Når flere virksomheter skal samarbeide om kvalitetsstyring, oppstår ofte et felles behov: å dele struktur, krav og beste praksis samtidig som hver virksomhet må kunne tilpasse systemet til egen drift. Enten det gjelder konsern med etablerte HMSK-miljøer eller samarbeid mellom selvstendige virksomheter, handler det om å finne en god balanse mellom standardisering og lokal kontroll.

Certain QMS er utviklet for nettopp dette, med en løsning som gjør det mulig å bygge på et felles kvalitetsrammeverk samtidig som hver virksomhet beholder eierskap til sitt eget kvalitetssystem.

I konsern og større virksomheter med egne HMSK-ressurser finnes det som regel etablerte strukturer og omfattende dokumentasjon i styringssystemet. Utfordringen er ofte å sikre at dette innholdet er tilgjengelig og enkelt å ta i bruk for alle deler av organisasjonen – på tvers av avdelinger og forretningsenheter.

I allianser og bransjesamarbeid er utgangspunktet ofte et annet. Her består samarbeidet gjerne av virksomheter med begrenset kapasitet til å utvikle og vedlikeholde et fullverdig kvalitetssystem på egen hånd. Behovet er derfor tilgang til ferdige strukturer, malverk og anbefalte arbeidsmetoder som kan brukes som utgangspunkt i egen virksomhet.

Begge situasjoner krever en løsning som gjør det mulig å dele kvalitetsinnhold på en strukturert måte, samtidig som hver virksomhet kan tilpasse systemet til egne forhold og sitt eget ansvar.

Det etableres en sentral «masterløsning» som fungerer som felles kvalitetsrammeverk med struktur, malverk og anbefalt oppsett for kvalitetsstyringssystemet. Innholdet i masterløsningen utvikles og vedlikeholdes av en sentral HMSK-funksjon eller en arbeidsgruppe med representanter fra de ulike virksomhetene.

Hvert selskap får sin egen installasjon av Certain QMS, som er basert på masterløsningen og integrert med den. Det gir felles struktur og innhold, samtidig som hvert selskap har egne brukere, egne data og fullt eierskap til sitt eget kvalitetsarbeid.

Slik kan flere virksomheter jobbe etter samme kvalitetsrammer, samtidig som systemet kan tilpasses lokal drift.

Certain QMS består av flere moduler for kvalitetsstyring, der masterløsningen kan inneholde ferdige oppsett, struktur og malverk, for eksempel for:

• Dokumentstruktur og mappestruktur
• Prosesser og arbeidsflyt
• Avviksbehandling og kategorisering
• Risikoanalyser og risikomaler
• Sjekklister
• Årshjul og planlagte aktiviteter

Når en lokal installasjon opprettes, kopieres dette oppsettet fra masterløsningen og brukes som utgangspunkt for virksomhetens eget kvalitetssystem.

Etter at den lokale installasjonen er etablert, står virksomheten fritt til å:

• Endre strukturer
• Justere prosesser
• Legge til eller fjerne innhold
• Tilpasse systemet til egen drift

Dersom det senere gjøres forbedringer eller endringer i masteroppsettet, kan disse overføres til lokale installasjoner ved behov, men dette gjøres som en styrt oppdatering, initiert av systemadministrator.

Dette gir virksomheten full kontroll over eget kvalitetssystem, samtidig som man kan velge å ta i bruk forbedringer som utvikles sentralt.

For dokumenter som kommer fra master, brukes en enkel og tydelig modell for lokal tilpasning:

Selve hoveddokumentet er låst for redigering, men det finnes et eget felt for lokale presiseringer og tillegg. Når dette brukes, omtales dokumentet som et utvidet dokument.

På denne måten bevares:

• Felles formuleringer og krav i hoveddokumentet
• Samtidig som lokal praksis kan dokumenteres tydelig og korrekt

Eksempel på et styrende dokument der hovedinnholdet forvaltes sentralt, mens lokale presiseringer legges inn i eget felt som del av et utvidet dokument.

Masterløsningen i Certain QMS støtter dermed to ulike behov:

• som mal for systemoppsett og kvalitetsstruktur, der lokale installasjoner bygges på et felles utgangspunkt
• og som felles kilde for styrende dokumenter, med løpende oppdatering og tydelig håndtering av lokale tilpasninger

Dette gir både fleksibilitet i systembruk og trygghet for at felles krav og prosedyrer faktisk kan holdes oppdatert på tvers av virksomheter.

