12:72012-08-281 Vägledning för bedömning av kontrollorgan mot SS-EN ISO/IEC 17020:2012 Swedac, Styrelsen för ackreditering och teknisk kontroll, Box 878, 501 15 Borås Tel. 0771-990 900
ISO/IEC 17020:2012 Vägledning för bedömning 4 Allmänna krav 4.1 Opartiskhet och oberoende 4.1.1 4.1.2 4.1.3 1) Kontrollorganet bör i en instruktion beskriva när riskinventeringen ska revideras. 2) Risker ska fastställas vid varje händelse som kan påverka opartiskheten hos kontrollorganet eller dess personal. 4.1.4 4.1.5 1) Den högsta ledningen är den ledningsnivå som har befogenhet att besluta om ackreditering ska eftersträvas och som har befogenhet att besluta om investeringar och personaltillsättningar nödvändiga för att uppfylla kraven för ackreditering. 4.1.6 1) För att få en bild av kontrollorganets relation till övriga avdelningar/enheter inom företaget eller till övriga bolag i en koncern krävs en beskrivning av de verksamheter som bedrivs av andra avdelningar/enheter eller de andra bolagen som ingår i koncernen. Av beskrivningen bör framgå vilka personella resurser kontrollorganet har och information om huruvida dessa utför både kontrolluppdrag och uppdrag från andra avdelningar/enheter. 2) Kontrollorganet ska beskriva på vilket sätt oberoendet uppfylls för den eller de typer av organ det avser att verka som. Beskrivningen bör tydliggöra och säkerställa att kontrollorganet och dess personal uppfyller kraven för respektive typ av oberoende. 3) Det förekommer att föreskrivande myndigheter i sina föreskrifter om kontroll har specifika krav på ett kontrollorgans oberoende. För att komplettera bedömningen av oberoendet kan vi, då det gäller en sökandes organisatoriska förhållanden, avkräva en försäkran i vilken kontrollorganets högsta ledning intygar det aktuella företagets status i förhållande till de ställda kraven. 4) För att ett kontrollorgan (typ B) ska anses vara en separat del av organisationen krävs att kontrollorganets personal och ledning inte är involverade i att konstruera, tillverka, lagerhålla, installera, inköpa, äga, använda eller underhålla kontrollerade föremål. 4.2 Sekretess 4.2.1 1) Ett juridiskt tvingande åtagande kan vara ett avtal eller att informera skriftligen att egna eller branschorganisations bestämmelser kommer att följas. Kravet på att kontrollorganet ska informera uppdragsgivaren om information som kommer att göras allmänt tillgänglig berör sådan information som avses i 4.2.2. 2 (24)
4.2.2 4.2.3 5 Strukturella krav 5.1 Administrativa krav 5.1.1 5.1.2 1) Se vägledning 1) till 4.1.6. 2) Observera att det tvingande juridiska åtagandet också ska inkludera eventuella underleverantörer. 5.1.3 1) Kontrollorganet ska dokumentera sin verksamhet och omfattningen av dess tekniska kompetens. Av beskrivningen ska bl.a. framgå vilka tillsynsobjekt, t.ex. huvudkontor eller filialer, som omfattas av ackrediteringen. Ett tillsynsobjekt definieras här som en lokal, mobil eller stationär, som innehåller antingen; ett arkiv innehållande dokumentation angående kontrollverksamhet, interna revisioner, klagomål eller interna och externa kontroller av utfört arbete som inte är tillgänglig på annat tillsynsobjekt som inkluderas av ackrediteringen, eller fast utrustning som används vid kontroll. 5.1.4 1) Kontrollorganet förväntas kunna redogöra för vilka faktorer som har påverkat nivån på den avtalade försäkringen. En av de faktorer som bör påverka nivån är risker som uppstår i samband med genomförande av kontrollaktiviteter. 2) Kontrollorganet ska ha kartlagt de eventuella risker som kan vara förknippade med organets verksamhet inför beslutet om lämplig nivå för ansvarsförsäkringen. I de fall som det är otvetydigt att de risker som kan vara förknippade med verksamheten är låga eller att ansökt kontrollverksamhet inte tillför några ytterligare riskmoment som redan tidigare funnits med som en naturlig del i företagets verksamhet kan kravet på särskild riskanalys utgå. Samma gäller om den ackrediterade verksamheten endast utgör en liten del av företagets samlade aktiviteter och företaget redan har en ansvarsförsäkring som täcker in dessa. 3) Synpunkter om storleken på ersättningsbeloppen i uppvisade försäkringsavtal bör undvikas såvida dessa inte bedöms uppenbart låga i förhållande till verksamheten. 5.1.5 1) Med avtalsvillkor avses kontraktsvillkor, betalningsvillkor, förfarande vid tvist m.m. I de fall kontrollorganet omfattas av särskilda branschvillkor kan hänvisning till dessa ske (t.ex. Verkstadens reparationsvillkor, inom fordonsbranschen). 3 (24)
5.2 Organisation och ledning 5.2.1 1) Av riskinventeringen (4.1.3/4.1.4) ska framgå att organisatoriska risker har kartlagts och behandlats. 5.2.2 1) Se även STAFS 2010:10 10. 2) Kravet innebär att ett kontrollorgan ska ha en omvärldsbevakning anpassad efter dess behov. 3) Kravet på kontrollorganets organisation innebär också ett krav på att det ansvar som fördelats på olika personer ska vara av en omfattning som gör det möjligt att uppfylla. 4) I de fall den person som har det övergripande tekniska ansvaret har delegerat delar av det tekniska ansvaret till lokal nivå ska särskild uppmärksamhet ges till om det delegerade ansvaret motsvarar de befogenheter som givits till den lokala nivån. 