan.
Vervolgens onderscheidt de accreditatienorm twee soorten NC’s: belangrijk en niet belangrijk (ook wel: kritisch / niet kritisch, of: major / minor), met als definitie dat de eerste wel van invloed is op het vermogen van het managementsysteem om de beoogde doelen te behalen, en de tweede niet. Daarnaast kan de CI een opmerking noteren, of een mogelijkheid voor verbetering van het systeem aandragen (mits het geen advies is). In de laatste twee gevallen hoeft de beoordeelde organisatie geen verbeterplan op te stellen, voor de eerste twee moet dat wel. De beschrijving van het onderscheid tussen belangrijke en niet belangrijke NC’s laat veel ruimte voor interpretatie, zodat de classificatie door de CI te mild of te streng kan uitpakken. Hoewel de accreditatienorm dit in paragraaf 9.4.5.2 expliciet verbiedt, komt het ook voor dat – om de klant te gerieven – een NC wordt genoteerd als mogelijkheid voor verbetering, waar de certificaathouder geen actie op hoeft te ondernemen.
– Oorzaakanalyse door certificaathouder
Als een certificatie-audit leidt tot een of meer NC’s moet de beoordeelde organisatie de fundamentele oorzaken identificeren en een verbeterplan opstellen, waarvan de CI de effectiviteit moet beoordelen (zie ook Keuring, beoordeling, examinering). Veel organisaties vinden het moeilijk om in de oorzaakanalyse door te dringen tot de kern. Vaak wordt niet nagegaan of een vergelijkbare afwijking ook kan optreden in verwante processen en andere productielijnen, en worden symptomen in plaats van echte oorzaken gekozen als aangrijpingspunten voor het verbeterplan. Het auditteam van de CI is (na de audit) niet altijd in staat om dergelijke gebreken te herkennen en laten corrigeren, met als gevolg dat het verbeterplan gebrekkig of zelfs ineffectief kan zijn. Om de opvolging van NC’s te verbeteren heeft NEN in 2023 de richtlijn NPR 9021 Kwaliteitsmanagement – Richtlijnen voor het uitvoeren van corrigerende maatregelen uitgebracht. De NPR geeft ook aanwijzingen voor de oorzaakanalyse.
– Implementatie en verificatie van maatregelen
De belangrijke NC’s (kritisch of major) moeten aantoonbaar zijn verholpen voordat het certificaat kan worden verleend of verlengd. De beoordeelde organisatie moet hiertoe een volledige pdca-cirkel doorlopen, wat de toekenning of verlenging van het certificaat behoorlijk kan vertragen. De termijnen waarbinnen de verbeteringen moeten zijn geïmplementeerd worden echter in hoge mate bepaald op basis van het risicomanagement van de certificaathouder, waar de CI in principe geen oordeel over heeft, tenzij de wet- en regelgeving of het certificatieschema er grenswaarden aan oplegt. Afhankelijk van de ernst van de afwijkingen en de inhoud van het verbeterplan beslist de CI hoe zij de effectiviteit van de getroffen maatregelen toetst. Een vuistregel is dat belangrijke (kritisch of major) afwijkingen worden opgevolgd met een extra verificatie-audit (op locatie dan wel op afstand), terwijl het verbeterplan voor niet belangrijke (niet kritisch of minor) afwijkingen bij de eerstvolgende reguliere controle wordt geverifieerd.
– Conclusie vrijheidsgraden
Samengevat blijkt dat organisatiediagnose, ook bij systeemcertificatie, geen exacte wetenschap is, en gepaard gaat met een aantal vrijheidsgraden (variaties en onzekerheden), zowel in de onderzoekopzet als in de beoordeling. Zeker als er sprake is van concurrerende CI’s kunnen de variaties systematisch neigen naar teveel coulance jegens de certificaathouder, ook bij audits onder accreditatie. Weliswaar kan het certificatieschema aanvullende eisen stellen, gericht op beperking van de ongewenste variatie, maar de beheersing hiervan verloopt via de omweg van systeemcertificatie. Een organisatie met een gecertificeerd managementsysteem kan dus enige tijd onderpresteren, dat wil zeggen niet op alle onderdelen voldoen aan de eigen doelstellingen, contractueel overeengekomen eisen, en geldende wet- en regelgeving, zonder dat dit leidt tot schorsing of intrekking van het certificaat. Een extra bron van variatie in de betekenis van een MS-certificaat is gelegen in de keuze van doelstellingen en prestatie-indicatoren door de certificaathouder.
De accreditatiewereld is zich ervan bewust dat het gebruikelijke instrumentarium voor de beoordeling van CI’s teveel ruimte laat voor onterecht verleende MS-certificaten. Daarom hebben ISO en IAF een Action Plan to monitor and improve the effectiveness of Accredited Management System Certification opgesteld, dat onder andere heeft geleid tot het informatieve document IAF ID 4 Market Surveillance Visits to Certified Organizations. Dit document beschrijft een nieuw (niet verplicht) onderdeel van het instrumentarium voor de beoordeling van CI’s: de accreditatie-instantie voert zelf onderzoek uit bij een gecertificeerde organisatie, waarbij de betrokken CI een waarnemer kan meesturen. Zo’n market surveillance visit (markttoezichtbezoek) is een controle op het werk van de CI, en niet bedoeld om de bovengenoemde vrijheidsgraden te beperken (behoudens onterechte coulance). Het bezoek wordt dan ook gerapporteerd aan de CI, en niet aan de bezochte certificaathouder.
Harmonisatie van schema’s
Voorbeelden van toepassingsgebieden met een opvallende hoeveelheid overlappende certificatieschema’s zijn: ISO 9001-certificatie, certificatie in de zorg, en certificatie in de voedselketen. De situatie op deze terreinen wordt hieronder achtereenvolgens nader beschreven, en afgesloten met een conclusie over het stagneren of uitblijven van harmonisatie.
– ISO 9001-certificatie
Uit ISO-onderzoeken blijkt dat het ISO 9001-certificaat veruit het meest verspreide certificaat voor managementsystemen is. Het wordt aangeboden door een groot aantal CI’s, waarvan een substantieel deel niet is geaccrediteerd (deze worden niet meegeteld in de ISO-onderzoeken naar verspreiding). Het is niet ongebruikelijk dat organisatie-adviesbureaus het certificatietraject aanbieden in combinatie met voorafgaande ondersteuning om aan de certificatiecriteria te voldoen, wat voor geaccrediteerde CI’s verboden is. Nederland heeft geen nationale schemabeheerder, waarschijnlijk doordat deze norm zo breed toepasbaar is dat er geen afgebakende sector is die zich hier sterk voor wil maken. Daardoor beslissen al deze CI’s zelf over de interpretatie van ISO 9001, de kwalificaties van het auditteam, de tijdbesteding/auditduur, de omgang met NC’s en de opvolging daarvan, etc. Er is dus in feite sprake van overlappende schema’s, die alleen bij de geaccrediteerde CI’s enigszins zijn geharmoniseerd: hun speelruimte is begrensd door de accreditatienormen. Deze situatie is ontstaan door de opkomst van de kwaliteitsbeweging tegen het einde van de twintigste eeuw, en de ruimte die ontstond door deregulering en privatisering. De situatie blijft in stand zolang het schemabeheer niet landelijk wordt georganiseerd, zoals dat bij ISO 14001 wel is gebeurd. Zie ook het nieuwsbericht Waarom is ISO 9001-certificatie ondanks alles toch zo populair?