Certain QMS er et fullverdig kvalitetsstyringssystem med funksjonalitet for styringsprosesser, dokumentasjon, risikovurdering, revisjon med mer. Systemet dekker også kravene til et virksomhetsomfattende styringssystem for informasjonssikkerhet (ISMS).

Det betyr at virksomheter kan bruke Certain QMS til å etablere, følge opp og dokumentere informasjonssikkerhet på en strukturert og oversiktlig måte, uten ekstra programvare eller separate ISMS-verktøy.

Denne artikkelen forklarer hvordan du kan bruke Certain QMS til å etablere og forvalte et komplett ISMS. Vi går gjennom relevante funksjoner i systemet, og beskriver hva som følger med av ferdige maler, hjelpedokumentasjon og verktøy i ISMS‑pakken vår.

• Etablere ISMS: Få tilgang til ferdige prosedyrer, policyer og prosessmodeller som kan tilpasses din virksomhet.
• Planlegge og følge opp: Bruk årshjul-funksjonalitet til å planlegge aktiviteter og oppgaver, tildele ansvar og sikre at oppgaver gjennomføres og dokumenteres.
• Vurdere risiko: Risikomodulen gir oversikt og kontroll, og gjør det enkelt å følge opp tiltak.
• Håndtere personvern: DPIA-prosessen støtter vurdering av behandlinger med høy risiko, og kobles til risikovurdering og tiltak.
• Sikre samsvar: Samsvarsmodulen hjelper deg å dokumentere at krav fra lov, standarder og kunder overholdes.
• Dokumentere behandling: Behandlingsprotokollen gir oversikt over virksomhetens behandlinger av personopplysninger, og fungerer som en integrert del av ISMS.

Et styringssystem for informasjonssikkerhet (ISMS) er et rammeverk som hjelper virksomheter å beskytte informasjon systematisk. Det gir struktur for hvordan man identifiserer risikoer, setter inn tiltak, dokumenterer sikkerhetstiltak og følger opp over tid.

Hovedmål med ISMS:

• Informasjon skal alltid være konfidensiell, korrekt og tilgjengelig for de som trenger den
• Overholdelse av lovkrav, standarder og interne retningslinjer

På samme måte som et kvalitetsstyringssystem (QMS), kombinerer et ISMS prosesser, rutiner, retningslinjer og dokumentasjon for å gi virksomheten et tydelig rammeverk.

Et ISMS gjør det mulig å:

• Vurdere og håndtere risikoer knyttet til informasjon
• Sikre at tiltak følges opp og dokumenteres
• Tydeliggjøre roller og ansvar for sikkerhet
• Dokumentere samsvar med standarder og lovkrav
• Kontinuerlig forbedre informasjonssikkerheten

Ved å bruke Certain QMS som ISMS får virksomheten alle nødvendige verktøy samlet på ett sted – fra dokumentkontroll og risikovurdering til sjekklister, prosesser og revisjon – slik at implementering og oppfølging blir oversiktlig og helhetlig.

Et ISMS gir ledelsen et systematisk rammeverk for å dokumentere og følge opp at virksomheten overholder lovkrav, forskrifter og både interne og eksterne krav knyttet til informasjonssikkerhet og personvern.

Hovedårsaker til å ha et ISMS:

• Lov- og regelverk: Et ISMS gjør det mulig å dokumentere at virksomheten følger gjeldende lover og forskrifter, som personopplysningsloven / GDPR og NIS2-direktivet for kritisk infrastruktur, eller sektor-spesifikke krav.
• Standarder og sertifiseringer: ISO 27001 og andre internasjonale standarder setter krav til styring av informasjonssikkerhet, og et ISMS gir et dokumentert grunnlag for etterlevelse og eventuelle sertifiseringer.
• Forventninger fra kunder: Flere kunder krever at leverandører har systematisk styring av informasjonssikkerhet, og et ISMS gir dokumentasjon på dette.
• Risiko- og sårbarhetshåndtering: Systemet gjør det mulig å identifisere og håndtere risikoer knyttet til informasjon, samtidig som oppfølging og kontroll dokumenteres.
• Kontinuerlig forbedring: Ved å etablere et systematisk rammeverk kan virksomheten følge opp tiltak, dokumentere resultat og stadig forbedre sikkerhetsnivået.