5.2.3 5.2.4 5.2.5 1) Uttrycket ha tillgång till innebär att personen ska vara anställd eller kontrakterad. Det är viktigt i det senare fallet att granska det kontrakt som upprättats. Av kontraktet bör framgå den kontrakterades arbetsvillkor såsom omfattningen av uppdraget, tillgängligheten, arbetstidens omfattning samt kontraktets längd och/eller uppsägningstid. Vid deltidsanställningar av begränsad omfattning ska uppmärksamhet ges åt möjliga tecken på att resurserna är otillräckliga. Notera att såväl möjligheten att utföra de ålagda arbetsuppgifterna som att påta sig det ansvar som dessa medför ska beaktas. Swedac gör från fall till fall en värdering om den ansvariges tillgängliga tid kan bedömas som tillräcklig. 2) En tekniskt ansvarig (TA) kan under vissa förhållanden inneha denna roll för flera olika juridiska personer. En sådan lösning kan accepteras när inga intressekonflikter bedöms föreligga så att TA:s opartiskhet eller förmåga att upprätthålla sekretessen kan ifrågasättas. Det förhållandet att TA har två anställningar inom samma verksamhetsområde ska vara känt av alla inblandade parter. (Kan tillämpas t.ex. i koncerner där samma person innehar rollen som TA i två dotterbolag). 5.2.6 1) I en organisation där frånvaro av en viss nyckelperson innebär att kontrollaktiviteter inte längre utförs ställs inte krav på ställföreträdare för denne. 5.2.7 1) Personalkategorier som deltar i kontrollverksamheten är alla sådana som i sitt arbete på något sätt kan påverka resultatet av kontrollen. De kan, förutom kontrollanter, också inkludera tekniska chefer och administrativ personal. 4 (24)
6 Resurskrav 6.1 Personal 6.1.1 6.1.2 6.1.3 1) Ackrediterade kontrollorgan måste regelbundet använda de metoder som de är ackrediterade mot. Har ett kontrollorgan inte utfört någon ackrediterad kontroll under ett år måste kontrollorganet visa hur det kan bibehålla kompetensen. Detta kan åstadkommas genom att t.ex. utföra en s.k. dummykontroll eller genom att visa att de utfört kontroller inom ett näraliggande områden. Om kontrollorganet inte kan visa hur det upprätthåller kompetensen ska ackrediteringen återkallas. Se även 5.2.2. 6.1.4 6.1.5 1) Det ska framgå från vilket datum personen har bedömts vara behörig för de kontrolluppgifter denne har att utföra, dvs. datum för när vederbörande fick sitt körkort. 2) Kvalificeringen bör lämpligen innehålla examinering som inkluderar bevittning. 6.1.6 1) Upplärningen bör omfatta deltagande som observatör under ett antal uppdrag och utförande av uppdrag under övervakning. 6.1.7 6.1.8 1) Omfattningen och metoden för övervakning ska anpassas till förmåga, kvalifikationer och erfarenhet hos var och en som utför kontroll och varje annan person som är engagerad i kontrollverksamheten. 6.1.9 1) I normala fall ska bevittning av utförande av kontrollarbete ske. Nöjda kunder, avsaknad av klagomål eller att kontrollen saknar komplexitet utgör inte tillräckliga belägg för att avgöra om arbetet är kompetent utfört. Tillräckliga belägg kan vara om extern part genomfört rapporterad bevittning med positivt utfall. I detta fall måste kontrollorganet ha rutiner för att godkänna utförandet av bevittningen och utfallet av rapporten, samt kunna visa att bevittningen utförts av kompetent personal. Bevittnat utförande av kontroll inom kontrollområde som kräver samma kompetensprofil kan också utgöra tillräckliga belägg. 2) Bevittningen ska omfatta all kontrollpersonal och varje meddelat ackrediteringsområde eller kontrollmetod. All kontrollpersonal bör ha följts upp för samtliga sina befogenheter inom en fyraårsperiod. 3) Resultatet av bevittningen ska återkopplas till utbildningsplanen, jämför 6.1.7. 5 (24)
6.1.10 6.1.11 1) Det sätt på vilken personalen ersätts bör behandlas i riskinventeringen. 2) Ackordslön bör inte tillämpas. 3) Notera att ordvalet påverkar kan innebära att ett visst lönesystem kan motivera en avvikelse på ett ställe, men kan vara ok på ett annat. 6.1.12 6.1.13 6.2 Lokaler och utrustning 6.2.1 1) Ibland föreskriver myndigheter om att egen utrustning ska användas. 2) När utrustning hyrs, lånas eller samutnyttjas ska avtal finnas som behandlar hanteringen. 3) Lämplig utrustning omfattar också referensnormaler. 4) Ett sätt att avgöra om utrustningen är lämplig är att definiera vad som är nödvändig prestanda och se till att utrustningen uppfyller dessa krav. 6.2.2 1) Obehöriga personer bör inte ges tillträde till lokaler eller tillgång till utrustning. 2) Kontrollorganet skall säkerställa att oanvända intyg eller märken förvaras på ett säkert sätt så att otillbörlig åtkomst och användning av dessa försvåras. 6.2.3 1) Om specificerade miljöförhållanden krävs för att genomföra en kontroll bör kontrollorganet övervaka dessa med kalibrerad utrustning, dokumentera resultaten och ange när förhållandena har avvikit från de specificerade. 2) Om utrustning för en tid har befunnit sig utanför kontrollorganets direkta kontroll ska åtgärder vidtas för att säkerställa dess lämplighet för användning innan den tas I bruk. Åtgärder kan omfatta visuell kontroll, funktionskontroller och kalibrering. 3) Ett sätt att säkerställa fortsatt lämplighet av mätutrustning är att se till att utrustningens kalibreringsstatus tydligt visas genom lämpligt märke e.d. där minst tidpunkt för nästkommande kalibrering framgår. 4) Kontrollutrustning bör skyddas mot ofrivillig ändring av justering/inställning som kan påverka den kalibrerade inställningen. 6.2.4 1) Unik identifiering är viktig även då kontrollorganet endast har ett 6 (24)
