Tag: ISO 9001

  • Wat een management review onder ISO 9001, ISO 27001 en ISO 14001 echt moet opleveren

    Wat een management review onder ISO 9001, ISO 27001 en ISO 14001 echt moet opleveren

    In veel organisaties staat de management review keurig op de kalender. Eén keer per jaar komt het onderwerp langs, er wordt een document voorbereid en na afloop verdwijnt het verslag in een map met auditbewijzen.

    Toch is dat niet waar de ISO-normen dit moment voor bedoeld hebben.

    Een management review is geen administratieve verplichting. Het is het moment waarop het management beoordeelt of het managementsysteem nog doet wat het moet doen. Of het nog past bij de organisatie, of de prestaties voldoende zijn en of de belangrijkste risico’s onder controle zijn.

    Wie dat goed begrijpt, merkt dat de management review veel meer is dan een verplicht agendapunt.

    Waarom ISO een management review verplicht stelt

    Managementsystemen zoals ISO 9001, ISO 27001 en ISO 14001 zijn ontworpen om organisaties gestructureerd te laten sturen op kwaliteit, informatiebeveiliging of milieuprestaties. Maar structuur alleen is niet genoeg.

    De normen gaan er expliciet van uit dat het management periodiek beoordeelt of het systeem nog geschikt, toereikend en effectief is.

    Met andere woorden: werkt het managementsysteem nog zoals bedoeld, en helpt het nog bij het realiseren van de doelen van de organisatie?

    Daarom verplicht ISO een management review. Het is het moment waarop het management afstand neemt van de dagelijkse operatie en kijkt naar het grotere geheel. Niet naar afzonderlijke procedures, maar naar de prestaties van het systeem als geheel.

    Zonder zo’n moment blijft een managementsysteem vaak operationeel, maar niet bestuurbaar.

    Wat een management review volgens ISO eigenlijk moet behandelen

    De normen schrijven niet exact voor hoe een management review eruit moet zien, maar ze geven wel duidelijk aan waar het gesprek over moet gaan.

    In de kern draait het om drie vragen.

    Hoe presteert het managementsysteem?
    Wat is er veranderd in de organisatie of de omgeving?
    En waar moeten we bijsturen?

    Dat betekent dat onderwerpen zoals deze vrijwel altijd terugkomen:

    • resultaten van audits en controles
    • incidenten, afwijkingen en klachten
    • voortgang van verbeteracties
    • belangrijkste risico’s en kansen
    • prestaties van processen en doelstellingen
    • veranderingen die invloed hebben op het systeem

    Interne audits spelen hierbij vaak een belangrijke rol, omdat ze signalen geven over waar processen afwijken of waar verbeteringen nodig zijn. In Een interne audit werkt pas als mensen durven zeggen wat niet klopt ga ik uitgebreider in op hoe organisaties zulke audits inhoudelijk sterker maken.

    Verbeteracties vormen een tweede belangrijk signaal. Veel verbeterpunten ontstaan tijdens audits of evaluaties, maar verdwijnen later weer uit beeld. In Wat de opvolging van verbeterpunten zegt over hoe serieus je compliance neemt beschrijf ik waarom juist die opvolging veel zegt over hoe serieus een organisatie haar managementsysteem neemt.

    Daarnaast spelen risico’s een belangrijke rol in de management review. De norm verwacht dat organisaties regelmatig beoordelen of hun risicoanalyse nog actueel is en of bestaande maatregelen nog effectief zijn. Hoe je zo’n risicoanalyse praktisch inricht, lees je in De risicoanalyse: een onmisbaar instrument voor elke ondernemer.

    Wanneer deze onderwerpen regelmatig worden besproken, ontstaat vanzelf het soort gesprek dat auditors verwachten te zien.

    Wat auditors daadwerkelijk willen zien

    Wanneer auditors naar een management review kijken, zoeken ze meestal niet naar een perfecte presentatie of een uitgebreid verslag. Ze proberen vooral te begrijpen of het management het systeem daadwerkelijk bestuurt.

    In de praktijk komt dat neer op drie vragen.

    Wordt de review daadwerkelijk uitgevoerd?
    Is zichtbaar dat het management betrokken is bij het gesprek?
    En worden er concrete besluiten genomen?

    Auditors kijken daarom bijvoorbeeld naar de frequentie van de review, de onderwerpen die worden besproken en de besluiten die daaruit voortkomen.

    Een management review zonder besluiten roept vrijwel altijd vragen op. Het laat zien dat er wel naar informatie wordt gekeken, maar dat het managementsysteem niet echt wordt gebruikt om richting te geven aan de organisatie.

    Waarom management reviews in de praktijk vaak hun waarde verliezen

    Ondanks de duidelijke bedoeling van de norm verandert een management review in veel organisaties toch in een formaliteit.

    Vaak gebeurt dat ongemerkt. De kwaliteitsmanager of security officer bereidt een presentatie voor. Tijdens de vergadering worden cijfers en rapportages doorgenomen. Iedereen knikt instemmend en daarna gaat de aandacht weer terug naar de dagelijkse praktijk.

    Het gesprek blijft dan hangen in rapportage.

    Er wordt gekeken naar wat er is gebeurd, maar er worden weinig keuzes gemaakt over wat er moet gebeuren. Risico’s worden benoemd, maar niet gewogen. Verbeteringen worden genoemd, maar niet geprioriteerd.

    Op dat moment verliest de management review zijn bestuurlijke rol.

    Hoe een management review pragmatisch kan worden ingericht

    Een effectieve management review hoeft geen lange vergadering te zijn. In veel organisaties werkt een compacte aanpak juist beter.

    Het helpt om vooraf een beperkt aantal signalen te verzamelen. Auditresultaten, belangrijke incidenten, risico’s en de voortgang van verbeteracties geven vaak al een goed beeld van hoe het systeem functioneert.

    Tijdens de review zelf ligt de nadruk op besluitvorming.

    Welke ontwikkelingen vragen aandacht?
    Zijn de huidige maatregelen nog voldoende?
    Moeten prioriteiten worden aangepast?
    Zijn er extra middelen nodig?

    Wanneer de vergadering zich op dit soort vragen richt, ontstaat automatisch een bestuurlijk gesprek.

    De vastlegging kan vervolgens eenvoudig blijven. Niet een uitgebreid verslag van alles wat besproken is, maar een overzicht van conclusies, besluiten en acties. Dat is meestal precies wat auditors willen zien.

    Wanneer een management review echt waarde toevoegt

    Een goed uitgevoerde management review doet meer dan voldoen aan een norm.

    Het helpt om risico’s expliciet te maken.
    Het dwingt tot keuzes over prioriteiten.
    Het voorkomt dat verbeteringen blijven liggen.
    En het zorgt dat audits zelden verrassingen opleveren.

    Kort gezegd is het het punt waarop het managementsysteem daadwerkelijk wordt bestuurd.

    Niet als formaliteit, maar als onderdeel van hoe een organisatie richting geeft aan kwaliteit, risico’s en verbetering.

    Tot slot

    De management review wordt vaak gezien als een verplicht onderdeel van ISO-certificering. In werkelijkheid is het één van de momenten waarop governance het meest zichtbaar wordt.

    Wanneer het gesprek zich richt op prestaties, risico’s en keuzes, wordt de review een waardevol stuurinstrument. Niet omdat er meer wordt vastgelegd, maar omdat duidelijk wordt waar de organisatie op stuurt.

    Management reviews worden bovendien een stuk eenvoudiger wanneer risico’s, auditresultaten en verbeteracties op één plek samenkomen.

    In CompliTrack komen risico’s, maatregelen, audits en verbeteracties samen in één overzicht. Daardoor ontstaat automatisch de samenhang die nodig is voor een effectieve management review.

  • Scope snijden zonder gaten: zo kies je wat je wél en níet borgt

    Scope snijden zonder gaten: zo kies je wat je wél en níet borgt

    Of je werkt aan ISO 27001, ISO 9001 of je voorbereidt op nieuwe regelgeving zoals NIS2: alles begint met één fundamentele beslissing.

    De scope.

    Een te brede scope maakt compliance onnodig duur en complex. Een te smalle scope creëert blinde vlekken. De kunst is niet alles meenemen, maar bewust kiezen en die keuze bestuurlijk kunnen uitleggen.

    Compliance begint niet bij maatregelen, maar bij afbakening.

    Scope bepaalt welke risico’s je analyseert, welke processen je borgt en welke systemen onder je verantwoordelijkheid vallen. Wat buiten scope blijft, accepteer je impliciet als restrisico. Dat is een bewuste keuze, en dus ook een bestuurlijke verantwoordelijkheid.

