Offerte aanvragen

Auditprocessen

Intake en onafhankelijkheid

DigiTrust B.V. voert onder accreditatie (C618), audit en certificering opdrachten uit voor de ISO 27001, NEN 7510 en ISO9001 (sector 33 en 35).

DigiTrust B.V. voert geen interne audits of advies werkzaamheden uit.

Indien u een audit door DigiTrust B.V. wil laten uitvoeren, moet u eerst een intake formulier invullen. In dit formulier vult u, naar waarheid, alle relevante informatie in over uw organisatie. Deze informatie wordt gebruikt voor de audittijd berekening. Voor het vaststellen van het aantal auditdagen volgen wij de richtlijnen in de standaarden ISO 27006, NCS 7510 en voor de ISO9001 gebruiken we de IAF MD5. Het aantal auditdagen is gebaseerd op het aantal FTE in uw organisatie en de in deze standaarden genoemde relevante aspecten die invloed kunnen hebben op de audittijdberekening. Voordat er een offerte wordt opgesteld, zullen er onpartijdigheidscontroles worden uitgevoerd. DigiTrust B.V. zal deze beoordeling conform de ISO27006 en ISO17065 regels uitvoeren.

 

Audit Criteria

De audit criteria worden gebruikt als referentie om de conformiteit van het Information Security Management System (ISMS) en Quality Management Systeem (QMS) te bepalen. De van toepassing zijnde criteria voor de opdracht zijn:

  • De eisen vanuit ISO 27001, NEN 7510, ISO9001;
  • De gedefinieerde processen en documentatie van het ISMS op basis van de Verklaring van Toepasselijkheid (VvT) van de opdrachtgever;
  • De beschrijving van het toepassingsgebied, eventuele uitsluitingen m.b.t. de ISO9001.

 

Definities en behandeling van Kritieke- en Niet Kritieke afwijkingen

Een afwijking is het niet voldoen aan een eis. Hierbij is onderscheid naar:

Kritieke afwijking

      Dit is een afwijking die van invloed is op het vermogen van het managementsysteem om de beoogde resultaten te bereiken. Een afwijking kan in de volgende omstandigheden als Kritiek worden geclassificeerd:

  • Als er ernstige twijfel bestaat dat er sprake is van een effectieve procesbeheersing, of dat producten of diensten aan gespecificeerde eisen zullen voldoen;
  • Een aantal Niet Kritieke Afwijkingen die verband houden met dezelfde norm eis of kwestie zou een systemische storing kunnen aantonen in het managementsysteem en dus een Kritieke afwijking vormen;
  • De afwijkingen van dien aard zijn, dat PDCA van het managementsysteem niet meer effectief is.

Niet Kritieke afwijking

Dit is een afwijking die geen invloed heeft op het vermogen van het managementsysteem om de beoogde resultaten te behalen. Echter, de werkwijze van de organisatie is niet conform de eigen- of norm eisen.

 

Corrective Action Plan (CAP)

Bij geconstateerde afwijkingen zal de opdrachtgever een corrective action plan (CAP) moeten invullen. Deze zal worden beoordeeld door de DigiTrust B.V. lead-auditor. De CAP zal worden beoordeeld of de voorgestelde herstel, oorzaak-analyses en verbeteringen acceptabel zijn. Indien dit niet het geval is, zal de CAP worden afgekeurd.

Bij geconstateerde Kritieke afwijkingen zal een extra audit zal worden ingeland, om te Kritieke afwijkingen nogmaals te beoordelen.

Indien de DigiTrust B.V. lead-auditor de CAP goedkeurt, zal er een positief advies voor certificering of continuering van de certificatie worden gecommuniceerd aan de Certificatie Manager. Deze zal het dossier beoordelen en neemt het certificatie besluit, voor initiële certificering, continuering van de lopende certificering en Her-certificering.

Indien DigiTrust B.V. niet in staat is om de implementatie van correcties en corrigerende maatregelen van een grote Kritieke afwijking binnen 6 maanden na de laatste dag van Stage 2 te verifiëren, zal DigiTrust B.V. nog een Fase 2 uitvoeren voordat certificering wordt aanbevolen. Indien er grote wijzigingen zijn bij de organisatie, dan dient er een nieuwe Fase 1 uitgevoerd te worden.