Med et ISMS kan man dokumentere at virksomheten tar informasjonssikkerhet på alvor, både overfor myndigheter og kunder.

Certain QMS støtter en prosessorientert tilnærming til styring, noe som betyr at informasjonssikkerhetsarbeidet organiseres rundt prosesser fremfor funksjoner eller avdelinger.

Informasjonssikkerhetsarbeidet etableres som et eget prosessområde hvor både hovedprosesser og underprosesser er modellert. Dette gjør det lettere å se helheten i arbeidet og hvor ansvaret ligger.

All dokumentasjon (prosedyrer, veiledere, instrukser, maler med mer) kobles til relevante aktiviteter i prosessen, og ligger også logisk organisert i et eget mappeområde for informasjonssikkerhet. Brukerne kan navigere via prosessene eller mappestrukturen.

Alle dokumenter har full versjonskontroll, og både dokumenter og prosesser kan styres med rollebasert tilgang, slik at kun autoriserte brukere ser relevant innhold.

Certain QMS støtter en prosessorientert tilnærming til styring, noe som betyr at informasjonssikkerhetsarbeidet organiseres rundt prosesser fremfor funksjoner eller avdelinger.

Informasjonssikkerhetsarbeidet etableres som et eget prosessområde hvor både hovedprosesser og underprosesser er modellert. Dette gjør det lettere å se helheten i arbeidet og hvor ansvaret ligger.

Årshjul for etablering av ISMS.

Dokumentmal for oppsummering av gjennomført DPIA.

Analysemal for DPIA.

Et samsvarsregister er en oversikt over krav fra lovverk, standarder og interne retningslinjer, koblet til relevant dokumentasjon i styringssystemet. I Certain QMS er samsvarsregisteret en av mange tilgjengelige funksjoner som hjelper virksomheten med å holde oversikt og sikre etterlevelse.

For ISO 27001 Annex A er alle 93 kontroller ferdig registrert i systemet. Hver kontroll har en forklaring på hva den innebærer, og statusfelt som viser om kravet er oppfylt eller ikke. Dette gjør det enkelt å bruke registeret i revisjoner, gap-analyser og forbedringsarbeid.

Et ferdig malsett for GDPR-artikkelregister kan også utarbeides som en del av leveransen.

Samsvarsregistermannex A ISO 27001.

Certain QMS støtter publisering av utvalgte dokumenter på interne eller åpne portaler. Dette gjør at ansatte, kunder og samarbeidspartnere kan få tilgang til relevant informasjon uten å måtte navigere i hele systemet.

Dette bidrar til samsvar ved at alle relevante parter alltid har tilgang til korrekt og oppdatert dokumentasjon. På denne måten støttes krav til etterlevelse, opplæring og internkontroll, samtidig som viktige prosesser og rutiner blir transparente for alle som trenger dem.

Ferdig installert og klart til bruk

Vår ISMS-pakke leveres ferdig konfigurert og installert på kundens egen Certain QMS-installasjon. Hver pakke gir virksomheten alt som trengs for å etablere, dokumentere og følge opp et informasjonssikkerhetsstyringssystem i tråd med ISO 27001 og GDPR:

• ISMS-dokumentasjon: prosedyrer, policyer og prosessmodeller
• Årshjul for etablering
• Årshjul for kontinuerlig forbedring
• Risikoanalysemaler for informasjonssikkerhet
• DPIA-støtte med sjekklister, veiledere og risikomaler
• Samsvarsregister for ISO 27001 og mulighet for GDPR-artikkelregister
• Dokumentmal for behandlingsprotokoll
• Full versjonskontroll og rollebasert tilgang for all dokumentasjon

Pakkene er klare til bruk fra dag én, men kan tilpasses virksomhetens behov og eksisterende prosesser.

Kontakt oss for demonstrasjon og pris.