    Hieronder vind je een praktisch besliskader in vijf stappen.

    Wat scope in de praktijk betekent

    Scope is geen technisch lijstje met systemen.

    Scope is een formele afbakening van activiteiten, processen, systemen, data, locaties en eventueel juridische entiteiten die onder je managementsysteem vallen. Die afbakening bepaalt waar je aantoonbaar grip op moet hebben.

    Alles wat je buiten scope laat, leg je bewust naast je neer. Dat is toegestaan, zolang het uitlegbaar en proportioneel is.

    Stap 1: begin bij impact

    Veel organisaties starten vanuit structuur. Een afdeling. Een locatie. Alleen IT.

    Dat lijkt overzichtelijk, maar zegt niets over risico.

    Begin bij impact. Stel jezelf vier vragen:

    • Wat raakt direct klantbelang of contractuele verplichtingen?
    • Wat raakt kritische informatie?
    • Wat kan de organisatie stilleggen?
    • Wat is wettelijk verplicht?

    Scope volgt uit risico, niet uit het organogram.

    Wie deze stap overslaat, loopt het risico dat de afbakening vooral praktisch voelt, maar inhoudelijk zwak is. Voor verdieping over het werken vanuit risico’s zie ook De risicoanalyse: een onmisbaar instrument voor elke ondernemer.

    Stap 2: knip logisch en uitlegbaar

    Beperken mag. Willekeurig knippen niet.

    Een scope is logisch wanneer zij inhoudelijk samenhangend is. Denk aan één duidelijk afgebakend product, één samenhangend proces of één aparte juridische entiteit.

    Wat meestal niet werkt, is alleen IT meenemen terwijl processen organisatiebreed lopen, of één afdeling certificeren terwijl verantwoordelijkheden gedeeld zijn.

    De toets is eenvoudig: kun je de gekozen scope in één samenhangend verhaal uitleggen aan een auditor of een opdrachtgever?

    In het kader van certificering wordt die vraag expliciet gesteld. Zie ook De initiële ISO-audit: Stapsgewijze gids naar ISO-certificering.

    Stap 3: expliciteer wat je niet meeneemt

    Hier zit het echte onderscheid.

    Niet-opgenomen onderdelen horen expliciet benoemd te worden, voorzien van een korte motivatie en periodiek heroverwogen te worden.

    Niet meenemen is toegestaan. Niet onderbouwen niet.

    Door uitzonderingen vast te leggen voorkom je dat scope ongemerkt verschuift. Bovendien voorkom je dat discussies bij audits telkens opnieuw gevoerd moeten worden.

    Dit raakt direct aan bestuurlijke volwassenheid. Wie keuzes maakt, moet ze ook kunnen toelichten.

    Stap 4: werk proportioneel

    Niet elk onderdeel hoeft volledig binnen het managementsysteem te vallen.

    Soms volstaat een lichtere maatregel, zoals contractuele borging bij leveranciers of een periodieke steekproef in plaats van realtime monitoring.

    De kern is proportionaliteit. De maatregel moet in verhouding staan tot het risico. Zolang je kunt uitleggen waarom de gekozen aanpak passend is, is zij verdedigbaar.

    Stap 5: maak scope een levend besluit

    Scope is geen eenmalige actie.

    Nieuwe diensten, systeemwijzigingen, gewijzigde wetgeving of organisatorische veranderingen kunnen de oorspronkelijke afbakening onder druk zetten.

    Herijk daarom bewust. Wat je wilt voorkomen, is impliciete uitbreiding zonder formeel besluit. Dat leidt vrijwel altijd tot onduidelijkheid, oplopende kosten en discussies achteraf.

    Vier terugkerende valkuilen

    Ook bij goedbedoelde implementaties zie je vaak dezelfde fouten terug:

    • Scope kiezen op basis van gemak
    • Scope beperken om certificering sneller te halen
    • Geen periodieke herbeoordeling uitvoeren
    • Uitzonderingen niet expliciet vastleggen

    Deze fouten lijken klein, maar ondermijnen op termijn de samenhang van het hele systeem.

    Grip is kiezen

    Grip ontstaat niet door meer maatregelen, maar door scherpere afbakening.

    Wie bewust kiest, houdt kosten beheersbaar, behoudt overzicht en kan uitleggen waarom iets wél of niet is meegenomen.

    Uiteindelijk draait het om één eenvoudige vraag:

    Kun je in één alinea uitleggen waarom jouw huidige scope logisch en proportioneel is?

    Als dat niet lukt, ligt daar waarschijnlijk de grootste optimalisatie.

    Verder lezen

    Deze artikelen verdiepen respectievelijk het risicoperspectief, de auditcontext en de bestuurlijke opvolging van keuzes.

  • Waarom vastleggen geen administratie is, maar geheugen

    Waarom vastleggen geen administratie is, maar geheugen

    Het begint vaak onschuldig.
    Een afspraak in een overleg. Een besluit dat logisch voelt. Een werkwijze die “nu eenmaal zo gaat”. Iedereen knikt, iedereen begrijpt het, en daarna gaat iedereen weer verder met het werk. Vastleggen voelt overbodig. We weten dit toch?

    Totdat iemand afwezig is.
    Of een vraag terugkomt.
    Of een externe partij meekijkt en vraagt waarom dit zo is ingericht.

    Op dat moment blijkt dat wat vanzelfsprekend leek, vooral in hoofden zat. En dat maakt uitleg lastiger dan nodig.

    Een herkenbare praktijksituatie

    In veel organisaties worden besluiten genomen op basis van ervaring en onderling begrip. Rollen overlappen, verantwoordelijkheden verschuiven en keuzes worden gemaakt in het moment. Dat werkt vaak goed. Het houdt tempo in het werk en voorkomt onnodige formaliteit.

    Maar na verloop van tijd ontstaan er vragen. Niet omdat mensen hun werk niet goed doen, maar omdat de context verandert. Iemand neemt tijdelijk taken over. Een klant vraagt om toelichting. Een audit wil begrijpen hoe iets tot stand is gekomen. En ineens kost het moeite om uit te leggen wat eerder logisch was.

    Niet omdat er geen reden was, maar omdat die reden nooit expliciet is vastgelegd.

    Waarom dit probleem ontstaat

    Vastleggen wordt in veel organisaties gezien als administratie. Als extra werk dat weinig oplevert. Daardoor ontstaat de neiging om zo min mogelijk op te schrijven en vooral door te werken.

    Die neiging is begrijpelijk, maar ze raakt de kern niet. Het probleem is niet dat er te weinig wordt vastgelegd. Het probleem is dat besluiten, afwegingen en uitzonderingen vaak impliciet blijven.

    Er wordt bewust gekozen. Er wordt bewust afgeweken. Maar de reden daarvoor blijft verbonden aan het moment en aan de mensen die erbij waren. Zolang iedereen dezelfde context deelt, is dat geen probleem. Zodra die context verschuift, verdwijnt het geheugen van de organisatie.

    Wat overblijft zijn losse feiten zonder samenhang. En juist die samenhang is nodig om keuzes uit te kunnen leggen.

    Waarom gangbare oplossingen tekortschieten

    Wanneer dit begint te schuren, volgt vaak een herkenbare reactie. Er komen extra documenten. Overzichten worden uitgebreid. Toelichtingen worden toegevoegd om niets te missen.

    Dat lijkt logisch, maar het helpt zelfden structureel. Meer vastleggen zonder helder denkkader leidt vooral tot meer informatie, niet tot meer begrip. Documenten verzamelen feiten, maar houden het verhaal erachter niet vast.

    Daardoor voelt documentatie al snel als ballast. Niet omdat vastleggen op zichzelf verkeerd is, maar omdat het geen functie heeft als geheugen. Het wordt opslag, geen houvast.

    Vastleggen als geheugen

    Vastleggen krijgt een andere betekenis wanneer het niet draait om bewaren, maar om begrijpen. Niet alles hoeft te worden opgeschreven. Juist de momenten waarop iets wordt besloten, afgewogen of bewust anders wordt gedaan, zijn relevant.

    Waarom is dit risico acceptabel?
    Waarom is hier voor deze werkwijze gekozen?
    Waarom is een uitzondering logisch binnen deze context?

    Dat zijn geen administratieve details. Dat zijn geheugenankers. Ze zorgen ervoor dat iemand later kan begrijpen wat er toen speelde, ook zonder erbij te zijn geweest.

