Certificeringseisen bij aanbestedingenIn onze adviespraktijk zien wij dat veel organisaties voor het eerst in aanraking komen met certificeringsvraagstukken, op het moment dat (potentiële) klanten een bepaalde certificering van ze vragen, bijvoorbeeld bij een aanbesteding. Onze ervaring daarbij leert dat voor veel organisaties op dat moment nog onduidelijk is wat daarbij nou eigenlijk van ze gevraagd wordt. En opvallend(er): wij kunnen ons niet aan de indruk onttrekken dat ook niet alle (inkopers van) aanbestedende organisaties een even goed beeld hebben van wat ze precies vragen van hun potentiële leverancier. Het lijkt er soms op dat hetzelfde standaardlijstje van certificeringen in alle aanbestedingen wordt opgenomen, zonder daarbij het belang van zo’n certificering in relatie tot de (leverancier van de) specifieke dienst of het specifieke product mee te wegen. In dit artikel zetten we daarom, zowel voor aanbesteders als inschrijvers, de meest voorkomende certificeringen en de ‘zin en onzin’ daarvan bij aanbestedingen op een rij.

Waarom certificeringseisen bij aanbestedingen?

Certificeringen worden door aanbestedende partijen gevraagd vanuit het oogpunt van risicomanagement. De certificering moet de aanbestedende partij een bepaalde mate van zekerheid geven dat de (potentiële) leverancier heeft nagedacht over risico’s die verbonden zijn aan de ontwikkeling/productie/levering van de producten/diensten, dat daarvoor passende voorzorgs-/beheersmaatregelen zijn genomen en dat de effectiviteit van die maatregelen actief wordt gemonitord en waar nodig bijgestuurd. Er wordt, met andere woorden, gevraagd om een aantoonbare risicobeheersmethodiek aan de kant van de leverancier, ook wel een managementsysteem genoemd.

Van tender tot opdracht [Whitepaper]

Wil je meedoen in een aanbesteding waarbij gevraagd wordt om een managementsysteem conform ISO 9001/27001/14001/45001 of gelijkwaardig? Download dan onze handige whitepaper ‘van tender tot opdracht’ waarin we je uitleggen hoe je daaraan voldoet.

DOWNLOAD WHITEPAPER

In de basis een hele plausibele gedachte, als je het ons vraagt. Je wilt immers weten wie en wat je in huis haalt. Risico’s kennen echter vele gedaanten, en managementsystemen en certificeringen daarmee ook. De bij aanbestedingen meest voorkomende thema’s in dit kader zijn:

  • Kwaliteit: borgen dat wordt voldaan aan de eisen van belanghebbenden met betrekking tot de kwaliteit van de producten/diensten;
  • Informatiebeveiliging: borgen dat wordt voldaan aan de eisen van belanghebbenden met betrekking tot de beschikbaarheid, integriteit en vertrouwelijkheid van informatie(/systemen);
  • Milieu: borgen dat wordt voldaan aan de eisen van belanghebbenden met betrekking tot milieuprestaties;
  • Arbo & veiligheid: borgen dat wordt voldaan aan de eisen van belanghebbenden met betrekking tot de veiligheid en gezondheid van medewerkers.

Veel voorkomende certificeringen bij aanbestedingen

Per bovengenoemd thema zijn er een aantal normen/certificeringen die regelmatig in aanbestedingen terugkomen. We zetten hieronder de belangrijkste op een rij:

Kwaliteitsmanagement

  • ISO 9001 is de ‘moeder’ van alle ISO-/kwaliteitsnormen en breed toepasbaar voor alle soorten organisaties. De norm is erop gericht dat zij hun processen (strategisch, operationeel en ondersteunend) en resources zo inrichten dat een constante en betrouwbare kwaliteit van de output (product of dienst) gewaarborgd is.
  • Er zijn diverse andere (op ISO 9001 gebaseerde) normen die verder zijn toegespitst op specifieke sectoren. Binnen de zorgsector komen bijvoorbeeld HKZ of NEN 15224 vaak voor in de voorwaarden vanuit gemeenten/zorgverzekeraars. Voor leveranciers van medische hulpmiddelen is ISO 13485 vaak een vereiste.

Bekijk ook:ISO 9001 in een aanbesteding: hoe ga je om met de eis van een opdrachtgever?

