Smile
Terug naar hoofdmenu
Terug naar het overzicht

Smile heeft deze maand niet alleen haar ISO27001 certificaat verlengd, maar daar ook nog eens ISO9001 en NEN5710 aan toegevoegd. Dit was de eerste certificeringsronde die onder begeleiding van operationeel directeur Ellen Leenhouts-Koenen plaatsvond. Lees hier hoe zij het proces heeft beleefd.

Ellen: Enthousiast vertelde ik in mijn omgeving dat wij onze ISO- en NEN-certificeringen dit jaar (weer) wilden gaan behalen. In mijn vriendenkring werd hierop zeer verschillend gereageerd. Sommigen reageerden positief, maar er waren ook wat sceptici die zeiden: Ga je die papieren exercitie echt doen in deze tijd, kan dat wel? En dan heb je dat certificaat, en dan? Gaan ze lekker kijken en de focus leggen op zaken die niet goed gaan, sinds wanneer krijg jij daar energie van?

Dit zorgde ervoor dat ik er met wat gemengde gevoelens aan begon. Het was voor mij de eerste keer dat ik dit traject voor Smile mocht doorlopen en ik wist dus ook niet wat ik kon verwachten. Het ISO27001 certificaat hebben we al sinds 2016 in ons bezit, dus die prolongatie zou wel goedkomen. Maar ISO9001 en de NEN7510, hadden we daarvoor alles al wel voldoende op orde?

Onze eigen GRC Suite als prettig online hulpmiddel

Begin 2019 ging ik desondanks met goede moed aan de slag met het verder inrichten van ons Kwaliteit-, Privacy-, Informatiebeveiligingsteam (KPI-team). Een digitale audit in onze eigen GRC Suite loodste ons feilloos door alle normen heen, practice what you preach! Voor ISO27001 bleken zaken inderdaad goed geregeld. Informatiebeveiliging zit nu eenmaal in het DNA van Smile en hierdoor is het voor ons de normaalste zaak om hier continu bij stil te staan. Bepaalde afwijkingen die uit het vorige audittraject naar voren waren gekomen, zijn inmiddels common sense binnen onze processen en dagelijkse manier van werken. Hier en daar kwamen we nog wat verbeterpuntjes tegen die we direct op konden pakken. We eindigden met het in kaart brengen van de extra verbeterkansen. Deze hebben we opgenomen in de Verbetermodule van onze GRC Suite, om aan onze auditor te laten zien dat verbeteren echt in ons bloed zit. Mijn eerste gevoel: dit zit wel snor!

Onbewust bekwaam

Ook met ISO9001 zijn we bij Smile als softwareleverancier voor grip op risico’s uiteraard goed bekend, maar de certificering hebben we zelf nog niet doorlopen, dus op dat vlak taste ik nog wat meer in het duister. Gelukkig kon ik hiervoor eenvoudig gebruik maken van de brede kennis binnen de organisatie, want binnen Smile is Kwaliteitsmanagement uiteraard niet nieuw. Ons eigen Smile platform draagt immers bij aan het continu blijven verbeteren en verhogen van kwaliteit en veiligheid, dat is waarom we bestaan. Na wat voorbereidend leeswerk kwam ik erachter dat het voor deze certificering verstandig is om een kwaliteitshandboek op te stellen. Ai, dit klinkt als een papieren tijger…. Laat dat nou net iets zijn waar wij binnen Smile niet in geloven en waar wij met onze visie juist een beetje tegen ageren. Wij verwerken onze kwaliteitsdoelstellingen liever in gedigitaliseerde processen binnen ons Smile platform waardoor we lekker wendbaar zijn en tijd besparen doordat het telkens up-to-date houden van het kwaliteitshandboek niet noodzakelijk is. Gelukkig kwam ik er al snel achter dat de Kwaliteitsmanager, mijn rol in dit verhaal, anno nu veel meer creatieve vrijheid wordt gegund om aan te tonen hoe Kwaliteitsmanagement is geborgd binnen de organisatie. Dit laatste klonk mij als muziek in de oren.

De vraag die mij wel even bezighield was: hoe ga ik nu aantonen dat wij hier op een bewuste en goede manier mee omgaan? Doordat Kwaliteitsmanagement onderdeel is van het dagelijks werk van alle Smileys constateerde ik dat wij met betrekking tot dit onderwerp inmiddels ‘onbewust bekwaam’ zijn geworden. Oftewel, omdat wij altijd bezig zijn met het verhogen van kwaliteit staan we er inmiddels al lang niet meer bij stil hoe we dit doen. Door even op afstand te gaan staan en onze organisatie van een afstandje te aanschouwen, zag ik binnen diverse teams en ook organisatie breed hele mooie PDCA-cyclussen draaien. En doordat alle stappen die hierin genomen worden dagelijks worden bijgehouden in de Smile applicaties die wij ter ondersteuning hiervan gebruiken, was het vinden van de positieve bewijslast hiervoor heel eenvoudig.

