Een certificeringstraject of ISMS-implementatie is een project met fases: nulmeting, inrichting, training, interne audit en certificering. Goede begeleiding halveert de doorlooptijd. Het is geen kwestie van een knopje aanzetten, maar met een doordachte aanpak kom je er vlot.
Aan de slag met een implementatie? Normity helpt je bij iedere stap. Met een platform dat met je meegroeit en met partners die de inhoudelijke begeleiding kunnen verzorgen.
Bij een implementatietraject van een managementsysteem — of het nu om ISO 9001, ISO 27001, HKZ of een ander kwaliteits- of beveiligingssysteem gaat — loop je grofweg dezelfde stappen door. De doorlooptijd is sterk afhankelijk van je startpositie, ambitie en beschikbare capaciteit.
Een typisch implementatietraject in fases:
Wat we in de praktijk vaak zien: organisaties willen alles zelf doen om kosten te besparen en lopen vervolgens vast op tijdsdruk en specialistische kennis. Of ze besteden alles uit en hebben straks een mooi systeem dat in de organisatie niet leeft. De gulden middenweg: beperkte externe begeleiding, maar het ownership intern. En een systeem dat zo eenvoudig in gebruik is dat medewerkers erán willen werken — precies waar Normity zich op heeft gericht.
Doorlooptijd ligt bij ISO 9001 of HKZ vaak rond de 6-9 maanden bij een standaard MKB. ISO 27001 is doorgaans 9-15 maanden, BIO of NEN 7510 ongeveer hetzelfde. Te krap inplannen leidt tot stress en gemiste deadlines, te ruim inplannen maakt de adoptie lui. Een realistisch tempo dat past bij je organisatie is meestal het beste.
Op zoek naar een HKZ-adviesbureau dat je helpt bij het implementeren of onderhouden van een HKZ-kwaliteitssysteem? Wij hebben een overzicht samengesteld van gespecialiseerde bureaus die zorg- en welzijnsorganisaties begeleiden. In dit artikel vind je hun profielen en een handige verwijzing naar hun specialismen binnen het HKZ-domein.
Een nulmeting maakt zichtbaar waar je organisatie nu staat — het vertrekpunt dat je nodig hebt om verbetering te kunnen meten. Vooral bij een nieuw managementsysteem of een certificeringstraject is dat waardevol, maar soms ook overbodig. In dit artikel lees je wanneer een nulmeting zinvol is en hoe je 'm aanpakt.
RAVIB is een dreigingsmodel dat je gestructureerd door een risicoanalyse voor informatiebeveiliging loodst, met standaarddreigingen die nauw aansluiten bij ISO 27002 en de BIO. In dit artikel laten we zien hoe je het model inzet, welke stappen je zet van dreiging naar maatregel en wat de voordelen zijn.
Een kwaliteitsmanagementsysteem (KMS) is een structurele manier om kwaliteit in je organisatie te borgen, meten en verbeteren — via processen, documentatie, audits en de PDCA-cyclus. Waarom heb je er een nodig en wat levert het op? In dit artikel bespreken we het nut en de noodzaak van kwaliteitsmanagement.
MAPGOOD is een dreigingsmodel voor risicoanalyses op het gebied van informatiebeveiliging, opgebouwd uit zeven categorieën: Mens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Met die structuur werk je systematisch en diepgaand alle relevante risico's af. In dit artikel leggen we uit hoe je MAPGOOD toepast in Normity.
Serious gaming zet spelprincipes in voor serieuze doelen — zoals training, bewustwording of kwaliteitsverbetering. Tijdens een sessie van Steven de Rooij (NHL Stenden) zagen we hoe krachtig dat kan zijn, ook voor kwaliteitsmanagement. In dit artikel delen we de inzichten en hoe we serious gaming voor Normity willen inzetten.
De 4-O-systematiek is een methodiek om afwijkingen structureel aan te pakken op basis van vier O's: Oorzaak, Omvang, Oplossing en Operationaliteit. Je analyseert niet alleen wat er misging, maar ook hoe breed het probleem is en of je oplossing écht werkt. In dit artikel leggen we de aanpak uit.
