Stappenplan - Toepasselijkheid

We zijn nu aangekomen bij de toepasselijkheid. Bij de toepasselijkheid geef je aan welke normelementen op jouw organisatie van toepassing zijn. Het is de vraag of dit voor jouw organisatie relevant is. Zo gebruik je wellicht Normity zonder normen (dat kan namelijk) of heb je alleen normen die altijd in zijn geheel van toepassing zijn. In die gevallen kun je deze stap overslaan.

Bij verschillende normen (bijvoorbeeld ISO 27001 en ISO 20252) moet je de toepasselijkheid bepalen. Dan geef je dus netjes per normelement aan of een specifiek normelement voor jouw organisatie geldt. Dit doe je dus normelement voor normelement. Per normelement geef je vervolgens het volgende op:

• Toepasselijk ja /nee
• Indien ja:
  • Uitbesteed ja /nee
  • Basis toepasselijkheid:
    • Wet- en regelgeving
    • Contractuele eis
    • Risicoanalyse
    • Bedrijfeis
• Indien nee:
  • Reden niet van toepassing
• Toelichting

In de praktijk spreekt dit grotendeels voor zich en ben je er eenmalig snel doorheen. Bedenk wel dat de hierop gebaseerde verklaring van toepasselijkheid een belangrijke basis vormt voor de externe audit. Zorg er dus wel voor dat je de toepasselijkheid zorgvuldig invult.