Third Party & Supply Chain Management Policy

Posted on    by

Beleid Third-Party & Supply Chain Management

Context

Zorgorganisaties zijn in toenemende mate afhankelijk van externe partijen voor het uitvoeren en ondersteunen van zowel zorginhoudelijke als ondersteunende processen. Deze externe afhankelijkheden omvatten onder meer IT-diensten, medische technologie, logistiek, facilitaire diensten, onderhoud, personeelsinzet, cloud- en datadiensten en gespecialiseerde ondersteunende functies.

Samenwerking met externe partijen kan bijdragen aan kwaliteit, efficiëntie en innovatie, maar brengt tegelijk organisatiebrede risico’s met zich mee. Deze risico’s kunnen een impact hebben op zorgcontinuïteit, patiëntveiligheid, kwaliteit van dienstverlening, bestuurlijke verantwoordelijkheid, reputatie en strategische autonomie.

Dit beleid beschrijft de beleidskeuzes van de organisatie met betrekking tot outsourcing en third-party relaties en vormt het organisatiebrede kader voor een beheerste, transparante en verantwoorde omgang met externe afhankelijkheden.

Doel

Het doel van dit beleid is het vastleggen van duidelijke beleidskeuzes en principes voor outsourcing en samenwerking met externe partijen, zodat:

  • externe afhankelijkheden bewust en beheerst worden aangegaan,

  • risico’s tijdig worden onderkend en opgevolgd,

  • continuïteit, kwaliteit en veiligheid van zorg worden beschermd,

  • en verantwoordelijkheden helder en bestuurlijk verdedigbaar zijn vastgelegd.

Reikwijdte

Dit beleid is van toepassing op alle vormen van outsourcing en samenwerking met externe partijen binnen de organisatie, ongeacht:

  • het type activiteit of dienst,

  • de aard van de relatie (leverancier, partner, dienstverlener, onderaannemer),

  • de contractuele vorm,

  • of de kriticiteit van de uitbestede activiteit.

Het beleid geldt organisatiebreed en vormt het overkoepelend kader waarbinnen meer specifieke beleidslijnen, procedures en perspectieven worden uitgewerkt.

Eigenaarschap, goedkeuring & herziening

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het bestuursorgaan draagt de eindverantwoordelijkheid voor dit beleid en ziet toe op een verantwoord en beheerst gebruik van outsourcing en samenwerking met externe partijen, met bijzondere aandacht voor patiëntveiligheid, zorgcontinuïteit en maatschappelijke verantwoordelijkheid.

Dagelijks Bestuur

Het dagelijks bestuur is verantwoordelijk voor de implementatie van dit beleid en voor de integratie van outsourcing- en third-party risico’s in de dagelijkse werking en besluitvorming van de organisatie.

Eerste lijn

Directies & afdelingshoofden

Directies en afdelingshoofden zijn verantwoordelijk voor:

  • het toepassen van dit beleid binnen hun verantwoordelijkheidsdomein,

  • het identificeren en opvolgen van risico’s verbonden aan uitbestede activiteiten,

  • en het bewaken van prestaties en afspraken met externe partijen.

IT-departement

Het IT-departement is verantwoordelijk voor het operationeel beheer van uitbestede ICT-diensten en digitale afhankelijkheden binnen het kader van dit beleid.

Het IT-departement:

  • identificeert en beheert operationele en technologische risico’s verbonden aan uitbestede ICT-diensten, digitale platforms en cloud-oplossingen,

  • bewaakt de prestaties, beschikbaarheid en betrouwbaarheid van ICT-gerelateerde leveranciers en ketenpartners,

  • ziet toe op de naleving van gemaakte afspraken en dienstverleningsniveaus,

  • signaleert wijzigingen in technologie, architectuur of dienstverlening die de afhankelijkheden of het risicoprofiel beïnvloeden,

  • en werkt samen met andere betrokken functies bij opvolging, escalatie en bijsturing van leveranciersrelaties.

