Request quote

Auditverfahren

Aufnahme und Unabhängigkeit 

DigiTrust B.V. besitzt eine Akkreditierung (C618) zur Durchführung von Audit- und Zertifizierungsaufträgen für ISO 27001, NEN 7510 und ISO 9001 (Branchen 33 und 35). 

DigiTrust B.V. bietet keine internen Audits oder Beratungstätigkeiten an. 

Wenn Sie ein Audit von DigiTrust B.V. durchführen lassen möchten, müssen Sie zunächst ein Aufnahmeformular ausfüllen. Geben Sie in diesem Formular wahrheitsgemäß alle relevanten Informationen über Ihre Organisation an. Anhand dieser Informationen wird die Auditzeit berechnet. Zur Bestimmung der Anzahl der Audittage folgen wir den Richtlinien der Normen ISO 27006 und NCS 7510, und für ISO 9001 verwenden wir IAF MD5. Die Anzahl der Audittage basiert auf der Anzahl der Vollzeitkräfte in Ihrer Organisation und den in diesen Normen genannten relevanten Aspekten, die sich auf die Berechnung der Auditzeit auswirken können. Bevor ein Angebot unterbreitet wird, erfolgt eine Unparteilichkeitsprüfung. DigiTrust B.V. führt diese Beurteilung gemäß den Bestimmungen von ISO 27006 und ISO 17065 durch.  

Auditkriterien 

Die Auditkriterien werden als Referenz verwendet, um die Konformität des Informationssicherheitsmanagementsystems (ISMS) und des Qualitätsmanagementsystems (QMS) zu bestimmen. Die anwendbaren Kriterien für den Auftrag sind: 

  • Die Anforderungen von ISO 27001, NEN 7510, ISO 9001 
  • Die definierten Prozesse und die Dokumentation des ISMS auf Basis der Anwendbarkeitserklärung (Statement of Applicability, SoA) des Auftraggebers 
  • Die Beschreibung des Geltungsbereichs, etwaige Ausnahmen in Bezug auf ISO 9001  

Definitionen und Behandlung von kritischen und nicht kritischen Abweichungen 

Eine Abweichung ist die Nichterfüllung einer Anforderung. Dabei wird unterschieden zwischen: 

Kritische Abweichung 

      Eine solche Abweichung beeinträchtigt die Fähigkeit des Managementsystems, die beabsichtigten Ergebnisse zu erzielen. Eine Abweichung kann unter den folgenden Umständen als kritisch eingestuft werden: 

  • Wenn ernsthafte Zweifel daran bestehen, dass eine wirksame Prozesskontrolle eingerichtet wurde oder dass die Produkte oder Dienstleistungen die festgelegten Anforderungen erfüllen. 
  • Eine Reihe von nicht kritischen Abweichungen, die sich auf die gleiche Normanforderung oder den gleichen Sachverhalt beziehen, können auf einen strukturellen Mangel des Managementsystems hinweisen und somit eine kritische Abweichung darstellen. 
  • Abweichungen dieser Art führen dazu, dass der PDCA-Zyklus des Managementsystems nicht mehr effektiv funktioniert. 

Nicht kritische Abweichung 

Eine solche Abweichung beeinträchtigt nicht die Fähigkeit des Managementsystems, die beabsichtigten Ergebnisse zu erzielen. Die Arbeitsweise der Organisation entspricht jedoch nicht ihren eigenen oder den Normanforderungen.  

Plan für Korrekturmaßnahmen (Corrective Action Plan, CAP) 

Werden Abweichungen festgestellt, muss der Auftraggeber einen Plan für Korrekturmaßnahmen (Corrective Action Plan, CAP) erstellen. Dieser wird vom leitenden Auditor von DigiTrust B.V. beurteilt. Der CAP wird darauf geprüft, ob die vorgeschlagenen Abhilfen, Ursachenanalysen und Verbesserungen akzeptabel sind. Falls nicht, wird der CAP abgelehnt. 

