De zin en onzin van een incidentenregister

Monique van Praet – Business Consultant

In elke organisatie gaan er dingen mis. Fouten maken is menselijk. Meestal zeggen we dat het erbij hoort als we er maar van leren. Goed punt. Maar hoe doet u dat in een organisatie? Met een incidentenregister. Een plek waar u de missers vastlegt. Om te weten waar het fout gaat, om patronen te herkennen en niet in de laatste plaats om structurele oplossingen te vinden.

 

Wat zien we als een incident?

In vaktaal is een incident een verstorende gebeurtenis. Wat betekent dat u die in allerlei soorten en maten tegen komt. U kunt denken aan een ongeval, een klacht, een proces dat niet loopt zoals het hoort, een datalek en ga zo maar door.

Incidenten hebben invloed op kwaliteit, informatiebeveiliging of privacy. Normeringen als ISO en NEN, maar ook de AVG, vereisen daarom dat u incidenten bijhoudt. Bijvoorbeeld in een incidentenregister. Inderdaad weer extra werk. Vandaar de terechte vraag ‘wat is de zin en de onzin daarvan?’.

 

Incidenten oplossen

Wanneer een proces niet loopt zoals het hoort, er dus een incident plaatsvindt, wilt u dit zo efficiënt mogelijk oplossen. En de medewerkers zelf meestal ook.

Daar waar de oplossing gemakkelijk is, doen ze dat meteen op een praktische manier. Op dat moment natuurlijk goed; een fout of klacht wilt u zo snel mogelijk oplossen. Maar er zit wel een keerzijde aan. Niemand die daarna nog weet dat het mis is gegaan. Gebeurt het morgen en mogelijk de dag daarna weer dan zien we niet het patroon. Iets dat u wel graag wilt weten, om ervan te kunnen leren.

 

Is een incidentenregister de moeite waard?

Wanneer u incidenten op een gestructureerde manier wilt vastleggen op een manier die voldoet aan eisen uit ISO en NEN normen als de ISO 9001, ISO 27001 en NEN7510, brengt dit werk met zich mee. Registratie, analyse, taakverdeling, en opvolging. Dat kost allemaal tijd. Voordat u beslist of u dat wilt doen, wilt u wel eerst weten of het zinvol is.

 

Of het zinvol is

Het antwoord op de vraag of het zinvol is ‘ja, dat is het’. Die tijd verdient zich altijd terug. Als u over een langere periode de incidenten registreert, ziet u toch dat vaak dezelfde missers gebeuren. Pleisters blijven plakken is in dat geval niet slim. Er is een structurele oplossing nodig. De registraties helpen u om een goede oorzaakanalyse te doen. Om met die uitkomst een oplossing te bedenken die het probleem voor eens en altijd oplost. Zonder het register blijft u namelijk de gaten in de organisatie houden zonder structurele oplossing daarvoor.

Orde in de chaos

Een incidentenregister bevat daarom idealiter filteringsmogelijkheden. Zodat u kunt terugzien wat voor soort incidenten het waren. Arbo gerelateerd? Of juist privacy gerelateerd? Of misschien wel een afdeling die heel veel klachten ontvangt?

Deze registratie gebruikt de organisatie bijvoorbeeld ook om te kijken of bepaalde incidenten vaak op dezelfde plekken voorkomen. De verantwoordelijke personen in de organisatie hebben hiermee een goed instrument om regelmatig analyses te doen naar veelvoorkomende issues. Om vervolgens oplossingen te zoeken en de kwaliteit van de organisatie duurzaam te verbeteren. Het structureel vastleggen van incidenten is daarmee dus een heel belangrijk onderdeel van de Plan Do Check Act cyclus.

Een incidentenregister heeft zin

Een incidentenregister heeft dus zin. Soms wordt echter het incidentenregister ook breder ingezet. Bijvoorbeeld om het functioneren van personeel te beoordelen. Of om afdelingen af te rekenen op hun fouten. En dat is nou juist de onzin van het incidentenregister. En dus iets wat u moet voorkomen.

Het incidentenregister is er namelijk niet voor bedoeld om personeel te beoordelen op hun werkzaamheden. Dat zou de ijverige medewerker die toewerkt naar optimalisatie en verbetering er alleen maar van weerhouden om een melding te maken.

En dat moet u juist voorkomen. Want als medewerkers de angst hebben of het nut en de noodzaak van het melden van incidenten niet inzien, dan heeft u nooit een compleet beeld van het beleid.

 

Hoe dan?

Het nu is wel duidelijk. Resteert er nog één belangrijke vraag. Hoe zet u zo’n register op en zorgt u dat de organisatie de incidenten registreert? Slim, praktisch en efficiënt. Want anders weten we zeker dat het niet gebeurt.

Een aantal tips om u daarbij op weg te helpen

  • Gebruik het sjabloon
  • Wijs iemand aan om het register te beheren
  • Zorg dat iedereen meldingen kan doen in het register of aan deze persoon
  • Gebruik een integraal incidentenregister voor alle normen en zorg dat u daarin kunt filteren

 

Vragen? Vragen!

Mocht u aan de slag zijn gegaan en niet weten hoe verder? Of bijvoorbeeld al wel een register hebben maar wordt deze niet of amper gebruikt? Aarzel niet om ons te bellen. We hebben het inmiddels bij veel organisaties geregeld. Die ervaring en kennis delen we graag met u.

Blog geschreven door Monique van Praet, Business Consultant

Deel dit bericht:

ISO 27001 & Annex A

ISO 27001 Annex A bevat 93 beheersmaatregelen voor informatiebeveiliging, onderverdeeld in organisatorische, mensgerichte, fysieke en technologische m...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Heb je een vraag over onze diensten?

Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!