Tweede lijn

Legal

Legal is verantwoordelijk voor het identificeren en beheersen van juridische en contractuele risico’s verbonden aan outsourcing en samenwerking met externe partijen. Legal ziet erop toe dat verantwoordelijkheden, aansprakelijkheden, rechten en plichten duidelijk, afdwingbaar en consistent worden vastgelegd, inclusief afspraken over beëindiging, overdraagbaarheid en geschillenbeslechting.

Centrale Aankoop / Procurement

Centrale Aankoop is medeverantwoordelijk voor het organisatiebreed beheersen van outsourcing- en third-party relaties. Deze functie vervult een sturende rol in de selectie, contractering en opvolging van externe partijen en waarborgt dat outsourcingrelaties beheersbaar, transparant en overdraagbaar blijven. Centrale Aankoop bewaakt de samenhang tussen commerciële afspraken, operationele afhankelijkheden en de beleidskeuzes van de organisatie.

CRO – Chief Risk Officer

De Chief Risk Officer draagt zorg voor de integratie van outsourcing- en third-party risico’s in het organisatiebrede risicobeheer. De CRO ziet erop toe dat externe afhankelijkheden systematisch worden geïdentificeerd, beoordeeld en opgevolgd en ondersteunt het bestuur en het dagelijks bestuur bij strategische besluitvorming.

CISO – Chief Information Security Officer

De Chief Information Security Officer is verantwoordelijk voor het beoordelen en beheersen van risico’s met betrekking tot informatie, systemen en digitale diensten die door externe partijen worden geleverd of ondersteund. De CISO ziet toe op de samenhang tussen outsourcingbeslissingen en de bescherming van informatie en technologie.

DPO – Data Protection Officer

De Data Protection Officer ziet toe op een zorgvuldige en rechtmatige omgang met persoonsgegevens in het kader van outsourcing en samenwerking met externe partijen. De DPO adviseert over verantwoordelijkheden, risico’s en maatregelen bij uitbestede verwerkingen.

Kwaliteit en Patiëntveiligheid

De functie Kwaliteit en Patiëntveiligheid bewaakt dat outsourcing en samenwerking met externe partijen geen afbreuk doen aan de kwaliteit van zorg en de veiligheid van patiënten. Deze functie ziet erop toe dat risico’s voor zorgkwaliteit en patiëntveiligheid tijdig worden onderkend en beheerst.

Personeelsdienst (HR)

De personeelsdienst draagt zorg voor het beheer van risico’s verbonden aan outsourcing die impact heeft op personeel, competenties, kennisborging en organisatiecapaciteit.

Preventiedienst (welzijn & veiligheid op het werk)

De preventiedienst ziet toe op het identificeren en beheersen van welzijns- en veiligheidsrisico’s bij uitbestede activiteiten en externe partijen.

Facility / Infrastructure / Safety

De functies Facility, Infrastructure en Safety zijn verantwoordelijk voor het beheersen van risico’s verbonden aan infrastructuur, gebouwen, installaties en fysieke veiligheid in het kader van outsourcing en externe samenwerking.

Communicatiedienst

De communicatiedienst is verantwoordelijk voor het coördineren van interne en externe communicatie in het kader van outsourcing en samenwerking met externe partijen, inclusief communicatie bij verstoringen, incidenten of escalaties.

Derde lijn – Onafhankelijke assurance

De derde lijn voorziet onafhankelijke en objectieve assurance over de geschiktheid, opzet en werking van het beleid, de governance en de beheersing van risico’s met betrekking tot outsourcing, third-party- en supply-chain-management.

Deze assurance kan worden ingevuld door:

  • een interne auditfunctie, of

  • een onafhankelijk extern audit- of assurance-mechanisme.