Mede gezien de beperkte meerwaarde van een ISO 9001-certificaat (zie het proefschrift van B. Manders) is het weinig zinvol om het grote aantal overlappende schema’s actief tegen te gaan. Een nationale schemabeheerder en meer accreditaties zouden weinig verbetering brengen, omdat de niet geaccrediteerde CI’s niet kunnen worden tegengehouden, en het RvA-logo onvoldoende bekend is om als keurmerk voor geaccrediteerde ISO 9001-certificaten te kunnen dienen. Een organisatie die een geaccrediteerd ISO 9001-certificaat wenst kan daarvoor terecht bij enkele tientallen CI’s.
– Certificatie in de zorg
Onder het motto Verantwoorde zorg heeft de zorgsector, in nauwe samenwerking met de overheid, vanaf 1989 systematisch gewerkt aan de kwaliteit van de zorg. In de in 1996 ingevoerde Kwaliteitswet zorginstellingen ging de aandacht meer uit naar de randvoorwaarden dan de resultaten van verantwoorde zorg. Om de gewenste ontwikkeling van MS-certificatie in goede banen te leiden werd met overheidssteun de Stichting Harmonisatie Kwaliteitsbeoordeling in de Zorgsector (HKZ) opgericht; outputgerichte initiatieven werden overgelaten aan afzonderlijke beroepsgroepen en deelsectoren. Wegens het tegenvallende gebruik van MS-certificatie door zorginstellingen, overwoog het verantwoordelijke ministerie in 2002 om MS-certificatie wettelijk te verplichten, maar zover is het niet gekomen. Rond 2016 werd het overheidsbeleid omgebogen van de bevordering van gecertificeerde managementsystemen naar het realiseren van uitkomstgerichte zorg. De Kwaliteitswet zorginstellingen werd toen opgevolgd door de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). De eerder op een voetstuk geplaatste managementsystemen werden in de Wkkgz verwezen naar een ondersteunende rol bij het bereiken van concrete resultaten. Desondanks zijn er in 2022 nog diverse zorgsectoren met een aantal naast elkaar bestaande MS-certificatieschema’s. In het onderstaande overzicht is Qualicor Europe sinds 2020 de nieuwe naam van het Nederlands Instituut voor de Accreditatie van Ziekenhuizen (in weerwil van de naam gaat het om een CI), en wordt de Europese norm NEN-EN 15224 ook wel ISO 9001 voor de zorg genoemd.
- huisartsen: HKZ, NEN-EN 15224, NHG Praktijkaccreditering;
- ziekenhuizen: HKZ, Qualicor Europe, Joint Commission International;
- verpleeghuiszorg: HKZ, NEN-EN 15224, Qualicor Europe, CIIO maatstaf;
- geestelijke gezondheidszorg: HKZ, NEN-EN 15224, Qualicor Europe, CIIO maatstaf;
- gehandicaptenzorg: HKZ, NEN-EN 15224, CIIO maatstaf, Kwaliteitskader gehandicaptenzorg;
- jeugdzorg: HKZ, NEN-EN 15224, CIIO maatstaf, Keurmerk Gezinsvervangende Jeugdzorg.
Deze situatie is ontstaan door nieuwe wetgeving in 1996 met flankerend beleid (subsidie voor Stichting HKZ) dat wel MS-certificatie bevorderde, maar de uitwerking daarvan overliet aan partijen in de zorgsector. De gewenste harmonisatie (de H in HKZ) is in haar tegendeel verkeerd. Na een periode van wisselend overheidsbeleid, werd in de aanloop naar de herziene wetgeving in 2016 de stimulering van MS-certificatie los gelaten, en vervangen door de ontwikkeling van instrumenten voor resultaatgerichte zorg. Op dat moment waren er onder accreditatie twee normen/schema’s beschikbaar die zorgbreed toepasbaar zijn: de HKZ-schema’s met een algemeen deel voor sectorbrede toepassing en zorgspecifieke delen om de reële verschillen tussen de deelsectoren te adresseren, en de norm NEN-EN 15224 die juist is ontworpen om sectorbreed te worden toegepast. Dit heeft echter niet geleid tot harmonisatie van certificatieschema’s binnen de zorgsectoren. Een deel van de verklaring kan zijn gelegen in het ontbreken van effectieve tucht van de markt, waardoor de overheadkosten gemakkelijk uit de hand lopen.
– Certificatie in de voedselketen
In 2005 verscheen de internationale norm ISO 22000, Managementsystemen voor voedselveiligheid – Eisen aan een organisatie in de voedselketen. In Nederland bestaat voor deze norm geen nationale schemabeheerder, waarschijnlijk doordat het Global Food Safety Initiative (GFSI) al in 2001 was begonnen met harmonisatie door benchmarking van de bestaande normen en schema’s voor voedselveiligheid. Hiertoe werd het GFSI Guidance Document ontwikkeld, op basis waarvan de schema’s van andere partijen (Certification programme owners) kunnen worden erkend. De erkende schema’s zijn te vinden op de GFSI-website. GFSI certificeert niet zelf, en het is ook geen accreditatie-instantie. Voor een voedselveiligheidscertificaat met GFSI-erkenning kan een bedrijf in de voedselketen zich wenden tot een voor het erkende schema geaccrediteerde CI (accreditatie op basis van ISO/IEC 17065 of ISO/IEC 17021). Een van de GFSI-geaccordeerde schema’s is FSSC 22000, dat wordt beheerd door de stichting FSSC. Het is gebaseerd op ISO 22000 en uitgebreid met enkele aanvullingen. Deze situatie is ontstaan en blijft in stand door segmentatie van de sector (verschillende voedselketens en landen), maar mogelijk kan het GFSI de harmonisatie van de overlappende schema’s op termijn positief beïnvloeden.
– Conclusie harmonisatie
Samengevat kan de harmonisatie van overlappende schema’s stagneren of uitblijven, zoals bij ISO 9001 en in de zorg, doordat certificaathouders MS-certificatie voornamelijk inzetten als managementinstrument, zijnde de tweede functie van deze certificatievorm. Er is dan geen externe stimulans om de schema’s te harmoniseren. Iedere organisatie heeft behoefte aan een besturingsmodel met veel ruimte voor eigen invulling, bij voorkeur met een goed ontwikkelde infrastructuur van adviseurs, kwaliteitsfunctionarissen, opleidingen, e.d. Vaak wordt enige mate van kwaliteitsmanagement zelfs verplicht gesteld in wetgeving (zoals in de zorg) of bij aanbestedingen. Bij een rijke schakering van certificatieschema’s is er dan voor elk wat wils. In combinatie met zelf te bepalen doelen en prestatie-indicatoren is een goed geïmplementeerd managementsysteem een onmisbaar hulpmiddel voor de leiding van welke organisatie dan ook, en dan zijn MS-normen en -schema’s een aantrekkelijke optie, zeker in combinatie met de mogelijkheid om – al dan niet onder accreditatie – een certificaat naar keuze te verwerven.