For å støtte kravene til dokumentstyring, internkontroll og kvalitet i helsesektoren, dekker eHåndboken i Certain QMS hele livsløpet til styrende dokumenter – fra utarbeidelse, intern høring og godkjenning til publisering, bruk og revisjon. Løsningen tilbyr blant annet: 

• Fleksible og tilpassede dokumentmaler for ulike typer prosedyrer, retningslinjer og instrukser, slik at dokumentasjonen blir mer enhetlig og enklere å vedlikeholde.
• Godkjenningsflyt og tydelige roller for hvem som kan redigere, kvalitetssikre, godkjenne og publisere dokumenter.
• Avansert rolle- og tilgangsstyring, som kan kobles mot virksomhetens AD/Entra ID, slik at ansatte automatisk får tilgang til riktig innhold basert på rolle og enhet.
• Skjerming av sensitiv informasjon, slik at deler av innholdet kun er tilgjengelig for definerte roller eller brukergrupper.
• HTML-baserte og søkbare dokumenter, kombinert med mulighet for opplasting av ulike filformater og lenker til eksterne ressurser.
• Endringsoppsummeringer, som gir brukerne rask oversikt over hva som er nytt eller endret i et dokument.
• Leselister med kvittering, der ledere kan pålegge ansatte å lese utvalgte dokumenter og få dokumentert at dette er gjennomført.
• Revisjonsfrister og automatiske varslinger, slik at dokumenter ikke blir liggende utdatert uten at ansvarlige blir fulgt opp.
• Offentlig dokumentportal for ekstern publisering av utvalgte dokumenter, slik at prosedyrer, retningslinjer og annen informasjon kan deles på nett – uten innlogging.

Tall fra de store helsevirksomhetene som bruker eHåndboken i Certain QMS, viser at løsningen ikke er et passivt dokumentarkiv, men et oppslagsverk som brukes aktivt og daglig av ansatte.

Brukstallene viser høy aktivitet, med tusenvis av dokumentåpninger daglig og et stort antall unike brukere over tid. Dette bekrefter eHåndbokens rolle som en sentral arbeidsflate for styrende dokumentasjon, både for klinisk personell, ledere og støttefunksjoner.

Eksempler på dokumentomfang og publisering:

Mange virksomheter har behov for å gjøre deler av dokumentasjonen tilgjengelig for eksterne brukere, samtidig som de ønsker full kontroll på innhold, versjoner og publisering. Med offentlig dokumentportal kan utvalgte dokumenter fra eHåndboken publiseres i en egen, åpen eHåndbok-portal som er tilgjengelig via nettleser, uten krav til innlogging. Dokumentene vedlikeholdes, godkjennes og revideres fortsatt i den samme løsningen, før de publiseres til den offentlige portalen.

I helsesektoren brukes dette blant annet til å dele pasientrettede prosedyrer, informasjon om tjenester, samarbeidsrutiner med fastleger og andre aktører, samt retningslinjer som skal være offentlig tilgjengelige. Når dokumentene oppdateres i eHåndboken, oppdateres de også automatisk i den offentlige portalen, noe som reduserer risikoen for at utdatert informasjon blir tilgjengelig eksternt.

Den offentlige dokumentportalen i Certain QMS gir dermed trygg offentlig tilgjengeliggjøring og deling av dokumenter, med full sporbarhet og revisjonskontroll ivaretatt i Certain QMS.

Oslo universitetssykehus (OUS) ble dannet i 2009 gjennom fusjonen av Rikshospitalet, Ullevål universitetssykehus og Aker universitetssykehus. Sykehuset er Europas største med 24.000 ansatte.

OUS har brukt Certain QMS til effektiv dokumentstyring og kontroll siden 2010, og viser en moden og gjennomtenkt bruk av eHåndboken. Med et dokumentgrunnlag på flere titalls tusen interne dokumenter og daglig bruk fra mange tusen ansatte, fungerer løsningen som en sentral kunnskapsplattform på tvers av fag, roller og lokasjoner.

Bruken er høy gjennom hele året, med kontinuerlige oppslag i dokumenter som inngår direkte i både klinisk og administrativ arbeidshverdag.

Ved OUS er det lagt stor vekt på opplæring i bruk av eHåndboken, og det er etablert en egen intern støttefunksjon som bidrar til å bygge kompetanse hos brukerne over tid. Erfaringene viser at hvordan støtte og veiledning gis, har stor betydning for om ansatte blir trygge og selvstendige i bruken av systemet.

