Documentbeheer, de beste aanpak per norm ISO 9001, ISO 27001 en ISO 14001
22 september 2020 
7 min. leestijd

Documentbeheer, de beste aanpak per norm ISO 9001, ISO 27001 en ISO 14001

In dit blog ga ik je vertellen hoe je het beste je documentbeheer kunt regelen. Daarbij geef ik je tips en nemen we de eisen van de verschillende normen door. In dit blog bespreek ik de ISO 9001, ISO 27001 en de ISO 14001 en geef ik aan welke processen beschreven moeten worden volgens de ISO 9001 norm. We hebben een hoop te bespreken. Laten we snel beginnen!

Documentbeheer: wat zegt ISO 9001 daar over?

Doordat de ISO 9001, ISO 14001 en de ISO 27001 opgebouwd zijn volgens de nieuwe HLS (High Level Structure) hebben ze dezelfde opbouw. Een van de gezamenlijke elementen in de HLS is documentbeheer. Omdat dit onderdeel voor de verschillende normen hetzelfde is, som ik hier de eisen van de ISO 9001 op. De eisen die aan documentbeheer worden gesteld worden in hoofdstuk 7.5 van deze norm beschreven.

7.5.1 Algemeen

Het kwaliteitsmanagementsysteem van de organisatie moet onder andere bevatten:

  1. de gedocumenteerde informatie die deze internationale norm vereist;
  2. de gedocumenteerde informatie die de organisatie nodig acht voor de doeltreffendheid van het kwaliteitsmanagementsysteem.

Hier wordt aangegeven dat minimaal gedocumenteerd moet worden datgene wat deze norm vereist plus dat wat de organisatie zelf nodig acht voor de doeltreffendheid van het kwaliteitssysteem. Op dat eerste punt (dat wat de norm vereist) geven we even verderop antwoord. Dat tweede gedeelte van de zin ‘dat wat de organisatie zelf nodig acht’ vraagt om een nadere toelichting. De ISO 9001 geeft zelf als toelichting hierop dat dit per organisatie kan verschillen. Zaken die dit beïnvloeden zijn de omvang van de organisatie, de complexiteit van de processen en de aanwezige competenties van de medewerkers.

Hoe kun je paragraaf 7.5.2 het beste lezen?

Het komt erop neer dat wanneer je een organisatie neemt met complexere processen of activiteiten en medewerkers met mindere competenties er meer moet worden vastgelegd. Vaak zal dat in de vorm van werkinstructies zijn. Overigens wordt vaak gezegd dat je met de huidige ISO 9001:2015 geen processen meer hoeft vast te leggen.  Dat is maar ten dele waar. Om te beginnen moet je wel je processen in kaart brengen inclusief de samenhang. Van elk proces moet je weten wat de risico’ s zijn. hoe je deze zo nodig borgt, welke middelen je nodig hebt, wie erbij betrokken is en wat de input en output is. Bij elkaar opgeteld is dat toch echt een procesbeschrijving.

De algemene denkwijze dat je met deze versie van de ISO 9001 (2015) dus niet veel meer hoeft vast te leggen is zeker voor de complexere organisaties zeker niet waar!

7.5.2 Creëren en actualiseren

De ISO 9001 zegt hierover: Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor een passend(e):

  1. Identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
  2. format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch);
  3. beoordeling en goedkeuring van geschiktheid en toereikendheid.

Hoe kun je paragraaf 7.5.2 van de norm het beste lezen?

Bij het documentbeheer moet je er dus voor zorgen dat elk document geïdentificeerd kan worden. Dat is nogal logisch. Anders heb je geen idee wat je voor je hebt liggen en kun je het ook niet zoeken en vinden. Op zijn minst heeft een document dus een titel.

Tips voor documentbeheer paragraaf 7.5.2

Het format mag je zelf bepalen zolang het maar passend is bij jouw organisatie. Ook moet elk document voordat je het in gebruik stelt op geschiktheid en toereikendheid worden beoordeeld. Een document laten beoordelen op geschiktheid kun je het beste laten doen door één of meerdere key gebruikers. Na het beoordelen moet een document aantoonbaar worden goedgekeurd. Het is de document eigenaar die een document mag / moet goedkeuren. Hij / zij is verantwoordelijk voor de inhoud van het document.

Het goedkeuren zelf hoeft overigens niet aantoonbaar te zijn zolang je maar wel achteraf kunt laten zien wie het heeft goedgekeurd. Bij documentbeheer keurt de document- of proceseigenaar het document goed. Dit alles moet je achteraf kunnen zien! Hiervan moet je dus registraties van bijhouden (onze softwaretool VisionManager doet dit overigens automatisch voor je).