    Wanneer die uitleg ontbreekt, ontstaat achteraf reconstructie. Dat kost tijd, leidt tot twijfel en roept discussies op over wat ooit bedoeld was.

    Structuur en uitlegbaarheid

    Structuur wordt vaak verward met dichtregelen. Met procedures en regels die het werk zwaarder maken. In de praktijk gaat structuur over iets anders. Het gaat over houvast.

    Structuur maakt zichtbaar waar keuzes worden gemaakt en waarom. Daardoor ontstaat uitlegbaarheid vanzelf. Niet achteraf, maar op het moment dat het ertoe doet.

    Zonder structuur moet uitleg telkens opnieuw worden bedacht. Met structuur blijft uitleg beschiikbaar, ook wanneer de druk toeneemt of de betrokkenen wisselen.

    Waarom dit vooral kleinere organisaties raakt

    In organisaties waar kennis sterk geconcentreerd is, werkt impliciete afstemming vaak verrassend goed. Mensen weten wat er speelt en hoe dingen bedoeld zijn. Dat is een kracht.

    Die kracht wordt kwetsbaar zodra de organisatie verandert. Wanneer taken verschuiven, wanneer iemand tijdelijk wegvalt of wanneer er van buitenaf wordt meegekeken. Dan blijkt hoe afhankelijk het functioneren was van gedeeld, maar niet vastgesteld begrip.

    Op dat moment voelt vastleggen ineens noodzakelijk. Maar als het pas gebeurt onder druk, wordt het ervaren als extra last. Terwijl vastleggen als geheugen juist bedoeld is om die druk te voorkomen.

    Tooling als gevolg, niet als oplossing

    Wanneer losse documenten en lijstjes het overzicht niet meer bieden, komt vaak de vraag naar tooling. Dat is begrijpelijk, maar de volgorde is belangrijk.

    Tooling lost dit probleem niet op. Het kan ondersteunen, maar alleen als duidelijk is wat vastgelegd moet worden en waarom. Zonder structuur wordt een systeem een archief. Met structuur wordt het een geheugen.

    Het verschil zit niet in de techniek, maar in het denkkader.

    Minder vastleggen, beter onthouden

    Opvallend genoeg leidt dit denkkader vaak tot minder documentatie, niet tot meer. Doordat duidelijk wordt welke vastlegging daadwerkelijk bijdraagt aan begrip en welke niet.

    Geen uitgebreide beschrijvingen van alles wat er gebeurt, maar korte vastleggingen van waarom iets zo is ingericht. Geen verzameling documenten, maar een gezamenlijk referentiepunt.

    Dat geeft rust. Niet omdat alles perfect is, maar omdat keuzes begrijpelijk blijven.

    Tot slot

    Vastleggen is geen doel op zich. Het is een manier om te zorgen dat een organisatie zichzelf kan blijven begrijpen, ook wanneer mensen wisselen en context verandert.

    De vraag is niet of je meer moet documenteren, maar of je organisatie zich dingen kan herinneren zonder afhankelijk te zijn van individuele hoofden.

    Welke keuzes zou je morgen kunnen uitleggen?
    Welke beslissingen wil je later nog begrijpen?
    En wat gebeurt er als degene die het nu “gewoon weet” er even niet is?

    Wie vastleggen ziet als geheugen, maakt het werk niet zwaarder, maar lichter. Omdat uitleg niet langer achteraf hoeft te worden bedacht, maar al aanwezig is op[ het moment dat het ertoe doet.

    Verder lezen

  • Interne audit ISO 9001: 7 fouten die bedrijven nog steeds maken (en hoe je ze voorkomt)

    Interne audit ISO 9001: 7 fouten die bedrijven nog steeds maken (en hoe je ze voorkomt)

    De interne audit. Voor veel teams voelt het als een verplicht nummer. Tot de auditor vraagt: “Hoe weten jullie dat deze maatregel écht is uitgevoerd?” Dan wordt het stil.

    Een goede interne audit is geen vinklijstje, maar een manier om slimmer te werken en verrassingen te voorkomen. In dit artikel lees je de zeven valkuilen die we het vaakst zien bij kleinere organisaties, plus hoe je ze voorkomt. Praktisch, zonder jargon en direct toepasbaar.

    1. Audits zonder duidelijke planning

    Veel organisaties beginnen enthousiast aan hun ISO-traject, maar vergeten om audits structureel in te plannen. De audit komt daardoor altijd ongelegen. Een week voor de externe audit wordt er alsnog “iets” opgetuigd, met haastig verzamelde notities en half ingevulde formulieren.

    Zonder een vaste planning blijft de interne audit een momentopname in plaats van een continu verbeterproces.

    Hoe pak je dit aan?

    Plan audits net zo strak als kwartaalrapportages of functioneringsgesprekken. Zet ze in de jaarplanning, wijs verantwoordelijkheden toe en werk vanuit een ritme. In een tool als CompliTrack kun je auditmomenten jaarlijks inplannen, met een duidelijk overzicht wie wat doet.

    Zo blijft het werk verdeeld, voorspelbaar en overzichtelijk, en verandert de audit van een “moetje” in routine

    2. Dezelfde persoon auditeert zijn eigen werk

    In kleine organisaties komt de kwaliteitsverantwoordelijke al snel ook op de stoel van auditor terecht. Handig, maar niet objectief. ISO 9001 stelt dat interne audits “objectief en afhankelijk” moeten worden uitgevoerd. Het mag dus niet door iemand die direct verantwoordelijk is voor het proces dat geaudit wordt.

    Objectiviteit betekent niet per sé dat je een externe consultant nodig hebt. Het gaat erom dat degene die de audit uitvoert voldoende afstand heeft om onbevangen te kijken.

    Zo kun je dit doen:

    Koppel processen aan een collega van een andere afdeling of aan een ‘buddy-auditor’. Zo krijg je frisse inzichten zonder de interne kennis te verliezen.

    3. Te veel focus op documentatie

    Een veelgehoorde zin tijdens audits: “Het staat allemaal netjes in het handboek.”

    Dat is mooi, maar het zegt weinig over wat er in de praktijk gebeurt. Documentatie is een middel, geen bewijs dat een proces goed werkt. Toch blijft de audit in veel bedrijven steken in het controleren van formulieren en procedures, terwijl het echte werk elders plaatsvindt.

    Een audit die zich richt op de praktijk is veel waardevoller. Ga de werkvloer op, praat met medewerkers, kijk mee in het proces. Zo ontdek je snel waar beleid en werkelijkheid uiteenlopen.

    Een productiebedrijf dat wij spraken, had perfect beschreven controles op kwaliteitsmetingen. Maar op de werkvloer deed men het “iets anders, omdat dat sneller ging”. De audit bracht dit aan het licht, waarna een kleine aanpassing in de procedure veel fouten voorkwam.

    Wil je weten hoe je beleid vertaalt naar werkbare processen? Lees ook ISMS implementatie in de praktijk: Zo vertaal je beleid naar werkbare ISO 27001 processen.

    4. Bevindingen verdwijnen in de la

    Na de audit volgt vaak een net rapport, vol bevindingen en aanbevelingen. En dan? Niets. Een half jaar later staan dezelfde verbeterpunten weer op de agenda.

    Zonder opvolging is een audit slechts een foto van het verleden.

    De opvolging is eenvoudig: koppel bevindingen direct aan acties. Wijs verantwoordelijken aan, stel deadlines vast en volg de voortgang actief op. In CompliTrack worden auditbevindingen eenvoudig omgezet in taken met reminders en statusupdates, zodat geen actie onopgemerkt blijft.

    Plan daarnaast altijd een follow-up meeting, vier tot zes weken na de audit. Bespreek wat al is opgelost en wat nog openstaat. Zo blijft de energie erin, en zie je de vooruitgang daadwerkelijk ontstaan.

    5. Corrigerende maatregelen worden niet geëvalueerd

    Veel bedrijven voeren wel verbeteracties door, maar vergeten te controleren of ze werken. De maatregel is uitgevoerd, het vinkje gezet, maar niemand vraagt of het probleem echt is opgelost.

    ISO 9001 draait om de PDCA cyclus (Plan-Do-Check-Act). Die laatste stap, Check en Act, wordt vaak vergeten.

    Evalueer daarom de effectiviteit van elke maatregel. Heeft de verandering het gewenste resultaat? Wordt de nieuwe werkwijze daadwerkelijk gevolgd? Dat kan ik kwartaaloverleggen of in managementreviews.

