Het is vast geen nieuws meer dat sinds 25 mei 2018 de nieuwe AVG-wetgeving van kracht is. In deze blog leggen we uit hoe de privacywetgeving de ISO 9001 audit beïnvloedt.
ISO 9001 en wetgeving
De inleidende hoofdstukken van ISO 9001 beschrijven dat deze norm van toepassing is op producten en diensten. Het kwaliteitsmanagementsysteem richt zich dan ook alleen maar op de wet- en regelgeving die van toepassing is op de kwaliteit van de producten en diensten van de organisatie.
De Arbowetgeving is bijvoorbeeld van toepassing op de medewerkers van de organisatie, maar meestal niet zozeer op de producten en diensten. Derhalve zullen de privacy van medewerkers en de personeelsgegevens binnen de organisatie geen onderdeel zijn van een ISO 9001 audit.
Wet- en regelgeving betreffende milieubeheer is daarnaast ook algemeen op de organisatie gericht en niet direct van toepassing op het kwaliteitsmanagementsysteem. Daarentegen is bijvoorbeeld de machinerichtlijn heel duidelijk van toepassing op bedrijven die machines produceren en op de markt brengen. Het product moet immers aan deze richtlijnen voldoen.
In de zorg daarnaast is er veel verschillende wet- en regelgeving die van toepassing is op het verlenen van zorg. Hierin moet dan conform de eisen van de norm rekening worden gehouden met de wetgeving betreffende het product of dienst.
ISO 9001 en privacy
De eigendommen van klanten of externe aanbieders worden behandeld in paragraaf 8.5.3. van ISO 9001:2015. Daarbij staat een duidelijke opmerking:
‘Het eigendom van een klant of externe aanbieder kan materialen, componenten, gereedschappen en apparatuur, gebouwen, intellectueel eigendom en persoonsgegevens omvatten.’
In dit geval worden persoonsgegevens expliciet benoemd. Omdat deze persoonsgegevens eigendom van de klant of externe aanbieder zijn, dient hier binnen het managementsysteem rekening mee te worden gehouden. De mate waarin dit dient te gebeuren, is afhankelijk van de hoeveelheid persoonsgegevens en het gewicht ervan.
In de praktijk betekent dit dat de AVG voornamelijk meegenomen zal worden in bedrijfstakken waar persoonsgegevens verder gaan dan standaard NAW-gegevens en onlosmakelijk zijn verbonden met het product en/of dienst. Enkele voorbeelden hiervan zijn:
Een zorginstelling. Het cliëntdossier en de gegevens van de cliënten bevatten legio persoonsgegevens die goed beveiligd dienen te worden. De AVG zal hierop dan ook zeer zeker getoetst worden.
Een telemarketingorganisatie. Deze ontvangt datasets van haar opdrachtgever en moet hier op een wettelijk toegestane wijze mee omgaan.
Een vertaalbureau. Zij beschikken over detailinformatie van freelance vertalers. Zij houden vaak meer dan standaard NAW-gegevens bij over vertalers om vast te stellen of iemand over voldoende capaciteiten beschikt.
Een detacherings- en/of werving- en selectiebureau. Houden zij zich aan de wettelijke bewaartermijnen? Is er schriftelijke toestemming van kandidaten om de gegevens te bewaren? De AVG-wetgeving is in een aantal branches een vast onderdeel van een audit.