Certificeringseisen bij aanbestedingen: zin of onzin?
In dit artikel: de meest voorkomende certificeringen en de ‘zin en onzin’ daarvan bij aanbestedingen op een rij.
Jeffrey Hekelaar is Manager Sales bij CertificeringsAdvies Nederland. Hij levert graag zijn bijdrage aan het ontwikkelen van (klant)organisaties en komt daar graag voor bij je op bezoek!
jeffrey@certificeringsadvies.nlIn onze adviespraktijk zien wij dat veel organisaties voor het eerst in aanraking komen met certificeringsvraagstukken, op het moment dat (potentiële) klanten een bepaalde certificering van ze vragen, bijvoorbeeld bij een aanbesteding. Onze ervaring daarbij leert dat voor veel organisaties op dat moment nog onduidelijk is wat daarbij nou eigenlijk van ze gevraagd wordt. En opvallend(er): wij kunnen ons niet aan de indruk onttrekken dat ook niet alle (inkopers van) aanbestedende organisaties een even goed beeld hebben van wat ze precies vragen van hun potentiële leverancier. Het lijkt er soms op dat hetzelfde standaardlijstje van certificeringen in alle aanbestedingen wordt opgenomen, zonder daarbij het belang van zo’n certificering in relatie tot de (leverancier van de) specifieke dienst of het specifieke product mee te wegen. In dit artikel zetten we daarom, zowel voor aanbesteders als inschrijvers, de meest voorkomende certificeringen en de ‘zin en onzin’ daarvan bij aanbestedingen op een rij.
Waarom certificeringseisen bij aanbestedingen?
Certificeringen worden door aanbestedende partijen gevraagd vanuit het oogpunt van risicomanagement. De certificering moet de aanbestedende partij een bepaalde mate van zekerheid geven dat de (potentiële) leverancier heeft nagedacht over risico’s die verbonden zijn aan de ontwikkeling/productie/levering van de producten/diensten, dat daarvoor passende voorzorgs-/beheersmaatregelen zijn genomen en dat de effectiviteit van die maatregelen actief wordt gemonitord en waar nodig bijgestuurd. Er wordt, met andere woorden, gevraagd om een aantoonbare risicobeheersmethodiek aan de kant van de leverancier, ook wel een managementsysteem genoemd.
In de basis een hele plausibele gedachte, als je het ons vraagt. Je wilt immers weten wie en wat je in huis haalt. Risico’s kennen echter vele gedaanten, en managementsystemen en certificeringen daarmee ook. De bij aanbestedingen meest voorkomende thema’s in dit kader zijn:
- Kwaliteit: borgen dat wordt voldaan aan de eisen van belanghebbenden met betrekking tot de kwaliteit van de producten/diensten;
- Informatiebeveiliging: borgen dat wordt voldaan aan de eisen van belanghebbenden met betrekking tot de beschikbaarheid, integriteit en vertrouwelijkheid van informatie(/systemen);
- Milieu: borgen dat wordt voldaan aan de eisen van belanghebbenden met betrekking tot milieuprestaties;
- Arbo & veiligheid: borgen dat wordt voldaan aan de eisen van belanghebbenden met betrekking tot de veiligheid en gezondheid van medewerkers.
Veel voorkomende certificeringen bij aanbestedingen
Per bovengenoemd thema zijn er een aantal normen/certificeringen die regelmatig in aanbestedingen terugkomen. We zetten hieronder de belangrijkste op een rij:
Kwaliteitsmanagement
- ISO 9001 is de ‘moeder’ van alle ISO-/kwaliteitsnormen en breed toepasbaar voor alle soorten organisaties. De norm is erop gericht dat zij hun processen (strategisch, operationeel en ondersteunend) en resources zo inrichten dat een constante en betrouwbare kwaliteit van de output (product of dienst) gewaarborgd is.
- Er zijn diverse andere (op ISO 9001 gebaseerde) normen die verder zijn toegespitst op specifieke sectoren. Binnen de zorgsector komen bijvoorbeeld HKZ of NEN 15224 vaak voor in de voorwaarden vanuit gemeenten/zorgverzekeraars. Voor leveranciers van medische hulpmiddelen is ISO 13485 vaak een vereiste.
Informatiebeveiligingsmanagement
- ISO 27001 is dé internationaal erkende enorm voor informatiebeveiliging. Ook deze norm is toepasbaar voor alle organisaties, maar in de praktijk het meest relevant voor organisaties data/systemen van klanten beheren (denk aan IT-/softwarebedrijven, datacenters etc.) of gevoelige bedrijfsinformatie of persoonsgegevens verwerken (denk aan financiële instellingen, zorginstellingen, arbeidsbemiddelaars, overheden etc). De norm is erop gericht dat zij hun processen en systemen technisch en organisatorisch zodanig inrichten dat de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie gewaarborgd is.