Het leek mij als startpunt van het certificeringstraject nuttig om alle doelstellingen die wij als organisatie op dit terrein van kwaliteit hebben, nog eens samen te vatten in één document. Dus geen papieren tijger, maar meer een papieren huiskat. Ter voorbereiding op ons certificeringstraject hebben wij deze gepresenteerd aan alle Smileys. Ze zaten nog net niet hoorbaar te zuchten, maar dat ik algemeen bekende informatie aan ze presenteerde dat was wel duidelijk. Ook dit voelde als een fijn uitgangspunt!

Extra aandacht voor de Zorg

Dan nog de NEN7510. Dit was naast de ISO9001 ook een nieuw te behalen certificaat voor ons, maar we werken als sinds 2005 voor de Zorg dus ook hier bleken we op veel vlakken ‘onbewust bekwaam’. Ik wilde uiteraard gaan voor meer bewustwording, en daarom hebben we de normen die specifiek zijn opgesteld voor Informatiebeveiliging in de Zorg van links naar rechts, van rechts naar links, van boven naar onder en van onder naar boven gelezen. De normen die binnen NEN7510 gesteld worden overlappen op veel vlakken met ISO27001, maar zijn hier en daar net wat strenger en logischerwijs gericht op medische – en patiënt specifieke informatie. Wij zagen al snel dat de gestelde normen heel dicht liggen bij de hoge eisen die wij in het algemeen stellen aan het verwerken van persoonsinformatie, maar konden ons bijna niet voorstellen dat hetgeen wij in de dagelijkse praktijk uitvoeren al zo dicht zou liggen bij de gestelde eisen vanuit de NEN 7510. Met enige onzekerheid zijn wij daardoor ook aan dit specifieke deel van het certificeringstraject begonnen.

Van vinken naar vonken

Begin april 2020 was het zover. De toetsing van ons certificeringstraject door een officiële auditor ging van start. Hoe doe je dat in een tijd waarin iedereen vanuit huis werkt? De auditor had aangegeven dat hij ons pand graag een keer fysiek wilde bezoeken en het vervolg zou volledig online kunnen plaatvinden. Wauw, een auditor die volledig aansluit bij onze slogan: Online auditen, júist nu!

Het bewijs dat dit werkt hebben we gezamenlijk kunnen leveren. Met gebruik van een prettige online communicatietool hadden we dagelijks contact en konden we diverse Smileys deel laten nemen aan het certificeringsprogramma. Het waren 5 fantastische dagen! Regelmatig dacht ik terug aan de mensen uit mijn vriendenkring die sceptisch waren en kon ik oprecht concluderen dat ik dit traject als zeer positief en leerzaam heb ervaren, voor onze organisatie en ook voor mezelf. De mooie manier waarop onze auditor continu bleef benadrukken dat hij zocht naar positieve bewijslast maakte dat het traject gedreven was vanuit optimisme, iets wat 1-op-1 bij onze visie op kwaliteit en veiligheid aansluit. Natuurlijk waren we niet op alle punten in staat om positieve bewijslast aan te dragen, maar door dit te erkennen en te onderbouwen hoe wij deze verbeterpunten mee zouden nemen in de toekomst hadden we ook hier de PDCA-cyclus weer keurig rond. Met een ‘clean sheet’, oftewel zonder tekortkomingen voor de ISO27001, ISO9001 en ook de NEN7510, namen wij afscheid van onze auditor. Wij kijken uit naar onze volgende toetsing!

Wat deze verdere certificeringslag ons heeft gebracht

We hebben dit traject met zeer positief resultaat afgerond en het heeft ons enorm veel gebracht:

Het mooiste wat ik meeneem uit dit traject is dat het er niet om gaat dat je alles perfect op orde hebt. De dingen die je goed doet krijgen hun waardering en daarnaast geeft het inzichten in zaken die je nóg beter kunt doen en verder kunt optimaliseren. Hierdoor blijf je groeien als organisatie. Precies zoals Smile in haar visie ook al verwoord en ik vond het dan ook fijn om te merken dat de auditoren anno nu de stap van vinken naar vonken hebben gezet. Zo is certificering geen verplicht nummer maar daadwerkelijk een katalysator voor het verbeteren van je organisatie!