De norm ISO 9001 bestaat al ruim 35 jaar. Er is veel over geschreven en miljoenen mensen hebben haar gelezen. Toch zijn er delen van de norm die haast niemand lijkt te lezen. En dat is jammer: juist minder bekende stukjes en stukken bevatten bij goede bestudering heel interessante inzichten voor je kwaliteitsmanagementsysteem. In dit tweede deel worden delen van hoofdstuk 4 tot en met 7 in de schijnwerpers gezet.
Dit hoofdstuk maakt duidelijk dat je een brede blik op de buitenwereld moet hebben, zie immers de titel. Dat suggereert dat je een brede, MVO-waardige omgevingsanalyse moet doen. De eisen in dit hoofdstuk zijn er vervolgens vooral op gericht die analyse stevig in te perken. Je hoeft je, in het kader van ISO 9001, alleen druk te maken over een beperkte set belanghebbenden en een beperkte set van hun eisen. Het gaat de norm namelijk alleen over de belanghebbenden, en de eisen van enkel díe belanghebbenden, die relevant zijn voor het kwaliteitsmanagementsysteem.
Bijlage A.3 benadrukt deze beperking nog eens, door te schrijven: “Deze internationale norm stelt niet als eis dat de organisatie rekening houdt met belanghebbenden indien de organisatie heeft besloten dat die partijen niet relevant zijn voor haar kwaliteitsmanagementsysteem.” Om daaraan toe te voegen dat het de organisatie is die bepaalt of een eis relevant is voor haar kwaliteitssysteem.
Belanghebbenden die relevant zijn voor het kwaliteitsmanagementsysteem, zijn belanghebbenden die eisen stellen aan de manier waarop de organisatie producten en diensten levert. Realiseer je dat deze inperking mag van (je kunt zelfs zeggen: verplicht is door) de norm.
Je omgevingsanalyse begint dus met de vraag welke belanghebbenden welke eisen stellen aan de manier waarop je productie- of dienstverleningsproces verloopt.
Een niet-uitputtende opsomming:
Vervolgens is de vraag welke maatregelen je op basis van die eisen treft of hebt getroffen. Dat kunnen organisatorische maatregelen zijn (bijvoorbeeld rond de arbeidsomstandigheden of de milieubelasting), controles in het productontwerp of de productie/ dienstverlening, een bepaalde manier van werken, et cetera. Het is handig om te weten hoe het verband is tussen eisen en maatregelen. Handig, maar niet verplicht door de norm, is deze kennis vast te leggen. Zo kun je bij veranderingen in de eisen gemakkelijk nagaan of een maatregel veranderd of afgeschaft kan of moet worden. En omgekeerd, wanneer er een andere aanleiding is maatregelen ter discussie te stellen, weet je of je rekening moet houden met bepaalde eisen van belanghebbenden.
Een organisatie moet opschrijven waar het kwaliteitsmanagementsysteem op van toepassing is. Ook wel de scope van het systeem genoemd. Dit toepassingsgebied, meer specifiek: de soorten producten en diensten, is een van de weinige eisen die de norm stelt aan de beschrijving van het kwaliteitssysteem. De andere harde eisen zijn het expliciet benoemen van eisen die de organisatie niet van toepassing verklaart – voor zover die er zijn, natuurlijk – en het kwaliteitsbeleid (zie 5.2 Beleid).
De documentatieverplichtingen van de norm kun je kwijt op een halve A4. Alles wat er in jouw organisatie meer is aan handboek, procedures, werkinstructies, en wat dies meer zij, is er omdat jullie zélf hebben besloten dat het er moet zijn (zie de paragraaf over risicogebaseerd denken in het vorige artikel). Je mag dus ook zélf besluiten die documentatie te verminderen.
In grote lijnen komt de normeis erop neer dat er een kwaliteitsbeleid moet zijn dat past bij de organisatie en waarin de organisatie zich committeert aan de norm en continu verbeteren. En het kwaliteitsbeleid moet worden gecommuniceerd en (zie hierboven:) vastgelegd.
Meer concreet betekent het passen bij de organisatie dat het beleid op twee manieren moet aansluiten. In de eerste plaats moet het aansluiten op het doel (de missie dus) en de strategie en/of het meerjarenplan. Dat houdt dus in dat het beleid ook relevant moet zijn gezien de context van de organisatie, en moet passen bij de interne en externe kansen en risico’s (zie risicogebaseerd denken in het vorige artikel). In de tweede plaats moet het mogelijk zijn om op basis van het beleid doelstellingen te formuleren.
Het woord ‘beleid’ is een rekbaar begrip. ISO 9000 definieert het als “de intenties en richting van een organisatie […]”. Het Algemeen Nederlands Woordenboek is uitgebreider en definieert beleid als: “[het] geheel van samenhangende beslissingen en maatregelen […] om de lopende zaken te regelen en om, vooral op de lange termijn of binnen een vastgestelde periode, de gestelde doelen te behalen […]”.