- Ook van ISO 27001 bestaan er afgeleide normen, toegeschreven op specifieke sectoren. Zo kent de zorgsector de NEN 7510, die betrekking heeft op organisaties die persoonlijke gezondheidsgegevens verwerken. Binnen de overheid geldt de BIO (Baseline Informatiebeveiliging Overheid), waar extra richtlijnen in staan voor overheidsinstellingen (en op onderdelen ook voor hun dienstverleners).
- ISAE 3402 of ISAE 3000 komen bij aanbestedingen ook regelmatig voor in relatie tot informatiebeveiliging. Deze kaders richten zich specifiek op risico’s bij het uitbesteden (outsourcen) van interne processen. Het gaat hier niet letterlijk om een certificering, maar om een assuranceverklaring van een RA/RE (accountant/IT-auditor) waarmee een (accountant van een) financiële instelling, beursgenoteerde organisatie en/of professionele organisatie wil waarborgen dat de risico’s in relatie tot de door hen uitbestede processen in control zijn. ISAE 3402 is van toepassing indien financiële informatie wordt verwerkt door de serviceorganisatie. Als het om niet-financiële informatie gaat, is ISAE 3000 toepasbaar. Een belangrijk verschil tussen ISO 27001 en ISAE, is dat bij ISO 27001 getoetst wordt op het vermogen van een organisatie om zelf de effectiviteit van de beheersmaatregelen te monitoren en bij te sturen, op basis waarvan voor een toekomstige periode van drie jaar vertrouwen wordt uitgesproken, terwijl bij ISAE door de auditor wordt teruggekeken naar de toepassing van de maatregelen in de praktijk over een periode van zes maanden (waarmee ISAE vooral verslaglegging doet over het verleden).
Milieumanagement
- ISO 14001 is de meest toegepaste norm voor milieumanagement. Deze norm is vooral relevant voor organisaties die bij hun primaire proces te maken hebben met een hoge milieu-impact (met name afval, waterverbruik en energieverbruik). Denk bijvoorbeeld aan bedrijven in de bouw, techniek/productie, transport en logistiek. De norm is erop gericht dat zij hun processen zo inrichten dat aan wet- en regelgeving wordt voldaan en de milieuprestaties geoptimaliseerd worden.
- Ook op milieugebied zijn er afgeleide/aanvullende normen die steeds vaker in aanbestedingen voorkomen, zoals ISO 50001 voor energie(besparings)management en de CO2 prestatieladder m.b.t. reductie van CO2 uitstoot en daarmee gepaard gaande kosten.
Arbomanagement
- ISO 45001 is een norm die in aanbestedingen terugkomt als het gaat om risico’s in relatie tot gezond en veilig werken. Logischerwijs is deze certificering het meest van toepassing in sectoren waar fysieke arbeid een belangrijkere rol speelt, denk aan o.a. de bouw, techniek/productie, transport en logistiek. De norm is erop gericht dat zij hun processen zo inrichten dat arbeidsomstandigheden geoptimaliseerd worden.
- Op het gebied van arbomanagement zijn VCA, VCU (specifiek voor uitzendbureaus) en de Safety Culture Ladder andere certificeringen die vaker terugkomen in aanbestedingen.
Thema voor de toekomst bij aanbestedingen: bedrijfscontinuïteitsmanagement (BCM)
Een thema voor de toekomst bij aanbestedingen is Business Continuity Management. De ISO 22301 norm biedt hiervoor het kader, waarmee organisaties veerkrachtig en flexibel kunnen reageren als een verstoring (bijvoorbeeld brand, overstroming, ransomwareaanval, virusuitbraak of terroristische aanslag) zich voordoet, zodat de normale bedrijfsvoering kan doorgaan of op zijn minst snel en efficiënt hersteld kan worden. Hoewel deze certificering op dit moment nog weinig in aanbestedingen terugkomt, is de verwachting dat dit in de toekomst steeds vaker zal gaan gebeuren. Want zeg nu zelf: erop kunnen vertrouwen dat ondanks alles de business verder gaat, is uiteindelijk toch het allergrootste belang dat iedere aanbestedende organisatie bij zijn leverancier heeft.
Relevantie van certificeringen verschilt per leverancier
Zoals uit het bovenstaande blijkt, is de relevantie van een certificering sterk afhankelijk van de sector waarin de leverancier zich bevindt en het type product/dienst dat geleverd wordt. Toch wordt hier bij aanbestedingen soms weinig rekening mee gehouden. Maar al te vaak zien we dat een zorginstelling standaard een NEN 7510 certificering vraagt, terwijl de betreffende leverancier op geen enkele wijze toegang heeft tot persoonlijke gezondheidsgegevens. Of dat een overheidsinstantie standaard een ISO 14001 certificering vraagt, terwijl de betreffende leverancier een dienstverlenende kantoororganisatie is, waar milieu-impact nauwelijks een rol speelt. En zo zijn er meer praktijkvoorbeelden van ondoordachte certificeringseisen.