Certificaten met verschillende niveaus
In het hoofdstuk Certificatie is beschreven dat er certificatieschema’s met verschillende niveaus zijn, en hoe de verschillende niveaus kunnen worden toegewezen en tot uitdrukking gebracht. Voorbeelden van MS-certificaten met verschillende niveaus zijn de CO2 prestatieladder en de MVO prestatieladder. Bij deze ladders wordt het niveau uitgedrukt in een aantal treden (1 t/m 5).
De CO2 Prestatieladder is gebaseerd op een MS-certificatieschema dat zoveel mogelijk aansluit op internationale normen. Op de treden 1, 2 en 3 is de organisatie bezig met de eigen CO2 uitstoot, wat op de treden 4 en 5 moet worden uitgebreid naar de keten of de sector. De MVO Prestatieladder is gebaseerd op een MS-certificatieschema dat aansluit op de Harmonized Structure van ISO (zie Inhoud van certificatieschema’s). Dit schema is ontwikkeld door een groep Nederlandse CI’s omdat de norm ISO 26000 voor maatschappelijke verantwoordelijkheid alleen richtlijnen en adviezen bevat (type B in de ISO-indeling), waardoor hij niet kan fungeren als basis voor certificatie. Op de eerste twee treden van de ladder beschikt de organisatie over een geïmplementeerd managementsysteem, maar dit hoeft nog niet voor alle mvo-thema’s te werken; op trede 2 meer dan op trede 1. Op de treden 3, 4 en 5 moet de organisatie voldoen aan steeds hogere eisen voor de mvo-prestaties, vergeleken met branchegenoten. Vanaf trede 3 bevat het schema voor de MVO-prestatieladder dus output-criteria.
Inrichting managementsysteem
Doordat de normen en schema’s voor systeemcertificatie veel ruimte laten voor de vormgeving van de interne organisatie en de inrichting van het managementsysteem, zijn er veel vragen en discussies over verschillende aspecten daarvan. De volgende aspecten worden hier achtereenvolgens besproken: keuze van de doelen, betrokkenheid van het management, en tegengaan van bureaucratie.
– Keuze van de doelen
Bij de ontwikkeling van een managementsysteem is het verleidelijk om te beginnen met de behoeften en doelstellingen van het management. Dat leidt echter niet automatisch tot een systeem dat het primaire proces ten goede komt. In 2019 verscheen het proefschrift van M. van Geffen over kwaliteitssystemen in de geestelijke gezondheidszorg. Een van de bevindingen daarin is dat kwaliteitssystemen die voorzien in de behoeften van machtige externe partijen (zoals zorgverzekeraars) over het algemeen goed zijn geïmplementeerd, maar niet of nauwelijks bijdragen aan verbetering van de kwaliteit van de zorg. Een vergelijkbare conclusie werd in 2011 getrokken in de samenvatting van een onderzoek naar HKZ-certificering in de geestelijke gezondheidszorg: “De meerwaarde van HKZ is vooral gelegen in de verbeterde structuur- en proceskwaliteit. […] Ten aanzien van de uitkomsten van zorg is de meerwaarde diffuus.”
Het managementsysteem moet dus onverbiddelijk worden gericht op de werkelijke doelen van de organisatie, en minder op de behoeften van beleidsmedewerkers, managers en financiers. Dat kan door doelen te formuleren voor het werk van de medewerkers in het primaire proces, bijvoorbeeld over de implementatie van professionele standaarden en de inhoudelijke ontwikkeling van het vak, en voor de technisch/administratieve ondersteuning van het primaire proces. Daarvoor zijn uitdagende doelen te stellen, en de pdca-cirkel kan er productief rondgaan. Dit laat natuurlijk onverlet dat ook de relevante behoeften van andere partijen moeten worden vervuld.
– Betrokkenheid van het management
ISO 9001 verlangt dat het management actief betrokken is bij de werking van het managementsysteem en het realiseren van de doelen. Is dat niet het geval, dan zal het systeem los raken van de werkelijke gang van zaken in de organisatie, wat in het ergste geval leidt tot een virtueel systeem dat alleen bestaat om aan de interne en externe auditoren te tonen. Dit kan gebeuren als de intrinsieke motivatie voor kwaliteit ontbreekt, bijvoorbeeld als het certificaat is verworven op aandrang van een afnemer of toezichthouder, of bij onbegrip over de werking van het besturingsmodel, bijvoorbeeld als nog steeds wordt gedacht dat je met een handboek en uitgeschreven procedures een MS-certificaat kunt verwerven. Een CI met bekwame auditoren voorkomt dat zo’n virtueel systeem ontstaat, maar kan niet iedere neiging in die richting tijdig ontdekken en bijsturen.
Een goed middel om de betrokkenheid van het management te bevorderen is het integreren (of op z’n minst opnemen) van de periodieke beoordeling van het managementsysteem (management review) in het traditionele jaarverslag of de planning en control cyclus. Onverhoopte verschillen tussen de doelen van het systeem en de werkelijke resultaten komen dan meteen aan het licht, en liggen op tafel bij de interne toezichthouder. Zowel de uitvoeringspraktijk als het systeem kunnen daar beter van worden.
– Tegengaan van bureaucratie
Managementsysteemcertificatie leunt zwaar op registratie en verantwoording, zowel ten behoeve van de interne audits en de directiebeoordeling, als voor de certificatie-audits. Dit leidt gemakkelijk tot overregistratie en bureaucratie, wat – in afwijking van de bedoeling van MS-certificatie – inefficiëntie in de hand werkt. Vroegere versies van ISO 9001 schreven teveel bureaucratie voor, maar in de huidige versie uit 2015 is dat sterk teruggebracht.
In het hoger onderwijs, waar een verplichte vorm van MS-certificatie bestaat, wordt veel geklaagd over de administratieve lasten die het stelsel met zich meebrengt. Ook in de zorgsector, waar MS-certificatie wijdverspreid is, is dit het geval, wat onder andere blijkt uit georganiseerde initiatieven om bureaucratie te beperken (zoek ‘schrapsessies’ op internet), en het in 2018 begonnen actieplan (Ont)Regel de zorg. In 2020 bleek uit een tussentijdse evaluatie van ‘(Ont)Regel de zorg’ dat de beruchte vijfminutenregistratie, een van de meest tijdrovende bureaucratische maatregelen, een hardnekkig leven leidde. Ook in het hoger onderwijs bleek in 2021 dat de administratieve lasten moeilijk naar beneden waren te krijgen. Met de introductie van risicomanagement in ISO 9001 (2015) en verwante MS-normen en -schema’s was het gelegitimeerd om kleine risico’s niet of minder intensief te beheersen, maar dat is kennelijk niet overal doorgevoerd. Gelet op de in MS-normen ingebakken verantwoordingsplicht, is het zelfs denkbaar dat de beoogde verlichting (meer dan) teniet is gedaan door de gelijktijdige opkomst van methoden en normen voor risicomanagement, zoals ISO 31000.
Factoren die bureaucratie kunnen bevorderen zijn:
- de risico-regelreflex, zijnde de neiging van organisaties om overal handboeken, procedures en instructies voor te schrijven, en alles wat meetbaar is te registreren, zeker als de organisatie na een incident wil zorgen dat ‘zoiets nooit weer gebeurt’; andere verbetermogelijkheden, zoals bijscholing, automatisering en organisatorische ingrepen, worden gemakkelijk over het hoofd gezien, evenals de optie om nog even niets te regelen;
- onderling verschillende formats voor verantwoording en rapportages, die enerzijds worden opgelegd door de eigen organisatie, en anderzijds door autoriteiten, afnemers, verzekeraars, aandeelhouders, financiers, e.d., wat leidt tot dubbel werk.
