Non-conformiteit en correctieve actie
Een non-conformiteit is het niet voldoen aan een eis: van ISO 27001, NEN7510, eigen beleid, of wet- en regelgeving. Dit document beschrijft hoe YipYip daarmee omgaat.
Bronnen
Non-conformiteiten komen aan het licht via:
- Interne of externe audits
- Incidenten en lessons learned
- Monitoring (KPI’s buiten target)
- Eigen constatering door medewerkers
Classificatie
| Type | Beschrijving | Actie |
|---|---|---|
| Tekortkoming (TK) | Serieuze afwijking van procedure of norm | Directe correctie + correctieve actie verplicht |
| Aanbeveling ter verbetering (AV) | Verbeterpunt, geen directe non-conformiteit | Verbeteractie, lagere prioriteit |
Proces
- Constateren — afwijking vastleggen met beschrijving, bron en betrokken norm-eis
- Direct corrigeren — indien nodig, directe actie om gevolgen te beperken
- Oorzaakanalyse — waarom is dit gebeurd? (bijv. via 5× waarom)
- Correctieve actie — maatregel om de oorzaak weg te nemen, met eigenaar en deadline
- Implementatie — actie uitvoeren
- Verificatie — controleren of de actie effectief is; zo niet, terug naar stap 3
- Afsluiting — documentatie compleet, non-conformiteit sluiten
Registratie
Non-conformiteiten worden geregistreerd in Jira:
- Issue type: Non-conformiteit
- Labels:
TK(tekortkoming) ofAV(aanbeveling) - Velden: beschrijving, bron, norm-referentie, eigenaar, deadline, status
- Workflow: Open → Analyse → Actie → Verificatie → Gesloten
Termijnen
| Type | Correctie | Correctieve actie | Verificatie |
|---|---|---|---|
| TK | Direct | Binnen 30 dagen | +14 dagen |
| AV | Binnen 7 dagen | Binnen 90 dagen | +30 dagen |
Bij overschrijding: escalatie naar directie.
Rapportage
- Overzicht van non-conformiteiten is input voor de directiebeoordeling
- Trends en patronen worden jaarlijks geanalyseerd
- Herhalende non-conformiteiten worden geëscaleerd naar de directie
Huidige status
Geen openstaande non-conformiteiten — het ISMS is in januari 2026 opnieuw ingericht en de eerste interne audit moet nog plaatsvinden.
Gerelateerde controls
Dit document gaat over non-conformiteiten in brede zin (clausule 10.1). De controls 5.24–5.28 beschrijven specifiek het IB-incident management proces.
| Control | Onderwerp | Status |
|---|---|---|
| 5.24 | Incident management planning | partial |
| 5.25 | Beoordeling IB-gebeurtenissen | implemented |
| 5.26 | Respons op IB-incidenten | implemented |
| 5.27 | Leren van IB-incidenten | implemented |
| 5.28 | Bewijsverzameling | implemented |
Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-29