exemplar av en viss typ av utrustning. Detta möjliggör spårning av utrustning som av någon anledning ersätts. 6.2.5 6.2.6 1) I normala fall är det alltid lämpligt att kalibrera mätutrustningen då mätningen har en signifikant inverkan på kontrollresultatet. 6.2.7 1) Se även SWEDAC DOC 04:2. 2) När spårbarhet till nationella eller internationella mätnormaler inte är tillämpligt är jämförelsemätningar ett sätt att ge belägg för samstämmighet eller noggrannhet hos kontrollresultat. Se ILAC P9 om när sådan jämförelsemätning bör genomföras. 6.2.8 6.2.9 1) Rutin för frekvens av kontroll, genomförande av kontroll och acceptkriterier ska finnas. 6.2.10 6.2.11 1) Kontrollorganet bör säkerställa att inköpta tjänster och varor som påverkar kvaliteten på kontroller inte används innan de har genomgått kontroll eller på annat vis verifierats uppfylla krav i standardspecifikationer eller krav definierade i kontrollmetoder i fråga. Inköpsdokument för saker som påverkar kvaliteten på kontrollorganets resultat bör innehålla uppgifter som beskriver de beställda tjänsterna och varorna. Dessa inköpsdokument bör granskas och godkännas med avseende på tekniskt innehåll innan de utges. 2) Leverantörer bör godkännas mot ställda krav. 6.2.12 6.2.13 6.2.14 1) Undersökning av felets inverkan på tidigare gjorda kontroller ska dokumenteras. Se 8.7. 6.2.15 1) Relevant information kan vara id-beteckning, tillverknings- /serienummer, tillverkare, underhållsinstruktioner, utrustningens placering etc. 6.3 Underleverantörer 6.3.1 1) Om kontrollorganet inte har egen kompetens att genomföra viss kontroll så kan beslutet om ackreditering inte omfatta denna kontroll. Se STAFS 2010:10 8. 2) När kontrollorganet använder sig av leverantörer för att genomföra uppgifter som inte omfattar genomförande av kontroll, t.ex. ordermottagning, arkivering eller renskrivning av rapporter, så hänförs inte dessa till begreppet underleverantörer. Sådana tjänster omfattas inte av de krav som ställs i 6.3. I stället gäller kraven 7 (24)
i 6.1. Ett avtal bör upprättas mellan kontrollorganet och leverantören som säkerställer att dessa krav uppfylls. 3) Om en underleverantör utför provningstjänster för kontrollorganet så är den relevanta standarden för bedömning av överensstämmelse ISO/IEC 17025. 4) Se också vägledning 1) till 7.1.1. 6.3.2 1) Notera att 14 i STAFS 2010:10 kräver att kontrollorganet meddelar kunden vilken underleverantör som är tänkt att anlitas och att, när så är lämpligt, erhåller kundens godkännande. 6.3.3 6.3.4 1) När kontrollorganet utför bedömning av underleverantör ska det kunna påvisa att bedömarlaget har tillräcklig teknisk kompetens och tillräcklig kunskap om standarden i fråga. 7 Processkrav 7.1 Kontrollmetoder och rutiner 7.1.1 1) Organ som utför provning och mätning ska uppfylla krav enligt STAFS 2011:18 3. 7.1.2 7.1.3 7.1.4 7.1.5 1) I situationer när muntliga överenskommelser kan accepteras bör kontrollorganet dokumentera förfrågningar och instruktioner som mottagits muntligen, tillsammans med uppgift om datum och namn på kundens representant. 2) Ett kontrakt eller en arbetsorder för ett kontrolluppdrag ska utformas så att det säkerställer att det finns en klar förståelse mellan kontrollorganet och dess kund om omfattningen på kontrolluppdraget. Inom många kontrollordningar (ofta när det gäller återkommande kontroll som en följd av legala krav) upprättas inte något enskilt kontrakt mellan kund och kontrollorgan. I sådana fall måste arbetsordern framgå av ett underliggande dokument, t.ex. föreskrifter utfärdade av en myndighet. 7.1.6 7.1.7 1) Arbetsblad och anteckningar upprättade för att notera observationer under genomförande av kontroll ska bevaras i original under bestämd tid. 7.1.8 7.1.9 7.2 Hantering av föremål och prover för kontroll 8 (24)
7.2.1 7.2.2 7.2.3 7.2.4 7.3 Redovisande dokument över kontroll 7.3.1 1) Se kommentar till 7.1.7. 2) I det fall ett kontrollorgan har dubblerad kontrollutrustning för viss typ av mätning eller provning ska det av arkiverade kontrollrapporter eller annan dokumentation framgå vilken utrustning som använts vid en viss kontroll. Av rutinbeskrivning i manualen bör det i förekommande fall framgå hur och var notering om använd utrustning görs vid kontroll. Se också 7.4.2. 7.3.2 7.4 Kontrollrapporter och kontrollintyg 7.4.1 7.4.2 1) Om elektronisk signering tillämpas så måste kontrollorganet kunna påvisa att auktoriseringen är säker och åtkomsten till lagringsmediet är begränsad till behörig personal. 7.4.3 7.4.4 7.4.5 7.5 Klagomål och överklaganden 7.5.1 7.5.2 1) Kravet gäller beskrivning av rutin för hantering av klagomål. 7.5.3 7.5.4 7.5.5 7.6 Process för klagomål och överklaganden 7.6.1 7.6.2 7.6.3 7.6.4 1) För enmansföretag kan extern resurs med rätt kompetens utnyttjas. 7.6.5 8 Krav på ledningssystem för kontrollorgan 8.1 Alternativ 8.1.1 8.1.2 8.1.3 1) Ordet denna i detta krav syftar på standarden ISO/IEC 17020, 9 (24)