Wurden kritische Abweichungen festgestellt, wird ein zusätzliches Audit angesetzt, um die kritischen Abweichungen erneut zu bewerten. 

Wenn der leitende Auditor von DigiTrust B.V. den CAP genehmigt, wird eine positive Empfehlung für die Zertifizierung oder die Fortsetzung der Zertifizierung an den Zertifizierungsmanager übermittelt. Dieser prüft die Akte und trifft die Zertifizierungsentscheidung für die Erstzertifizierung, die Fortsetzung der laufenden Zertifizierung oder die Rezertifizierung. 

Wenn DigiTrust B.V. nicht in der Lage ist, die Umsetzung von Korrekturen und Abhilfemaßnahmen einer wesentlichen kritischen Abweichung innerhalb von 6 Monaten nach dem letzten Tag von Stufe 2 zu überprüfen, führt DigiTrust B.V. eine weitere Stufe 2 durch, bevor eine Zertifizierung empfohlen wird. Bei größeren Veränderungen in der Organisation muss eine neue Stufe 1 durchgeführt werden. 

Audit für Erstzertifizierung, Stufe 1 

Die Planung von DigiTrust B.V. stellt sicher, dass die Ziele von Stufe 1 erreicht werden, und der Auftraggeber wird über alle Tätigkeiten vor Ort informiert, die in Stufe 1 durchgeführt werden müssen. 

Die Ziele von Stufe 1 sind: 

  • Beurteilung der dokumentierten Informationen über das Managementsystem des Auftraggebers 
  • Bewertung der standortspezifischen Bedingungen des Auftraggebers und Gespräche mit den Mitarbeitenden des Auftraggebers, um die Bereitschaft für Stufe 2 zu ermitteln 
  • Bewertung des Status und der Kenntnisse des Auftraggebers in Bezug auf die Anforderungen der Norm, insbesondere im Hinblick auf die Identifizierung wesentlicher Leistungen oder signifikanter Aspekte, Prozesse, Ziele und die Funktionsweise des Managementsystems 
  • Ermittlung der notwendigen Informationen über den Umfang des Managementsystems, einschließlich: 
  • Standort(e) des Auftraggebers 
  • genutzte Prozesse und Geräte 
  • festgelegte Kontrollebenen (insbesondere im Falle eines Auftraggebers mit mehreren Standorten) 
  • geltende Gesetze und Vorschriften 
  • Bewertung der Mittelzuweisung für Stufe 2 und Vereinbarung der Einzelheiten von Stufe 2 mit dem Auftraggeber 
  • Festlegung des Schwerpunkts für Planungsstufe 2, indem ein ausreichender Einblick in das Managementsystem des Auftraggebers und die Betriebsabläufe vor Ort im Kontext der Managementsystemnorm oder eines anderen normativen Dokuments erlangt wird 
  • Vereinbarungen über das Vorhandensein/die aktive Nutzung von Prozessen in Stufe 2 
  • Bewertung, ob interne Audits und Managementprüfungen geplant sind oder bereits durchgeführt wurden, und ob der Implementierungsgrad des Managementsystems belegt, dass der Auftraggeber für Stufe 2 bereit ist 
  • Bestimmung, ob das Auditteam über die richtigen Kompetenzen zur Durchführung des Zertifizierungsaudits von Stufe 2 verfügt und ob eventuell externe Experten erforderlich sind 
  • Erstellung des Auditplans für Stufe 2 

Dokumentierte Schlussfolgerungen bezüglich der Erreichung der Ziele von Stufe 1 und der Bereitschaft für Stufe 2 müssen dem Auftraggeber mitgeteilt werden, einschließlich der eventuell ermittelten Problembereiche, die in Stufe 2 als Abweichung eingestuft werden können. 