Met het inperken of wegnemen van deze oorzaken en hun gevolgen onderscheidt de goed geleide organisatie zich van de plichtmatig of slecht geleide organisatie. Op vergelijkbare wijze zorgt de betere CI dat haar auditteams niet gemakzuchtig aansturen op een bureaucratisch managementsysteem, maar de organisatie attenderen op andere mogelijkheden voor aansturing en verantwoording. Dat is zelfs gelegitimeerd in de accreditatienorm (paragraaf 9.4.8.1 in ISO/IEC 17021-1), die stelt dat het auditteam mogelijkheden voor verbetering mag aandragen (maar geen specifieke oplossingen).
Alternatieve beoordelingsmethoden
Het onderzoek en de beoordeling van managementsystemen zijn onder accreditatie strak gereguleerd, wat leidt tot een gestructureerde diagnose van de afwijkingen van de certificatiecriteria (NC’s), waar de beoordeelde organisatie zelf mee aan de slag moet. Soms worden de CI’s, die verplicht zijn het gezag van het certificaat te bewaken, als te streng ervaren, waardoor aanvragers op zoek gaan naar alternatieven. De bijlage Functionele omgeving verwijst naar een aantal verwante systemen voor de besturing van organisaties en de borging van kwaliteit. Ook komt het voor dat een CI de aanvragers en houders van een systeemcertificaat enigszins tegemoetkomt, bijvoorbeeld met waarderend onderzoek (Engels: appreciative inquiry), ‘auditen in de geest van de norm’, of ‘ontwikkelingsgericht certificeren’. Als een CI hierin te ver gaat, leidt dat al gauw tot wollige diagnoses van het beoordeelde systeem en halfslachtige verbeterplannen, wat uiteindelijk kan resulteren in onterecht verleende/verlengde certificaten. De wijdverspreide positieve recensies van de genoemde stromingen ontstijgen zelden het niveau van (ook nuttig) klantenonderzoek, en zeggen weinig tot niets over de effectiviteit van het betreffende certificatietraject. Ze passen beter bij een adviestraject, zoals beschreven als tweede functie van systeemcertificatie.
Voor een productieve MS-audit is niet alleen nodig dat het auditteam zich inspant voor een ontspannen sfeer (auditoren die onder accreditatie werken zijn daarin getraind), maar ook het management van de beoordeelde organisatie moet bevorderen dat de medewerkers onbevangen in dialoog gaan met de auditoren, en zelf verantwoordelijkheid nemen voor hun deel van het managementsysteem. Als beide partijen zich hiervoor inspannen, leidt de audit tot trefzekere diagnoses, die de klant inspireren tot productieve verbeteringen van het managementsysteem. Alternatieve audit- en certificatiefilosofieën zijn daarvoor niet nodig, en ontwikkelingsgericht certificeren kan alleen met opstapcertificaten, barometers en ladders, zoals beschreven onder Certificaten met verschillende niveaus.
Voorbeelden van systeemcertificatie
In deze paragraaf wordt de huidige inzet en rol van systeemcertificatie op de volgende deelterreinen nader beschouwd:
- kwaliteitszorg, ISO 9001
- milieuzorg, ISO 14001
- informatiebeveiliging, ISO/IEC 27001
- gezond en veilig werken, ISO 45001
- voedselveiligheid, ISO 22000
- zorg en welzijn, EN 15224
- hoger onderwijs
- jeugdbescherming en jeugdreclassering
Deze voorbeelden worden hieronder achtereenvolgens besproken.
Kwaliteitszorg, ISO 9001
De eerste en meest verbreide internationale norm voor MS-certificatie is ISO 9001 voor kwaliteitsmanagement. Zoals beschreven in Harmonisatie van schema’s, is er geen nationale schemabeheerder, en kan er veel variatie optreden in de mate waarin organisaties met een ISO 9001-certificaat daadwerkelijk voldoen aan de norm.
In het begin gaf een ISO 9001-certificaat alleen enige zekerheid over de constantheid van de output (producten, diensten) van de certificaathouder, en niet over het kwaliteitsniveau daarvan. Indertijd was dat voldoende, omdat de afnemers zelf goed in staat waren de gewenste specificaties van de producten of diensten te bepalen, en deze op te nemen in het leveringscontract. De eerste versie van ISO 9001 (1987) legde daardoor veel nadruk op het vastleggen en naleven van interne procedures, wat in gecertificeerde bedrijven leidde tot dikke kwaliteitshandboeken en veel bureaucratie. Zowel de certificatie-instellingen (CI’s) en hun auditoren, als de aanvragers en houders van een ISO 9001-certificaat focusten daardoor teveel op protocollen en registraties, waarbij het eigenlijke doel van de organisatie en de ruimte voor eigen initiatief van de medewerkers buiten beeld konden raken.
Toen de populariteit van ISO 9001 rond de laatste eeuwwisseling snel toenam, en het certificaat steeds meer werd gezien als zelfstandig bewijs van organisatiekwaliteit, los van het contract tussen leverancier en afnemer, verminderde de aandacht van het management voor het gecertificeerde kwaliteitsmanagementsysteem (KMS), waardoor dit een geïsoleerd speeltje van de kwaliteitsfunctionaris kon worden. CI’s die de audits op het voldoen aan ISO 9001 uitvoerden vonden in de norm weinig handvatten om deze ontwikkeling tegen te gaan. In volgende versies van ISO 9001 werden daarom eisen toegevoegd voor klantenonderzoek en klantentevredenheid, alsmede betrokkenheid van de directie, terwijl het aantal verplichte interne procedures flink werd teruggeschroefd. De nieuwste versie van ISO 9001 (2015) verplicht de certificaathouder bovendien om naast de klanten ook andere belanghebbenden, zoals leveranciers, overheden en omwonenden van productie- en kantoorlocaties, te betrekken in de contextanalyse, en waar nodig de organisatiedoelen daarop aan te passen.
Al deze aanpassingen van ISO 9001 hebben de norm, met decennia vertraging, iets meer geschikt gemaakt voor zelfstandige toepassing, los van mondige opdrachtgevers en duidelijke specificaties van de gewenste output (producten, diensten). Toch blijven de ISO-normen voor managementsystemen minder geschikt voor borging van de kwaliteit van producten en diensten, omdat een MS-norm van ISO geen testmethoden, eisen, normen e.d. mag opleggen aan de output van de organisatie waarop de norm wordt toegepast. De enige uitzondering hierop is de verplichting, opgenomen in alle MS-normen van ISO en ISO/IEC, dat de organisatie zich ten doel stelt te voldoen aan de geldende wet- en regelgeving. Ook de wensen van klanten moeten worden vervuld, maar daarbij kiest de organisatie zelf het marktsegment dat, of de doelgroep die men wil bedienen. Over de inhoud en meerwaarde van ISO 9001 bestaan veel misverstanden, deels verbonden aan vroegere versies van de norm. ISO heeft een gratis brochure uitgegeven om deze mythes te ontkrachten.