inte på ISO 9001. Jämför ISO PAS 17005. De krav i ISO/IEC 17020 som åsyftas med ordvalet kraven i denna standard är de krav som har bäring på kontrollorganets ledningssystem, vilket är de krav som anges i 8.2 8.8. En förtydligad skrivning av standardkravet vore då Ett kontrollorgan som har upprättat och underhåller ett ledningssystem enligt ISO 9001 och kan stödja och visa att kraven i avsnitt 8.2-8.8 i ISO/IEC 17020 fortlöpande uppfylls, uppfyller kraven i avsnittet ledningssystem (avsnitt 8). Av detta följer att alternativ A och alternativ B inte skiljer sig åt med avseende på vilka krav som ska uppfyllas (avsnitt 8.2 8.8 i ISO/IEC 17020) utan endast med avseende på hur det upprättats, antingen med utgångspunkt från ISO/IEC 17020 eller med utgångspunkt från ISO 9001. 2) Då ett kontrollorgan har ett ISO 9001-certifikat utfärdat under ackreditering kan detta förhållande vägas in vid planeringen av bedömningens omfattning. 8.2 Dokumentation för ledningssystem (alternativ A) 8.2.1 1) Exempel på mål som är av betydelse för att kraven i denna standard ska uppfyllas kan vara mål för t.ex. uppfyllande av utbildningsplan uppfyllande av bevittningsplan genomförande av korrigerande åtgärder genomförande av förebyggande åtgärder genomförd behandling av inkomna klagomål genomförd uppföljning av genomförda uppdrag aktualitet av riskinventering kundnöjdhet 8.2.2 8.2.3 8.2.4 1) För att underlätta såväl kontrollorganets som Swedacs arbete kan kontrollorganet upprätta en korsreferenslista över var i ledningssystemet som det beskrivs hur respektive krav i ISO/IEC 17020 uppfylls. 8.2.5 8.3 Styrande dokument 8.3.1 1) Kontrollorganet ska beskriva på vilket sätt det bevakar och säkerställer att verksamheten bedrivs enligt aktuella regler från t.ex. föreskrivande myndigheter. För omvärldsbevakning, se även 5.2.2. 8.3.2 8.4 Redovisande dokument (Alternativ A) 8.4.1 8.4.2 8.5 Ledningens genomgång 10 (24)
(alternativ A) 8.5.1 Allmänt 8.5.1.1 8.5.1.2 1) Innan eller senast vid bedömningstillfället inför ackreditering ska kontrollorganet ha genomfört och dokumenterat en ledningens genomgång. Genomgången kan begränsas till vad som är relevant med hänsyn till ansökans omfattning och det förhållande att någon ackrediterad verksamhet inte har bedrivits. Uppföljning av fullständig ledningens genomgång görs vid den kompletterande bedömningen 6 månader efter utfärdad ackreditering. 8.5.1.3 8.5.2 Underlag för genomgång 8.5.3 Resultat av genomgång 8.6 Interna revisioner (alternativ A) 8.6.1 8.6.2 8.6.3 8.6.4 1) När ett kontrollorgan har fler än ett tillsynsobjekt (t.ex. huvudkontor, filialer, avdelningar) som utför samma typ av tjänster så ska alla aspekter av ledningssystemet och alla tillsynsobjekt vara föremål för minst en intern revision under varje ackrediteringscykel. En förutsättning för att frekvensen ska kunna reduceras till denna nivå är att kontrollorganet har ett väl fungerande system för erfarenhetsåterföring mellan tillsynsobjekten. 2) Före eller senast vid insynsbesöket ska kontrollorganet visa dokumentation över en, till relevanta delar av ledningssystemet, utförd intern revision. Uppföljning av fullständig intern revision görs vid den kompletterande bedömningen 6 månader efter utfärdad ackreditering. 3) Innan kontrollorganet kan påvisa att ledningssystemet är stabilt, i normala fall under kontrollorganets första 4-års period, ska en fullständig revision utföras årligen. 8.6.5 1) Revisionsrapport som enbart visar att avsnitt av kvalitetssystemet granskats och inte innehåller någon kommentar om resultatet av granskningen ska inte accepteras. Rapporten ska innehålla kommentarer om hur det reviderade avsnittet bedöms fungera. Det är heller inte acceptabelt att godta en revisionsrapport som enbart innehåller kommentaren OK. Kontrollorganet ska visa att de är kompetenta att utföra en intern revision på ett professionellt sätt. Vi ska även genom intervjuer förvissa oss om kontrollorganets förmåga att hantera avvikelser och korrigerande åtgärder. 11 (24)
2) Kompetent extern personal kan anlitas för att genomföra en intern revision. 3) Med eget arbete avses tillämpning av upprättade rutiner. 8.7 Korrigerande åtgärder 8.7.1 8.7.2 8.7.3 8.7.4 8.8 Förebyggande åtgärder (alternativ A) 8.8.1 1) Tänkbara rutiner för att genomföra förebyggande åtgärder kan vara; genomförande av förstudier innan genomförande av viktiga förändringar, t.ex. införande av ny kontrollmetod, genomförande av periodiska riskanalyser för att identifiera tänkbara felorsaker, och rutiner för hur personal kan ge förslag till förbättringar av ledningssystemet och dess tillämpning. 8.8.2 8.8.3 Bilaga A Krav på oberoende för kontrollorgan A.1 A.2 A.3 1) Inom följande kontrollområden har föreskrivande myndighet godkänt att kontrollant genomför konstruktion/tillverkning/- lagerhållning/installation/service/underhåll och kontroll av samma föremål: - Återkommande kontroll av cistern i mark (NFS 2003:24) - Återkommande kontroll av cisterner 1-10 m 3 (NFS 2003:24) - Tillverknings- och konstruktionskontroll av cisterner 1-10 m 3 (NFS 2003:24) - Kontroll av cisterner och rörledningar för brandfarliga vätskor (MSBFS 2011:8) - Kontroll av hastighetsregulatorer (TSFS 2009:18) - Kontroll av färdskrivare (VVFS 2005:80) - Återkommande kontroll av icke-automatiska vågar (STAFS 2007:19) - Återkommande kontroll av automatiska vågar (STAFS 2007:1) - Återkommande kontroll av vatten- och värmemätare (STAFS 2007:2) - Återkommande kontroll av mätsystem för andra vätskor än vatten (STAFS 2007:3) - Kontroll av mätsystem för mätning av överförd el (STAFS 2009:8) - Återkommande kontroll av mätare för aktiv elenergi (STAFS 2009:9) - Installationskontroll och besiktning av taxameterutrustning (STAFS 2006:19) 12 (24)
Bilaga B Tilläggsuppgifter i kontrollrapporter och - intyg 13 (24)