 

Initiële certificeringsaudit, fase 1

De planning van DigiTrust B.V. zal ervoor zorgen dat de doelstellingen van fase 1 zullen worden behaald en de opdrachtgever zal worden geïnformeerd over eventuele ‘on site’-activiteiten die tijdens fase 1 aanwezig moeten zijn.

De doelstellingen van fase 1 zijn:

  • de gedocumenteerde informatie van het managementsysteem van de opdrachtgever beoordelen;
  • de locatie specifieke omstandigheden van de opdrachtgever evalueren en besprekingen voeren met het personeel van de opdrachtgever om de paraatheid voor fase 2 te bepalen;
  • de status en het begrip van de opdrachtgever beoordelen met betrekking tot de vereisten van de norm beoordelen, in het bijzonder met betrekking tot de identificatie van essentiële prestaties of significante aspecten, processen, doelstellingen en werking van het managementsysteem;
  • de benodigde informatie verkrijgen over de reikwijdte van het managementsysteem, waaronder:
    • de site(s) van de opdrachtgever;
    • gebruikte processen en apparatuur;
    • vastgestelde controleniveaus (met name in het geval van een opdrachtgever met meerdere vestigingen);
    • toepasselijke wet- en regelgeving.
  • de toewijzing van middelen voor fase 2 beoordelen en met de opdrachtgever de details van fase 2 overeenkomen;
  • een focus bieden voor planningsfase 2 door voldoende inzicht te krijgen in het managementsysteem van de opdrachtgever en de site-operaties in de context van de managementsysteemstandaard of ander normatief document;
  • afspraken over het aanwezig / actief zijn van processen tijdens de fase 2;
  • het evalueren of de interne audits en managementreviews worden gepland of reeds zijn uitgevoerd, en of het implementatieniveau van het managementsysteem onderbouwt dat de opdrachtgever klaar is voor fase 2;
  • het vaststellen of het auditteam de juiste competenties bevat voor het uitvoeren van de Stage 2 certificeringsaudit en of er eventuele externe experts nodig zijn;
  • Het vaststellen van het auditplan voor de fase 2.

Gedocumenteerde conclusies met betrekking tot het behalen van de doelstellingen van fase 1 en de gereedheid voor fase 2 moeten aan de opdrachtgever worden gecommuniceerd, inclusief identificatie van eventuele aandachtspunten die tijdens fase 2 als een afwijking kunnen worden geclassificeerd.

Bij het bepalen van het interval tussen fase 1 en fase 2 moet rekening worden gehouden met de behoeften van de opdrachtgever om de tijdens fase 1 geïdentificeerde problemen op te lossen. DigiTrust B.V. moet mogelijk ook haar regelingen en berekening voor de fase 2 herzien. Indien de geconstateerde problemen gevolgen hebben voor het managementsysteem van de opdrachtgever, zal DigiTrust B.V. de noodzaak overwegen om fase 1 geheel of gedeeltelijk te herhalen. De opdrachtgever wordt geïnformeerd dat de resultaten van fase 1 kunnen leiden tot uitstel of annulering van fase 2.

Initiële certificeringsaudit, fase 2

Het doel van fase 2 is het evalueren van de implementatie, inclusief effectiviteit, van het managementsysteem van de opdrachtgever. De fase 2 vindt op locatie of deels remote plaats bij de opdrachtgever. Het omvat de controle van ten minste het volgende:

  • informatie en bewijs over conformiteit met alle eisen van de toepasselijke managementsysteemnorm of andere normatieve documenten;
  • prestatiemonitoring, meting, rapportage en toetsing aan de belangrijkste prestatiedoelstellingen en -doelen (in overeenstemming met de verwachtingen in de toepasselijke managementsysteemnorm of ander normatief document);
  • het vermogen van het managementsysteem van de opdrachtgever en zijn prestaties met betrekking tot het voldoen aan toepasselijke wettelijke, regelgevende en contractuele vereisten;
  • operationele beheersing van de processen van de opdrachtgever;
  • interne audit en managementreview;
  • managementverantwoordelijkheid voor het beleid van de opdrachtgever.

Het auditteam analyseert alle informatie en auditbewijs die tijdens fase 1 en fase 2 zijn verzameld om de auditbevindingen te beoordelen en overeenstemming te bereiken over de auditconclusies.