I stedet for å løse oppgaver på vegne av brukerne, har fokuset i stor grad vært på å forklare hvordan ulike roller skal arbeide i løsningen og hvordan oppgaver utføres riktig. Dette har bidratt til god rolleforståelse, høyere kvalitet i bruken av systemet og en tydelig reduksjon i antall supportsaker over tid.

Bruksstatistikk viser at eHåndboken benyttes av mange tusen ansatte, med daglig oppslag i flere tusen dokumenter. Data fra OUS viser også at løsningen ikke bare besøkes, men brukes aktivt gjennom hele året.

Tallene indikerer høy grad av samhandling med innholdet, der ansatte navigerer mellom sider, åpner dokumenter, benytter søk og følger strukturen i håndboken – fremfor å hente enkeltdokumenter isolert.

Opplæring handler imidlertid ikke bare om å lære å bruke selve systemet, men om å sikre at kvalitetsarbeidet faktisk etterleves i praksis på tvers av hele organisasjonen. Ved OUS er eHåndboken tett koblet til e-læringskurs og kompetanseplaner knyttet til ulike roller, slik at ansatte får opplæring i både ansvar og arbeidsprosesser – ikke bare i funksjoner i løsningen.

For å sikre kvalitet i dokumentarbeidet må ansatte som skal ha skrivetilgang gjennomføre obligatorisk opplæring før tilgang gis. I tillegg brukes sjekklister i dokumentene for å støtte korrekt gjennomføring av sentrale oppgaver i arbeidshverdagen, og det anbefales repetisjon kort tid etter kurs for å sikre at kunnskapen omsettes til praksis.

Den offentlige dokumentportalen ved OUS brukes ikke bare internt, men er også aktivt benyttet av andre aktører i helsesektoren. Helsepersonell over hele landet kan søke opp hvordan OUS arbeider med ulike prosedyrer, behandlinger og inngrep, og bruke dette som veiledning i eget arbeid. På denne måten fungerer OUS i praksis som en nasjonal referanse for utforming av prosedyrer, innhold i rutiner og faglig praksis innen en rekke områder.

Dette henger tett sammen med rollen Oslo universitetssykehus har innen medisinsk forskning og utdanning av helsepersonell i Norge. Som universitetssykehus bidrar OUS i stor grad til utvikling av faglige standarder, og gjennom offentlig tilgjengelig dokumentasjon kan denne kunnskapen deles bredt i sektoren – på en strukturert, kvalitetssikret og oppdatert måte.

Se OUS sin offentlige del av eHåndboken her: ehandboken.ous-hf.no

Samlet sett viser erfaringene fra OUS hvordan eHåndboken kan brukes som et aktivt verktøy for kompetansebygging, kvalitet og effektiv drift – ikke bare som et sted der dokumenter lagres.

I komplekse organisasjoner er god dokumentstyring en forutsetning for god og effektiv ledelse.

Erfaringer fra helsesektoren viser at verdien av eHåndboken virkelig realiseres når den er en naturlig del av arbeidshverdagen, der ansatte enkelt finner gjeldende rutiner og opplæring er tett knyttet til den styrende dokumentasjonen.

Over tid bidrar dette til felles praksis, færre feil og bedre grunnlag for forbedring – og erfaringene fra blant annet Oslo universitetssykehus viser at riktig struktur, tydelige roller og aktiv bruk gir varige gevinster for hele organisasjonen.

F3 Frontline Workers-plugin er en programvareutvidelse for Certain QMS, spesielt utviklet for virksomheter med Microsoft 365 F3-lisenser.

F3-lisensen fra Microsoft begrenser brukere fra å åpne og arbeide med Office-filer i kvalitetsstyringssystemet, og Certain QMS sin plug-in tilbyr en løsning som sikrer enkel tilgang til nødvendige dokumenter.

F3-lisenser er utviklet spesifikt for ansatte som jobber skybasert. Det vil si at alle filene de jobber med er lagret i Microsoft sin sky, som er OneDrive eller SharePoint.

Det oppstår derfor et problem når ansatte med F3-lisenser skal åpne eller arbeide med Microsoft-filer som ikke er lagret i Microsoft sin sky, men i et fagsystem som Certain QMS.