Bilaga 1: Specifik vägledning för bedömning av kontrollorgan inom fordonsområdet ISO/IEC 17020 Vägledning 1 Omfattning 2 Normativa hänvisningar 3 Termer och definitioner 4 Allmänna krav 4.1 Opartiskhet och oberoende 4.1.1-4.1.6 När kontrollorgan inom kontroll av egna reparationer identifierat risker för sin opartiskhet bör de ha tagit hänsyn till vilka fordon som, om de kontrolleras, utgör en sådan risk. Kontrollorganen ska kunna visa hur man säkerställer att varje person som ska utföra kontroll t ex inte utför kontroll i eget eller närståendes fordon. Dock är det tillåtet enligt standarden att kontrollera fordon som ägs av företaget och endast används i företaget, samt fordon som ägs av företaget och som ska erbjudas till försäljning av företaget. Kontrollorganet bör kunna visa att kontroll är utförd av person som har rimlig oberoendeställning till det kontrollerade objektet. Beroende på hur ägarskapet och ledningen av verkstaden ser ut, kan det innebära att kontrollen inte utförs opartiskt om kontrollant kontrollerar fordon som ägs eller brukas privat av verkstadens ägare, eller någon närstående till denne, t ex vid en ensam ägare som också är VD och chef över kontrollant. 4.1.5 För de företag som ackrediteras för kontroll av färdskrivare förväntas kontrollorganets ledning och berörda kontrollanter även försäkra att man inte kommer att utföra färdskrivarkontroll i sådana fordon/- färdskrivare som brukas för transportverksamhet och som kontrollorganet eller dess personal äger, nyttjar eller har nyttjanderätt för (VVFS 2005:80 kap. 3, 8 (3)). Försäkran om oberoende från yrkesmässig transportverksamhet (färdskrivare) Rutin ska finnas som beskriver hur företagets ägare eller verkställande ledning och kontrollorganets ledning inledningsvis och vid förändringar upprättar och undertecknar försäkran om att verkstaden uppfyller de tilläggskrav som framgår av Vägverkets föreskrifter om kontroll av färdskrivare (VVFS 2005:80 kap. 3, 8 (1-2)) Av rutinen ska framgå var dokumentationen arkiveras samt att ny försäkran upprättas vid förändrade förhållanden. Försäkran om oberoende från taxibranschen (taxameter) Kontrollorganets ledning ska ha upprättat och undertecknat försäkran om att verkstaden uppfyller de tilläggskrav som framgår av Swedacs föreskrifter och allmänna råd om installation och besiktning av 14 (24)
taxameterutrustning (STAFS 2006:19, bilaga 4). Rutin ska finnas som beskriver var dokumentationen arkiveras samt att ny försäkran upprättas och sänds till Swedac vid ändring av VD eller motsvarande. 4.2 Sekretess 4.2.1 Skyddande av färdskrivardata (gäller kontroll av digitala färdskrivare) Rutin ska finnas som beskriver på vilket sätt kontrollorganet säkerställer att kopierad/nedladdad kunddata inte delges till annan än den rättmätiga ägaren (aktuellt och inloggat transportföretag). Av rutinen ska dessutom bl.a. framgå; - hur kopierad kunddata tillsänds transportföretaget på säkert sätt vid begäran därom. Överföring kan t.ex. ske via rekommenderat brev till företaget på den adress som registrerats hos Transportstyrelsen. Inlämningskvitto från Posten eller motsvarande bör sparas/arkiveras så att verkstaden i efterhand kan styrka att överlämning skett på säkert sätt. - hur man förvarar kunddata som inte sänts till rättmätig ägare för att nedbringa risken för förvanskande av data eller förlust av data i händelse av brand ed. ANM. Begreppet färdskrivardata bör indelas i kunddata respektive kontrolldata. 5 Strukturella krav 5.1 Administrativa krav 5.1.3 Kontroll av egna reparationer De kontrollområden och fordonskategorier som företaget söker/har ackreditering för ska förtecknas. Se vidare 5, STAFS 2003:5, Swedacs särskilda föreskrifter om kontroll av egna reparationer för ackrediterade verkstäder. Om verkstaden inte har den utrustning som krävs för ett visst kontrollområde ska begränsningen av området anges. Kontroll av digitala färdskrivare, installation/ besiktning De färdskrivare, med fabrikat, typbeteckning och typgodkännandemärken, som avses ingå i ackrediteringen ska förtecknas. Kontroll av taxameter, besiktning/plombering De taxametrar, med fabrikat, typbeteckning och typgodkännandebeteckning, som avses ingå i ackrediteringen ska förtecknas. För taxametrar som godkänts enligt direktiv 2004/22/EC (MID) anges såväl taxameterns som tillsatsanordningens typgodkännandebeteckningar. 15 (24)
Kontroll av hastighetsregulator i anslutning till installation/ reparation/ ändring De hastighetsregulatorer med fabrikat och typgodkännandenummer som avses ingå i ackrediteringen ska förtecknas. Även fordonsfabrikat ska specificeras om ackrediteringen ska innefatta kontroll av fabriksmonterade hastighetsregulatorer. 5.2 Organisation och ledning 5.2.3 Organisation I beskrivning av kontrollorganets organisation ska även anges t ex säkerhetsansvarig (färdskrivare) och operatörer för direktregistrering (egna reparationer). 5.2.7 Befattningsbeskrivningar I befattningsbeskrivningen för den som utsetts till säkerhetsansvarig för kontroll av digitala färdskrivare förväntas bl.a. framgå att denne ansvarar för att de särskilda rutiner som berör digitala färdskrivare tillämpas i praktiken samt att eventuella incidenter rapporteras till berörda myndigheter. 