Controle-audits

Controle-audits zijn audits ter plaatse, maar zijn niet noodzakelijk volledige systeemaudits, en moeten samen met de andere toezichtactiviteiten worden gepland, zodat DigiTrust B.V. het vertrouwen kan behouden dat het gecertificeerde managementsysteem van de opdrachtgever tussen de hercertificeringsaudits in blijft voldoen. Elk toezicht voor de relevante managementsysteemnorm omvat:

  • interne audits en managementreview;
  • een beoordeling van de acties die zijn ondernomen op tijdens de vorige audit vastgestelde non-conformiteiten;
  • klachtenafhandeling;
  • effectiviteit van het managementsysteem met betrekking tot het behalen van de doelstellingen van de gecertificeerde opdrachtgever en de beoogde resultaten van het betreffende managementsysteem(en);
  • voortgang van geplande activiteiten gericht op continue verbetering;
  • voortdurende operationele controle;
  • beoordeling van eventuele wijzigingen;
  • gebruik van merken en/of enige andere verwijzing naar certificering.

Hercertificering

Het doel van de hercertificeringsaudit is om de voortdurende conformiteit en effectiviteit van het managementsysteem als geheel te bevestigen, en de blijvende relevantie en toepasbaarheid ervan voor de reikwijdte van certificering. Er moet een hercertificeringsaudit worden gepland en uitgevoerd om de voortdurende vervulling van alle vereisten van de relevante managementsysteemnorm of een ander normatief document te evalueren. Dit moet tijdig worden gepland en uitgevoerd om tijdige verlenging vóór de vervaldatum van het certificaat mogelijk te maken.

De hercertificeringsactiviteit omvat de beoordeling van eerdere auditrapporten van het toezicht en de prestatie van het managementsysteem gedurende de meest recente certificeringscyclus.

Hercertificeringsauditactiviteiten moeten mogelijk een fase 1 hebben in situaties waarin er significante wijzigingen zijn geweest in het managementsysteem, de organisatie of de context waarin het managementsysteem functioneert (bijvoorbeeld wijzigingen in de wetgeving).

De hercertificeringsaudit omvat een audit ter plaatse die betrekking heeft op het volgende:

  • de effectiviteit van het managementsysteem in zijn geheel in het licht van interne en externe veranderingen en de blijvende relevantie en toepasbaarheid ervan voor de scope van certificering;
  • blijk gegeven van inzet om de effectiviteit en verbetering van het managementsysteem te handhaven om de algehele prestaties te verbeteren;
  • de effectiviteit van het managementsysteem met betrekking tot het behalen van de doelstellingen van de gecertificeerde opdrachtgever en de beoogde resultaten van het betreffende managementsysteem(en).

Wanneer hercertificeringsactiviteiten met succes zijn afgerond vóór de vervaldatum van de bestaande certificering, kan de vervaldatum van de nieuwe certificering worden gebaseerd op de vervaldatum van de bestaande certificering. De afgiftedatum van een nieuw certificaat valt op of na het hercertificeringbesluit.

Hercertificeringsaudit niet afronden

Indien de opdrachtgever de hercertificeringaudit niet heeft voltooid of DigiTrust B.V. niet in staat is de implementatie van correcties en corrigerende maatregelen voor een belangrijke non-conformiteit te verifiëren vóór de vervaldatum van de certificering, wordt hercertificering niet aanbevolen en wordt de geldigheid van de certificering niet  verlengd. De opdrachtgever wordt geïnformeerd en de gevolgen worden toegelicht. Indien de opdrachtgever de issues heeft opgelost, vervalt de klant in een nieuwe initiële audit.

Certificering herstellen

Na het verstrijken van de certificering kan DigiTrust B.V. de certificering binnen 6 maanden herstellen, op voorwaarde dat de openstaande hercertificeringsactiviteiten zijn voltooid, anders moet minimaal een fase 2 worden uitgevoerd. De ingangsdatum op het certificaat is op of na de her-certificeringsbeslissing en de vervaldatum moet gebaseerd zijn op een eerdere certificeringscyclus.

Aanvullende audit

Een aanvullende audit is nodig als tijdens een reguliere audit blijkt dat:

  • Te interviewen personen niet aanwezig zijn op het overeengekomen tijdstip;
  • De gevraagde documentatie niet kan worden opgeleverd;
  • De scope uitgebreider blijkt dan in eerste instantie overeengekomen.

Ook bij situaties die van invloed kunnen zijn op het managementsysteem, zoals grondige wijzigingen in de organisatie, in geval van klachten over de dienstverlening, en voor de opvolging van schorsingen, kan het nodig zijn een extra audit in te plannen.