    CompliTrack helpt hierbij door acties te koppelen aan evaluatiemomenten. Zo blijf je aantoonbaar verbeteren, en kun je bij de volgende audit laten zien dat de PDCA-cyclus rond is.

    Meer lezen? Bekijk Van chaos naar controle: zo verbind je risico’s, incidenten en audits in één werkproces.

    6. Geen verbinding tussen audits, risico’s en klachten

    Een audit staat niet op zichzelf. Ze vormt onderdeel van je bredere kwaliteits- of compliance-aanpak. Toch zien we vaak dat audits, risicoanalyses en klachten los van elkaar worden beheerd. De organisatie mist daardoor het totaalbeeld.

    Een voorbeeld: tijdens een audit komt naar voren dat medewerkers verschillende versies van werkinstructies gebruiken. In het klachtenregister blijkt dat klanten klagen over foutieve leveringen. Twee symptomen van hetzelfde probleem, maar niemand legt de link.

    Door auditbevindingen te koppelen aan risico’s en klachten, ontstaat inzicht in patronen. Zo zie je niet alleen wat er misgaat, maar ook waarom.

    In CompliTrack zijn die verbanden standaard aanwezig: risico’s, incidenten en auditbevindingen komen samen in één overzicht. Dat maakt audits niet zwaarder, maar juist slimmer.

    7. Audits worden als straf ervaren

    Misschien wel de belangrijkste valkuil: audits voelen als controle.

    Wanneer medewerkers het idee hebben dat ze beoordeeld worden, krijg je sociaal wenselijke antwoorden in plaats van eerlijke feedback.

    Een audit hoort geen afrekening te zijn, maar een gezamenlijk leermoment. Begin gesprekken daarom met open vragen als: “Wat zou jij veranderen als je de kans kreeg?” of “Waar loopt dit proces vast in de praktijk?”

    Zo krijg je informatie die echt waardevol is. De beste verbeteringen komen meestal van de mensen die er dagelijks mee werken.

    Lees ook Interne audit ISO 9001: De sleutel tot een effectief kwaliteitsmanagementsysteem voor meer over hoe je auditgesprekken opbouwt.

    Van fouten naar structuur

    De rode draad in al deze valkuilen is niet een gebrek aan kennis, maar een gebrek aan structuur. Veel bedrijven hebben geen aparte compliance-afdeling. De mensen die audits uitvoeren, runnen tegelijkertijd de operatie.

    Daarom is eenvoud cruciaal. Met een overzichtelijke auditplanning, duidelijke taakverdeling en automatische opvolging wordt auditen een doorlopend proces, niet een jaarlijks stressmoment.

    Met CompliTrack plan je audits eenvoudig in, koppel je bevindingen aan acties en houd je overzicht over alle lopende verbeteringen.

    Conclusie: audit zonder stress

    De interne audit ISO 9001 hoeft geen hoofdpijndossier te zijn. Met een vaste planning, objectieve uitvoering en zichtbare opvolging verander je een controle-moment in een motor voor verbetering.

    Wil je direct aan de slag? Neem dan contact met ons op voor een gratis en vrijblijvende kennismaking en maak van jouw volgende audit een kans om te groeien.

    Verder lezen

    Tip: Plan vandaag nog de eerste audit van het komende jaar. Begin klein, documenteer wat je leert en bouw van daaruit verder. Zo groeit auditen vanzelf uit tot iets dat niet voelt als een verplichting, maar als bewijs dat je bedrijf continu beter wordt.

  • Klachten zijn geen fouten, maar wij behandelden ze wel zo

    Klachten zijn geen fouten, maar wij behandelden ze wel zo

    De auditor keek me aan met een lichte glimlach.

    “Hoe gaan jullie om met klachten?”

    “Met klachten?” vroeg ik. “We houden al onze incidenten netjes bij. Niets ontsnapt aan het overzicht.”

    “Ik bedoel niet wat u registreert,” zei hij rustig. “Ik bedoel wat u ermee doet.”

    Die opmerking bleef hangen. Niet omdat we iets fout deden, maar omdat we dachten dat bijhouden hetzelfde was als begrijpen. Onze lijsten stonden vol cijfers en beschrijvingen, maar zonder context, zonder lering.

    En dáár ging het de auditor om. Niet over definities, maar over betekenis. Want kwaliteitsmanagement draait niet om wat je noteert, maar om wat je ervan leert.

    Waarom klachten belangrijker zijn dan je denkt

    Het woord klacht roept bij veel bedrijven direct spanning op. “We doen toch ons best?” of “Die klant overdrijft gewoon.” Toch zijn klachten geen lastposten, maar waarschuwingslampjes. Ze laten zien waar verwachtingen niet helemaal op elkaar aansluiten.

    Een klacht is geen aanval. Het is een signaal. Een kans om te ontdekken wat klanten écht ervaren en waar processen beter kunnen.

    Juist in kleine teams zonder aparte kwaliteitsafdeling is dat goud waard. Je kunt snel reageren, direct verbeteren en zichtbaar maken dat je klantgericht werkt. Het vraagt alleen één ding: overzicht.

    Waarom klachten vaak onzichtbaar blijven

    In de praktijk verdwijnen de meeste klachten tussen e-mails, telefoontjes en losse gesprekken. “Het is opgelost” betekent vaak “we hebben het afgevinkt”, niet “we hebben ervan geleerd”.

    Een paar herkenbare situaties:

    • Een klant belt omdat een levering te laat is. De medewerker regelt het, maar noteert niets.
    • Een rapportage bleek onvolledig. De fout wordt hersteld, maar niemand onderzoekt waarom.
    • Een medewerker signaleert een terugkerend probleem, maar het blijft bij een opmerking in de kantine.

    Zo herhalen dezelfde fouten zich, zonder dat iemand het doorheeft. Niet uit onwil, maar omdat er geen systeem is dat klachten, afwijkingen en verbeterpunten met elkaar verbindt.

    Klacht, afwijking en verbetermogelijkheid. Drie vormen van leren

    In kwaliteitsmanagement kom je drie begrippen vaak tegen: klacht, afwijking en verbetermogelijkheid. Ze lijken op elkaar, maar vullen elkaar aan.

    1. De klacht

    Komt van buitenaf: een klant, leverancier of partner is ontevreden. Het is feedback uit de praktijk. Wie luistert, ontdekt waar verwachtingen niet overeenkomen met de realiteit.

    2. De afwijking

    Ontstaat intern: iets is niet volgens afspraak gegaan. Misschien is een controle overgeslagen of is een document niet goedgekeurd. Het is een signaal dat processen niet werken zoals bedoeld.

    3. De verbetermogelijkheid

    Komt voort uit de eerste twee: het moment waarop je denkt: “hoe kunnen we dit slimmer doen?”. Dat kan gaan over techniek, communicatie of samenwerking.

    Samen vormen ze de motor van continu verbeteren. Een klacht kan leiden tot een afwijking, en die afwijking tot een verbeteridee. Het zijn drie kanten van hetzelfde leerproces.

    Van registreren naar begrijpen: de kern van ISO 9001

    ISO 9001 zegt eigenlijk iets heel eenvoudigs:

    “Een organisatie moet leren van wat er misgaat.”

    De norm vraagt geen dikke handboeken, maar structuur en aantoonbaarheid. In de praktijk betekent dat vijf logische stappen:

    1. Klachten ontvangen – Weet waar signalen binnenkomen en wie ze registreert.
    2. Begrijpen wat er speelt – Onderzoek de oorzaak, niet alleen het gevolg.
    3. Actie ondernemen – Herstel de fout en communiceer met de klant.
    4. Evalueren – Controleer of de actie het probleem écht heeft opgelost.
    5. Leren en verbeteren – Gebruik de inzichten om processen te versterken.

    Niet het formulier telt, maar het leervermogen. Auditors willen zien dat je begrijpt wat er gebeurt en dat je niet alleen het symptoom herstelt, maar de bronoorzaak wegneemt.

    Meer weten over audits? Lees ook: De initiële ISO-audit: stapsgewijze gids naar ISO-certificering

    Van klacht naar inzicht: hoe CompliTrack helpt

    Veel bedrijven beginnen met de beste bedoelingen: een Excel-lijst voor afwijkingen, een mapje voor klachten, actiepunten in e-mail. Tot het overzicht verdwijnt.

    CompliTrack helpt om klachten, afwijkingen en verbeteringen samen te brengen in één overzichtelijke workflow.