6 Resurskrav 6.1 Personal 6.1.3 För färdskrivare I de fall kontrollorganet söker eller har ackreditering för kontroll av digitala färdskrivare ska den tekniskt ansvarige ha genomgått utbildning för kontroll av färdskrivare av aktuellt fabrikat samt i informationssäkerhet. I de fall kontrollorganet söker eller har ackreditering för kontroll av digitala färdskrivare ska den säkerhetsansvarige ha genomgått utbildning i informationssäkerhet. För trycksättning med gas Personalen bör vara väl bekant med innehållet i AFS 2006:8 och torde bl.a. kunna redogöra för: - de risker som är förenade med provning, - hur riskbedömningar görs och dokumenteras, - hur provplatser anpassas till aktuella provningar samt - hur riskområden bestäms och markeras. Dessutom ska personalen kunna beskriva: - hur provobjektet och provningsutrustningen avsynas, - hur funktionskontroller utförs före trycksättning och vad som bedöms samt - hur avsyningar av utrustning och utförda trycksättningar dokumenteras Vid kontroll av provobjekt ska personalen kunna: 16 (24)
- avgöra om objektet tål det avsedda kontrolltrycket - avgöra om anslutningar för tryckhöjning/sänkning är säkert monterade samt - avgöra om öppningar är säkert tillslutna - avbryta provningen om objektet riskerar att skadas eller haverera - avbryta provningen om defekter upptäcks eller att provningen inte följer normalt förlopp Vid kontroll av provningsutrustning ska personalen veta: - hur utrustningen ska kontrolleras och resultat dokumenteras - hur utrustningen avsynas okulärt med avseende på skador och slitage före varje provning - hur funktionskontroll av utrustning ska genomföras och i förekommande fall, - vilka skillnader och förutsättningar som gäller för o stationärt uppställd utrustning o o upprepade provningar vid samma kontrolltryck provningar när utrustningen inte påverkas av omgivningen. 6.1.4 Fullmakter Inom vissa ackrediteringsområden krävs enligt den föreskrivande myndigheten att personer som undertecknar intyg eller kontrollrapporter ska vara firmatecknare eller ha fullmakt att underteckna handlingen i företagets namn. Fullmakten ska vara undertecknad av person med formell befogenhet att delegera rätten att teckna firman. De områden för vilka fullmakt krävs är kontroll av egna reparationer (TSVFS 1992:52) och kontroll av taxameter (STAFS 2006:19, bilaga 3, pkt 1). 6.2 Lokaler och utrustning 6.2.1 Kontrollplatser Om kontrollen måste utföras på speciell plats i verkstaden ska platsen anges. Om ambulerande verksamhet förekommer (t.ex. färdskrivarkontroll) ska de krav som gäller vid fastställande av mätsträckor noga specificeras. Även ev. uppmätta mätsträckor för taxameter, färdskrivarkontroll etc. och var dessa är belägna ska finnas angivet. Om ackrediteringen avser trycksättning med gas ska det även beskrivas hur avgränsning och markering av riskområden görs, vem som får beträda provningsområdet samt hur man säkerställer kravet på skyddad plats för provningspersonalen 6.2.2 Tillgång till lokaler och utrustningar 17 (24)
Rutin ska finnas som beskriver hur man säkerställer att test- /plomberingsutrustning, verkstadskort, PIN-koder, installationsskyltar mm hanteras, bl.a. vad avser säker förvaring när de inte används (utrymmet skall minst vara låsbart och med begränsat tillträde). Av rutinen förväntas även framgå; - att korten och PIN-koderna förvaras åtskilt, - hur det går till vid tilldelande och återtagande av verkstadskort inklusive kvittering, hur detta dokumenteras samt hur/var handlingarna förvaras (på säkert sätt) och - hur man förfar vid förnyelse av kort (gäller ett år), om ett kort kommer bort, hur kort får användas samt vilka konsekvenser olämplig användning av kort kan få (se även VVFS 2005:80 3 kap, 6 (5-7)) och avsnitt 1.6). Om det förekommer att personalen utför kontrollarbete i fält utanför verkstadens lokaler/område ska rutinen dessutom inkludera avpassade instruktioner för hantering och förvaring av kort och plomberingsutrustning. - hur man begränsar tillgängligheten till administrativa system med lösenordsskydd eller motsvarande. Det ska anges även vilka som har tillgång till kopierad/nedladdad data. 6.2.4 För trycksättning med gas I kvalitetsmanual ska visas ett schema eller skiss över den kompletta trycksättningsutrustningen, inklusive tryckmätare, ventiler med uppgifter om öppningstryck, osv., eller anges var sådan beskrivning finns att tillgå. 6.2.5 För trycksättning med gas Avsyningen kan t.ex. behöva inkludera okulärkontroller av slangar, slangbrottsventiler, och/eller säkerhetsvajer, tryckmätare och säkerhetsventiler samt funktionskontroller av tryckmätare och säkerhetsventiler. 6.2.13 Hantering av färdskrivardata Beskrivning ska finnas hur man arrangerar det fysiska skyddet för att säkerställa säker hantering av kopierad/nedladdad information. Instruktionen ska bl.a. behandla - hur man normalt förfar med kunddata om en skrivare måste repareras eller bytas och vad man gör i de fall kopiering/nedladdning av data inte är tekniskt möjlig t.ex. på grund av felfunktion. Var data arkiveras och när den ska raderas ska anges. I det senare fallet ska även framgå hur ett intyg (om att data inte kan kopieras) upprättas till berört transportföretag, vilket 18 (24)