De derde lijn opereert onafhankelijk van de eerste en tweede lijn en rapporteert rechtstreeks aan het bestuursorgaan. De bevindingen en aanbevelingen van de derde lijn dragen bij aan transparantie, bestuurlijke besluitvorming en continue verbetering van het beheer van externe afhankelijkheden.

Goedkeuring

Dit beleid wordt goedgekeurd door het bestuursorgaan.

Herziening en onderhoud

Dit beleid wordt periodiek herzien en telkens wanneer significante wijzigingen optreden in de organisatiecontext, risicoprofielen of externe afhankelijkheden.

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn enkel toegestaan na expliciete goedkeuring door het dagelijks bestuur, op basis van een gemotiveerde risicoafweging en met vastgelegde mitigerende maatregelen.

Beleidsverklaring

De organisatie erkent dat outsourcing en samenwerking met externe partijen noodzakelijk en waardevol kunnen zijn, maar kiest er bewust voor deze relaties actief te sturen en te beheersen. De organisatie aanvaardt geen ongecontroleerde afhankelijkheden en verwacht dat externe samenwerking bijdraagt aan duurzame, veilige en kwalitatieve zorgverlening.

Beleidsvereisten

De organisatie baseert haar beleid inzake outsourcing en third-party management op onderstaande fundamentele beleidskeuzes. Deze pijlers vormen het normatieve fundament van dit beleid en sturen alle beslissingen over externe samenwerking.

Organisatiebrede verantwoordelijkheid voor externe afhankelijkheden

Outsourcing en samenwerking met externe partijen worden beschouwd als een bestuurlijke verantwoordelijkheid. Externe afhankelijkheden blijven steeds onder verantwoordelijkheid van de organisatie zelf en worden nooit volledig overgedragen aan leveranciers of partners.

  • ISO 37500:2014, Introduction
    De standaard stelt dat bij outsourcing de uitbestedende organisatie eindverantwoordelijk blijft voor de uitbestede activiteiten, terwijl de dienstverlener verantwoordelijk is voor de uitvoering. Verantwoordelijkheid kan niet louter contractueel worden overgedragen.

  • ISO 37500:2014, Clause 5 – Outsourcing governance framework
    Deze clausule positioneert outsourcing expliciet als een governancevraagstuk en benadrukt dat sturing, toezicht en besluitvorming organisatiebreed moeten worden ingericht.

  • ISO 37500:2014, Clause 4.4.1.2
    Dit onderdeel plaatst governance centraal in het outsourcinglevenscyclusmodel en onderbouwt dat bestuurlijke verantwoordelijkheid doorheen alle fasen noodzakelijk blijft.

Beheersbaarheid boven gemak

De organisatie kiest ervoor beheersbaarheid te laten primeren boven snelheid, kostenefficiëntie of operationeel gemak. Outsourcing wordt enkel aangegaan wanneer voldoende inzicht, sturing en opvolging mogelijk blijven.

  • ISO 37500:2014, Clause 5 – Outsourcing governance framework
    Deze clausule benadrukt dat effectieve governance noodzakelijk is om outsourcingrelaties te sturen, te monitoren en bij te sturen. De standaard onderbouwt dat beheersbaarheid een expliciete governancekeuze is en geen automatisch gevolg van contractering.

  • ISO 37500:2014, Clause 4.4.1.1
    Dit onderdeel stelt dat governanceactiviteiten doorheen alle fasen van de outsourcinglevenscyclus actief moeten blijven om controle en overzicht te behouden.

  • ISO 37500:2014, Clause 4.4.1.2
    Hier wordt governance gepositioneerd als een continu mechanisme dat ervoor zorgt dat outsourcingbeslissingen beheersbaar blijven, ook wanneer omstandigheden of behoeften wijzigen.

  • ISO 37500:2014, Clause 4.5 – Main outputs
    Deze clausule benoemt kernartefacten zoals business case en agreement als sturingsinstrumenten die hergebruikt en bijgesteld worden, wat de beleidskeuze ondersteunt dat gemak nooit mag primeren op bestuurbaarheid.