    Stel je voor:

    Een klant belt omdat een levering te laat is. In CompliTrack maak je met één klik een klachtmelding aan, gekoppeld aan het proces orderverwerking en de betrokken leverancier. Je wijst een collega aan om de oorzaak te onderzoeken, voegt de taak toe (“aanpassing leveringsplanning”) en markeert de melding als opgelost zodra de verbetering is doorgevoerd.

    Bij de audit toon je in één overzicht: klacht -> oorzaak -> actie -> resultaat.

    Geen losse bestanden meer, maar direct inzicht in hoe je leert van wat er misging.

    CompliTrack maakt het verschil tussen “we lossen het op” en “we leren ervan.”

    Wil je verder lezen? Bekijk dan: Continu verbeteren: zo helpt CompliTrack jouw bedrijf vooruit

    De kracht van een goed klachtenproces

    Een klacht is geen bewijs dat je iets fout hebt gedaan, maar dat iemand de moeite neemt om feedback te geven. Organisaties die klachten serieus nemen, winnen vertrouwen.

    Klanten zien niet dat je nooit fouten maakt, maar dat je professioneel reageert wanneer het wél gebeurt. Een goed klachtenproces vergroot klantvertrouwen, voorkomt herhaling van fouten en voedt structurele verbetering.

    Conclusie: van klacht naar kracht

    De vraag van de auditor bleek geen semantische discussie, maar een spiegel. Niet om fouten te vinden, maar om te zien of we begrijpen wat klachten ons proberen te vertellen.

    Een klacht, een afwijking en een verbetermogelijkheid zijn drie kanten van dezelfde medaille: groei.

    Met de juiste structuur – en een hulpmiddel als CompliTrack – wordt klachtenafhandeling geen last, maar een kans om sterker te worden.

    Dus als de auditor de volgende keer vraagt: “Hoe gaan jullie om met klachten?”

    Dan is het antwoord heel eenvoudig: “We luisteren, we leren en we verbeteren. Elke dag opnieuw.

    Verder lezen

  • Kwaliteitsmanagementsysteem zonder ISO-jargon: zó richt je het slim in

    Kwaliteitsmanagementsysteem zonder ISO-jargon: zó richt je het slim in

    Het is een maandagochtend bij een IT-dienstverlener. Een projectteam wacht op de levering van twintig laptops voor een klant. De order is geplaatst, de factuur is betaald, maar in het magazijn ligt maar de helft. Niemand weet precies waar het fout is gegaan. De inkoper wijst naar de leverancier, het magazijn wijst naar de projectleider, en de klant hangt ongeduldig aan de lijn. De stress loopt op, terwijl iedereen dacht dat het proces “goed geregeld” was.

    Dit soort situaties komen vaker voor dan je denkt. En meestal is de oorzaak niet kwade wil, maar een gebrek aan structuur. Precies daar komt kwaliteitsmanagement om de hoek kijken: niet als papieren tijger of ISO-checklist, maar als praktisch hulpmiddel om afspraken, processen en verbeteringen op elkaar af te stemmen.

    Wat is kwaliteitsmanagement?

    Kwaliteitsmanagement gaat over grip krijgen op de manier waarop je werkt. Het draait erom dat klanten krijgen wat je belooft, op een consistente en betrouwbare manier. Of het nu gaat om leveringen die op tijd zijn, software die doet wat er is afgesproken of een project dat volgens specificaties wordt afgerond – kwaliteit betekent voorspelbaarheid en vertrouwen.

    Een eenmalige klacht hoeft geen ramp te zijn. Het verschil zit in hoe je ermee omgaat. Een klacht die blijft terugkomen, laat zien dat het systeem tekortschiet. Kwaliteitsmanagement helpt je die patronen te herkennen en te doorbreken.

    Wat is een kwaliteitsmanagementsysteem (KMS)?

    Een kwaliteitsmanagementsysteem (KMS) is het raamwerk waarmee je kwaliteit borgt in de dagelijkse praktijk. Het is geen enkel document of softwarepakket, maar de samenhang van processen, verantwoordelijkheden en hulpmiddelen die samen zorgen dat kwaliteit niet afhankelijk is van toeval.

    Dat kan klein beginnen. Een overzicht van je belangrijkste processen, duidelijke eigenaarschap en een centrale plek waar verbeterpunten worden vastgelegd. Voor sommige organisaties betekent dit een formeel ISO-systeem, voor anderen een lichte tool die overzicht biedt. Het gaat niet om de vorm, maar om de werking: samenhang en aantoonbaarheid.

    Twee invalshoeken: organisatiebreed en productgericht

    Een KMS kun je bekijken vanuit twee perspectieven.

    Organisatiebreed: dit gaat om de gezondheid van de hele organisatie. Denk aan de betrouwbaarheid van inkoop, voorraadbeheer en orderverwerking. Een logistiek proces dat goed is ingericht, voorkomt dat klanten te laat of verkeerd beleverd worden.

    Project- of productgericht: hier kijk je naar de kwaliteit van een specifieke uitkomst. Bij een softwareontwikkelingsproject betekent dit testplannen, acceptatiecriteria en bugtracking. Zonder structuur zou de eindkwaliteit vooral afhangen van toeval en individuele inzet.

    Een sterk KMS combineert beide invalshoeken: het zorgt dat je organisatie als geheel betrouwbaar functioneert én dat individuele projecten of producten voldoen aan hun kwaliteitsdoelen.

    Hoe bouw je een werkend KMS op?

    Laten we teruggaan naar het voorbeeld van de IT-dienstverlener die hardware levert. Naast advies en support levert dit bedrijf laptops, routers en servers. Daarmee ontstaat een logistiek proces met veel kwaliteitsrisico’s: verkeerde bestellingen, zoekgeraakte voorraad of vertraagde uitleveringen. Hoe richt je een KMS in dat dit voorkomt?

    Begin bij de belangrijkste processen

    Veel organisaties willen meteen álle processen vastleggen. Het gevolg: een papieren systeem dat niemand gebruikt. Beter is om klein te beginnen en je te richten op de cruciale schakels. Voor de IT-dienstverlener zijn dat inkoop, voorraadbeheer en uitlevering. Wie die drie processen in de grip heeft, dekt meteen de grootste risico’s af.

    Payoff: Een systeem dat klein begint, groeit met je organisatie mee.

    Maak verantwoordelijkheden expliciet

    Vaak ontstaat chaos omdat niet duidelijk is wie hiervoor verantwoordelijk is. De inkoper gaat ervan uit dat het magazijn de levering checkt, terwijl het magazijn denkt dat de projectleider dit doet. Met een KMS leg je eigenaarschap vast. De inkoper controleert de leverancier, het magazijn registreert alles wat binnenkomt en uitgaat, en de projectleider bevestigt uitleveringen naar de klant.

    Payoff: Duidelijk eigenaarschap voorkomt dat kwaliteit tussen wal en schip valt.

    Gebruik hulpmiddelen die passen bij de schaal

    Veel organisaties proberen dit soort processen in Excel bij te houden. Dat gaat goed tot het fout gaat: een vergeten update en niemand weet meer wat klopt. Een lichte tool of platform biedt uitkomst, mits eenvoudig genoeg om in de praktijk te gebruiken. Alles staat centraal, iedereen werkt met dezelfde gegevens en fouten worden sneller gesignaleerd.

    Payoff: Een tool is ondersteunend, niet leidend – het moet het werk makkelijker maken.

    Zie klachten en incidenten als leermoment

    Fouten zijn onvermijdelijk. De vraag is: gebruik je ze om te verbetern? Een goed KMS registreert incidenten en koppelt ze aan verbeteracties. Als een leveranciers structureel te laat levert, herzie je de afspraken. Als voorraad steeds ontbreekt, verbeter je het inventarisatieproces.

    Payoff: Elke klacht is een kans om het systeem sterker te maken.

    Houd het actueel

    Een KMS werkt alleen als het leeft. Geen dikke rapporten eens per jaar, maar regelmatig kleine checks. Voor onze IT-dienstverlener: wekelijks een voorraadcontrole, maandelijks een overleg tussen inkoper en projectleider, en elk kwartaal een korte managementreview.

    Payoff: Kwaliteitsmanagement is geen project, maar een routine.

    Wat levert het op?

    Wanneer dit consequent wordt toegepast, verandert de organisatie stap voor stap. Voorraad is altijd inzichtelijk, klanten krijgen leveringen op tijd en klachten worden sneller opgelost. Medewerkers ervaren meer duidelijkheid in hun werk: de inkoper weet waar hij op moet letten, het magazijn weet wat cruciaal is om te registreren en de projectleider weet wanneer hij de klant moet informeren.