7.5.3 Beheersing van gedocumenteerde informatie

7.5.3.1 Gedocumenteerde informatie zoals het kwaliteitsmanagementsysteem en deze internationale norm vereisen, moet worden beheerst om te bewerkstelligen dat:

  1. De informatie beschikbaar is en geschikt is voor gebruik, waar en wanneer het nodig is;
  2. de informatie afdoend is beveiligd (bijv. tegen verlies van vertrouwelijkheid, oneigenlijk gebruik en aantasting).

Hoe kun je paragraaf 7.5.3.1 van de norm het beste lezen?

Hier geeft de norm aan dat de documentatie voor de collega’s beschikbaar moet zijn op het moment en de plek dat zij deze nodig hebben. Het gaat dus om de beschikbaarheid. Alleen een handboek ergens in de kast hebben staan is dus niet (meer) voldoende. Meestal zijn de documenten digitaal beschikbaar. De medewerkers moeten in dit geval toegang hebben tot de digitale documentatie.

Je moet ook zeker stellen dat goedgekeurde documenten na goedkeuring niet meer gewijzigd kunnen worden. Dit is een onderdeel van het documentenbeheer waar veel organisaties het liefst wat soepeler mee willen omspringen. Wanneer je slechts enkele spelfouten uit een document wilt halen zul je dus toch een nieuwe versie (revisie) moeten aanmaken. De al goedgekeurde versie mag je immers niet meer veranderen. Stel ook vast wie een document mag wijzigen (dus een nieuwe versie aanmaken). Dat zijn altijd de proces- of document eigenaren.

Tips voor documentbeheer paragraaf 7.5.3.1

Het is slim om meteen te regelen wie de documentatie mag zien. Filter zoveel mogelijk informatie weg. Dat klinkt wellicht vreemd, maar het werkt het beste. Geef de medewerker alleen datgene te zien wat hij nodig heeft om zijn werk goed te kunnen uitvoeren. Hoe meer hij mag zien, hoe minder snel hij de voor hem of haar relevante informatie kan vinden. Dit is absoluut een belangrijk onder deel van documentenbeheer wat in de praktijk te weinig aandacht krijgt. Bij veel organisaties mag iedereen alles zien.

7.5.3.2 Voor het beheersen van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan de volgende activiteiten:

  1. Distributie, toegang, het terugvinden alsmede het gebruik;
  2. opslag en behoud, inclusief behoud van leesbaarheid;
  3. beheersing van wijzigingen (bijv. versiebeheer);
  4. het bewaren en vernietigen.

Gedocumenteerde informatie van externe oorsprong die de organisatie nodig acht voor de planning en uitvoering van het kwaliteitsmanagementsysteem, moet bij de situatie passend worden geïdentificeerd, en worden beheerst.

Gedocumenteerde informatie die wordt bijgehouden als bewijs van voldoen aan de eisen moet worden beschermd tegen onbedoelde wijzigingen

Hoe kun je paragraaf 7.5.3.2 van de norm het beste lezen?

Bij punt 1. staat dat je moet regelen op welke wijze je de verspreiding van de documenten regelt. Vroeger, nog voordat er goede software voor was, gingen we met de nieuwe papieren versies rond. We namen de oude documenten in en lieten de medewerkers voor ontvangst van de nieuwe versie van het document tekenen. Deze checklisten moest je dan goed bewaren en aan de externe auditor laten zien. Dat is in deze huidige tijd vrijwel ondenkbaar geworden. Nu ben je dankzij het gebruik van de juiste software in enkele klikken klaar!

Tips voor documentbeheer paragraaf 7.5.3.2

Omdat je ervoor moet zorgen dat de documenten actueel blijven moet je ze dus periodiek beoordelen op actualiteit en effectiviteit. Voor de meeste documenten is een evaluatietermijn van 1 jaar voldoende. Je hebt dus minimaal elk jaar een nieuwe revisie van een document.

Punt 2 van paragraaf 7.5.3.2 stamt nog uit de tijd dat er veel documenten op papier waren waarop de wijzigingen werden bijgeschreven. Dat kwam de leesbaarheid niet altijd ten goede. Denk bijvoorbeeld aan instructies die in de buurt van machines hingen. Daar werd veel op geschreven. Tegenwoordig staan ook in de productie voldoende computers om onleesbare werkinstructies te voorkomen.

Bij punt 3 van paragraaf 7.5.3.2 wordt geregeld dat je ten alle tijden de versie van het document moet kunnen zien. Dit om na te kunnen gaan of je met de laatst goedgekeurde versie betreft. De wijze waarop je omgaat met de wijzigingen laat de norm in het midden. Je kunt dat apart bij het document vermelden (gewijzigd is ….). Je kunt ook de gewijzigde tekst kenmerken of je geeft in een bijgaande mail aan wat de wijzigingen zijn.