Uitbreiden scope

DigiTrust B.V. zal, naar aanleiding van een aanvraag tot uitbreiding van de scope van een reeds verleende certificatie, een beoordeling van de aanvraag uitvoeren en de auditactiviteiten vaststellen. Hiervan wordt een registratie van bijgehouden en wordt opgeslagen in het dossier. Tijdens de scope uitbreiding audit zal de DigiTrust B.V. auditor het managementsysteem beoordelen op de gewijzigde c.q. toegevoegde onderdelen. Indien de DigiTrust B.V. lead auditor hierover een positief advies geeft, zal de certificatie manager hierover besluiten. Deze audit kan separaat of in combinatie met een controle audit worden uitgevoerd.

Korte-termijn audits

Het kan voor DigiTrust B.V. nodig zijn om op korte termijn of onaangekondigd audits uit te voeren bij gecertificeerde opdrachtgevers om klachten te onderzoeken, of als reactie op wijzigingen, of als follow-up van geschorste opdrachtgevers.

In dergelijke gevallen:

  • DigiTrust B.V. beschrijft en maakt vooraf bekend aan de gecertificeerde opdrachtgevers de voorwaarden waaronder dergelijke audits zullen worden uitgevoerd;
  • DigiTrust B.V. zal extra zorgvuldigheid in acht nemen bij de toewijzing van het auditteam vanwege het ontbreken van de mogelijkheid voor de opdrachtgever om bezwaar te maken tegen auditteamleden.

Schorsen of herstellen

Indien DigiTrust B.V. een afwijking constateert die mogelijk kan leiden tot schorsing, intrekking of beperking van de scope, wordt contact opgenomen met de opdrachtgever. Indien overleg niet leidt tot een oplossing, wordt het DigiTrust Compliance team geïnformeerd. Deze kan besluiten over te gaan tot schorsing, intrekking of beperking.

DigiTrust B.V. schorst de certificatie in gevallen waarin bijvoorbeeld:

  • Kritieke afwijkingen niet tijdig zijn opgelost of teruggebracht tot een niet kritieke afwijking;
  • De organisatie er niet mee instemt dat audits met de vereiste frequentie worden uitgevoerd;
  • De organisatie vrijwillig verzoekt om een schorsing;
  • De opdrachtgever niet aan zijn betaalverplichtingen voldoet.

Schorsingen worden schriftelijk bevestigd en daarin wordt aangegeven onder welke voorwaarden de schorsing weer kan worden opgeheven. Bij schorsing is de certificering van het managementsysteem van de opdrachtgever tijdelijk ongeldig en mogen er ook geen uitingen gedaan m.b.t. de certificering.

Een schorsing duurt maximaal 6 maanden.

Beperking scope

DigiTrust B.V. zal het toepassingsgebied van de certificatie beperken om die delen uit te sluiten die niet aan de eisen voldoen, indien de opdrachtgever aanhoudend of wezenlijk niet voldoet aan de certificatie-eisen voor de desbetreffende delen van het toepassingsgebied van de certificatie. Een dergelijke beperking zal in overeenstemming zijn met de eisen van de norm die voor certificatie is gebruikt. Een beperking van de scope wordt schriftelijke aan de opdrachtgever bevestigd, inclusief voorwaarden waarmee de scope weer kan worden uitgebreid.

Intrekken

Wanneer de schorsing niet is opgelost binnen de door DigiTrust B.V. aangegeven termijn (maximaal 6mnd), wordt het certificaat ingetrokken. Dit wordt schriftelijk bevestigd aan de opdrachtgever. Het is de organisatie niet toegestaan nog langer te communiceren dat het managementsysteem gecertificeerd is door DigiTrust B.V. Ook kan een opdrachtgever zelf beslissen tot intrekking van het certificaat, een zogenaamde vrijwillige intrekking.

Beëindiging van uw NEN-7510 certificering

Indien een opdrachtgever beschikt over een NEN 7510-certificaat, maar geen persoonlijke gezondheidsinformatie meer verwerkt, mogen geen controle audits of hercertificeringaudits meer worden uitgevoerd voor de NEN 7510. In deze situatie wordt het certificaat geschorst op de geboortedatum +24mnd/+36mnd plus maximaal 6 maanden. Als binnen deze periode de opdrachtgever niet alsnog persoonlijke gezondheidsinformatie verwerkt, wordt het certificaat ingetrokken.