    Ook audits – intern of extern – worden ineens veel minder spannend. Omdat incidenten, verbeteracties en processen al vastliggen in je systeem, kun je aantonen dat je grip hebt. Daarmee wordt een audit een bevestiging van je werkwijze, in plaats van een stressvolle zoektocht naar ontbrekende documenten.

    Voor wie is dit relevant?

    • Voor compliance-officers: Een KMS zorgt dat verbeteracties traceerbaar zijn en dat audits soepeler verlopen.
    • Voor kwaliteitsmanagers: Het maakt zichtbaar waar processen haperen en waar verbeteringen nodig zijn.
    • Voor ondernemers en directie: Het geeft rust en voorspelbaarheid, omdat kwaliteit niet meer afhangt van toeval of losse afspraken.

    Conclusie: eenvoud werkt

    Een kwaliteitsmanagementsysteem hoeft geen log geheel van procedures te zijn. Begin klein, leg verantwoordelijkheden helder vast, gebruik ondersteunende tools en behandel klachten als kansen om te leren.

    Het voorbeeld van de IT-dienstverlener met een logistiek proces laat zien hoe dat werkt. Door stapsgewijs te verbeteren bouw je een systeem dat klanten tevreden maakt, medewerkers duidelijkheid geeft en audits minder spannend maakt.

    Verder lezen

  • Van klacht naar probleem: het moment dat je klant merkt dat je geen grip hebt

    Van klacht naar probleem: het moment dat je klant merkt dat je geen grip hebt

    De telefoon gaat. “Het is maar een klacht,” denk je. Een foutje in de levering, een misverstand in de communicatie, een verkeerde factuur. Zulke dingen gebeuren. Drie weken later belt dezelfde klant opnieuw. Dit keer niet vriendelijk, maar hoorbaar geïrriteerd. Het probleem is niet opgelost, het vertraagt zijn eigen werk en hij moet er telkens zelf achteraan. Jullie lijken vooral bezig met brandjes blussen. Op dat moment gaat het niet meer over die ene fout. Het gaat over vertrouwen. En dat vertrouwen ben je kwijt.

    Hoe een klacht uitgroeit tot een probleem

    Een klacht hoeft op zich geen ramp te zijn. Sterker nog: een klant die klaagt, geeft je een kans om te verbeteren. Het gaat pas mis wanneer klachten blijven liggen of half opgevolgd worden. Neem een herkenbaar scenario: een klant meldt op dag één een incomplete levering. Halverwege de tweede week heeft niemand het probleem echt opgepakt; het bericht zweeft ergens in een mailbox. Tegen de derde week is de irritatie zo hoog opgelopen dat de klacht is veranderd in een groter probleem. Niet omdat het oorspronkelijke foutje zo groot was, maar omdat er geen grip was op de opvolging.

    Waarom dit pijn doet – en hoe je klant dat voelt

    Veel MKB-bedrijven hebben geen gestructureerd systeem voor klachten. Signalen verdwijnen in mailboxen, spreadsheets of zelfs op post-its. Daardoor ontbreekt overzicht: niemand weet hoeveel klachten er spelen, of ze tijdig worden opgelost en waar de echte knelpunten liggen. Voor de klant voelt dat alsof je organisatie stuurloos is. Eén keer vergeef je een fout. Maar drie keer hetzelfde probleem, telkens een ander verhaal en geen zichtbare oplossing? Dan voelt de klant zich genegeerd. En dat gevoel is veel schadelijker dan de oorspronkelijke fout.

    Klachten als signaalfunctie

    Elke klacht laat zien dat er ergens in je proces iets wringt. Bedrijven die klachten serieus registreren en koppelen aan hun processen, ontdekken vaak patronen. Het kan gaan om een leverancier die structureel te laat levert, een werkinstructie die keer op keer tot dezelfde fout leidt of een communicatiestroom die onduidelijk blijkt. Door klachten centraal vast te leggen en er eigenaarschap aan te koppelen, zie je deze patronen snel en kun je structurele verbeteringen doorvoeren.

    Van klacht naar structureel probleem

    Het verschil tussen een klacht en een probleem lijkt klein, maar de gevolgen zijn groot. Een klacht is een eenmalige uiting van ontevredenheid. Een probleem ontstaat wanneer klachten zich herhalen of een dieperliggende oorzaak duidelijk maakt dat je proces niet werkt zoals het zou moeten doen. In kwaliteitsmanagement wordt dit vaak een non-conformiteit genoemd. Hoe je het ook noemt: het vraagt om grip en opvolging.

    Praktisch beginnen: klein, concreet en zichtbaar

    Wie werkt met normen zoals ISO 9001 of ISO 27001 weet dat auditors verder kijken dan papieren procedures. Zij zoeken bewijs dat klachten niet alleen geregistreerd, maar ook opgevolgd worden. Een klacht die verdwijnt in een mailbox kan tijdens een audit leiden tot een bevinding. Een overzicht dat laat zien hoe klachten leiden tot verbeteracties, bewijst daarentegen dat je organisatie in control is. Het verschil tussen stress en rust tijdens een audit zit vaak niet in beleid, maar in de dagelijkse praktijk van opvolging.

    Een voorbeeld uit de praktijk

    Een logistiek bedrijf kreeg regelmatig klachten over vertraagde leveringen. In eerste instantie werden die gezien als losse voorvallen. Tot een klant na een reeks gemiste afspraken dreigde de samenwerking te beëindigen. Pas toen de organisatie klachten systematisch ging registreren, zagen ze het patroon: telkens ging het mis bij hetzelfde overdrachtsmoment in het magazijn. Door dat proces te verbeteren verdwenen niet alleen de klachten, maar steeg ook de klanttevredenheid.

    Slimme ondersteuning zonder extra ballast

    Voor veel MKB’s is er geen aparte compliance-afdeling die dit soort processen bewaakt. Het verschil maak je dan door eenvoud: één centrale plek waar klachten worden geregistreerd, opvolging wordt bewaakt en patronen zichtbaar worden. Een lichtgewicht GRC-tool zoals CompliTrack kan dat ondersteunen, maar het begint met gedrag: signalen serieus nemen, klein beginnen en volhouden. Tooling is geen wondermiddel, maar zorgt er wel voor dat niets blijft liggen en je aantoonbaar grip hebt.

    Conclusie: grip op klachten is grip op vertrouwen

    Een klacht is geen ramp. Het wordt pas een probleem wanneer er geen opvolging is en klanten voelen dat je geen grip hebt. Dan verandert een klacht in een structureel probleem, met gevolgen voor je reputatie én je audits. Door klachten serieus te registreren, patronen te analyseren en zichtbaar opvolging te geven, maak je van elk signaal een kans tot verbetering.

    Zo voorkom je dat een boze klant aan de lijn verandert in een verloren klant. En laat je zien dat jouw organisatie leert, verbetert en betrouwbaar is.

    Verder lezen:

    Wil je verdiepen? Lees dan Van klacht naar verbetering (juli 2025) en kom donderdag terug voor Kwaliteitsmanagementsysteem zonder ISO-jargon: wat heb je écht nodig?

  • Incidenten registreren én verbeteren: zo voorkom je dat compliance bij registratie stopt

    Incidenten registreren én verbeteren: zo voorkom je dat compliance bij registratie stopt

    Stel: je hebt je zaken goed voor elkaar. De ISO-certificering hangt aan de muur, je beleid is uitgewerkt, de processen zijn beschreven. En dan gebeurt het: er gaat iets mis. Een incident.

    Een fout die raakt aan informatiebeveiliging, kwaliteit of – misschien nog belangrijker – het vertrouwen van een klant. Gelukkig heb je een incidentregistratieproces. Het incident wordt vastgelegd, betrokkenen worden geïnformeerd, er volgt een actie. En dan?

    Daar stokt het vaak.

    In veel organisaties eindigt incidentmanagement bij registratie. Er wordt iets genoteerd (als dat al gebeurt), maar wat er daarna mee gebeurt, is niet altijd duidelijk. Verbeteracties raken uit beeld. Herhaling wordt niet uitgesloten. En zodra een auditor langskomt, moet je alsnog in je mailbox graven om te bewijzen dat je “er iets mee hebt gedaan”.

    Zonde. Want juist incidenten zijn waardevol. Ze geven je zicht op risico’s, cultuur, communicatie en structuur. Ze helpen organisaties beter worden, mits je ze serieus neemt.

    Wat een incident je eigenlijk vertelt

    Incidenten zijn zelden een kwestie van puur toeval. Meestal zijn het uitvergrote signalen van dingen die onder de oppervlakte al langer niet lekker liepen. Een onduidelijke werkinstructie. Een ontbrekende check. Een collega die wel wilde, maar niet goed wist hoe.