Met de resultaten van je leveranciersbeoordelingen in handen komt de lastigste stap: wat doe je ermee? Welke regels hanteer je voor promoveren, handhaven of diskwalificeren van leveranciers? Dit is deel 3 van drie en gaat over het eerlijk en consequent verwerken van beoordelingsresultaten binnen je managementsysteem.
Nadat je leveranciers hebt geselecteerd volgt de volgende stap: wie voert de beoordeling uit, welke criteria gebruik je en op welke momenten? De keuze van beoordelaars en meetpunten bepaalt of je een objectief beeld krijgt of niet. Dit is deel 2 van drie over leveranciersbeoordelingen in de praktijk.
Een leveranciersbeoordeling begint bij de selectie: welke leveranciers wil je beoordelen en hoe plan je dat zonder de organisatie te overbelasten? Niet alle leveranciers verdienen dezelfde aandacht, dus scherp je keuze af op basis van risico en impact. Dit is deel 1 van drie over leveranciersbeoordelingen in de praktijk.
Een ISMS (Information Security Management System) is géén softwarepakket, maar een systematische manier waarop een organisatie informatiebeveiliging borgt — met beleid, processen, maatregelen en continue verbetering volgens PDCA. Software zoals Normity ondersteunt dat, maar ís het niet. In dit artikel lees je wat een ISMS precies is en waarom je er een nodig hebt.
De vragen die we het vaakst krijgen over Implementatie, met korte en feitelijke antwoorden.
Implementatie is de overgang van plannen naar praktijk: beleid vaststellen, processen inrichten, verantwoordelijkheden beleggen, documenten uitwerken, medewerkers trainen en maatregelen daadwerkelijk uitvoeren. Implementatie is het langste deel van een ISO-traject en bepaalt of het managementsysteem écht werkt of slechts op papier bestaat.
Implementatie duurt gemiddeld zes tot twaalf maanden voor een eerste norm, afhankelijk van omvang en uitgangssituatie. Organisaties met een bestaand managementsysteem kunnen een tweede of derde norm in drie tot zes maanden toevoegen dankzij de gedeelde HLS-structuur. Complexe normen zoals ISO 27001 kunnen langer duren.
Typische stappen: 1) scope en context vaststellen, 2) risicoanalyse, 3) beleid opstellen, 4) processen en procedures uitwerken, 5) verantwoordelijkheden beleggen, 6) trainingen uitvoeren, 7) maatregelen implementeren, 8) interne audit, 9) managementreview, 10) externe certificeringsaudit. De volgorde is niet strikt — veel stappen lopen parallel.
Veelvoorkomende valkuilen: 1) te veel documentatie zonder werkelijke gedragsverandering, 2) onvoldoende directiebetrokkenheid, 3) geen eigenaar per proces, 4) implementatie door adviseurs zonder kennisoverdracht, 5) geen realistische planning, 6) te laat beginnen met interne audits, 7) onvoldoende training. Resultaat: een 'papieren' managementsysteem.
Beide werken. Zelf doen is goedkoper en levert betere kennisoverdracht, maar vraagt tijd en kennis. Met adviseur gaat sneller en voorkomt fouten, maar is duurder en vraagt regie. Veel organisaties kiezen een middenweg: adviseur voor opzet en kader, intern team voor uitwerking en borging. Software zoals Normity overbrugt het verschil.
Betrekken van medewerkers is kritisch: zonder hen blijft implementatie papier. Communiceer het 'waarom', niet alleen het 'wat'. Betrek medewerkers bij procesbeschrijving (zij kennen de werkelijkheid), train op praktische situaties (geen lange lezingen) en geef ruimte voor bezwaren. Weerstand is vaak informatiegebrek of gebrek aan erkenning.
Een implementatieteam bestaat uit de kartrekker (vaak een kwaliteitsmanager of compliance officer), vertegenwoordigers uit kernprocessen, iemand namens de directie en optioneel een externe adviseur. Grote organisaties hebben een stuurgroep en meerdere werkgroepen. Rolverdeling en mandaten worden vooraf vastgelegd.
Borging gebeurt via de PDCA-cyclus: interne audits, managementreview, incidentanalyses en bijsturing. Maak het managementsysteem onderdeel van dagelijkse werkprocessen, niet een 'zesde mijlsteen' naast het echte werk. Koppel KPI's aan procesdoelen. Zonder doorlopende borging zakt elk managementsysteem binnen twee jaar in.