Informatiebeveiligingsmanagement

  • ISO 27001 is dé internationaal erkende enorm voor informatiebeveiliging. Ook deze norm is toepasbaar voor alle organisaties, maar in de praktijk het meest relevant voor organisaties data/systemen van klanten beheren (denk aan IT-/softwarebedrijven, datacenters etc.) of gevoelige bedrijfsinformatie of persoonsgegevens verwerken (denk aan financiële instellingen, zorginstellingen, arbeidsbemiddelaars, overheden etc). De norm is erop gericht dat zij hun processen en systemen technisch en organisatorisch zodanig inrichten dat de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie gewaarborgd is.
  • Ook van ISO 27001 bestaan er afgeleide normen, toegeschreven op specifieke sectoren. Zo kent de zorgsector de NEN 7510, die betrekking heeft op organisaties die persoonlijke gezondheidsgegevens verwerken. Binnen de overheid geldt de BIO (Baseline Informatiebeveiliging Overheid), waar extra richtlijnen in staan voor overheidsinstellingen (en op onderdelen ook voor hun dienstverleners).
  • ISAE 3402 of ISAE 3000 komen bij aanbestedingen ook regelmatig voor in relatie tot informatiebeveiliging. Deze kaders richten zich specifiek op risico’s bij het uitbesteden (outsourcen) van interne processen. Het gaat hier niet letterlijk om een certificering, maar om een assuranceverklaring van een RA/RE (accountant/IT-auditor) waarmee een (accountant van een) financiële instelling, beursgenoteerde organisatie en/of professionele organisatie wil waarborgen dat de risico’s in relatie tot de door hen uitbestede processen in control zijn. ISAE 3402 is van toepassing indien financiële informatie wordt verwerkt door de serviceorganisatie. Als het om niet-financiële informatie gaat, is ISAE 3000 toepasbaar. Een belangrijk verschil tussen ISO 27001 en ISAE, is dat bij ISO 27001 getoetst wordt op het vermogen van een organisatie om zelf de effectiviteit van de beheersmaatregelen te monitoren en bij te sturen, op basis waarvan voor een toekomstige periode van drie jaar vertrouwen wordt uitgesproken, terwijl bij ISAE door de auditor wordt teruggekeken naar de toepassing van de maatregelen in de praktijk over een periode van zes maanden (waarmee ISAE vooral verslaglegging doet over het verleden).

Meer lezen? Bekijk: Kiezen voor ISO 27001 of NEN 7510? Of beide? En zijn er alternatieven?

Milieumanagement

  • ISO 14001 is de meest toegepaste norm voor milieumanagement. Deze norm is vooral relevant voor organisaties die bij hun primaire proces te maken hebben met een hoge milieu-impact (met name afval, waterverbruik en energieverbruik). Denk bijvoorbeeld aan bedrijven in de bouw, techniek/productie, transport en logistiek. De norm is erop gericht dat zij hun processen zo inrichten dat aan wet- en regelgeving wordt voldaan en de milieuprestaties geoptimaliseerd worden.
  • Ook op milieugebied zijn er afgeleide/aanvullende normen die steeds vaker in aanbestedingen voorkomen, zoals ISO 50001 voor energie(besparings)management en de CO2 prestatieladder m.b.t. reductie van CO2 uitstoot en daarmee gepaard gaande kosten.

Artikeltip: Wat is het verschil tussen ISO 14001 en ISO 50001?

Arbomanagement

  • ISO 45001 is een norm die in aanbestedingen terugkomt als het gaat om risico’s in relatie tot gezond en veilig werken. Logischerwijs is deze certificering het meest van toepassing in sectoren waar fysieke arbeid een belangrijkere rol speelt, denk aan o.a. de bouw, techniek/productie, transport en logistiek. De norm is erop gericht dat zij hun processen zo inrichten dat arbeidsomstandigheden geoptimaliseerd worden.
  • Op het gebied van arbomanagement zijn VCA, VCU (specifiek voor uitzendbureaus) en de Safety Culture Ladder andere certificeringen die vaker terugkomen in aanbestedingen.