    Soms is het pijnlijk om dat onder ogen te zien. Maar het is ook een kans.

    Een goed opgevolgd incident laat je precies zien waar je kwetsbaar bent, en hoe je kunt verbeteren. En dat maakt incidenten – hoe vreemd het ook klinkt – misschien wel de meest directe vorm van leervermogen in je organisatie.

    Een incident is geen eindpunt. Het is een start.

    In zowel ISO 27001 als ISO 9001 is incidentbeheer meer dan een verplicht vinkje. Je moet incidenten niet alleen registreren, maar ook opvolgen. Onderzoeken. Begrijpen. Verbeteren.

    Wat helpt, is een eenvoudige denklijn:
    Wat is er gebeurd? Waarom gebeurde het? Wat moeten we nu anders doen? En wie pakt dat op?

    Een methode die hier goed bij aansluit, is de 5x Waarom-methode. Je stelt vijf keer achter elkaar de vraag: “Waarom?”. Daarmee kom je voorbij de eerste, oppervlakkige oorzaak (“De medewerker klikte op de verkeerde link”) en leg je de onderliggende patronen bloot (“Er was geen training, omdat niemand verantwoordelijk is voor awareness-beleid”).

    Pas dan kun je maatregelen nemen die ook echt effect hebben.

    Het verschil tussen registreren en leren

    Laatst sprak ik een organisatie die haar incidenten netjes bijhield in een Excelbestand op de server. Dat deden ze al jaren. Toen ik vroeg wat er met die incidenten gebeurde, werd het stil.

    Een paar waren “wel opgepakt”. Een aantal “bleek uiteindelijk niet zo relevant”. En de rest? Gewoon genoteerd.

    Wat hier ontbrak is niet discipline, maar structuur. Er was geen systematiek om opvolging af te dwingen. Geen verantwoordelijke die moest checken of iets was opgelost. Geen analyse van herhaling of trends.

    Dat laat zien hoe belangrijk het is om opvolging te organiseren, en dát vraagt om structuur.

    Een systeem zoals CompliTrack helpt daar enorm bij. Je registreert een incident, koppelt het direct aan het betrokken proces, risico of bedrijfsmiddel, en zet er opvolgacties op uit. Alles wordt geborgd in één overzicht, inclusief historie. En als een auditor vraagt wat er met een incident gebeurd is? Dan hoef je niets te reconstrueren, je laat het gewoon zien.

    Incidenten zijn geen probleem. Ze zijn een kans.

    Goede incidentopvolging laat zien dat je grip hebt. Dat je niet alleen gecertificeerd bént, maar ook werkt naar de gedachte achter de norm.

    En het helpt je organisatie vooruit. Want incidenten laten zien waar je systemen rammelen, waar je team onduidelijkheid ervaart, waar processen op spanning staan.

    Als je die signalen negeert, blijven ze terugkomen. Maar als je ze benut, ben je aan het verbeteren. Dan werk je aan een systeem dat niet alleen voldoet aan ISO, maar ook aan je eigen standaard van goed werk leveren.

    Tot slot

    Incidentbeheer stopt niet bij registratie. Het begint daar pas.

    Gebruik incidenten als brandstof voor groei. Laat opvolging geen toeval zijn, maar een vast onderdeel van je proces. En zorg dat je niet alleen aan de norm voldoet, maar ook bouwt aan een robuuste organisatie met veerkracht.

    Benieuwd hoe je incidentbeheer structureel en praktisch kunt organiseren?

    Vraag hier een vrijblijvende demo van CompliTrack aan – en ontdek hoe je incidenten niet alleen registreert, maar er ook echt van leert.

    Lees ook: We hadden een ISO-certificaat. Maar nul structuur bij incidenten.

  • Leveranciers beoordelen zonder Excel: zo krijg je écht grip op risico’s

    Leveranciers beoordelen zonder Excel: zo krijg je écht grip op risico’s

    Stel je voor: je leverancier scoort een 9,3 in je jaarlijkse beoordeling. Netjes. Je legt de score vast in Excel, checkt het vakje voor “beoordeeld” en gaat verder met je dag. Tot het misgaat. De dienst valt uit, een datalek ontstaat, of een project loopt vertraging op omdat je leverancier zijn afspraken niet nakomt. En ineens blijkt die 9,3 vooral gebaseerd op goede bedoelingen, en weinig onderbouwing.

    Voor veel organisaties is dit herkenbaar. Leveranciersbeoordeling is vaak een verplichting op papier: een lijstje, een score en hop, klaar is Kees. Maar het echte doel van zo’n beoordeling? Grip krijgen op risico’s in je keten. Juist daar gaat het met Excel vaak mis.

    In deze blog lees je waarom die klassieke aanpak tekortschiet, wat een moderne beoordeling wél inhoudt, en hoe je leveranciers structureel én risico gestuurd kunt beoordelen – zonder spreadsheets.

    Waarom Excel tekortschiet bij leveranciersbeoordeling

    Excel is laagdrempelig, maar het is niet ontworpen voor gestructureerd risicobeheer. Wat er in de praktijk gebeurt:

    • Beoordelingen zonder context
      Je weet niet wie toegang heeft tot welke systemen, data of processen. Iedereen scoort ‘voldoende’, maar niemand weet waarom.
    • Verouderde inzichten
      Zodra je een Excelbestand opslaat, is het eigenlijk al achterhaald. Certificaten verlopen, prestaties veranderen, incidenten worden vergeten.
    • Geen structurele opvolging
      Een leverancier scoort een 6 – en dan? Wie neemt actie? Wat moet er gebeuren? Excel heeft geen workflow, geen reminders, geen eigenaarschap.
    • Afhankelijkheid van personen
      Eén medewerker weet hoe het bestand werkt. Tot die met vakantie gaat – of vertrekt.

    Het resultaat? Je voldoet op papier aan je ISO 9001- of ISO 27001-verplichting, maar in de praktijk heb je weinig zicht op je echte kwetsbaarheden.

    Wat een moderne leveranciersbeoordeling wél doet

    Leveranciersbeoordeling is geen formaliteit, maar een onmisbaar onderdeel van je compliance- en risicostrategie. Zeker als je werkt met normen als ISO 9001, ISO 27001 of als je moet voldoen aan de NIS2.

    Een slimme aanpak:

    • Koppelt leveranciers aan bedrijfsmiddelen
      Denk aan systemen, klantdata, infrastructuur of operationele processen. Een leverancier die je cloudomgeving beheert, vraagt om een andere beoordeling dan je koffieleverancier.
    • Beoordeelt op basis van risico’s
      Niet elke leverancier is even kritisch. Beoordeel op impact: wie beïnvloedt je continuïteit, je informatiebeveiliging of je kwaliteit?
    • Kijkt verder dan een rapportcijfer
      Beoordeel leveranciers niet alleen op algemene indruk, maar op actuele prestaties, incidenthistorie, certificering en contractuele naleving.
    • Is cyclisch en continu
      Een eenmalige score is waardeloos zonder opvolging. Plan herbeoordelingen in, koppel acties aan uitkomsten en blijf monitoren.
    • Is aantoonbaar, gestructureerd en schaalbaar
      Auditoren vragen niet of je iets hebt beoordeeld, maar hóé. Welke criteria? Welke acties zijn genomen? Welke risico’s zijn geïdentificeerd?

    Praktijkvoorbeeld: waarom context alles is

    Stel, je werkt met een externe IT-partner die jouw klantportaal beheert. Die partner scoort elk jaar een 8,5 in je Excel-beoordeling.
    Maar…

    • “Je weet niet meer of ze nog een geldige ISO 27001-certificering hebben.”
    • “Je hebt geen zicht op incidenten die ze hebben meegemaakt.”
    • “Ze beheren systemen die klantdata bevatten, maar dat is nergens gekoppeld.”

    Als er een datalek ontstaat, kun je het niet terugleiden naar een actuele risico-inschatting.

    Had je wél gewerkt met een systeem dat deze leverancier koppelt aan je kritieke systemen, dan had je direct gezien dat hier meer controle over was – en had je eerder kunnen bijsturen.

    Hoe begin je zelf?