Bescherming van continuïteit, kwaliteit en patiëntveiligheid

Outsourcing mag geen afbreuk doen aan zorgcontinuïteit, kwaliteit van dienstverlening of patiëntveiligheid. Kritieke activiteiten vereisen verhoogde aandacht voor beschikbaarheid, betrouwbaarheid en overdraagbaarheid.

  • ISO 37500:2014, Clause 4.3 – Risks of outsourcing
    Deze clausule onderbouwt dat outsourcing inherent risico’s introduceert die verder gaan dan louter prestatie- of kostenaspecten. Dit ondersteunt de beleidskeuze om continuïteit, kwaliteit en veiligheid expliciet te beschermen bij outsourcingbeslissingen.

  • ISO 37500:2014, Clause 4.4 – Outsourcing life cycle model
    Het levenscyclusmodel ondersteunt dat risico’s en beheersmaatregelen doorheen alle fasen moeten worden beoordeeld, waardoor continuïteit en kwaliteit niet beperkt blijven tot de startfase of contractering.

  • ISO 37500:2014, Annex B – Checklist of potential outsourcing risks per phase
    Deze annex biedt een systematische kapstok om risico’s per fase te identificeren en te evalueren. Dit sluit aan bij de beleidskeuze om continuïteits-, kwaliteits- en veiligheidsrisico’s structureel zichtbaar te maken.

  • ISO 37500:2014, Annex G – Transition plan checklist
    Deze annex benadrukt het belang van een beheerste transitie om verstoringen te vermijden. Dit ondersteunt de beleidskeuze dat veranderingen in sourcing niet mogen leiden tot onderbreking van kritieke dienstverlening.

  • ISO 37500:2014, Annex I – Outsourcing life cycle exit
    Deze annex verankert het belang van exit en overdraagbaarheid als onderdeel van het model. Dit ondersteunt de beleidskeuze dat continuïteit ook bij beëindiging, vervanging of overdracht geborgd moet blijven.

Transparantie en duidelijke verantwoordelijkheden

Rollen, verantwoordelijkheden en verwachtingen in outsourcingrelaties moeten expliciet, transparant en begrijpelijk zijn vastgelegd. Onduidelijkheid wordt beschouwd als een onaanvaardbaar risico.

  • ISO 37500:2014, Introduction
    De standaard maakt een expliciet onderscheid tussen accountability van de uitbestedende organisatie en responsibility van de dienstverlener. Dit ondersteunt de beleidskeuze dat verantwoordelijkheden niet impliciet mogen blijven.

  • ISO 37500:2014, Clause 5.2 – Management structure and functions
    Deze clausule benadrukt het belang van duidelijke rolverdeling, verantwoordelijkheden en bevoegdheden binnen de governance van outsourcingrelaties.

  • ISO 37500:2014, Clause 5.3 – Joint governance committees
    Deze clausule ondersteunt het gebruik van expliciete governance- en overlegstructuren om transparantie, afstemming en escalatie te waarborgen.

  • ISO 37500:2014, Annex F – Examples of agreement topics
    Deze annex biedt een normatieve kapstok voor onderwerpen die expliciet in afspraken en overeenkomsten worden vastgelegd, wat de beleidskeuze ondersteunt dat verantwoordelijkheden en verwachtingen ondubbelzinnig moeten zijn.

Levenscyclusdenken en vooruitkijken

De organisatie benadert outsourcingrelaties vanuit hun volledige levenscyclus. Beslissingen houden rekening met langetermijnimpact, veranderende behoeften en beëindiging of overdraagbaarheid van diensten.

  • ISO 37500:2014, Clause 4.4 – Outsourcing life cycle model
    Deze clausule definieert outsourcing als een samenhangend geheel van opeenvolgende fasen en onderbouwt dat besluitvorming niet los kan worden gezien van latere uitvoering, opvolging en beëindiging.