Bei der Festlegung des Zeitraums zwischen Stufe 1 und Stufe 2 müssen die Bedürfnisse des Auftraggebers zur Behebung der in Stufe 1 ermittelten Probleme berücksichtigt werden. DigiTrust B.V. muss möglicherweise auch seine Regelungen und Berechnungen für Stufe 2 überarbeiten. Wenn sich die festgestellten Probleme auf das Managementsystem des Auftraggebers auswirken, prüft DigiTrust B.V., ob eine vollständige oder teilweise Wiederholung von Stufe 1 erforderlich ist. Der Auftraggeber wird darüber informiert, dass die Ergebnisse von Stufe 1 zu einer Verschiebung oder Annullierung von Stufe 2 führen können. 

Audit für Erstzertifizierung, Stufe 2 

Stufe 2 dient zur Bewertung der Implementierung und der Wirksamkeit des Managementsystems des Auftraggebers. Stufe 2 findet vor Ort oder teilweise per Fernzugriff beim Auftraggeber statt. Sie umfasst die Überprüfung mindestens der folgenden Punkte: 

  • Informationen und Nachweise über die Einhaltung aller Anforderungen der anwendbaren Managementsystemnorm oder anderer normativer Dokumente 
  • Leistungsüberwachung, Messung, Berichterstattung und Überprüfung anhand der wichtigsten Leistungsvorgaben und -ziele (gemäß den Erwartungen in der anwendbaren Managementsystemnorm oder einem anderen normativen Dokument) 
  • Die Leistungsstärke des Managementsystems des Auftraggebers und seine Fähigkeit zur Erfüllung der geltenden rechtlichen, regulatorischen und vertraglichen Anforderungen 
  • Operative Kontrolle der Prozesse des Auftraggebers 
  • Internes Audit und Managementprüfung 
  • Managementverantwortung für die Politik des Auftraggebers 

Das Auditteam analysiert alle in Stufe 1 und Stufe 2 gesammelten Informationen und Auditnachweise, um die Auditfeststellungen zu bewerten und sich auf die Auditschlussfolgerungen zu einigen. 

Kontrollaudits 

Kontrollaudits sind Vor-Ort-Audits, aber nicht notwendigerweise vollständige Systemaudits. Sie müssen in Verbindung mit den anderen Überwachungsaktivitäten geplant werden, damit DigiTrust B.V. darauf vertrauen kann, dass das zertifizierte Managementsystem des Auftraggebers zwischen den Rezertifizierungsaudits konform bleibt. Jede Überwachung für die betreffende Managementsystemnorm umfasst: 

  • Interne Audits und Managementprüfung 
  • Eine Bewertung der Maßnahmen, die zur Behebung der beim letzten Audit festgestellten Nichtkonformitäten ergriffen wurden 
  • Bearbeitung von Beschwerden 
  • Wirksamkeit des Managementsystems im Hinblick auf die Erreichung der Ziele des zertifizierten Auftraggebers und die beabsichtigten Ergebnisse des/der betreffenden Managementsystems/e 
  • Fortschritt der geplanten Aktivitäten zur kontinuierlichen Verbesserung 
  • Kontinuierliche Betriebskontrolle 
  • Bewertung eventueller Änderungen 
  • Verwendung von Prüfzeichen und/oder jede andere Bezugnahme auf die Zertifizierung 

Rezertifizierung 

Das Rezertifizierungsaudit soll die fortdauernde Konformität und Wirksamkeit des Managementsystems als Ganzes sowie seine anhaltende Relevanz und Eignung für den Geltungsbereich der Zertifizierung bestätigen. Ein Rezertifizierungsaudit muss geplant und durchgeführt werden, um die fortlaufende Erfüllung aller Anforderungen der betreffenden Managementsystemnorm oder eines anderen normativen Dokuments zu bewerten. Dies muss so rechtzeitig geplant und durchgeführt werden, dass eine Erneuerung vor Ablauf der Gültigkeit des Zertifikats möglich ist. 

Die Rezertifizierungstätigkeit umfasst die Bewertung früherer Auditberichte in Bezug auf Überwachung und Leistung des Managementsystems während des letzten Zertifizierungszyklus. 

Bei Rezertifizierungsaudits kann eine Stufe 1 erforderlich sein, wenn sich das Managementsystem, die Organisation oder der Kontext, in dem das Managementsystem verwendet wird, wesentlich geändert haben (z. B. Änderungen in der Gesetzgebung). 