    Een goede eerste stap richting structurele leveranciersbeoordeling is het koppelen van leveranciers aan je bedrijfsmiddelen. Denk hierbij aan:

    • IT-systemen (zoals je CRM of klantportaal)
    • Gevoelige datasets (klantgegevens, gezondheidsinformatie)
    • Kernprocessen (productie, logistiek, support)
    • Fysieke middelen (toegang tot kantoor, apparatuur)

    Daarna: bepaal voor elk bedrijfsmiddel wat de impact is bij falen, en bepaal welk risico je accepteert. Hoe hoger de impact, hoe hoger de beoordelingsfrequentie en de eisen aan je leverancier.

    Gebruik vervolgens tooling zoals CompliTrack om:

    • Leveranciers te koppelen aan bedrijfsmiddelen
    • Risicoanalyses automatisch uit te voeren
    • Incidenten te registreren en te koppelen aan leveranciers
    • Beoordelingen te plannen, acties toe te wijzen en opvolging te borgen
    • Certificaten, contracten en prestaties inzichtelijk te houden

    Waarom dit nú belangrijk is

    De wereld verandert. Leveranciers hebben vaker directe toegang tot je informatie, je infrastructuur en je klanten. En dat betekent: hun fouten worden jouw risico’s.

    Tegelijkertijd worden de eisen strenger:

    • ISO 9001 vraagt om objectieve en herhaalbare leveranciersbeoordeling
    • ISO 27001 stelt eisen aan beheersmaatregelen voor derde partijen
    • NIS2 eist aantoonbare controle over je toeleveringsketen

    Met andere woorden: je kunt het je niet veroorloven om leveranciersbeoordeling te blijven zien als een Excel-ritueel.

    Van incident naar inzicht: een echt voorbeeld

    Een middelgroot IT-bedrijf – klant van ons – gebruikte jarenlang een jaarlijkse vragenlijst in Excel om leveranciers te beoordelen. Eén van hun leveranciers scoorde altijd keurig een 9. Tot bleek dat deze leverancier geen actuele ISO-certificering meer had én toegang had tot klantdata. Na een incident was er geen duidelijk zicht op wie waarvoor verantwoordelijk was.

    Sindsdien gebruiken ze CompliTrack om leveranciers structureel te koppelen aan systemen, risico’s en maatregelen. Beoordelingen zijn nu risico gestuurd, geautomatiseerd en gekoppeld aan incidenthistorie. En audits? Die doorstaan ze nu zonder gedoe, en met vertrouwen.

    Klaar om afscheid te nemen van Excel?

    Leveranciersbeoordeling hoeft geen corvee te zijn. Het kan je juist helpen om risico’s te verkleinen, audits soepel te laten verlopen en je organisatie soepeler en veerkrachtiger te maken.

    Wil je verder lezen? Bekijk dan ook:

    Of: plan direct een vrijblijvende demo. Dan laten we je zien hoe je met één centrale tool leveranciersbeoordeling wél overzichtelijk, efficiënt en impactvol maakt.

  • Auditvoorbereiding in ritme: altijd aantoonbaar zonder stress

    Auditvoorbereiding in ritme: altijd aantoonbaar zonder stress

    De audit komt eraan.

    Je weet het al weken, maar toch voelt het alsof alles ineens tegelijk moet gebeuren. Documenten opzoeken. Incidenten nog snel registreren. Acties afvinken die maanden geleden zijn blijven liggen. Niet omdat je je werk niet goed doet – maar omdat het nergens goed is vastgelegd.

    Veel organisaties herkennen die stress. Maar wat als auditvoorbereiding géén jaarlijkse spoedklus hoeft te zijn? Wat als het gewoon onderdeel is van je normale werkritme?

    In deze blog laat ik je zien hoe je dat ritme opbouwt – en hoe je aantoonbaar compliant blijft, zonder tijdsdruk of paniek.

    Waarom audits vaak voelen als een sprint

    Audits worden zelden spannend omdat je iets verkeerd doet. Ze worden spannend omdat je wél iets doet, maar het niet kunt laten zien.

    Wat ik vaak zie?

    • Je informatie is verspreid over Excel, e-mails en gedeelde netwerkschijven.
    • Verbeteracties zijn besproken, maar niet formeel vastgelegd.
    • Incidenten zijn afgehandeld, maar nergens geregistreerd.
    • Taken zijn ooit toegewezen, maar niemand weet meer aan wie – of waarom.

    Dan komt de auditor langs, en ineens is alles urgent.

    Wat als auditvoorbereiding geen project meer is?

    De meeste normen – ISO 9001, ISO 27001, NEN 7510 – eisen aantoonbaarheid. Niet perfectie. En al helemaal geen jaarlijkse sprint. Ze laten je juist ruimte om je eigen ritme te kiezen.

    Veel organisaties werken daarom met drie vaste auditmomenten, verspreid over een jaar. Geen grote trajecten, maar logische ankerpunten die helpen om overzicht te houden.

    1. Kwartaalrondes

    Vier keer per jaar even checken: klopt wat er staat nog met hoe je werkt?

    Denk aan:

    • Zijn risicoanalyses nog actueel?
    • Zijn openstaande acties nog opgevolgd?
    • Is het beleid nog relevant?

    Je hoeft hier geen dik rapport van te maken. Een korte interne update of rondgang is vaak al genoeg om afwijken vroeg te signaleren.

    2. Managementreview

    Halverwege het jaar neem je afstand. Je kijkt met het managementteam niet alleen terug, maar vooral vooruit.

    Wat komt daar zoal aan bod?

    • Welke verbeteracties zijn wel of juist niet opgepakt?
    • Wat blijkt uit incidenten, afwijkingen of interne audits?
    • Lopen je doelen nog synchroon met je beleid?
    • Zijn er risico’s, trends of wetgevingswijzigingen die je moet meenemen?

    Je staat ook stil bij de kernvraag: werkt het systeem nog voor ons? Of moet het mee evolueren met de praktijk?

    Zo’n review is dus méér dan een verplicht agendapunt. Het is een strategisch rustmoment.

    3. Interne audits

    Een interne audit is geen toets om te slagen. Het is een spiegel.

    Je kijkt: doen we wat we zeggen dat we doen? Sluiten procedures nog aan bij hoe we echt werken?

    Sommige bedrijven plannen één grote audit per jaar, anderen verdelen het over teams of processen. Wat je ook kiest: de sleutel is continuïteit, niet perfectie.

    💡Veel bedrijven plannen hun auditcyclus bewust vroeg in het jaar. Zo voorkom je dat alles zich ophoopt vlak voor een externe toetsing.

    Hoe CompliTrack je auditritme ondersteunt

    Natuurlijk kun je dit auditritme vastleggen in Excel. En voor sommigen werkt dat – tot het druk wordt. Dan verdwijnen lijstjes, raken notulen kwijt, en weet niemand meer waar de laatste versie van het beleid ligt.

    Daarom helpt een tool als CompliTrack om het proces niet alleen in te richten, maar ook vol te houden.

    Wat CompliTrack voor je doet:

    • Plant je auditmomenten door het jaar heen, met auditdoelstellingen per auditmoment.
    • Legt bewijslast vast op de juiste plek, gekoppeld aan risico’s of normen.
    • Maakt opvolging inzichtelijk, met taken, deadlines en verantwoordelijkheden.
    • Geeft realtime overzicht van wat er nog openstaat – en wat aantoonbaar is geregeld.

    Zo bouw je ongemerkt een logboek op dat zichzelf vult. Bij een externe audit hoef je niet te verzamelen. Je laat gewoon zien wat er al ís.

    📎Meer hierover? Lees ook: De risicoanalyse – een onmisbaar instrument voor elke ondernemer

    Van stress naar overzicht: een praktijkvoorbeeld

    Een klant in de installatiesector werkte jarenlang nog met losse Word- en Excelbestanden. Elk jaar dezelfde auditstress. Documenten zoeken, taken nalopen, incidenten terugzoeken.

    Sinds de overstap naar CompliTrack hebben ze het anders ingericht:

    1. Elk kwartaal krijgen de juiste mensen een taakherinnering.
    2. Bewijslast wordt direct toegevoegd bij de maatregelen.
    3. Tijdens de audit? Alles stond al klaar.

    De laatste externe audit ging soepel. Geen stress, geen gaten. Alles aantoonbaar.

    Conclusie: audit als routine, niet als reddingsactie

    Wil je auditstress structureel voorkomen, dan is de oplossing niet om nóg harder te werken. Het is slimmer organiseren.

    Met een simpel auditritme en een ondersteunende tool bouw je aantoonbaarheid op terwijl je werkt. Geen paniek, geen losse eindjes. Gewoon grip, overzicht en rust.

    📘Meer weten? Lees ook: De initiële ISO-audit – stapsgewijze gids naar certificering.