Als in een certificatieschema voor kwaliteitszorg alle elementen uit ISO 9001 zijn meegenomen, en andere onderdelen van het schema de werking daarvan niet in de weg zitten, mag het bijbehorende certificaat ISO 9001-compatibel worden genoemd. Dit is bijvoorbeeld het geval bij een groot aantal HKZ-schema’s.
Milieuzorg, ISO 14001
De tweede meest verbreide internationale norm voor systeemcertificatie is ISO 14001 voor management van milieuzorg. De nationale schemabeheerder voor ISO 14001 is de Stichting Coördinatie Certificatie Managementsystemen voor milieu en gezond en veilig werken (SCCM). SCCM beheert ook andere certificatieschema’s, waaronder het schema voor ISO 45001, de MS-norm voor gezond en veilig werken. De aangesloten CI’s zijn verplicht om RvA-accreditatie te verwerven. Op haar website stelt SCCM hulpmiddelen beschikbaar en geeft ze tips voor het invoeren van een managementsysteem.
Het toepassingsgebied van ISO 14001 overlapt met een uitgebreid stelsel van wetten en regels op milieugebied. Hierover heeft European Accreditation, de koepelorganisatie van nationale accreditatie-instanties in Europa, het verplichte document EA-7/04 – Legal Compliance as a Part of Accredited ISO 14001:2015 Certification uitgegeven. Dit document licht toe in hoeverre een ISO 14001-certificaat zekerheid geeft over het voldoen aan de geldende wet- en regelgeving op milieugebied, en bevat richtlijnen voor CI’s om dit te bevorderen. Lees verder bij Voldoen aan wet- en regelgeving.
Als in een certificatieschema voor milieuzorg alle elementen uit ISO 14001 zijn meegenomen, en andere onderdelen van het schema de werking daarvan niet in de weg zitten, mag het bijbehorende certificaat ISO 14001-compatibel worden genoemd. Dit is bijvoorbeeld het geval bij het vrijwillige Eco Management and Audit Scheme (EMAS), dat is gedefinieerd in Verordening 1221/2009 van de Europese Unie. Op basis van deze verordening is SCCM aangewezen als bevoegde instantie voor EMAS-certificatie.
Informatiebeveiliging, ISO/IEC 27001
In 2005 verscheen de internationale norm ISO/IEC 27001 voor informatiebeveiliging. In 2013 is ISO/IEC 27001 herzien, en in 2022 staat een volgende herziening op stapel. De zusternorm ISO/IEC 27002 is een uitgebreide catalogus van maatregelen die genomen kunnen worden om de bijbehorende risico’s te beheersen. Een organisatie die ISO/IEC 27001 toepast op haar managementsysteem moet bepalen welke beveiligingsrisico’s aan de orde zijn, en in een verklaring van toepasselijkheid vastleggen welke maatregelen uit ISO/IEC 27002 zijn gekozen om elk van deze risico’s te beheersen. Veel van de maatregelen in ISO/IEC 27002 hebben het karakter van een procesbeschrijving, waardoor het aldus gekoppelde normenpaar 27001/2 meer lijkt op productcertificatie dan op MS-certificatie. De beheersing van de organisatiedoelen en prestatie-indicatoren blijft echter verlopen via de omweg van systeemcertificatie.
In 2011 verscheen de van ISO/IEC 27001 afgeleide Nederlandse norm NEN 7510, specifiek voor toepassing in de zorg. Deze norm is ontwikkeld in opdracht van de Nederlandse overheid vanwege het grote belang van bescherming van gegevens van zorgconsumenten. De norm is in 2017, en vervolgens in 2020 herzien, waarbij het normnummer veranderde in 7510-1 en de beheersmaatregelen in ISO/IEC 27002 werden overgenomen in NEN 7510-2. De Nederlandse normen zijn kosteloos te downloaden op de NEN-website.
De toepassingsgebieden van NEN 7510-1 en ISO/IEC 27001 overlappen gedeeltelijk met de Algemene Verordening Gegevensbescherming (AVG) en enkele andere Nederlandse wetten en regels. In voorkomende gevallen worden ze dan ook door de Autoriteit Persoonsgegevens of de Nederlandse overheid genoemd als richtsnoer voor toepassing van (onderdelen van) de AVG of andere wet- en regelgeving. In paragraaf 0.8 geeft NEN 7510-1 hiervan een aantal voorbeelden; daarbij is geen sprake van (verplichte) certificatie.
Voor NEN 7510-1 en ISO/IEC 27001 kunnen organisaties een (al dan niet geaccrediteerd) systeemcertificaat verwerven bij diverse CI’s. De bijbehorende accreditatienormen zijn NCS 7510 voor NEN 7510, en ISO/IEC 27006 voor ISO/IEC 27001; beide zijn gebaseerd op de algemene accreditatienorm voor systeemcertificatie (ISO/IEC 17021-1), en bevatten aanvullingen die specifiek zijn voor de certificatie van informatiebeveiliging. NCS 7510 bevat bovendien aanvullingen die specifiek zijn voor de zorg in Nederland; als schemabeheerder fungeert NEN.
Gezond en veilig werken, ISO 45001
In 2018 verscheen de internationale norm NEN-ISO 45001, Managementsystemen voor gezond en veilig werken – Eisen met richtlijnen voor gebruik. De voorloper van deze internationale norm was OHSAS 18001, Occupational Health and Safety Assessment Series, de Britse norm voor Arbo-managementsystemen. In Nederland is de Stichting Coördinatie Certificatie Managementsystemen voor milieu en gezond en veilig werken (SCCM) de schemabeheerder voor ISO 45001. De aangesloten CI’s zijn verplicht om RvA-accreditatie te verwerven. Op haar website stelt SCCM diverse hulpmiddelen beschikbaar en geeft ze tips voor het invoeren van een managementsysteem, waar onder het informatieblad Naleving van wet- en regelgeving met een G&VW-managementsysteem.
Het toepassingsgebied van ISO 45001 overlapt met de Arbeidsomstandighedenwet. De Nederlandse Arbeidsinspectie, die tot en met 2021 Inspectie Sociale Zaken en Werkgelegenheid (SZW) heette, is belast met het toezicht op deze wet en enkele andere wetten. Op een aantal deelgebieden maken private inspectie- en certificatie-instellingen deel uit van het toezichtsysteem. Op het Arboportaal publiceert de Inspectie overzichten van de aangewezen CBI’s en de schemabeheerders. In 2022 gaat het om ca. 37 geaccrediteerde inspectie- en certificatie-instellingen met ca. 80 aanwijzingen, waarvan ca. 10 voor systeemcertificatie; de overige aanwijzingen betreffen inspectie (ca. 40), productcertificatie (ca. 25) en persoonscertificatie (3).
