In november 2022 verwelkomde het domein van crisismanagement een nieuwe speler: de ISO 22361-standaard. Wellicht hebt u er al van gehoord, zo niet, dan is het hoog tijd om te ontdekken welke impact deze norm kan hebben op de veerkracht van uw organisatie in tijden van crisis.
Een standaard helpt om eenduidige afspraken te maken over hoe dingen werken, zodat verschillende systemen bijvoorbeeld beter kunnen samenwerken. Zonder heldere afspraken over de technische uitwisseling van patiëntgegevens, waren elektronische patiëntdossiersystemen nooit een succes geworden.
Ook helpen standaarden om de kwaliteit te verhogen. Doordat minder tijd besteed hoeft te worden aan het opnieuw uitvinden van het wiel, kan energie gestoken worden in een goede implementatie en verbetering van de bestaande standaard. Informatiebeveiliging is daar een mooi voorbeeld van. Hier geldt het ‘weakest-link’ principe; de keten van beveiligingsmaatregelen faalt op de plek waar deze het zwakste is. Dat betekent dat maatregelen over de hele breedte noodzakelijk zijn om een goede basis te leggen. De ISO 27001-norm helpt daarbij.
De Internationale Organisatie voor Standaardisatie (ISO) stelt al jaren diverse normen vast op uiteenlopende gebieden. Deze normen schrijven een jaarlijkse Plan, Do, Check, Act (PDCA) cyclus voor. Door deze PDCA-cyclus wordt het systeem regelmatig geëvalueerd en verbeterd.
Bovendien volgen de ISO-standaarden de zogenaamde Annex SL. Dit is een soort hoofdstukindeling die de standaard structureert.
Hierbij gaat het om de volgende hoofdstukken:
1. Toepassingsgebied – Op welk deel van de organisatie of welke processen is het systeem van toepassing?
2. Normatieve verwijzingen – Welke normen zijn relevant en wat staat daar letterlijk in?
3. Termen en definities – Hoe noemen we dingen?
4. Context van de organisatie – Wat speelt er binnen en buiten de organisatie dat van invloed kan zijn op de doelstellingen van het systeem?
5. Leiderschap – Onderschrijft het management het systeem? Welk beleid geldt er?
6. Planning – Hoe gaan we het systeem verbeteren?
7. Ondersteuning – Hoe communiceren we met anderen over het systeem? Hoe trainen we mensen?
8. Uitvoering – Hoe gaan we met het systeem werken?
9. Evaluatie – Wat gebeurt er? Wat kan beter?
10. Verbetering – Incidenten, afwijkingen en correcties doorvoeren.
Voor de meeste standaarden geldt bovendien dat deze certificeerbaar zijn. Na een grondige audit door een externe auditor van een bevoegde instelling, wordt dan zwart-op-wit gezet dat het systeem voldoet aan de standaard. Dit betekent natuurlijk niet dat er nooit meer iets mis kan gaan, maar wel dat er een samenspel van maatregelen is om de kans daarop te verkleinen en in ieder geval adequaat te handelen in een dergelijke situatie.
Het implementeren van een ISO-standaard kost redelijk veel tijd en aandacht, omdat het een grondig proces is. Daar staat tegenover dat er direct een zeker basisniveau bereikt wordt. Met alleen losse maatregelen hier en daar is de kwaliteit over de brede linie niet geholpen.
Er kan ook voor gekozen worden om de standaard te implementeren, zonder daar een externe audit of een certificering aan te koppelen. Helaas kan er dan geen certificaat aan de muur gehangen worden, maar de kwaliteit van de onderliggende processen is waarschijnlijk wel verbeterd.
De ISO 22361 voor crisismanagement beschrijft een aantal richtlijnen voor het plannen, opzetten, onderhouden en verbeteren van een strategisch crisismanagement systeem. Het eerste deel van de richtlijnen kan online bekeken worden bij het ISO: https://www.iso.org/obp/ui/en/#iso:std:iso:22361:ed-1:v1:en
De richtlijnen bouwen verder op ISO 22301 waarin de standaard voor een Bedrijfscontinuïteitsmanagementsysteem (BCMS) *ding, ding, dubbele woordwaarde* gelegd wordt.
Standaarden helpen al sinds mensenheugenis om beter samen te werken en hogere kwaliteit te kunnen leveren. Er is een ISO-norm voor crisismanagement, maar in de praktijk komen we deze nog weinig tegen. Veel organisaties zien op tegen een volledige norm-implementatie door de omvang van een dergelijk project, maar weegt dat ook op tegen het risico om het niet te doen? Het loont in ieder geval de moeite om eens door de standaard heen te bladeren en te kijken waar laaghangend fruit beschikbaar is.