Word-dokument i Certain QMS: Med Microsoft F3-lisens kan man ikke åpne filer lagret i kvalitetsstyringssystemet.

Et godt opparbeidet kvalitetssystem mister noe av sin verdi når man ikke har tilgang til å lese eller arbeide i filer som er laget for å opprettholde god kvalitet i virksomhetens leveranser.

F3 Frontline Workers plug-in sikrer at kvaliteten på vårt produkt opprettholdes når virksomheten går over til skybaserte løsninger for sine ansatte.

Ansatte som arbeider skybasert har ikke programvaren som kreves for åpne Microsoft-filer i kvalitetsstyringssystemet..

Vi vet at denne utfordringen gjelder langt flere IT-systemer enn bare Certain QMS.

Hvis din virksomhet opplever lignende problemer med andre fagsystemer eller styringssystemer, kan du kontakte oss. Vi bistår gjerne med veiledning og løsninger som hjelper dere videre.

En forutsetning for å lykkes med kvalitetsstyring og forbedring er at alle ansatte har rask og enkel tilgang til intern dokumentasjon og interne rapporteringssystemer.

Derfor har vi valgt å gjøre funksjonene som alle ansatte skal bruke, tilgjengelige i SharePoint.

Å ta i bruk «enda et IT-system» kan være krevende for ansatte som ikke har et direkte ansvar for utviklingen virksomhetens HMSK-prosesser. Samtidig skal hele virksomheten dra nytte av HMSK-arbeidet som gjøres i kvalitetssystemet.

Med SharePoint som arbeidsflate kan ansatte søke opp interne prosedyrer og prosesser, samt melde inn avvik uten å forlate intranettet. Notifikasjoner i SharePoint og snarveier til leselister sikrer at informasjon når ut til alle ansatte.

Rask og enkel tilgang til oppdatert og relevant informasjon er nøkkelen til forbedring – og det kan vi tilby med SharePoint som arbeidsflate.

Alle typer avvik, forbedringsforslag eller varslinger om kritikkverdige forhold kan registreres av ansatte direkte i SharePoint.

Saksbehandlere av avvik og andre typer saker får notifikasjoner i SharePoint som viser status på følgende:

• Antall nye saker som må tildeles en saksbehandler
• Antall egne saker under behandling
• Antall oppgaver og tiltak som ikke er lukket
• Antall saker som har overskredet intern tidsfrist

• Søk opp prosesser
• Naviger i prosesslandskap
• Lese og klikke på aktiviteter i prosesser

Ansatte som produserer eller har ansvar for virksomhetens prosesser får egne notifikasjoner som viser hvor mange prosesser som ikke er godkjent eller som har passert revisjonsfristen.

• Søk opp dokumenter
• Lese dokumenter
• Avgi lesebekreftelse

Ansatte som produserer eller har ansvar for virksomhetens dokumentasjon får egne notifikasjoner som viser hvor mange dokumenter som er til godkjenning eller høring, eller som har passert revisjonsfristen.

• Visning av tilpasset leseliste som gjelder for den ansattes rolle/stilling
• Notifikasjon som viser antall uleste dokumenter i leselisten

Ansatte som utfører risikovurderinger i Certain QMS får notifikasjoner som viser antall egne risikoanalyser under arbeid, og antall risikoreduserende tiltak som ikke er lukket.

Certain QMS er en digital løsning som skal brukes på ulike måter og til ulike oppgaver, avhengig av hvilken rolle man har i virksomheten. For alle med leder- eller HMSK-ansvar vil Certain QMS være et viktig fag- og styringssystem.

For ansatte som jobber direkte i fagsystemet, med for eksempel utarbeidelse av dokumentasjon, risikoanalyser eller saksbehandling av avvik, vil SharePoint også være nyttig for varslinger og statusmeldinger.

Den delen av SharePoint som er personlig tilpasset viser nye saker, uleste dokumenter eller frister for revisjon og saksbehandling. Dette gir de ansvarlige en kjapp oversikt over oppgaver som venter og en praktisk snarvei rett til arbeidsflaten i Certain QMS.

Brukerkontoen i SharePoint er koblet til brukerkontoen i Certain QMS, derfor vil alltid informasjon og tilganger være tilpasset hver enkelt ansatt og deres rolle.