  • ISO 37500:2014, Clause 4.6 – Repeating the outsourcing life cycle
    Dit onderdeel benadrukt dat outsourcing geen eenmalige beslissing is, maar periodiek moet worden herbekeken op basis van gewijzigde context, prestaties en risico’s.

  • ISO 37500:2014, Clause 4.5 – Main outputs
    Deze clausule positioneert kernartefacten zoals business case, agreement en governance-afspraken als doorlopende sturingsmiddelen over meerdere fasen heen.

  • ISO 37500:2014, Annex I – Outsourcing life cycle exit
    Deze annex verankert exit en overdraagbaarheid als een integraal onderdeel van het outsourcinglevenscyclusmodel en ondersteunt de beleidskeuze dat vooruitdenken en beëindiging structureel moeten worden meegenomen.

Samenhang met organisatiebreed risicobeheer

Outsourcing en third-party management maken integraal deel uit van het organisatiebrede risicobeheer. Externe afhankelijkheden worden systematisch meegenomen in risico-analyses en bestuurlijke afwegingen.

  • ISO 37500:2014, Clause 4.3 – Risks of outsourcing
    Deze clausule onderbouwt dat outsourcing multidimensionale risico’s introduceert die niet tot één domein beperkt blijven. Dit ondersteunt de beleidskeuze om outsourcingrisico’s organisatiebreed te benaderen en te integreren in het totale risicobeeld.

  • ISO 37500:2014, Clause 4.4 – Outsourcing life cycle model
    Het levenscyclusmodel ondersteunt dat risico-identificatie, besluitvorming en sturing per fase plaatsvinden, waardoor outsourcingrisico’s structureel kunnen worden opgenomen in organisatiebrede governance en risicobeheer.

  • ISO 37500:2014, Clause 6 – Phase 1: Strategy
    Deze fase ondersteunt de koppeling tussen outsourcingbeslissingen en strategische doelstellingen, en onderbouwt dat risico-afwegingen op strategisch niveau moeten plaatsvinden.

  • ISO 37500:2014, Clause 7 – Phase 2: Selection
    Deze fase ondersteunt de beleidskeuze dat risico’s en afhankelijkheden expliciet moeten worden meegenomen in selectie en due diligence van externe partijen.

  • ISO 37500:2014, Clause 8 – Phase 3: Transition
    Deze fase ondersteunt de beleidskeuze dat risico’s rond overdracht, opstart en wijziging beheerst moeten worden als onderdeel van organisatiebrede risicosturing.

  • ISO 37500:2014, Clause 9 – Phase 4: Value delivery
    Deze fase ondersteunt dat opvolging, prestatiesturing en continue beheersing noodzakelijk zijn om risico’s blijvend te beheersen tijdens de looptijd van outsourcing.

  • ISO 37500:2014, Annex B – Checklist of potential outsourcing risks per phase
    Deze annex biedt een praktische normatieve kapstok om outsourcingrisico’s per fase systematisch te identificeren, te vergelijken en te integreren in organisatiebrede risicobeoordeling.

Definities en termen

  • Outsourcing: het uitbesteden van activiteiten of processen aan een externe partij.

  • Third party: elke externe organisatie of persoon die diensten levert aan of namens de organisatie.

  • Outsourcinglevenscyclus: de opeenvolgende fasen van besluitvorming, selectie, contractering, uitvoering, opvolging en beëindiging.

  • Kritieke activiteit: een activiteit waarvan het falen directe impact kan hebben op patiëntveiligheid, zorgcontinuïteit of bestuurlijke verantwoordelijkheid.

Gerelateerde documenten

  • Beleid organisatiebreed risicobeheer

  • Beleid risicobeheer van informatiebeveiliging

  • Business Continuity Management beleid

  • Procedures voor outsourcing en leveranciersbeheer

  • Contractuele richtlijnen en sjablonen