In de praktijk van ISO 9001 betekent dit dat je duidelijk maakt wat kwaliteit voor jouw organisatie inhoudt en wat de rol van het kwaliteitsmanagementsysteem is. Daar zitten een aantal gemakkelijke componenten in, zoals het al genoemde je committeren aan de norm en je inspannen om continu te verbeteren. Zinnen met die strekking lijken een open deur, maar omdat het kaders zet voor je kwaliteitssysteem, horen ze wel in het beleid thuis.
Lastiger is ervoor zorgen dat het beleid past bij doel, strategie en context. Hiervoor biedt de EN 15224, dat is ISO 9001 toegepast op zorg en welzijn, een buitengewoon interessant haakje. Deze norm introduceert het verschijnsel kwaliteitskenmerken en eist dat het kwaliteitsbeleid daar mede op gebaseerd wordt. Een kwaliteitskenmerk is de vertaling van een kwaliteitseis, dus een eis van een of meer belanghebbenden, naar wat dit voor de organisatie betekent. Als een eis bijvoorbeeld is dat je duurzame producten levert, kun je dat vertalen naar een kwaliteitskenmerk als zoveel mogelijk grondstoffen van biologische oorsprong, of producten zoveel mogelijk recyclebaar.
Het komt er dus op neer dat dit tweede aspect van het kwaliteitsbeleid inhoudt dat je opschrijft wanneer je als organisatie zélf tevreden bent over je producten en diensten. Graaf een stap dieper dan ‘als de klanten tevreden zijn’: waarover wil je dat die klanten tevreden zijn, dáár gaat het hier om. Het kwaliteitsbeleid laat zich trouwens vaak goed samenvatten in een aantal bullets of korte alinea’s.
Dit is een van de kortste hoofdstukken van de norm, maar hij bestrijkt een heel breed gebied. Waaronder de ICT, ondertussen een van de meest kritieke en gevoelige aandachtsgebieden van alle organisaties. De eis van ISO 9001 is simpel: zorg dat je weet wat nodig is, zorg dat het er is, en zorg dat het blijft werken.
Zorgen dat de computersystemen blijven werken, dus onder andere dat zij niet gehackt worden, is op het vlak van ICT de grootste uitdaging. Data moet beschikbaar, integer en vertrouwelijk zijn en blijven. Dat zijn typische informatiebeveiligingstermen, en inderdaad is het handig om voor de invulling van dit ISO 9001-hoofdstuk gebruik te maken van de kennis die ISO 27001 / NEN 7510 bevat. Ook als certificering tegen een van die normen niet het plan is. Ten minste zou je bijlage A uit die normen kunnen gebruiken om (op hoofdstukniveau) de risico’s in te schatten, om vervolgens voor de hoge risico’s extra beheersmaatregelen te vinden. Gebruik daarvoor ISO 27002 / NEN 7510-2.
Een organisatie moet om te beginnen bepalen welke kennis zij nu en in de toekomst nodig heeft. Wat in de toekomst aan kennis nodig is, is logischerwijs afhankelijk van wat er binnen en rondom de organisatie speelt (zie 4.1 Inzicht in de organisatie en haar context; een link die de norm overigens niet expliciet legt). En het is afhankelijk van de strategische keuzes die er zijn gemaakt (in missie, meerjarenstrategie, et cetera).
Verder eist de norm dat de huidige kennis op peil gehouden wordt, en dat de organisatie de beschikking moet zien te krijgen over nieuwe, maar noodzakelijke kennis. En uiteraard moet de kennis ter beschikking staan van de relevante medewerkers.
Verworven competenties, vaardigheden en attitudes (zie het kader) zijn termen die voor professionals op het gebied van Mens & Organisatie (voorheen Human Resources Management) zeer hanteerbaar. Ook met het toekomstbestendig maken en het behouden van kennis kunnen zij goed uit de voeten, zeker wanneer het een iets ander etiket krijgt. Het gaat namelijk over niets anders dan (het kwalitatieve aspect van) strategische personeelsplanning. Ga als kwaliteitsprofessional voor dit onderwerp dus zeker te raden bij de M&O-collega.
Hoe geef je vervolgens invulling aan de normeis :
Dit is het organisatiebrede beeld. Dat vraagt vervolgens een verdere uitwerking tot op persoons- en bezettingsniveau.
Diederik van der Burg is senior adviseur en adviseur bij Adburdias en ISO 9001-lead auditor voor EIK Certificering. Hij ondersteunt vooral middelgrote organisaties bij het vergroten van hun effectiviteit door de strategievorming te begeleiden en door het (kwaliteits)managementsysteem te optimaliseren en verbeteren. Daarbij gaat hij vaak terug naar de bedoeling en kijkt van daaruit naar een toepassing die past bij de organisatie.
Dit artikel is eerder gepubliceerd in Kwaliteit in Bedrijf, januari-februari 2024.