Das Rezertifizierungsaudit umfasst eine Vor-Ort-Prüfung, die folgende Punkte abdeckt: 

  • Die Wirksamkeit des Managementsystems als Ganzes unter Berücksichtigung interner und externer Veränderungen und seine fortdauernde Relevanz und Eignung für den Geltungsbereich der Zertifizierung 
  • Nachweisliches Engagement für die Wirksamkeit und Verbesserung des Managementsystems, um die Gesamtleistung zu steigern 
  • Die Wirksamkeit des Managementsystems im Hinblick auf die Erreichung der Ziele des zertifizierten Auftraggebers und die beabsichtigten Ergebnisse des/der betreffenden Managementsystems/e 

Wurden die Rezertifizierungstätigkeiten vor dem Ablaufdatum der bestehenden Zertifizierung erfolgreich abgeschlossen, kann das Ablaufdatum der neuen Zertifizierung auf dem Ablaufdatum der bestehenden Zertifizierung basieren. Das Ausstellungsdatum eines neuen Zertifikats fällt auf oder nach das Datum der Entscheidung über die Rezertifizierung. 

Rezertifizierungsaudit nicht abgeschlossen 

Wenn der Auftraggeber das Rezertifizierungsaudit nicht abgeschlossen hat oder DigiTrust B.V. nicht in der Lage ist, die Umsetzung von Korrekturen und Abhilfemaßnahmen für eine wesentliche Nichtkonformität vor dem Ablaufdatum der Zertifizierung zu überprüfen, so wird eine Rezertifizierung nicht empfohlen und die Gültigkeit der Zertifizierung nicht verlängert. Der Auftraggeber wird informiert und über die Folgen aufgeklärt. Wenn der Auftraggeber die Probleme behoben hat, muss ein neues Erstaudit erfolgen. 

Zertifizierung wiederherstellen 

Nach Erlöschen der Zertifizierung kann DigiTrust B.V. die Zertifizierung innerhalb von 6 Monaten wiederherstellen, sofern die ausstehenden Rezertifizierungstätigkeiten abgeschlossen sind. Andernfalls muss mindestens eine Stufe 2 durchgeführt werden. Das Datum des Inkrafttretens des Zertifikats fällt auf oder nach das Datum der Entscheidung über die Rezertifizierung, und das Ablaufdatum muss auf einem früheren Zertifizierungszyklus basieren. 

Zusätzliches Audit 

Ein zusätzliches Audit ist erforderlich, wenn bei einem regulären Audit Folgendes eintritt: 

  • Zu befragende Personen sind zum vereinbarten Zeitpunkt nicht anwesend. 
  • Die angeforderten Unterlagen können nicht bereitgestellt werden. 
  • Der Umfang stellt sich als bedeutender heraus als ursprünglich vereinbart. 

Ein zusätzliches Audit muss möglicherweise auch für Umstände geplant werden, die sich auf das Managementsystem auswirken können, z. B. bei tiefgreifenden Veränderungen in der Organisation, bei Beschwerden über die Dienstleistung und bei der Nachverfolgung von Aussetzungen. 

Erweiterung des Geltungsbereichs 

Bei einem Antrag auf Erweiterung des Geltungsbereichs einer bereits erteilten Zertifizierung nimmt DigiTrust B.V. eine Bewertung des Antrags vor und legt die Audittätigkeiten fest. Dies wird dokumentiert und in der Akte gespeichert. Im Rahmen des Audits zur Erweiterung des Geltungsbereichs bewertet der Auditor von DigiTrust B.V. die geänderten oder hinzugefügten Komponenten des Managementsystems. Wenn der leitende Auditor von DigiTrust B.V. hierüber eine positive Empfehlung ausspricht, trifft der Zertifizierungsmanager die Entscheidung. Dieses Audit kann separat oder in Kombination mit einem Kontrollaudit durchgeführt werden. 