Punt 4 van paragraaf 7.5.3.2 geeft aan dat je moet regelen dat verouderde versies niet in omloop blijven. Vroegen hield je daar allerlei checklijsten voor bij. Nu regel je dat met de software. De software laat meestal alleen de laatste versie zien en archiveert (voor de gebruiker onzichtbaar) de verouderde versies.

Documentbeheer van externe documenten

Daarna gaat de norm verder en behandelt het documentbeheer van documenten met een externe oorsprong. Denk hierbij aan wet- en regelgeving, branchevoorschriften etc. Dit stukje van de norm wil zeker stellen dat je weet welke externe documenten op jouw organisatie van toepassing zijn en hoe je zeker stelt dat je op de hoogte bent van wijzigingen. Het beste kun je hiervoor een overzicht maken van de betreffende documentatie.

Achter elk document zet je een eigenaar en geef je aan welke verzie momenteel actueel is. Je geeft de eigenar de verantwoordelijkheid om periodiek na te gaan of er een nieuwe versie van het betreffende document is. Soms kun je hiervoor een abonnement afsluiten zodat je op de hoogte wordt gebracht van een nieuwe versie. Wel zo handig.

Documentbeheer van (kwaliteits)registraties

De laatste zin van deze paragraaf gaat over het beheren van kwaliteitsregistraties. Nadat de registratie is vastgelegd mag deze niet meer kunnen worden gewijzigd. Exact zoals bij het normale documentbeheer. Dit vraagt echter vaak best wel wat van de organisatie. Veel registraties zijn nog steeds op papier. Maar ook digitale registraties zijn vaak ook nog na het afsluiten ervan te wijzigen. Zorg ervoor dat dit niet mogelijk is.

De toekomst van documentbeheer volgens de ISO 9001, ISO 27001 en ISO 14001

Er wordt momenteel binnen de normcommissies gesproken of het ook nodig is dat je kunt zien wie de registratie wanneer heeft afgesloten. Dat maakt het geheel er niet makkelijker op. Werk je met VisionManager software? Dan gaat de registratie automatisch.

Documentbeheer: welke procesbeschrijvingen heb je volgens de ISO 9001 nodig?

Hierboven heb ik de normparagrafen met je doorgenomen. Je hebt van mij nog tegoed welke procesbeschrijvingen je volgens de ISO 9001 norm moet hebben. Dat zijn:

  1. Het beheren van documenten.
  2. Beheren van externe documenten.
  3. Het beheren van (kwaliteits)registraties.
  4. Het omgaan met afwijkingen.
  5. Het uitvoeren van interne audits.
  6. Het doorvoeren van corrigerende maatregelen.

Maar je hebt meer documenten nodig. Onder het documentbeheer vallen ook documenten zoals:

  1. Context van de organisatie.
  2. Kwaliteitsbeleid.
  3. Managementreview of directiebeoordeling.
  4. Klanttevredenheidsonderzoeken.
  5. Procesbeschrijvingen.
  6. Etc.

Checklist documentbeheer volgens de ISO 9001, ISO 27001 en ISO 14001

Samengevat moet documentbeheer aan de volgende voorwaarden voldoen:

  1. Elk document moet zijn voorzien van een duidelijke titel. Het moet uniek te identificeren zijn.
  2. Het gekozen format moet passend zijn bij de organisatie. Het mag analoog (op papier) of digitaal zijn.
  3. Elk document moet een eigenaar hebben. De eigenaar is verantwoordelijk voor de inhoud van het document.
  4. Elk document moet voor de goedkeuring worden beoordeelt op geschiktheid.
  5. De documentatie moet beschikbaar zijn voor de gebruikers.
  6. Na goedkeuring mag de inhoud van het document niet meer gewijzigd kunnen worden.
  7. Ook registraties mogen na het sluiten ervan niet meer gewijzigd kunnen worden.
  8. Je moet van elk document de versie kunnen zien.
  9. Documenten moeten periodiek (vaak jaarlijks) worden herzien / gecontroleerd op actualiteit.
  10. Oude versies van een document mogen niet in omloop blijven.
  11. Er moet een overzicht zijn van externe documenten, inclusief de eigenaar en de wijze waarop zekergesteld wordt dat wijzigingen worden opgemerkt.

Waarom goede software voor documentbeheer belangrijk is

Mijn ultieme tip is om goede software aan te schaffen. Het scheelt je veel ergernis, tijd en uiteindelijk ook geld. Of je nu wil starten met het behalen van jullie ISO 9001 certificaat (of 27001 of 14001) of dat jullie al een bestaand systeem hebben, dit is altijd het beste moment om met gespecialiseerde software te gaan werken. Kijk op ISOmanager.nl voor starten met ISO of op VisionManager.com voor software voor bestaande kwaliteitsmanagementsystemen.

Reactie plaatsen