Ook van de andere kant van de tafel bekeken (de leverancierskant), zien we dat er soms nogal kort door de bocht conclusies worden getrokken over benodigde certificeringen. De voorbeelden van kantoororganisaties die te snel concluderen dat voor een aanbesteding een ISO 9001 en ISO 14001 certificering nodig is, zijn legio. Terwijl alleen een ISO 9001 certificering, met daarbij aandacht voor enkele specifieke aspecten vanuit ISO 14001, zonder dat dat tot een ISO 14001 certificering hoeft te leiden, ook zou kunnen volstaan (tegen aanzienlijk lagere kosten). Een ander voorbeeld: binnen het thema informatiebeveiliging krijgen wij met regelmaat aanvragen voor ondersteuning bij het verkrijgen van een ISAE 3402/3000 verklaring omdat iemand binnen de organisatie daar toevallig wel eens van gehoord heeft, terwijl er geen sprake is van een uitbestede dienst en/of er geen assurancevraag van een accountant aan ten grondslag ligt (en een ISO 27001 dus passender is om aan de eisen van de klant te voldoen).
Conclusie
Voor beide kanten van de aanbestedingstafel geldt wat ons betreft: gebruik vooral gezond verstand.
Eis als aanbestedende partij niet blindelings alle mogelijke certificeringen van je leverancier, op basis van een standaardlijstje. Kijk kritisch welke risico’s je als organisatie echt loopt bij de specifieke aanbestede dienst en vraag alleen de daarvoor relevante certificeringen.
Let op: de scope van certificering is ook van belang! Vaar niet blind op het certificaat, maar kijk kritisch of de op het certificaat vermelde scope aansluit bij de producten/diensten die van de betreffende leverancier worden ingekocht.
En wees als leverancier/inschrijver op een aanbesteding bewust wat er nou eigenlijk van je gevraagd wordt. Accepteer niet klakkeloos iedere certificeringseis. Wees kritisch en vul de eis op een manier in die past bij de context van jullie organisatie/dienst/product. Soms zijn enkele beperkte maatregelen daarbij al voldoende, en is het optuigen van een volledig managementsysteem met de bijkomende (kosten van een) certificering buiten alle proporties en (na afstemming met de aanbestedende partij) helemaal niet nodig.
Meer weten of ondersteuning nodig?
Wil je meer weten over certificeringseisen bij een aanbesteding? Of kun je hulp gebruiken? Neem dan gerust contact met ons op. Wij helpen je graag op weg!
Transcriptie video: Wat is ISO certificering?
Steeds meer bedrijven krijgt te maken met ISO certificering, maar wat is nu eigenlijk een ISO certificering? In deze video neem ik jullie mee. ISO normen worden ontwikkeld voor zowel producten, materialen, systemen en werkprocessen. Wanneer je als organisatie voldoet aan de eisen uit een ISO norm, dan kun je daarvoor certificeren. Die certificering is dan het bewijs dat je aantoont dat je aan een bepaalde standaard voldoet. Sinds de oprichting van deze standaarden zijn er al veel ISO normen ontwikkeld. De meest bekende zijn ISO 9001, ISO 14001, ISO 27001, ISO 45001 en ISO 22000. Deze normen zijn breed georiënteerd in de thema’s voedselveiligheid, arboveiligheid, kwaliteit, milieu en informatiebeveiliging. Er zijn verschillende manieren om een ISO norm te implementeren. Zo kun je zelf aan de slag gaan. Je hebt daar wel kennis en vooral tijd voor nodig. Veel bedrijven kiezen er daarom ook voor om een externe partij in te schakelen. Samen met die externe partij wordt er een managementsysteem opgezet wat zo dicht mogelijk bij jullie eigen organisatie en werkwijze blijft. Hier is geen eenduidig antwoord op te geven. Dit is namelijk afhankelijk van verschillende factoren. Nee. ISO certificeringen zijn niet wettelijk verplicht, maar worden steeds vaker geëist door stakeholders of andere belanghebbenden, dan wel in aanbestedingen waar je als organisatie aan meedoet. ISO is een internationaal samenwerkingsverband tussen ruim 160 landen. Als je bedenkt dat de wereld uit zo’n 200 landen bestaat, kun je je voorstellen dat er een breed draagvlak is voor ISO normeringen. Een ISO certificering kan diverse voordelen hebben. die voordelen lees je in het onderstaande blog (zie beschrijving). Wil je meer weten over ISO certificeringen? Bekijk dan vooral onze andere video’s en lees onze blogs. Of neem contact met ons op!
Jeffrey Hekelaar is Manager Sales bij CertificeringsAdvies Nederland. Hij levert graag zijn bijdrage aan het ontwikkelen van (klant)organisaties en komt daar graag voor bij je op bezoek!
jeffrey@certificeringsadvies.nl
Meedoen aan tender?
Download onze handige gids! Daarin:
- Uitleg over tenders
- Mogelijke opties
- Doorlooptijd tender
- Info intentieverklaring