blankettformulär som ska användas, var kopior på ifyllda dokument arkiveras samt minsta arkiveringstid för dessa. Se vidare 3821/85/EEG, bilaga 1B, kap VI, avsnitt 6, (260-261). Swedac har tagit fram och kan tillhandahålla en särskild blankett, B150, för ändamålet. - hur man avser att lagra eller dokumentera data från de kontroller som gjorts med respektive verkstadskort. Av rutinen ska bl.a. framgå vid vilka tillfällen/ hur ofta kontrolldata på kortet ska kopieras och var informationen lagras. (Den lagrade informationen ska vara läsbar och ska på begäran kunna uppvisas för behöriga myndigheter eller ackrediteringsorganet). - hur säkerhetskopiering av lagrad data utförs (back-up) och var informationen förvaras. Det ska även anges hur ofta säkerhetskopiering görs. - hur lösa fickminnen får användas och hanteras etc. - hur kontrollorganet kommunicerar med kunden och hur man lagrar information om a) att ett transportföretag meddelats att kunddata finns att tillgå, b) ett transportföretags begäran om kunddata, c) att data levererats till ett transportföretag. d) att intyg om att data inte kunde kopieras utfärdats och distribuerats till transportföretaget. e) att data raderats Det förutsätts att kontrollorganet upprättar en loggbok, register eller motsvarande för anteckningar enligt a) e). 6.3 Underleverantör 7 Processkrav 7.1 Kontrollmetoder och rutiner 7.1.1 För kontroll av egna reparationer Kontrollmetoder för ackrediterade kontrollområden ska finnas beskrivna. Då kontrollmetoder finns beskrivna i föreskrifter eller branschnormer får hänvisning ske till dessa. För vissa kontrollområden t ex bromssystem på fordon med totalvikter över 3,5 ton, eller för bedömning av siktfält för backspeglar på tunga lastbilar kan ytterligare beskrivningar eller hänvisningar vara aktuella. För trycksättning med gas 19 (24)
Beskrivning hur trycksättning ska utföras för att den ska kunna genomföras på ett säkert sätt ska finnas. I metoden förväntas bl.a. framgå hur man beaktar kraven i Arbetsmiljöverkets föreskrifter, AFS 2006:8, 5-7, 9, 12-14, 16-17. För kontroll av färdskrivare, taxameter, hastighetsregulator Kontrollmetoder ska vara beskrivna. Om kontrollmetoder finns beskrivna i föreskrifter eller i anvisningar från leverantör av kontrollutrustning får hänvisning ske till dessa. Vid sådan hänvisning ska anges dokumentets namn och/eller beteckning, utfärdandedatum eller utgåvenummer samt var instruktionen finns förvarad. Av avsnittet ska även framgå hur kontrollorganet säkerställer att man fortlöpande har tillgång till information från tillverkaren eller dennes representant om tekniska förändringar av färdskrivarsystemet. Hänvisning kan ske till upprättat avtal e.d. samt uppgift om var detta arkiveras. Uppföljning av vissa säkerhetsrutiner Kravet gäller endast företag som ackrediteras för kontroll av digitala färdskrivare. Kontrollen bör inte samordnas med andra befintliga rutiner. Undersökningen bör utföras slumpvis och relativt frekvent för att uppfylla syftet med aktiviteten. Rutinbeskrivning bör beskriva syfte, omfattning och frekvens för aktiviteten. Det ska framgå hur kontrollorganet följer upp att de rutiner som har inriktning på verksamheten med kontroll av digitala färdskrivare tillämpas av alla berörda i kontrollorganet. Bl.a. bör uppföljningen säkerställa att verkstadskort, plomberingsutrustning, kontrollrapporter, installationsskyltar, färdskrivardata mm förvaras och hanteras på säkert sätt. Av rutin bör även framgå vem som är ansvarig/utför uppföljningen och hur granskningen dokumenteras/ arkiveras. 7.1.5 Uppdragshantering (Taxameter) Det ska finnas beskrivet hur företaget vid nyinstallation säkerställer att en taxameter omfattas av ett giltigt märkningstillstånd. Beskrivning bör inkludera var kopior av aktuella typgodkännanden, eller uppgifter om när respektive tillstånd upphör att gälla, arkiveras. 7.1.5 c) För kontroll av egna reparationer Vid granskning av uppdrag kan t.ex. kontroller behöva göras att; - verkstaden har utfört reparationer för varje antecknad anmärkning, - de reparationer som utförts är relevanta och fackmannamässiga, - åtgärdade system och detaljer uppfyller gällande krav efter reparation och kontroll, 20 (24)
- kontrollrapport och övrig dokumentation från kontroll är korrekt hanterad. För trycksättning med gas Vid granskning av uppdrag kan t.ex. följande kontroller behöva göras; - granskning av dokumentation från utförd trycksättning respektive inledande riskbedömning, avsyning av utrustning etc. För kontroll av färdskrivare Vid granskning av uppdrag kan t.ex. kontroller behöva göras att; -W-talet är korrekt uppmätt, alternativt tidtagning på känd mätsträcka (FS) -Ro korrekt uppmätt/angivet -färdskrivardata korrekt hanterad/arkiverad (DFS) -installationsskylt är korrekt upprättad, -plombering utförts/kontrollerats på alla relevanta ställen, -kontrollrapporten och diagramblad eller utskrifter från kontroll är korrekt hanterade -kontrollen är utförd enligt aktuell kontrollmetod, t.ex. genom att granska information på diagramblad eller utskriftsremsor. För kontroll av taxameter Vid granskning av uppdrag kan t.ex. kontroller behöva göras att; -inställd taxameterkonstant är korrekt (förnyad anpassningskontroll), -utförd plombering utförts/kontrollerats på alla relevanta ställen, -kontrollrapporten och övrig dokumentation (utskrifter) från kontroll är korrekt hanterad. För kontroll av hastighetsregulator Vid granskning av uppdrag kan t.ex. kontroller behöva göras att; -avreglering sker vid korrekt hastighet, -plombering uppfyller gällande krav, -kontrollrapporten är korrekt hanterad -skyltar monterats 7.2 Hantering av föremål och prover för kontroll 7.2.4 För kontroll av färdskrivare Det ska finnas beskrivet hur man hanterar och förvarar färdskrivare och deras komponenter för att minimera risken för manipulation (VVFS 2005:80 kap 3. 10 ). 7.3 Redovisande dokument över kontroll 7.4 Kontrollrapporter och kontrollintyg 7.4.1 Intyg om egna reparationer Ett intyg om egna reparationer ska utfärdas för svenskregistrerade fordon med kontrollrapporten som underlag. Intyget utfärdas på Transportstyrelsens blankett Vv 201.026 och undertecknas av behörig 21 (24)
