Een nieuw normenkader in jouw Normity-omgeving maak je eigen door drie stappen te zetten: de volgorde van kaders bepalen, waar nodig de naam van een norm aanpassen en per normelement de toepasselijkheid vastleggen. In dit artikel lopen we ze één voor één door, zodat het kader direct aansluit op hoe jullie werken.
Je krijgt een nieuw normenkader gekoppeld aan jouw Normity-omgeving. Leuk! Maar dan? Want ook al staat alles er mooi in, een normenkader wordt pas écht van jou als je 'm op maat maakt voor je eigen organisatie. In dit artikel nemen we je mee langs de drie belangrijkste stappen: de volgorde van normen aanpassen, eventueel de namen wijzigen en — misschien wel de belangrijkste — de toepasselijkheid vastleggen (spoiler: dit hoeft niet bij iedere norm).
Een normenkader zoals ISO 9001, ISO 27001 of de AVG is natuurlijk universeel opgezet. Dat moet ook wel, want de norm geldt voor duizenden organisaties tegelijk. Maar al die organisaties zijn uniek, ook die van jou. En dat betekent dat niet alles wat in zo'n kader staat, ook daadwerkelijk van toepassing is op wat jullie doen.
Gelukkig biedt Normity je de mogelijkheid om het gekoppelde normenkader naar jouw hand te zetten. Niet door er zomaar artikelen uit te gooien. Dat zou niet handig zijn. Maar door per normelement aan te geven hoe het bij jouw organisatie past. Zo houd je én het kader volledig, én maak je inzichtelijk waar jouw focus ligt.
Heb je meerdere normenkaders gekoppeld, dan is het handig om te bepalen in welke volgorde ze in Normity verschijnen. Misschien werk je primair met ISO 9001 en is ISO 27001 een secundair kader. Of andersom. Wat voor jouw organisatie logisch is, bepaal je zelf.
De volgorde pas je aan in het beheer van de normenkaders. Via een eenvoudige knop schuif je de kaders op de gewenste plek. Het bovenste kader wordt standaard getoond bij overzichten en rapportages, de volgende kaders daaronder. Een kleine aanpassing, maar eentje die je dagelijkse werk een stuk prettiger maakt.
Soms wil je de officiële naam van een norm net wat anders noemen in je eigen omgeving. Bijvoorbeeld omdat jullie intern een andere benaming gebruiken, of omdat je met een afkorting werkt die collega's direct herkennen. En niet zelden hebben die normenkaders ook akelig formele (en lange) namen, bijvoorbeeld 'AVG Borgingsproduct 3.1'. Die kun je dus aanpassen.
Pas je de naam van de norm aan, dan verandert alleen de presentatie ervan in Normity. De officiële nummering en structuur van artikelen blijft gewoon bestaan, maar de naam die je medewerkers zien wordt aangepast. Handig voor de herkenbaarheid, én je voorkomt dat mensen bij 'ISO/IEC 27001:2022' moeten bedenken wat er ook alweer mee bedoeld werd.
En dan de stap waar het eigenlijk allemaal om draait: het bepalen van de toepasselijkheid per normelement. Dit volgt het principe van de zogenaamde 'pas toe of leg uit'. Dat betekent dat een normelement ofwel van toepassing is ofwel dat je moet uitleggen waarom het niet van toepassing is. Let er hierbij wel op dat sommige normenkader deze mogelijkheid niet bieden. In dat geval zijn normelementen altijd van toepassing, en hoef je dus geen keuzes te maken.
Per normelement (waar dat kan tenminste) geef je aan of het van toepassing is op jouw organisatie. En zo ja: in welke mate. Denk bijvoorbeeld aan artikelen over productontwikkeling — als je organisatie geen producten ontwikkelt maar alleen diensten levert, dan zijn die normelementen niet relevant voor jou. Zet je het op 'niet van toepassing', dan wordt automatisch jouw verklaring van toepasselijkheid aangepast EN worden de betreffende normelementen in overzichten en rapportages duidelijk gemarkeerd als 'niet van toepassing'. Zo houd je het overzichtelijk, en kun je ook aan auditors laten zien dat je bewust hebt nagedacht over wat voor jouw organisatie relevant is.
Zorg ervoor dat je bij iedere keuze ook onderbouwt waarom een artikel wel of niet van toepassing is. Dat klinkt misschien als administratieve ballast, maar dat is bij veel normenkader verplicht. Wat we hierboven al aangaven: pas toe of leg uit. En eerlijk is eerlijk: als je het later zelf nog eens wilt nakijken, dan helpt zo'n korte toelichting ook.
Organisaties staan niet stil. Vandaag ontwikkel je geen producten, morgen misschien wél. En dan? Geen zorgen, de toepasselijkheid kun je op elk moment aanpassen. Normity houdt in het logboek netjes bij wanneer je een wijziging hebt doorgevoerd, zodat de historie altijd terug te vinden is. En wanneer de audit aanstaande is, stuur je gewoon de automatisch aangepaste verklaring van toepasselijkheid mee. Zo simpel is het!
Onze tip: kijk minimaal één keer per jaar de toepasselijkheid even door. Bijvoorbeeld rondom de directiebeoordeling of als onderdeel van je jaarlijkse auditcyclus. Zo houd je het kader scherp afgestemd op wat je écht doet. Enne, dat leggen we in Normity natuurlijk gewoon vast in een taak...
Kom je er toch even niet uit? Geen probleem, dan helpen we je natuurlijk graag verder. Neem gerust contact met ons op, dan lopen we het samen door.