Naast de aangewezen CBI’s die inspecteren en certificeren op basis van door het ministerie van SZW geaccordeerde schema’s, kunnen CI’s ook werken op basis van certificatieschema’s voor gezond en veilig werken die geen formele relatie hebben met het overheidsbeleid. Enkele voorbeelden zijn:
- Stichting Coördinatie Certificatie Managementsystemen voor milieu en gezond en veilig werken (SCCM, zie boven);
- Stichting Samenwerken Voor Veiligheid (SSVV, zie onder);
- Stichting NEN beheert diverse certificatieschema’s, waar onder de Safety Culture Ladder (Veiligheidsladder), waarmee het veiligheidsbewustzijn en de veiligheidscultuur in een organisatie worden gemeten;
- Stichting Blik op Werk certificeert dienstverleners op het gebied van inburgeren, duurzame inzetbaarheid, loopbaancoaching, verzuimbegeleiding, re-integratie en jobcoaching.
Al deze schemabeheerders contracteren CI’s voor de uitvoering van hun certificatietrajecten.
De in 1994 opgerichte Stichting Samenwerken Voor Veiligheid is schemabeheerder voor een aantal MS-certificatieschema’s gericht op veilige arbeidsomstandigheden. Met een VCA-, VCO- of VCU-certificaat kunnen aannemers (VCA), opdrachtgevers (VCO) en uitzendorganisaties (VCU) aantonen dat zij hun beheersysteem voor veiligheid, gezondheid en milieu (VGM) op orde hebben. Veel opdrachtgevers en hoofdaannemers verplichten hun aannemers en onderaannemers om te werken onder het van toepassing zijnde VCA/VCO/VCU-certificaat. De VGM Checklist Aannemers (VCA) eist dat medewerkers in de branche/industrie voldoende kennis hebben van VGM (Veiligheid, gezondheid en milieu). De examenorganisatie VCA Infra is verantwoordelijk voor de bijbehorende persoonscertificatie.
Voedselveiligheid, ISO 22000
In 2005 verscheen de internationale norm ISO 22000 voor managementsystemen voor voedselveiligheid. In 2018 werd deze norm herzien. Zoals beschreven in Harmonisatie van schema’s, is er geen nationale schemabeheerder voor ISO 22000, en waren er al voor 2005 diverse andere normen en schema’s voor voedselveiligheid. In 2001 richtte een aantal grote partijen in de voedselketen (producenten en detailhandels) het Global Food Safety Initiative (GFSI) op, met als doel de bestaande normen en schema’s voor voedselveiligheid te harmoniseren door middel van benchmarking. In 2022 verscheen de norm ISO 22003-2, Food safety — Part 2: Requirements for bodies providing evaluation and certification of products, processes and services, including an audit of the food safety system. Deze norm vult de accreditatienorm voor productveiligheid ISO/IEC 17065 aan met regels voor de audit van het managementsysteem van bedrijven in de voedselketen. In 2022 publiceerde ISO, in samenwerking met het International Accreditation Forum, een brochure die uitlegt wat wel en niet mag worden verwacht (Engels: expected outcomes) van een ISO 22000-certificaat.
Het overheidsbeleid voor voedselveiligheid in relatie tot certificatie betreft bijna uitsluitend managementsysteem- en procescertificatie, met certificaten die zijn gericht op handels- en ketenpartners en toezichthouders, dus niet op de consument. De Nederlandse Voedsel- en Warenautoriteit (NVWA), die is belast met het toezicht op de voedselveiligheid, heeft in 2018 de staat van de voedselveiligheid in Nederland beschreven in een gelijknamig rapport. De NVWA kan private kwaliteitssystemen beoordelen en geschikt verklaren voor aangepast overheidstoezicht. De geaccepteerde systemen worden vermeld op de website van de Stichting Ketenborging.nl. Hierbij aangesloten bedrijven komen in aanmerking voor aangepast toezicht. Uit een evaluatie van Ketenborging.nl in 2021 blijkt dat de doelgroep zich liever oriënteert op het vergelijkbare systeem van GFSI, omdat dat internationaal georiënteerd is.
Zorg en welzijn, EN 15224
In 2012 verscheen de Europese norm EN 15224 (in Nederland aangeduid met NEN-EN 15224), Zorg en welzijn – Kwaliteitsmanagementsystemen – Eisen gebaseerd op EN ISO 9001:2008. In 2017 werd deze norm NEN-EN 15224 herzien. Zoals de naam aangeeft, is EN 15224 een uitwerking van ISO 9001 voor organisaties in zorg en welzijn. De schemabeheerder is NEN. Zoals beschreven in Harmonisatie van schema’s waren er ten tijde van de eerste versie van EN 15224 in Nederland al diverse overlappende schema’s, maar andere leden van het Europese normalisatie-instituut CEN vonden deze norm wel nodig, en in Nederland bleek er ook een markt voor te bestaan.
De in 1996 ingevoerde Kwaliteitswet Zorginstellingen zette sectorbreed in op de introductie van kwaliteitsmanagementsystemen bij zorginstellingen om de kwaliteit van zorg te verbeteren. Met ingang van 2016 werd de Kwaliteitswet Zorginstellingen opgevolgd door de Wet kwaliteit, klachten en geschillen zorg (Wkkgz), waarin volledig werd omgeschakeld naar resultaatgerichte zorg, en de rol van certificatie in het overheidsbeleid tot een minimum beperkt.
Het toezicht op de zorg wordt uitgeoefend door de Inspectie Gezondheidszorg en Jeugd (IGJ). In de gehandicaptenzorg houdt de IGJ bij haar toezicht rekening met het Kwaliteitskompas gehandicaptenzorg, een certificatiestelsel dat de branche zelf heeft ontwikkeld. Het Kwaliteitskader is een vorm van MS-certificatie, met monitoring van de gang van zaken, interne reflecties, een verbetercyclus en externe visitaties, zonder dat de terminologie van MS-certificatie wordt genoemd. Het Kwaliteitskader gehandicaptenzorg is niet RvA-geaccrediteerd.
Hoger onderwijs
In 2003 tekenden Nederland en Vlaanderen een verdrag over de accreditatie van opleidingen binnen het Nederlandse en Vlaamse hoger onderwijs om te komen tot een gemeenschappelijke accreditatieorganisatie. Dit leidde onder andere tot de oprichting in 2005 van de Nederlands-Vlaamse Accreditatieorganisatie (NVAO) met de status van zelfstandig bestuursorgaan. Hoewel de naam anders doet vermoeden, is de NVAO – in het begrippenkader van deze website – een certificatie-instelling, en geen accreditatie-instantie zoals de RvA. De NVAO beoordeelt namelijk hoger onderwijsinstellingen, en geen conformiteitsbeoordelende instellingen zoals CI’s. De taken en werkwijze van de NVAO in Nederland zijn vastgelegd in hoofdstuk 5 van de Wet op het hoger onderwijs en wetenschappelijk onderzoek. De Inspectie van het Onderwijs (ook wel: Onderwijsinspectie) houdt toezicht op het gehele onderwijsveld.
Het doel van de NVAO is de kwaliteit van het hoger onderwijs te borgen, en de kwaliteitscultuur binnen de hogeronderwijsinstellingen te bevorderen. De NVAO certificeert bestaande en nieuwe opleidingen en beoordeelt de kwaliteitszorg van instellingen in het hoger onderwijs. Als certificatieschema fungeert het Beoordelingskader accreditatiestelsel hoger onderwijs Nederland, Ministerie van OCW. De besluiten van de NVAO leiden tot erkenning van diploma’s en titels, en waar van toepassing tot bekostiging van opleidingen. Met deze opdracht, primair gericht op kwaliteitsbevordering, onderscheidt de NVAO zich van veel andere door de overheid aangewezen CI’s, die veelal worden ingeschakeld ter ondersteuning van het wettelijke toezicht. In een Kamerbrief verwoordt de minister dit in 2021 als volgt:
In het huidige stelsel hebben de NVAO en de inspectie elk hun eigen taken en bevoegdheden binnen het hoger onderwijs. De NVAO beoordeelt de kwaliteit en kwaliteitszorg en de inspectie ziet toe op de naleving van wet- en regelgeving en de continuïteit die nodig is voor het leveren van die kwaliteit.