firmatecknare eller annan person som genom fullmakt fått motsvarande befogenhet. Buntar med tomma intygsblanketter bör förvaras på ett betryggande och säkert sätt för att förebygga felaktig eller orättmätig användning. Rutin ska ange hur förvaring ska ske. Om verkstaden tillämpar s.k. direktregistrering av kontrollresultat till Transportstyrelsens trafikregister behöver inget intyg utfärdas. Uppgift om referensnummer, inmatningsdatum och signatur av behörig operatör antecknas på verkstadens kopia av kontrollrapporten. Observera dock att vid inmatning av kontrollresultat är det datum för kontrollen som ska registreras. Vid direktregistrering måste säkerställas att endast behöriga operatörer kan utföra registrering. Personligt lösenord får inte vara tillgängligt för oberättigade vare sig i form av kom-i-håg-lappar eller automatsparat i inloggningsmenyn. Även om verkstaden normalt tillämpar detta förfarande ska rapportering med intyg beskrivas som en alternativ rutin (t.ex. för längre avbrott i förbindelsen med Transportstyrelsen). Arkiveringstiden är innevarande kalenderår plus två år. Uppgifter om vilka dokument som ska arkiveras kan utläsas av Swedacs särskilda föreskrifter för ackrediterade verkstäder för kontroll av egna reparationer (STAFS 2003:5). För trycksättning med gas Kontrollorganet ska ange hur utförda trycksättningar dokumenteras. Av dokumentationen bör t.ex. framgå namn på den som utfört trycksättningen, datum, identiteten för provobjektet, använt kontrolltryck, referens till utförd riskbedömning och vilken metod som tillämpats. Dokumentation från utförda trycksättningar ska arkiveras. Arkiveringstiden är fem år. För kontroll av färdskrivare Efter kontroll av färdskrivare utfärdas kontrollrapport IB. Rapporten undertecknas av den behöriga kontrollant som utfört kontrollen. En kopia av intyget som ska utfärdas i de fall det inte är möjligt att kopiera/ladda ner data ur en defekt färdskrivare som ska bytas ska arkiveras hos kontrollorganet, lämpligen tillsammans med kontrollrapporten. Kopia av kontrollrapport och vid kontrollen använda diagramblad eller motsvarande ska arkiveras. Arkiveringstiden är tre år. För kontroll av taxameter 22 (24)
Efter kontroll av taxameter utfärdas kontrollrapport T. Rapporten undertecknas dels av den behöriga kontrollant som utfört kontrollen och dels av behörig firmatecknare, eller av person med fullmakt. Kopia av kontrollrapport och vid besiktningen framtagna kvittoutskrifter ska arkiveras. Arkiveringstiden är tio år. För kontroll av hastighetsregulator Efter kontroll av hastighetsregulator utfärdas kontrollrapport HR. Rapporten undertecknas av den behöriga kontrollant som utfört kontrollen. Kopia av kontrollrapport och eventuella vid kontrollen använda diagramblad ska arkiveras. Arkiveringstiden är tre år. Även utskrifter om inställningen av elektroniska regulatorsystem bör arkiveras tillsammans med kontrollrapporten. 7.5 Klagomål och överklaganden 7.6 Process för klagomål och överklaganden 8 Krav på ledningssystem för kontrollorgan 8.1 Alternativ 8.2 Dokumentation för ledningssystem (alternativ A) 8.3 Styrande dokument (alternativ A) 8.4 Redovisande dokument (alternativ A) 8.5 Ledningens genomgång (alternativ A) 8.6 Interna revisioner (alternativ A) 8.7 Korrigerande åtgärder (alternativ A) 8.7.1 Rapportering av incidenter Rutin som beskriver att/hur Swedac ska underrättas skriftligen vid inträffade incidenter eller vid missbruk/olämplig hantering av verkstadskort (se vidare VVFS 2005:80, 3 kap., 4 och 6) ska finnas. Om verkstaden förlorar ett verkstadskort ska detta utan dröjsmål även meddelas till Transportstyrelsen. Av rutinen bör även framgå vem som har ansvaret för att utredning av det inträffade, att rapportering görs till Swedac samt hur anteckningar görs i ärendet och var dessa arkiveras. 23 (24)
8.8 Förebyggande åtgärder (alternativ A) 8.8.1 Riskbedömning färdskrivare och trycksättning med gas Beskrivning bör finnas hur riskbedömningar utförs och dokumenteras hos företaget. Utredningar förväntas innehålla en uppställning över identifierade risker, deras betydelse samt företagets beslutade skyddsåtgärder. Av rutinen ska även framgå vem som upprättar och reviderar analyser över tid, eller vid inträffade förändringar av betydelse, samt var utförda riskanalyser arkiveras. digitala färdskrivare (VVFS 2005:80, 3 kap, 4 ) Riskanalysen ska identifiera interna och externa hot som kan tänkas utgöra risker i samband med kontroll av färdskrivare. Exempel på åtgärder kan vara förbättrat skalskydd, säker förvaring för färdskrivarkort, rutiner för skyddande och arkivering av kopierad data osv. trycksättning med gas (AFS 2006:8, 4 ) Svensk kylnorm, faktablad 10A kan ge ytterligare vägledning vid arbete med riskanalyser i sammanhanget trycksättning av mobila köldmedieanläggningar. 24 (24)