Kurzfristige Audits 

Es kann notwendig sein, dass DigiTrust B.V. kurzfristige oder unangekündigte Audits bei zertifizierten Auftraggebern durchführt, um Beschwerden zu untersuchen, oder als Reaktion auf Veränderungen oder als Follow-up nach einer Aussetzung. 

In solchen Fällen gilt: 

  • DigiTrust B.V. beschreibt und übermittelt den zertifizierten Auftraggebern vorab die Bedingungen, unter denen solche Audits durchgeführt werden. 
  • DigiTrust B.V. lässt bei der Zusammenstellung des Auditteams besondere Sorgfalt walten, da der Auftraggeber keine Möglichkeit hat, gegen die Mitglieder des Auditteams Einspruch zu erheben. 

Aussetzung oder Wiederherstellung 

Wenn DigiTrust B.V. eine Abweichung feststellt, die möglicherweise zu einer Aussetzung, einem Entzug oder einer Einschränkung des Geltungsbereichs führen kann, wird der Auftraggeber kontaktiert. Kann bei der Rücksprache keine Lösung gefunden werden, wird das Compliance-Team von DigiTrust informiert. Dieses kann eine Aussetzung, einen Entzug oder eine Einschränkung beschließen. 

DigiTrust B.V. setzt die Zertifizierung zum Beispiel in folgenden Fällen aus: 

  • Kritische Abweichungen wurden nicht rechtzeitig behoben oder auf eine unkritische Abweichung reduziert. 
  • Die Organisation ist nicht damit einverstanden, dass die Audits in der erforderlichen Häufigkeit durchgeführt werden. 
  • Die Organisation beantragt freiwillig eine Aussetzung. 
  • Der Auftraggeber kommt seinen Zahlungsverpflichtungen nicht nach. 

Die Aussetzung wird schriftlich bestätigt, wobei die Bedingungen angegeben werden, unter denen die Aussetzung wieder aufgehoben werden kann. Im Falle einer Aussetzung ist die Zertifizierung des Managementsystems des Auftraggebers vorübergehend ungültig, und in Kommunikationsmitteln darf nicht auf die Zertifizierung verwiesen werden. 

Eine Aussetzung dauert maximal 6 Monate. 

Einschränkung des Geltungsbereichs 

DigiTrust B.V. schränkt den Geltungsbereich der Zertifizierung ein, um die Teile auszuschließen, die nicht den Anforderungen entsprechen, wenn der Auftraggeber die Zertifizierungsanforderungen für die betreffenden Teile des Geltungsbereichs der Zertifizierung dauerhaft oder wesentlich nicht erfüllt. Eine solche Einschränkung steht im Einklang mit den Anforderungen der für die Zertifizierung maßgeblichen Norm. Eine Einschränkung des Geltungsbereichs wird dem Auftraggeber schriftlich bestätigt, einschließlich der Bedingungen, unter denen der Geltungsbereich wieder erweitert werden kann. 

Entzug 

Können die Gründe der Aussetzung nicht innerhalb der von DigiTrust B.V. festgelegten Frist (maximal 6 Monate) behoben werden, wird das Zertifikat entzogen. Dies wird dem Auftraggeber schriftlich bestätigt. Die Organisation darf nicht mehr kommunizieren, dass das Managementsystem von DigiTrust B.V. zertifiziert ist. Ein Auftraggeber kann auch selbst entscheiden, die Zertifizierung abzugeben, ein sogenannter freiwilliger Entzug. 

Beendigung der NEN 7510-Zertifizierung 

Wenn ein Auftraggeber ein NEN 7510-Zertifikat besitzt, aber keine personenbezogenen Gesundheitsdaten mehr verarbeitet, dürfen keine Kontrollaudits oder Rezertifizierungsaudits für NEN 7510 mehr durchgeführt werden. In diesem Fall wird das Zertifikat am Ausstellungsdatum +24 Mon./+36 Mon. plus maximal 6 Monate ausgesetzt. Wenn der Auftraggeber innerhalb dieser Frist keine personenbezogenen Gesundheitsdaten mehr verarbeitet, wird das Zertifikat entzogen.