Het beoordelingskader aan de hand waarvan de NVAO de instellingen en hun opleidingen toetst doet geen uitspraak over de toegepaste certificatievorm (product- of systeemcertificatie). Echter, zowel de gehanteerde terminologie en de toegepaste methoden (beoordeling interne kwaliteitszorg door collegiale toetsing, kwaliteitsverbetering, verankering pdca-cyclus in de organisatie, e.d.), als de eisen aan de onderwijsinstellingen (met als centrale vraag: verzekert de kwaliteitszorg de realisatie van de visie op goed onderwijs en werkt de instelling duurzaam aan ontwikkeling en verbetering) wijzen op systeemcertificatie. De NVAO past geen persoonscertificatie toe op de examenpraktijk in het hoger onderwijs; elders in het onderwijsveld gebeurt dit wel (zie het hoofdstuk Persoonscertificatie), zij het niet altijd op basis van de accreditatienorm ISO/IEC 17024 voor persoonscertificatie.
De NVAO is niet geaccrediteerd door de RvA of een andere accrediterende instantie. De Onderwijsinspectie ziet toe op de NVAO aan de hand van een onderzoekskader. Samen met de Commissie Doelmatigheid Hoger Onderwijs (CDHO) hebben de Inspectie en de NVAO een samenwerkingsprotocol opgesteld, teneinde een logisch, effectief en samenhangend stelsel van externe borging in het hoger onderwijs te realiseren. Hierbij streven de drie partijen vanuit de één loket gedachte naar een effectieve onderlinge samenwerking teneinde de administratieve lastendruk voor de instellingen zo beperkt mogelijk te houden. Een van de afspraken is dat partijen elkaar informeren over relevante signalen ten aanzien van onderwijskwaliteit en/of de toepassing van wet- en regelgeving en/of de doelmatigheid van het hoger onderwijsaanbod die zij krijgen bij de uitvoering van hun werkzaamheden.
Jeugdbescherming en jeugdreclassering
In het kader van de decentralisatie van de jeugdzorg zijn de gemeenten in 2015 verantwoordelijk geworden voor de jeugdzorg, inclusief jeugdbescherming en jeugdreclassering (jb & jr). De Jeugdwet schrijft voor dat de instellingen voor jb & jr (voorheen Bureaus Jeugdzorg) gecertificeerd moeten zijn. Het certificatieschema, inclusief de normen waaraan deze instellingen moeten voldoen, is opgenomen in het Normenkader ten behoeve van certificering van uitvoerende organisaties in jeugdbescherming en/of jeugdreclassering. Het schema is gebaseerd op de beginselen van managementsysteemcertificatie. In 2014 is het Keurmerkinstituut aangewezen als enige CI voor de certificatie van organisaties voor jb & jr, welke aanwijzing in 2019 met vijf jaar is verlengd. Het Keurmerkinstituut heeft voor deze activiteit de status van zelfstandig bestuursorgaan, en is geaccrediteerd door de RvA.
Naast de RvA zien ook de Inspectie Gezondheidszorg en Jeugd en de Inspectie Justitie en Veiligheid toe op het Keurmerkinstituut, de eerste voor jeugdbescherming, de tweede voor jeugdreclassering. Het hiervoor gehanteerde toetsingskader is opgenomen in het rapport van de eerste beoordeling in 2017. Het Keurmerkinstituut en de betrokken inspecties zijn een afstemmingsprotocol overeengekomen, waarin de wederzijdse taken en bevoegdheden zijn gespecificeerd, en is vastgelegd welke informatie actief wordt uitgewisseld. Dit blijft in essentie beperkt tot informatie die al openbaar is of wordt, zoals het verlenen, schorsen en intrekken van certificaten door het Keurmerkinstituut, en het instellen en beëindigen van verscherpt toezicht door de inspecties.
Het certificatieschema voor jb & jr bevat de volgende output- en input-eisen:
– de organisatie moet werken met een negental meetbare prestatie-indicatoren, die in het schema zijn gespecificeerd;
– de ingezette professionals moeten zijn opgenomen in het Kwaliteitsregister Jeugd; dit register is een vorm van persoonscertificatie.
Hiermee zijn weliswaar enkele harde criteria ondergebracht in het schema, maar de reactie op, en het herstel van (de gevolgen van) NC’s blijft lopen via de omweg van systeemcertificatie.
In 2023 publiceerde de Algemene Rekenkamer het rapport Georganiseerde onmacht over de rol van de rijksoverheid bij de jeugdbescherming. In paragraaf 3.3 constateerde de Rekenkamer dat de jb/jr-certificaten “in de praktijk geen garantie [boden] dat de instellingen daadwerkelijk aan de wettelijke kwaliteitseisen voldeden, en ook niet aan de wettelijke termijnen die gelden voor de jeugdbescherming”.
Samenvatting systeemcertificatie
De primaire functie van managementsysteemcertificatie (ook wel: systeemcertificatie of MS-certificatie) is het bevorderen van vertrouwen bij de doelgroep, die bestaat uit de klanten en zakenpartners van de gecertificeerde organisaties. Het certificaat heeft geen betrekking op producten of diensten, maar op de bedrijfsvoering (het managementsysteem) van de gecertificeerde organisatie.
De betekenis van het certificaat is dat de certificaathouder voldoet aan wet- en regelgeving en de wensen van klanten, en de gemaakte afspraken nakomt. Doordat iedere certificaathouder zich kan richten op een andere klantengroep, is de betekenis van het certificaat diffuus, behalve voor afnemers die (contractuele) afspraken hebben gemaakt over de te leveren output (producten, diensten). Een neveneffect van systeemcertificatie is dat het kan leiden tot efficiëntieverbetering bij de certificaathouder; anderzijds wordt het wel geassocieerd met nodeloze bureaucratie. Deze neveneffecten kunnen ook optreden bij organisaties die de certificatiecriteria toepassen zonder een certificaat aan te vragen.
Systeemcertificatie is gebaseerd op een basaal besturingsmodel dat geschikt is voor zeer uiteenlopende organisatiestructuren en bedrijfsculturen: doelen stellen, de realisatie volgen en evalueren, en waar nodig de doelen bijstellen. Deze systematiek wordt pdca-cirkel of -cyclus (ook wel: Demingcirkel) genoemd. Bij audits en controles wordt in principe alleen de werking van het systeem getoetst, dus niet de output van de certificaathouder. Eventuele non-conformiteiten (NC’s) worden hersteld via de omweg van het managementsysteem, dus niet rechtstreeks in het productieproces. De certificaathouder bepaalt in principe zelf de hersteltermijn, uitgaande van zijn beoordeling van het risico van de NC. Daardoor kan het niveau van de output van gecertificeerde organisaties variëren, en zelfs enige tijd zakken onder het niveau van de eigen doelen en daarvan afgeleide prestatie-indicatoren.