Ook interessant: Vanaf 2022 Veiligheidsladder verplicht voor aanbestedingen in de bouw

Thema voor de toekomst bij aanbestedingen: bedrijfscontinuïteitsmanagement (BCM)

Een thema voor de toekomst bij aanbestedingen is Business Continuity Management. De ISO 22301 norm biedt hiervoor het kader, waarmee organisaties veerkrachtig en flexibel kunnen reageren als een verstoring (bijvoorbeeld brand, overstroming, ransomwareaanval, virusuitbraak of terroristische aanslag) zich voordoet, zodat de normale bedrijfsvoering kan doorgaan of op zijn minst snel en efficiënt hersteld kan worden. Hoewel deze certificering op dit moment nog weinig in aanbestedingen terugkomt, is de verwachting dat dit in de toekomst steeds vaker zal gaan gebeuren. Want zeg nu zelf: erop kunnen vertrouwen dat ondanks alles de business verder gaat, is uiteindelijk toch het allergrootste belang dat iedere aanbestedende organisatie bij zijn leverancier heeft.

Lees ook het artikel: De coronacrisis zet bedrijfscontinuïteitsmanagement écht op de agenda

Relevantie van certificeringen verschilt per leverancier

Zoals uit het bovenstaande blijkt, is de relevantie van een certificering sterk afhankelijk van de sector waarin de leverancier zich bevindt en het type product/dienst dat geleverd wordt. Toch wordt hier bij aanbestedingen soms weinig rekening mee gehouden. Maar al te vaak zien we dat een zorginstelling standaard een NEN 7510 certificering vraagt, terwijl de betreffende leverancier op geen enkele wijze toegang heeft tot persoonlijke gezondheidsgegevens. Of dat een overheidsinstantie standaard een ISO 14001 certificering vraagt, terwijl de betreffende leverancier een dienstverlenende kantoororganisatie is, waar milieu-impact nauwelijks een rol speelt. En zo zijn er meer praktijkvoorbeelden van ondoordachte certificeringseisen.

Ook van de andere kant van de tafel bekeken (de leverancierskant), zien we dat er soms nogal kort door de bocht conclusies worden getrokken over benodigde certificeringen. De voorbeelden van kantoororganisaties die te snel concluderen dat voor een aanbesteding een ISO 9001 en ISO 14001 certificering nodig is, zijn legio. Terwijl alleen een ISO 9001 certificering, met daarbij aandacht voor enkele specifieke aspecten vanuit ISO 14001, zonder dat dat tot een ISO 14001 certificering hoeft te leiden, ook zou kunnen volstaan (tegen aanzienlijk lagere kosten). Een ander voorbeeld: binnen het thema informatiebeveiliging krijgen wij met regelmaat aanvragen voor ondersteuning bij het verkrijgen van een ISAE 3402/3000 verklaring omdat iemand binnen de organisatie daar toevallig wel eens van gehoord heeft, terwijl er geen sprake is van een uitbestede dienst en/of er geen assurancevraag van een accountant aan ten grondslag ligt (en een ISO 27001 dus passender is om aan de eisen van de klant te voldoen).

Conclusie

Voor beide kanten van de aanbestedingstafel geldt wat ons betreft: gebruik vooral gezond verstand.

Eis als aanbestedende partij niet blindelings alle mogelijke certificeringen van je leverancier, op basis van een standaardlijstje. Kijk kritisch welke risico’s je als organisatie echt loopt bij de specifieke aanbestede dienst en vraag alleen de daarvoor relevante certificeringen.

Let op: de scope van certificering is ook van belang! Vaar niet blind op het certificaat, maar kijk kritisch of de op het certificaat vermelde scope aansluit bij de producten/diensten die van de betreffende leverancier worden ingekocht.

En wees als leverancier/inschrijver op een aanbesteding bewust wat er nou eigenlijk van je gevraagd wordt. Accepteer niet klakkeloos iedere certificeringseis. Wees kritisch en vul de eis op een manier in die past bij de context van jullie organisatie/dienst/product. Soms zijn enkele beperkte maatregelen daarbij al voldoende, en is het optuigen van een volledig managementsysteem met de bijkomende (kosten van een) certificering buiten alle proporties en (na afstemming met de aanbestedende partij) helemaal niet nodig.

Meer weten of ondersteuning nodig?

Wil je meer weten over certificeringseisen bij een aanbesteding? Of kun je hulp gebruiken? Neem dan gerust contact met ons op. Wij helpen je graag op weg!



Download van tender tot opdracht

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl