KMS en ISMS

SHISHO advies voor kwaliteitsmanagement en informatiebeveiliging in de gezondheidszorg.

Managementsysteem

SHISHO advies ondersteunt bij het opzetten, implementeren en continu verbeteren van een KMS, kwaliteitsmanagementsysteem (ISO 9001, ISO 15189) en/of een ISMS, informatiebeveiligingsmanagementsysteem (ISO 27001, NEN 7510) in alle fases van de PDCA cyclus.

Deze managementsystemen overlappen voor een groot deel. Combineren van twee of meer systemen bespaart veel tijd. SHISHO advies is gespecialiseerd in het integreren van verschillende managementsystemen.

De ondersteuning varieert

Van helpen bij het zelf doen. De (kwaliteits)manager/security officer of het team coachen tot het beoogde resultaat, bijvoorbeeld een certificaat of meer betrokkenheid binnen de organisatie, is behaald.

Tot het uitvoeren van praktisch werkzaamheden, bijvoorbeeld het coördineren bij een risicoanalyse of managementreview of het uitvoeren van (proef)audits.

Deming-cirkel

Een managementsysteem beschrijft een cyclisch proces:

  • Plan, het vaststellen van het managementsysteem, beleid met doelstellingen en risico’s en kansen met risicobeheersmaatregelen.
  • Do, het uitvoeren van doelstellingen en maatregelen en met geplande tussenpozen de risicoanalyse herhalen.
  • Check, het evalueren van het systeem en het effect van doelstellingen en maatregelen.
  • Act, het vaststellen van corrigerende maatregelen ten behoeve van continu verbeteren.

 

Het zetten van de eerste stappen van de PDCA cyclus lukt over het algemeen wel. Het wordt vaak lastig bij de laatste stap(pen):

  • Audits worden uitgevoerd, maar de afwijkingen worden niet of laat afgehandeld.
  • Maatregelen worden niet beoordeeld op hun effectiviteit.
  • De managementreview/directiebeoordeling is een document zonder duidelijk doel en conclusie, relevante verbeteracties ontbreken.
  • Het draagvlak en betrokkenheid van werkvloer en/of management is onvoldoende.

 

SHISHO advies ondersteunt in alle fasen van het cyclische proces, maar kan met name ten aanzien van de Check en Act fase het verschil maken. SHISHO advies beschikt over een grote variatie aan methoden en hulpmiddelen om eigenaarschap binnen de organisatie te vergroten.

SHISHO advies ondersteunt o.a. bij

Plan

  • het uitvoeren van een context en/of belanghebbende analyse;
  • het vaststellen van het toepassingsgebied;
  • het vaststellen van risico’s en kansen, na het uitvoeren van bijvoorbeeld een SWOT analyse;
  • het uitvoeren van een risicoanalyse, bij voorkeur, in een multi functional en multi level team (alle functies en niveaus vertegenwoordigd) met een methode naar keuze (HFMEA/Safer, BowTie, PRISMA, MAPGOOD, Norea of een eenvoudige, praktische door SHISHO advies ontwikkelde methode);
  • het schrijven van een kwaliteitshandboek met kwaliteitsdoelstellingen;
  • het schrijven van een informatiebeveiligingsbeleid met doelstellingen;
  • het vaststellen van verantwoordelijkheden en bevoegdheden;
  • het schrijven van documentatie, zoals bijvoorbeeld procedures op het gebied interne audits of klachtenafhandeling/datalekken of een noodprocedure;
  • het inventariseren en classificeren van systemen;
  • het inventariseren van gebruikte persoonsgegevens;
  • het opstellen van een verklaring van toepasselijkheid.

Do

  • het vaststellen van de benodigde competenties;
  • het ontwikkelen van een methode om competenties periodiek te beoordelen;
  • het trainen van medewerkers;
  • het ontwikkelen van een bewustwordingscampagne en de uitvoering daarvan;
  • het opstellen van een communicatieplan;
  • het creëren van draagvlak en betrokkenheid;
  • het opzetten van een documentbeheersysteem of ondersteunen bij de inrichting van een commercieel systeem;
  • het opzetten van een registratiesysteem voor klachten, datalekken, incidenten, meldingen, suggesties van medewerkers en verbeteracties of ondersteunen bij de inrichting van een commercieel systeem;
  • het bepalen van een minimaal aantal bij te houden registraties ten aanzien van bijvoorbeeld medewerkers, apparatuur, klachten, datalekken, incidenten, toegangsbeheer, etc.;
  • het structureren van de uitvoering van doeltellingen en maatregelen.

Check

  • het uitvoeren van een nulmeting;
  • het uitvoeren van proefaudits voorafgaand aan een externe audit;
  • het uitvoeren van interne audits volgens een methode naar keuze;
  • het evalueren van de effectiviteit van doelstellingen en maatregelen;
  • het vaststellen van (meetbare) prestatie-indicatoren (kpi’s) met norm;
  • het periodiek beoordelen van klachten, datalekken, incidenten, meldingen en suggesties van medewerkers;
  • het opstellen van een managementbeoordeling, managementreview/directiebeoordeling.

Act

  • het vaststellen van correctieve maatregelen;
  • het opstellen van verbeterplannen en de implementatie daarvan;
  • het rondmaken van de PDCA cyclus.
 

Terug naar Home.