De variatie in betekenis van een systeemcertificaat kan worden beperkt door de opname in het certificatieschema van branchespecifieke afspraken (professionele standaarden, gedragscodes, richtlijnen, andere certificaten, e.d.) of bindende verwijzingen naar andere normen en schema’s, dan wel eisen aan de output of de input (van toeleveranciers) in de vorm van meetbare prestatie-indicatoren. Wel rijst dan de vraag waarom niet is gekozen voor productcertificatie met aanvullende eisen voor het managementsysteem. Daarbij worden immers alle relevante prestatie-indicatoren behandeld, inclusief voorschriften voor het omgaan met NC’s. ISO en ISO/IEC hebben bepaald dat hun normen voor MS-certificatie geen eisen aan de output van de organisatie bevatten; daardoor zijn dit ‘zuivere’ systeemcertificatienormen.
Historie
De eerste internationale norm voor managementsysteemcertificatie (ISO 9001) werd gepubliceerd in 1987, en had betrekking op kwaliteitsmanagement. In 1996 volgde ISO 14001 voor milieumanagement. Heden ten dage zijn dit de normen op basis waarvan wereldwijd de meeste certificaten zijn uitgereikt. Voor ISO 14001 is de schemabeheerder SCCM opgericht, maar tot op heden kent Nederland geen nationale schemabeheerder voor ISO 9001.
De voorlopers van ISO 9001 en ISO 14001 waren ontwikkeld voor toepassing in de oorlogsindustrie, met als doel de output (producten, diensten) van de certificaathouder te beheersen. Hiermee kon de eindcontrole van de productie deels worden verlegd naar de interne gang van zaken (het managementsysteem), wat gepaard ging met kostenbesparing, zowel bij het testen van de output (minder destructieve proeven) als in de productie (minder fouten). In het begin (eind twintigste eeuw) gaf een ISO 9001-certificaat alleen enige zekerheid over de constantheid van de output (producten, diensten) van de certificaathouder, en niet over het kwaliteitsniveau daarvan. Indertijd was dat voldoende, omdat de afnemers zelf goed in staat waren de gewenste specificaties van de producten of diensten te bepalen, en deze op te nemen in het leveringscontract.
De eerste versie van ISO 9001 legde veel nadruk op het vastleggen en naleven van interne procedures, wat in gecertificeerde organisaties leidde tot dikke kwaliteitshandboeken en veel bureaucratie. In volgende versies van ISO 9001 en 14001 werden daarom eisen toegevoegd voor klantenonderzoek en klantentevredenheid, alsmede de betrokkenheid van de directie, terwijl het aantal verplichte interne procedures flink werd teruggeschroefd. Deze aanpassingen van ISO 9001 en andere MS-normen hebben deze normen, met decennia vertraging, iets meer geschikt gemaakt voor zelfstandige toepassing, los van mondige opdrachtgevers en duidelijke specificaties van de gewenste output (producten, diensten). Tegenwoordig is de bureaucratisering uit de beginjaren van MS-certificatie geen onontkoombaar neveneffect meer; met dien verstande dat elke organisatie – ook zonder certificaat – een zekere hoeveelheid plannen, protocollen, registraties, en rapportages nodig heeft.
Al gauw na de opkomst van managementsysteemcertificatie nam de overheid deze certificatievorm op in haar beleid, met als voorbeelden de aanloopsubsidie voor HKZ-certificatie (1994), de nadruk op kwaliteitsmanagementsystemen in de Kwaliteitswet Zorginstellingen (1996), en de verplichte systeemcertificatie van het hoger onderwijs door de NVAO (2005).
Stand van zaken
De meeste managementsysteemcertificaten zijn in te delen naar:
- domein/vakgebied (Engels: discipline): ISO 9001 voor kwaliteit, ISO 14001 voor milieu, ISO 22000 voor voedselveiligheid, ISO/IEC 27001 voor informatiebeveiliging, etc.
- vorm van de criteria: type A norm van ISO, of certificatieschema (VCA, FSSC 22000, jb & jr, etc.); de ISO-normen bevatten geen eisen aan de output (producten, diensten) en de input (van toeleveranciers); bij schema’s kan dat wel het geval zijn.
De certificatie van managementsystemen kent onder andere de volgende uitvoeringsvormen (met tussen haakjes enkele voorbeelden):
- met een nationale schemabeheerder (ISO 14001, HKZ) en zonder (ISO 9001, ISO/IEC 27001);
- certificaten met verschillende niveaus (CO2- en MVO-prestatieladder);
- overlappende schema’s (één van elke CI bij ISO 9001, certificatie in de zorg);
- met RvA-accreditatie (HKZ, diverse schema’s voor gezond en veilig werken) en zonder (NVAO-certificatie hoger onderwijs).
Ook zijn er organisaties die schema’s erkennen op basis van zekere kwaliteitscriteria, zoals het Global Food Safety Initiative voor levensmiddelen, en het Nederlandse Ketenborging.nl. Dit is geen accreditatie, omdat de uitvoering door CI’s niet wordt getoetst.
De harmonisatie van overlappende schema’s kan stagneren of uitblijven, zoals bij ISO 9001 en in de zorg, doordat certificaathouders MS-certificatie voornamelijk inzetten als management-instrument, zijnde de tweede functie van deze certificatievorm. Er is dan geen externe stimulans om de schema’s te harmoniseren.
Accreditatie en toezicht
Systeemcertificatie op basis van een van de certificatienormen van ISO of ISO/IEC kan zowel met als zonder RvA-accreditatie worden aangeboden. Schemabeheerders met een eigen certificatieschema verplichten de aangesloten CI’s meestal om accreditatie te verwerven, evenals overheden die certificatie inzetten bij de ondersteuning van wet- en regelgeving.
In het kabinetsstandpunt over certificatie en accreditatie in het overheidsbeleid wordt RvA-accreditatie aanbevolen als certificatie fungeert als ondersteuning van wet- en regelgeving. Niet alle ministeries houden zich aan deze richtlijn:
- de verplichte certificatie van het hoger onderwijs door de NVAO is niet geaccrediteerd;
- het toezicht op de gehandicaptenzorg, waarbij de Inspectie Gezondheidszorg en Jeugd rekening houdt met het niet geaccrediteerde Kwaliteitskader gehandicaptenzorg.
Het tweede voorbeeld betreft toezichtondersteuning, waarover het kabinetsstandpunt meldt dat accreditatie ‘groter vertrouwen [kan] geven in conformiteitsbeoordelingen’.
Systeemcertificatie is minder geschikt voor ondersteuning van wet- en regelgeving, omdat eventuele non-conformiteiten (NC’s) worden hersteld via de omweg van het managementsysteem, dus niet rechtstreeks in het productieproces. Een volgens de regels uitgevoerde en gerapporteerde audit kan de rijkstoezichthouder echter wel argumenten geven om minder en/of beperktere controles uit te voeren, mits de toezichthouder inzage krijgt in de auditrapporten – alleen het certificaat geeft onvoldoende informatie.
Tot zover de samenvatting van Systeemcertificatie. Lees ook de integrale samenvatting (pdf), of de samenvattingen van de andere hoofdstukken: