VERGADERING : BESTUUR DATUM : 28 MAART 2013 AGENDAPUNT : 7 BIJLAGE : 14 VASTSTELLING NIEUW AUDITREGLEMENT RISKPLAZA INLEIDING

Transcriptie

1 VERGADERING : BESTUUR DATUM : 28 MAART 2013 AGENDAPUNT : 7 BIJLAGE : 14 VASTSTELLING NIEUW AUDITREGLEMENT RISKPLAZA INLEIDING Vanaf medio 2008 geeft het Productschap Akkerbouw uitvoering aan RiskPlaza. In de afgelopen jaren is RiskPlaza ontwikkeld tot een voedselveiligheidssysteem voor de gehele levensmiddelensector. In juni 2012 heeft het Productschap Akkerbouw een convenant met de NVWA gesloten inzake RiskPlaza. Deze ontwikkelingen hebben ertoe geleid dat het Auditreglement voor het RiskPlaza-audit + systeem volledig herschreven is. De herziening was nodig om de spelregels rondom het gebruik van RiskPlaza en deelname aan het RiskPlazaaudit + systeem te verduidelijken en te stroomlijnen met de gemaakte afspraken met de NVWA in het convenant. Het nieuwe auditreglement is opgesteld in afstemming met de Werkgroep RiskPlaza. Het Voorzittersoverleg bakkerijketen heeft op 29 november 2012 positief geadviseerd over het nieuwe auditreglement. Vaststelling Auditreglement RiskPlaza, versie 2.0. Het bestuur wordt gevraagd het Auditregelment RiskPlaza, versie 2.0. goed te keuren en formeel vast te stellen. Het Auditreglement RiskPlaza versie 2.0. zal - na vaststelling door het bestuur- in april 2013 worden gepubliceerd. De deelnemers van RiskPlaza zullen via de nieuwsbrief RiskPlaza op de hoogte worden gesteld van het nieuwe auditreglement en de betreffende wijzigingen. BIJLAGE(N): 1

2 Auditreglement RiskPlaza-audit + systeem Maart 2013 Versie 2.0 Auditreglement RiskPlaza-audit + systeem 1 van 57

3 Inhoud 1. Inleiding Wat is RiskPlaza en wat is de RiskPlaza-audit +? Doelgroep en structuur Auditreglement Wetgevingskader en achtergrond RiskPlaza Doel en voordelen RiskPlaza De RiskPlaza-audit Structuur belanghebbenden en rol NVWA Scope/reikwijdte Begrippen, afkortingen en definities Dankbetuiging Implementatie RiskPlaza in HACCP-systeem Inleiding Stappenplan afnemers Stappenplan deelnemers Ingekochte ingrediënten Bepalen van schadelijke gevaren Inspectielijst ingrediënten en gevaren Bepalen van reële gevaren middels risico-analyse Beheersen van reële gevaren Compleet maken van bewijsvoering over beheersmaatregelen Auditprotocol Inleiding Voorwaarden voor deelname RiskPlaza-audit Zelfbeoordeling en aanmelding RiskPlaza Selectie van CI, aanmelding RiskPlaza-audit + en contract Planning RiskPlaza-audit Scope RiskPlaza-audit Frequentie en type audits Tijdsbesteding Audit op locatie Uitleg categorie-indeling grote en kleine tekortkomingen Auditrapportage Werkwijze tekortkomingen en aanvullende bewijsvoering Besluit RiskPlaza-audit + status Verklaring RiskPlaza-audit Auditcyclus Intrekken status RiskPlaza-audit Auditreglement RiskPlaza-audit + systeem 2 van 57

4 3.17. Eisen aan de verwerking van wijzigingen Voorwaarden gebruik RiskPlaza beeldmerk Meldplicht en communicatie met CI Bezwaar- en klachtenprocedure Eisen aan Certificerende Instellingen (CI s) Erkenning CI Verantwoordelijkheden en verplichtingen CI s Verantwoordelijkheden en verplichtingen PA naar CI s Duur overeenkomst en beëindiging Vertrouwelijkheid en geheimhouding Kwalificaties auditor en coördinator RiskPlaza-audit Deelname harmonisatie-overleg en examens Klachten en sancties Technisch beheer en organisatie Organisatie Beheer RiskPlaza-databank Beheer RiskPlaza documenten Integriteitsprogramma Preventieve kwaliteitsbewaking: de systeemdeskundige Feedback over RiskPlaza en de RiskPlaza-audit Bijlage 1: Betrokkenen en belanghebbenden RiskPlaza-audit + systeem...41 Bijlage 2: Handleiding gebruik RiskPlaza databank...42 Bijlage 3: Tabel indeling tekortkomingen (handvat)...44 Bijlage 4: Format auditrapportage RiskPlaza-audit Bijlage 5: Format Verklaring RiskPlaza-audit Bijlage 6: Voorwaarden gebruik RiskPlaza-beeldmerk...56 Auditreglement RiskPlaza-audit + systeem 3 van 57

5 1. Inleiding 1.1. Wat is RiskPlaza en wat is de RiskPlaza-audit +? RiskPlaza is een systeem voor de borging van voedselveiligheid van ingrediënten. Levensmiddelenbedrijven die ingrediënten leveren aan afnemers kunnen er vrijwillig aan deelnemen. RiskPlaza bestaat uit een databank met informatie over de voedselveiligheid van ingrediënten en het RiskPlaza-audit + systeem. De RiskPlaza-databank bevat informatie over de voedselveiligheidsgevaren van ingrediënten en de mogelijke beheersmaatregelen om deze gevaren te beheersen. De RiskPlaza-audit + is gericht op de toetsing op het volledig en aantoonbaar beheersen van de gevaren van ingrediënten. Tijdens de audit uitgevoerd door een onafhankelijke Certificerende Instelling (hierna te noemen: CI) moet een bedrijf kunnen aantonen dat de mogelijke gevaren van ingrediënten volledig zijn beheerst. RiskPlaza is een door de NVWA (Nederlandse Voedsel- en Warenautoriteit) goedgekeurd zelfcontrolesysteem. RiskPlaza wordt gefaciliteerd door het PA (Productschap Akkerbouw). Tussen de NVWA en het PA is een convenant gesloten over RiskPlaza Doelgroep en structuur Auditreglement Dit Auditreglement is geschreven voor zowel deelnemers aan het RiskPlaza-audit + systeem die de RiskPlaza-audit + willen of hebben ondergaan, als voor afnemers van RiskPlaza-audit + bedrijven en Certificerende Instellingen (CI s). Deelnemers zijn producenten en/of handelsbedrijven (leverancier van ingrediënten en/of grondstoffen/halffabrikaten) die de RiskPlaza-audit + door een CI hebben laten uitvoeren of dit voornemens zijn. Afnemers hoeven zelf de RiskPlaza-audit + niet te ondergaan, maar kunnen in hun HACCP-systeem opnemen dat ze afnemen van RiskPlaza-audit + bedrijven. Het Auditreglement is tevens bedoeld voor CI s die RiskPlaza-audits (willen) uitvoeren. Tenslotte geeft dit reglement voor overige geïnteresseerden een algemene uitleg over RiskPlaza en het RiskPlaza-audit + systeem. Het Auditreglement is als volgt opgebouwd: In hoofdstuk 1 wordt uitleg gegeven over de achtergronden bij en het doel van het RiskPlaza-audit + systeem. Hoofdstuk 2 beschrijft hoe RiskPlaza-deelnemers de gevaren uit de RiskPlaza databank kunnen implementeren in hun eigen HACCP-systeem. In hoofdstuk 3 is het auditprotocol van de RiskPlaza-audit + weergegeven. Hierin zijn de spelregels voor deelnemende bedrijven, afnemers en CI s beschreven voor het gehele proces van aanmelding tot aan het toekennen van de status RiskPlaza-audit + behaald. Hoofdstuk 4 beschrijft de eisen die aan CI s worden gesteld die de RiskPlaza-audit + uitvoeren bij deelnemende bedrijven, zoals kwalificatie van auditoren en de wijze van communiceren met bedrijven en het PA. In hoofdstuk 5 wordt ingegaan op het technisch beheer, het onderhoud van RiskPlaza en het integriteitsprogramma waaronder het toezicht van de systeemdeskundige Wetgevingskader en achtergrond RiskPlaza Wetgevingskader Levensmiddelenbedrijven zijn verantwoordelijk voor de voedselveiligheid van producten die zij inkopen en op de markt brengen. Dit is wettelijk bepaald in de Europese Algemene Levensmiddelen Verordening (EG) 178/2002 en de Algemene Hygiëneverordening (EG) 852/2004. In artikel 5 van de Algemene Hygiëneverordening staat dat levensmiddelenbedrijven HACCP-procedures moeten implementeren om voedselveiligheid Auditreglement RiskPlaza-audit + systeem 4 van 57

6 te garanderen. Daartoe moeten bedrijven alle gevaren onderkennen die voorkómen, gereduceerd of geëlimineerd moeten worden. Op basis van een gevaren- en risicoanalyse moeten zij vervolgens in hun productieproces de kritische beheerspunten (Critical Control Points) benoemen (zie hiervoor de 12 HACCP-stappen van de Codex Alimenarius). Deze CCP s moeten aantoonbaar middels o.a. monitoring en verificatie beheerst worden. In de Leidraad van de Europese Commissie (DG Sanco) bij artikel 5 van de Algemene Hygiëneverordening onder punt wordt gesteld dat ook gevaren gerelateerd aan ingrediënten in de gevaren- en risicoanalyse opgenomen moeten worden. Daarbij mag een afnemer echter niet alleen vertrouwen op het voedselveiligheidscertificaat van zijn leverancier. Afnemers zijn zelf verantwoordelijk voor de verificatie van de voedselveiligheid van grondstoffen. De NVWA heeft de wettelijke verificatieplicht voor de inkoop van ingrediënten vertaald in Infoblad 64 en 65. RiskPlaza verwijst naar deze infobladen. Hierin staan concrete handvatten voor bedrijven om invulling te geven aan de wettelijk verplichte inkoopverificatie. Achtergrond Riskplaza Het RiskPlaza-audit + systeem is ontwikkeld om invulling te geven aan de wettelijk verplichte inkoopverificatie. Hebben leveranciers van grondstoffen een RiskPlaza-audit + met goed gevolg doorlopen, dan hoeven afnemers van die grondstoffen geen aparte inkoopverificatie meer uit te voeren. Hiermee worden controles en audits door verschillende afnemers bij dezelfde leveranciers verminderd. RiskPlaza is een oorspronkelijk een initiatief vanuit de bakkerijketen. RiskPlaza is in 2008 opgezet voor de bakkerijsector behorend bij het koepelinitiatief Bakkerijplaza. Er was behoefte aan meer informatie over mogelijke gevaren van bakkerij-ingrediënten en maatregelen die kunnen worden genomen om deze gevaren te beheersen. Deze informatie is verzameld in RiskPlaza zodat een complete gevareninventarisatie is ontstaan van bakkerij-grondstoffen. In de afgelopen jaren hebben zich naast de bakkerijketen nog verschillende andere organisaties en branches aangesloten bij RiskPlaza en is de databank met ingrediënten verder uitgebreid. Hiermee is RiskPlaza geschikt gemaakt voor afnemers en toeleveranciers in nagenoeg de gehele levensmiddelenindustrie Doel en voordelen RiskPlaza Doel Doel van RiskPlaza is om het bedrijfsleven te ondersteunen bij de borging van voedselveiligheid van ingrediënten. Dit gebeurt door: 1. De levensmiddelenketen eenvoudig en transparant inzicht te geven in de gevaren die zich in ingrediënten kunnen voordoen; 2. Inzicht te geven in de beheersing van deze gevaren; 3. De borging van voedselveiligheid op een hoger niveau te brengen. Voordelen De voordelen van het werken met de RiskPlaza databank en het RiskPlaza-audit + systeem zijn: 1. Gebruikersvriendelijk; alle informatie over gevaren staat op één centrale plaats; 2. Efficiëntie; snel zoeken naar informatie over gevaren, wettelijke normen en beheersmaatregelen; 3. Gemeenschappelijke waarheid; de gevaren en beheersmaatregelen in de databank zijn juist en volledig en overeengekomen met de NVWA; 4. Geschikt en toegankelijk voor de gehele levensmiddelenindustrie; Auditreglement RiskPlaza-audit + systeem 5 van 57

7 5. Vereenvoudiging inkoopverificatie voor afnemers; indien leveranciers Riskplazaaudit + zijn goedgekeurd, dan hoeft er geen inkoopverificatie op de betreffende grondstoffen uitgevoerd te worden (voordeel voor afnemer); 6. Het aantoonbaar maken dat gevaren van ingrediënten beheerst zijn (voordeel voor leverancier); 7. Het verminderen van audits door afnemers (voordeel voor leverancier); 8. Het verminderen van de toezichtsdruk door het NVWA (voordeel voor afnemer en leverancier). Het voordeel voor afnemers van RiskPlaza-audit + bedrijven is in figuur 1.1 weergegeven. Figuur 1.1 Voordeel voor afnemers van RiskPlaza-audit + bedrijven Grondstof van een leverancier Grondstof van RiskPlazaaudit + leverancier Gevarenanalyse Beheersmaatregelen Ingangscontrole Ingangscontrole Inkoopverificatie Afnemer 1.5. De RiskPlaza-audit + Bij een RiskPlaza-audit + voert een bevoegde certificerende instelling (CI) op verzoek van een deelnemer een audit uit. Deze audit is aanvullend op en wordt gecombineerd met de audit op het al aanwezige voedselveiligheidscertificaat (HACCP, IFS, BRC, ISO 22000, FSSC of een goedgekeurde hygiënecode). De RiskPlaza-audit + is gericht op de borging van de voedselveiligheid van ingrediënten. Tijdens de audit moet de deelnemer kunnen aantonen dat de mogelijke gevaren van ingrediënten volledig en aantoonbaar zijn beheerst. De mogelijke gevaren en de beheersmaatregelen die CI's bij de RiskPlaza-audit + toetsen zijn vastgelegd in de RiskPlaza-databank. Is de borging in orde, dan behaalt het bedrijf de status RiskPlaza-audit + en wordt opgenomen in de lijst met RiskPlaza-audit + bedrijven. De CI mag vervolgens een verklaring RiskPlaza-audit + afgeven aan het bedrijf (zie hoofdstuk 3.14). Op het openbare gedeelte van de RiskPlaza-website zijn overzichten gepubliceerd van: - RiskPlaza-audit + bedrijven en de geauditte locaties; - Erkende CI s en gekwalificeerde auditoren. Auditreglement RiskPlaza-audit + systeem 6 van 57

8 Het RiskPlaza-audit + systeem is niet een geaccrediteerd proces- en productcertificeringsschema. De CI geeft geen certificaat uit maar er wordt een status RiskPlaza-audit + verleend aan bedrijven die aan de eisen voldoen. Door het PA is een onafhankelijke systeemdeskundige aangesteld voor de uitoefening van toezicht op de CI s. Zie figuur 1.1. Figuur 1.2 Het RiskPlaza-audit + systeem 1.6. Structuur belanghebbenden en rol NVWA Belanghebbenden De belanghebbenden van RiskPlaza zijn: - Bedrijven die ingrediënten en/of grondstoffen/ halffabrikaten leveren aan afnemers in de levensmiddelenindustrie; - De afnemers; levensmiddelenbedrijven die ingrediënten en/of grondstoffen/ halffabrikaten inkopen van leveranciers; - De CI s; voeren de onafhankelijke toetsing uit op volledigheid en juistheid van de gevaren en beheersing; - De systeemdeskundige; houdt toezicht op de CI s; - De NVWA; de bevoegde autoriteit; - Het PA; eigenaar RiskPlaza en beheert het RiskPlaza-audit + systeem. Voor een actueel overzicht van de betrokkenen en belanghebbenden van het RiskPlazaaudit + systeem zie bijlage 1. Rol NVWA Vanuit haar rol als toezichthouder op de veiligheid van levensmiddelen is de NVWA nauw betrokken bij RiskPlaza. Het RiskPlaza-audit + systeem is ontwikkeld in overleg met de NVWA. De NVWA heeft gegevens uit haar eigen kennisbank voedselveiligheid beschikbaar gesteld voor RiskPlaza. Bovendien heeft de NVWA een adviserende rol bij het doorvoeren van wijzigingen in de RiskPlaza databank. Volgens de NVWA is RiskPlaza een goed hulpmiddel bij het inventariseren van de mogelijke gevaren van ingrediënten. Door RiskPlaza te gebruiken kan een bedrijf aantonen dat het bekend is met de mogelijke gevaren van de gebruikte ingrediënten. Het onderkennen van de mogelijke gevaren vormt één onderdeel van het wettelijk verplichte HACCP-systeem. Daarnaast heeft de NVWA RiskPlaza geaccepteerd als zelfcontrolesysteem. Dit betekent dat Auditreglement RiskPlaza-audit + systeem 7 van 57

9 een bedrijf invulling kan geven aan de wettelijk verplichte inkoopverificatie door grondstoffen/halffabrikaten af te nemen van een RiskPlaza-audit + bedrijf. De afnemer mag vertrouwen op de voedselveiligheid van de afgenomen ingrediënten en hoeft niet meer apart te verifiëren door middel van analyses, het uitvoeren van audits of het opvragen van analyseresultaten bij de toeleverancier. De NVWA heeft in 2012 een convenant over RiskPlaza met het PA afgesloten, waarin beide partijen hun inspanningsverplichting en verantwoordelijkheden hebben vastgelegd. Met dit convenant streven de NVWA en het PA naar een verhoogd nalevingsniveau van de regelgeving, waarbij sprake is van een verminderde verificatielast in de levensmiddelenketen en een verminderde toezichtslast bij en door de NVWA. De inhoud van de RiskPlaza databank wordt door beide partijen gezien als feitelijk juist en vormt daarmee het gezamenlijke uitgangspunt voor de beheersing van gevaren en het toezicht Scope/reikwijdte De doelgroep van het RiskPlaza-audit + systeem zijn alle leveranciers (producenten en/of handelsbedrijven) en afnemers van ingrediënten en/of grondstoffen/halffabrikaten 1. De scope (reikwijdte) van het RiskPlaza-audit + systeem is: de ingrediënten voor alle (al dan niet samengestelde) producten die aan de levensmiddelenindustrie worden geleverd. Inbegrepen in de scope van RiskPlaza zijn: - Enkelvoudige ingrediënten; - Samengestelde producten op basis van meerdere ingrediënten die op hun beurt weer een grondstof vormen voor het uiteindelijke consumenteneindproduct; - Producten die zowel als consumptiegereed product als halffabricaat/ grondstof worden uitgeleverd aan afnemers. Uitgesloten van de scope van RiskPlaza zijn: - Producten die uitsluitend als consumptiegereed product worden uitgeleverd Bedrijven die opgaan voor de RiskPlaza-audit +, dienen alle (al dan niet samengestelde) ingrediënten voor levensmiddelen mee te nemen in de RiskPlaza-audit +. Handelsartikelen waarbij het product niet meer als grondstof kan worden gezien en het voor het bedrijf niet haalbaar is om op ingrediëntniveau verificatie te doen, kunnen via informatieblad 65 worden beoordeeld. Zie voor de reikwijdte RiskPlaza de onderstaande Figuur De gehele levensmiddelenindustrie heeft de mogelijkheid om toegang te krijgen tot RiskPlaza, mits hierover afspraken zijn gemaakt met PA en de betreffende sector.. De deelnemende sectoren zijn opgenomen in bijlage 1. Andere sectoren kunnen in contact treden met PA om nadere afspraken te maken voor deelname. Auditreglement RiskPlaza-audit + systeem 8 van 57

10 Figuur 1.3 Scope/reikwijdte RiskPlaza Producenten & handelsbedrijven Reikwijdte RiskPlaza Ingrediënten Grondstoffen/ halffabricaten Consumptiegerede producten 1.8. Begrippen, afkortingen en definities Begrip/afkorting Abonnementhouder Actieplan Afnemer Algemene Hygiëneverordening Algemene Levensmiddelen Verordening Auditor Bijwoning CCP CI Controle-audit Definitie Bedrijf dat een abonnement heeft op de RiskPlaza databank Een plan waarin de deelnemer kan aangeven hoe de tekortkomingen worden hersteld/verbeterd die zijn geconstateerd tijdens een RiskPlaza-audit +. Levensmiddelenbedrijf dat ingrediënten en/of grondstoffen/halffabrikaten inkoopt van leveranciers Verordening (EG) nr. 852/2004 van het Europees Parlement en de Raad van 29 april 2004 inzake levensmiddelenhygiëne Verordening (EG) nr. 178/2002 van het Europees Parlement en de Raad van 28 januari 2002 tot vaststelling van de algemene beginselen en voorschriften van de levensmiddelenwetgeving, tot oprichting van een Europese Autoriteit voor voedselveiligheid en tot vaststelling van procedures voor voedselveiligheidsaangelegenheden Een persoon die voldoet aan de voorwaarden zoals omschreven in hoofdstuk 4.6 van het Auditreglement en door het PA is gekwalificeerd om de RiskPlaza-audit + uit te voeren. Tijdens een bijwoning wordt de auditor door de systeemdeskundige beoordeeld. Critical Control Point (Kritisch beheerspunt) Certificerende Instelling Een controle-audit is een jaarlijkse vervolg-riskplaza-audit, vanaf het jaar volgend op de initiële audit. Auditreglement RiskPlaza-audit + systeem 9 van 57

11 Coördinator Deelnemer Deskundigenoverleg Follow-up audit Gevaar Grondstoffen/halffabrikaten: HACCP Infoblad 64 en infoblad 65 Ingrediënten Initiële audit Inspectielijst Leverancier NVWA Een persoon die voldoet aan de voorwaarden zoals omschreven in hoofdstuk 4.6 van het Auditreglement en door het PA is gekwalificeerd om te beslissen over het al dan niet verlenen van de RiskPlaza-audit + -status. Producent en/of handelsbedrijf (leverancier van ingrediënten en/of grondstoffen/halffabrikaten) dat de RiskPlaza-audit + door een CI heeft laten uitvoeren of dit voornemens is. Groep van deskundigen uit verschillende branches aangesteld door het bestuur van het PA die verantwoordelijk is voor het actueel en volledig houden van de factsheets en het overzicht van gevaren per ingrediënt. Extra audit die nodig kan zijn als een deelnemer bij een RiskPlaza-audit + niet afdoende zijn tekortkomingen heeft verbeterd via een actieplan of in ieder geval als de deelnemer 3 of meer grote tekortkomingen heeft. De followup audit vindt plaats 3 maanden na de laatste audit. Een biologische, chemische of fysische verontreiniging in (ingrediënten van) levensmiddelen met mogelijk nadelige gevolgen voor de gezondheid. Uit meerdere enkelvoudige ingrediënten samengestelde grondstoffen. Een methodiek voor het systematisch en gestructureerd identificeren, evalueren en beheersen van potentiële gevaren, die de voedselveiligheid significant kunnen beïnvloeden. De NVWA heeft de wettelijke verificatieplicht voor de inkoop van ingrediënten vertaald in Infoblad 64 en 65. RiskPlaza verwijst naar deze infobladen. Hierin staan concrete handvatten voor bedrijven om invulling te geven aan de wettelijk verplichte inkoopverificatie. Infoblad 64 is bedoeld voor productiebedrijven, Infoblad 65 voor de handel in consumptiegerede producten. Zie en de website van de NVWA. Elke stof of product, waaronder aroma s, levensmiddelenadditieven en voedingsenzymen, en elk bestanddeel van een samengesteld ingrediënt, die/dat bij de vervaardiging of de bereiding van een levensmiddel wordt gebruikt en nog in het eindproduct aanwezig is, zelfs in een veranderde vorm; residuen worden niet als ingrediënten beschouwd. (naar Verordening (EU) nr. 1169/2011 betreffende verstrekking van voedselinformatie) De allereerste RiskPlaza-audit + die bij een bedrijf wordt uitgevoerd. Door de leverancier opgestelde lijst van alle schadelijke gevaren die zich kunnen voordoen in de ingrediënten, die door haar aan de afnemers worden geleverd. Leverancier van ingrediënten en/ of grondstoffen/halffabrikaten aan afnemers. Nederlandse Voedsel- en Warenautoriteit Auditreglement RiskPlaza-audit + systeem 10 van 57

12 PA RASFF Reëel gevaar (risico) Risico-analyse RiskPlaza RiskPlaza databank RiskPlaza-audit + Productschap Akkerbouw Rapid Alert System for Food and Feed; Europees meldingssysteem De reële gevaren (risico s) zijn de gevaren die mogelijk leiden tot een voedselveiligheidsrisico in het uitgeleverde product en die niet door een processtap binnen het bedrijfseigen proces worden geëlimineerd of tot een aanvaardbaar niveau worden gereduceerd. Beoordeling van de schadelijke gevaren (uit de matrix van RiskPlaza) door de deelnemer. Het risico van een schadelijk gevaar is het product/vermenigvuldiging van de ernst van een gevaar voor de gezondheid en de kans dat dit gevaar zich voordoet (risico = kans x ernst). Hiermee kan onderbouwd worden of een schadelijk gevaar ook een reëel gevaar is. Een systeem voor de borging van voedselveiligheid van ingrediënten, bestaande uit de RiskPlaza databank en het RiskPlaza-audit + systeem. Databank met gegevens over mogelijke gevaren in ingrediënten Een aanvullende audit op het al aanwezige voedselveiligheidscertificaat. Bij deze aanvullende audit wordt getoetst op de aantoonbare beheersing van gevaren van ingrediënten. Schadelijk gevaar Systeemdeskundige (SD) Technische hulpstof Tussentijdse onaangekondigde audit Verificatie Voedselveiligheid Een gevaar dat nadelige effecten heeft voor de gezondheid. Onderscheid. Schadelijke gevaren zijn die gevaren die als zodanig zijn aangeduid in RiskPlaza. Een onafhankelijk natuurlijk of rechtspersoon die door het Productschap is aangesteld om technisch toezicht te houden op de uitvoering van de RiskPlaza-audit + door de CI s. Elke stof die op zichzelf niet als levensmiddel wordt geconsumeerd, maar bij de verwerking van grondstoffen, levensmiddelen of voedselingrediënten bewust wordt gebruikt om tijdens de bewerking of verwerking aan een bepaald technologisch doel te beantwoorden (naar Verordening (EG) nr. 1333/2008 inzake levensmiddelenadditieven) Een audit die een CI uitvoert na opdracht van het PA naar aanleiding van signalen over situaties waarbij de voedselveiligheid in het geding is. Het (achteraf) toepassen van methoden, procedures, keuringen en beproevingen om vast te stellen dat overeenkomstig de specificaties wordt geproduceerd en het HACCP systeem functioneert als wordt bedoeld. In relatie tot Infoblad 64 en 65: controle op gemaakte afspraken met de leverancier Borging dat het levensmiddel geen schade toebrengt aan de gezondheid van de consument wanneer het levensmiddel is toebereid en geconsumeerd volgens bedoeld gebruik. Voedselveiligheidscertificaat Een voedselveiligheidscertificaat op basis van HACCP (in Auditreglement RiskPlaza-audit + systeem 11 van 57

13 dit verband vallen hier BRC, IFS, ISO 22000, HACCP, FSSC en goedgekeurde hygiënecodes onder). Werkgroep RiskPlaza Zelfcontrolesysteem Groep van vertegenwoordigers uit verschillende branches, CI s en PA aangesteld door het bestuur van het PA Deze Werkgroep heeft tot taak de RiskPlaza databank en het RiskPlaza-audit + systeem op een verantwoorde wijze te laten functioneren. Een privaat systeem, waar bedrijven min of meer vrijwillig aan deel kunnen nemen, met als reikwijdte (een deel van) de diervoeder- of voedselveiligheid. Deze systemen kenmerken zich door een interne borging en min of meer onafhankelijke beoordeling en een voldoende zelfregulerend en corrigerend vermogen. De NVWA beoordeelt zelfcontrolesystemen op hun werking en betrouwbaarheid Dankbetuiging Er zijn vele (branche-)organisaties uit diverse sectoren betrokken bij RiskPlaza. Een overzicht van betrokken organisaties is te vinden in bijlage 1. Deze organisaties vaardigen deskundigen van bedrijven af in de Werkgroep RiskPlaza en het Deskundigenoverleg RiskPlaza. Daarnaast zijn de NVWA en de CI s nauw betrokken. Het PA is deze organisaties en bedrijven erkentelijk voor de constructieve inbreng waarmee RiskPlaza is ontwikkeld tot een gemeenschappelijke waarheid over voedselveiligheidsgevaren van ingrediënten in de levensmiddelenindustrie. Auditreglement RiskPlaza-audit + systeem 12 van 57

14 2. Implementatie RiskPlaza in HACCP-systeem 2.1. Inleiding In dit hoofdstuk wordt toegelicht hoe de RiskPlaza databank is opgebouwd en hoe bedrijven hiermee om dienen te gaan in hun eigen HACCP-systeem. Hierbij is een onderscheid te maken tussen deelnemers en afnemers. Het verschil tussen deelnemers en afnemers is dat afnemers geen RiskPlaza-audit + hoeven te ondergaan. Wel dienen zij te bepalen welke reële grondstofgevaren er zijn en kunnen daarbij gebruik maken van de RiskPlaza databank. Tevens kunnen zij in hun HACCP-systeem aangeven dat ze grondstoffen afnemen van RiskPlaza-audit + bedrijven. Het kan voorkomen dat een bedrijf zowel deelnemer als afnemer is Stappenplan afnemers De stappen die afnemers kunnen nemen bij het implementeren van RiskPlaza in de HACCPrisico-analyse van grondstoffen zijn: 1. Het begrijpen van de opzet van de RiskPlaza databank; 2. Het opstellen van een lijst van ingrediënten die verwerkt zijn in grondstoffen/ halffabrikaten die door het bedrijf ingekocht worden (zie hoofdstuk 2.4); 3. Het opzoeken van alle schadelijke gevaren die zich kunnen voordoen in deze ingrediënten in de RiskPlaza databank (zie hoofdstuk 2.5); 4. Het bepalen welke van de schadelijke gevaren reële gevaren zijn. Dit door een risicoanalyse van de gevaren in het eigen HACCP-systeem, hierbij gebruik makend van de vastgestelde ernst van ieder gevaar in RiskPlaza (zie hoofdstuk 2.7); 5. Bepalen of de grondstof afkomstig is van een RiskPlaza-audit + bedrijf. Zo ja, dan is geen verdere inkoopverificatie nodig. Zo nee, dan dient borging middels overige beheersmaatregelen uit Infoblad 64 of 65 ingevoerd te worden. Deze stappen zijn in een overzicht weergegeven in figuur 2.1. Auditreglement RiskPlaza-audit + systeem 13 van 57

15 Figuur 2.1 Implementatie RiskPlaza in HACCP-risico-analyse afnemer Auditreglement RiskPlaza-audit + systeem 14 van 57

16 2.3. Stappenplan deelnemers De stappen die deelnemers moeten nemen in de voorbereiding naar de RiskPlaza-audit + zijn: 1. Het begrijpen van de opzet van de RiskPlaza databank; 2. Het opstellen van een complete lijst van ingrediënten die door het bedrijf ingekocht worden en (eventueel) verwerkt worden in producten (grondstoffen/halffabrikaten) (zie hoofdstuk 2.4); 3. Het opzoeken van alle schadelijke gevaren die zich kunnen voordoen in deze ingrediënten in de RiskPlaza databank (zie hoofdstuk 2.5); 4. Een combinatielijst maken van ingrediënten en de daarbij behorende schadelijke gevaren (inspectielijst) (zie hoofdstuk 2.6); 5. Het bepalen welke van de schadelijke gevaren reële gevaren zijn. Dit door een risicoanalyse van de gevaren in het eigen HACCP-systeem, hierbij gebruik makend van de vastgestelde ernst van ieder gevaar in RiskPlaza (zie hoofdstuk 2.7); 6. Het komen tot 100% beheersing van de reële gevaren middels het opstellen van effectieve beheersmaatregelen (zie hoofdstuk 2.8). 7. Het bepalen of de grondstof afkomstig is van een RiskPlaza-audit + bedrijf. Zo ja, dan is geen verdere inkoopverificatie nodig. Zo nee, dan dient borging middels overige beheersmaatregelen uit Infoblad 64 of 65 ingevoerd te worden. 8. Het compleet maken van de bewijsvoering dat beheersmaatregelen worden getroffen (zie hoofdstuk 2.9). Deze stappen worden hieronder verder toegelicht en zijn in een overzicht weergegeven in figuur 2.2. Auditreglement RiskPlaza-audit + systeem 15 van 57

17 Figuur 2.2 Implementatie RiskPlaza in HACCP-risico-analyse deelnemer Auditreglement RiskPlaza-audit + systeem 16 van 57

18 2.4. Ingekochte ingrediënten De eerste stap voor de deelnemer/afnemer is om een compleet overzicht te maken van grondstoffen/halffabrikaten die door het bedrijf geleverd worden. Daarbij dienen de bijbehorende ingrediënten te worden opgezocht die door de deelnemer worden verwerkt of verhandeld. Als hulpmiddel kan gebruik worden gemaakt van de zoekfunctie. Door het intypen van een ingrediëntnaam wordt de gebruiker automatisch doorgeleid naar de ingrediëntgroepen. Vervolgens bepaalt de deelnemer/afnemer met welke ingrediëntgroepen in de RiskPlaza databank deze ingrediënten overeenkomen Bepalen van schadelijke gevaren Elk gevaar in de RiskPlaza databank is nader uitgewerkt in een factsheet. In deze factsheets van gevaren is de volgende informatie opgenomen: - Algemene informatie zoals een korte omschrijving van het gevaar, type gevaar, informatiebron, het effect van het gevaar op de consument, wijzigingen en reden daarvoor; - Wettelijke en wetenschappelijke informatie over het gevaar, met verwijzingen naar wettelijke normen (EU, warenwettelijk, Codex) en private normen; - Procesinformatie: schadelijkheid en ernstcategorie; - Maatregelen: beheersmaatregelen om risico van gevaar te reduceren/elimineren; - Ingrediënten: in welke ingrediënten het gevaar voor kan komen; - Gerelateerde documenten: doorverwijzingen naar wettelijke en private normen. De schadelijkheid van gevaren is in RiskPlaza aangeduid middels een ernstcategorie (tabel 2.1). In de RiskPlaza databank komen zowel schadelijke als niet-schadelijke gevaren voor. Alleen de schadelijke gevaren zijn relevant voor de RiskPlaza-audit + en moeten worden opgenomen in de bedrijfseigen risico-analyse. De deelnemer kan een selectie maken op de schadelijke gevaren in de databank. Tabel 2.1 Gebruikte ernstcategorieën in RiskPlaza Desastreus (5) Zeer ernstig (4) Ernstig (3) Minder ernstig (2) Geen/ licht ongemak (1) Ongedefinieerd (0) Overlijden, blijvend zwaar lichamelijk letsel, acuut Ernstige ziekte, ziekenhuisopname, langdurige blootstelling kan leiden tot ziekte en zelfs tot overlijden Doktersbezoek, gebitsbeschadiging Consument niet lekker, vage klachten, lichte allergie Eventueel merkbaar maar geen nadelig effect op volksgezondheid (Nog) niet bekend/ ernst is (nog) ondefinieerbaar 2.6. Inspectielijst ingrediënten en gevaren Met de complete lijst van ingrediëntgroepen zoekt de deelnemer/afnemer de bijbehorende schadelijke gevaren in de RiskPlaza databank op. De combinatie van de voorkomende ingrediënten en de bijbehorende gevaren is de inspectielijst. Deze inspectielijst dient de deelnemer voorafgaand aan de RiskPlaza-audit + aan de CI toe te sturen. De inspectielijst kan in de RiskPlaza databank middels de matrix en het combinatierapport worden gemaakt. (zie bijlage 2). Auditreglement RiskPlaza-audit + systeem 17 van 57

19 2.7. Bepalen van reële gevaren middels risico-analyse De deelnemer/afnemer neemt vervolgens de geselecteerde schadelijke gevaren uit de inspectielijst op in de eigen HACCP-risicoanalyse. De ernst van de gevaren dient overeen te komen met de benoemde ernstcategorie van dat gevaar in de RiskPlaza databank (weegfactoren 1-5). Indien het bedrijf met een andere categorie-indeling werkt, dan dient de deelnemer de relatie tussen de eigen indeling en de RiskPlaza indeling helder te hebben. De kans op het voorkomen van het gevaar mag zelf door het bedrijf worden ingeschat. Van alle gevaren moet het bedrijf benoemen of het een reëel gevaar is. Het bedrijf mag gevaren als niet-reëel classificeren. Er moet dan wel een goede onderbouwing gegeven worden waarom het gevaar niet reëel is. Hierbij valt te denken aan de volgende mogelijkheden om te onderbouwen dat de kans op optreden van het gevaar zeer klein is:: - Het percentage inmenging van het ingrediënt in een samengestelde grondstof is zeer laag - Het ingrediënt komt uit een ander herkomstgebied dan waar het gevaar optreedt; - Het gevaar wordt in een volgende bedrijfseigen processtap volledig geëlimineerd; - Ervaringen op basis van historie Beheersen van reële gevaren De reële gevaren moeten beheerst worden middels effectieve beheersmaatregelen. De deelnemer/afnemer benoemt de beheersmaatregelen in de HACCP-risico-analyse. In de factsheets RiskPlaza zijn per gevaar algemeen omschreven beheersmaatregelen benoemd. Het bedrijf is niet verplicht deze beheersmaatregelen aan te houden. De verificatie van gekozen beheersmaatregelen moet voldoen aan de wettelijke eisen uit infoblad 64 (productie grondstoffen en halffabrikaten) en 65 (distributeurs, groothandel en retail - consumptiegerede levensmiddelen). De NVWA accepteert de volgende controlemogelijkheden voor de beheersing van grondstofrisico s (Infoblad 64 en 65, - Leverancier levert analysecertificaat bij de partij grondstof/halffabrikaat; - Afnemer grondstof/halffabrikaat laat partij zelf analyseren, waarbij onderscheid wordt gemaakt in de frequentie van monstername voor een nieuwe of vaste leverancier; - Afnemer voert leveranciersaudit uit; - Leverancier neemt deel aan door NVWA geaccepteerd zelfcontrolesysteem ( Staat de leverancier van grondstof/halffabrikaat op de lijst van RiskPlaza-audit + bedrijven, dan is geen nadere actie door de afnemer nodig. Voor uitgebreide informatie over eisen en voorwaarden zie de Infobladen 64 en 65. Bij het verwijzen naar normen dient het bedrijf uit te gaan van de vermelde norm in RiskPlaza. Indien een andere norm wordt gehanteerd is een onderbouwing noodzakelijk. Wettelijke normen zijn te allen tijde leidend Compleet maken van bewijsvoering over beheersmaatregelen De deelnemer moet de genomen beheersmaatregelen en de verificatie daarop aantoonbaar maken middels bewijsvoering. Voorbeelden van aantoonbare bewijsvoering zijn: analyse uitgevoerd door de leverancier heeft daadwerkelijk betrekking op geleverde partijen, analysecertificaat van leverancier voldoet aan de eisen uit Infoblad 64 of 65, en leverancier die de RiskPlaza-audit + status heeft staat daadwerkelijk op de lijst van RiskPlaza-audit + bedrijven met een status behaald. Auditreglement RiskPlaza-audit + systeem 18 van 57

20 Analysegegevens van een sectoraal monitoringsprogramma mogen gebruikt worden onder de volgende voorwaarden: Deelnemer dient te verifiëren dat de toeleverancier daadwerkelijk deelneemt aan het sectorale monitoringsprogramma en dat het product en de hierbij in RiskPlaza benoemde gevaren onder de reikwijdte van het monitoringsprogramma vallen. Mochten er uit het sectorale monitoringsprogramma zaken naar voren komen waaruit blijkt dat aanvullende monitoring vanuit de deelnemers aan het sectorale monitoringsprogramma nodig is dan dienen deze adviezen of aanbevelingen opgevolgd te worden. Monitoringsprogramma s zijn geen vrijwaring om zelf geen analyses te doen, maar kunnen wel als basis worden gebruikt voor de bedrijfseigen risico-analyse. Auditreglement RiskPlaza-audit + systeem 19 van 57

21 3. Auditprotocol 3.1. Inleiding Bij een RiskPlaza-audit + voert een certificerende instelling (CI) bij een deelnemer een audit uit gericht op de borging van de voedselveiligheid van ingrediënten. De audit is aanvullend op een audit van een voedselveiligheidssysteem (HACCP, IFS, BRC, ISO 22000, FSSC of een goedgekeurde hygiënecode). Voorafgaand aan de audit moet de deelnemer zich voorbereiden. Tijdens de audit moet de deelnemer kunnen aantonen dat de reële voedselveiligheidsgevaren van ingrediënten zijn beheerst en een argumentatie geven voor de niet-reële gevaren. In dit hoofdstuk is stapsgewijs beschreven hoe de RiskPlaza-audit + in zijn werk gaat. Het beschrijft het proces dat een deelnemer moet doorlopen om uiteindelijk de RiskPlaza-audit + status te verkrijgen. Voor iedere fase in het proces is de werkwijze en de wijze van communicatie tussen deelnemer, CI en PA beschreven. Het gehele proces is samengevat in Figuur Voorwaarden voor deelname RiskPlaza-audit + Er zijn voorwaarden gesteld aan een bedrijf om deel te nemen aan RiskPlaza-audit +. Het bedrijf: 1. Moet gecertificeerd zijn voor een voedselveiligheidssysteem (HACCP, IFS, BRC, ISO 22000, FSSC of een goedgekeurde hygiënecode); 2. Indien een bedrijf een voedselveiligheidscertificaat heeft dat handelsartikelen uitsluit van de scope, dient het bedrijfseigen HACCP-systeem wel de handelsartikelen te bevatten. Dit wordt door de auditor getoetst bij de RiskPlaza-audit Moet een abonnement hebben op RiskPlaza tegen betaling van het jaarlijkse abonnementstarief (zie 4. Moet naast de kosten voor de audit door de CI een vast tarief (zie aan het PA betalen voor deelname aan de RiskPlaza-audit + ; 5. Moet medewerking verlenen aan uit te voeren audits door een CI, ook als deze onaangekondigd zijn (zie hoofdstuk 3.7); kosten voor onaangekondigde audits komen voor rekening van het bedrijf; 6. Brengt de CI op de hoogte van alle wijzigingen die relevant zijn voor de borging van de voedselveiligheid van ingrediënten (zie hoofdstuk 3.19); 7. Moet de voorbereidingen getroffen hebben om alle gevaren aantoonbaar te beheersen volgens het stappenplan in hoofdstuk 2; 8. Is zelf verantwoordelijk voor het implementeren van wijzigingen vanuit de RiskPlaza databank en eigen assortiment in het eigen HACCP-systeem volgens vastgestelde termijnen, en dient de inspectielijst met ingrediënten en gevaren zelf up-to-date te houden (zie hoofdstuk 3.17); 9. Is te allen tijde zelf verantwoordelijk voor de borging van de voedselveiligheid van haar ingrediënten, grondstoffen en eindproducten; 10. Staat toe dat de NVWA relevante informatie over bedrijven doorgeeft aan het PA in situaties waarbij de voedselveiligheid in het geding is. Auditreglement RiskPlaza-audit + systeem 20 van 57

22 Figuur 3.1 Overzicht proces auditprotocol RiskPlaza Audit + Auditreglement RiskPlaza-audit + systeem 21 van 57

23 3.3. Zelfbeoordeling en aanmelding RiskPlaza De deelnemer dient een zelfbeoordeling uit te voeren op de gevaren uit de RiskPlaza databank. De zelfbeoordeling moet leiden tot een lijst van reële schadelijkee gevaren. De deelnemer is zelf verantwoordelijk voor het opstellen van een lijst van ingrediënten en de hierbij behorende schadelijke gevaren uit RiskPlaza. Voor ieder reëel gevaar dient de deelnemer de beheersmaatregelen in kaart te brengen, en op welke wijze deze geverifieerd worden. Het stappenplan hiervoor is beschreven in hoofdstuk 2. Aanmelden voor toegang tot de RiskPlaza databank kan via het aanmeldformulier ( onder Aanmelden). Indien de aanvrager voldoet aan de criteria, nl. leverancier of afnemer in deelnemende levensmiddelensectoren, CI of NVWA, dan ontvangt de aanvrager een gebruikersnaam en wachtwoord (zie Algemene Voorwaarden BakkerijPlaza). Voor toegang tot de gegevens van de databank is een geldend abonnementstarief van kracht per abonnementhouder. Dit bedrag wordt geïnd door het PA en wordt jaarlijks geïndexeerd. De hoogte van het bedrag is te vinden op Per deelnemer/abonnementhouder dient een vast contactpersoon beschikbaar te zijn voor informatie over nieuwe gevaren, bijvoorbeeld naar aanleiding van calamiteiten of RASFF meldingen. Deze contactpersoon wordt via nieuwsbrieven op de hoogte gehouden die per e- mail worden verstuurd Selectie van CI, aanmelding RiskPlaza-audit + en contract Wanneer een bedrijf een RiskPlaza-audit + wil ondergaan, dient zij een keuze te maken uit één van de deelnemende CI's. De lijst van gekwalificeerde CI s is te vindenn op de website onder Certificerende Instellingen. Tevens is er per CI een overzicht van gekwalificeerde auditoren te vinden. Nadat het bedrijf een overeenkomst is aangegaan met een CI, meldt dezee CI het bedrijf vervolgens aan bij het PA via een interactief formulier. Vooruitlopend op het doorlopen van de RiskPlaza-audit + wordt het bedrijf vermeld op met de vermelding 'audit + in aanvraag'. Deze vermelding in RiskPlaza is een aankondiging voor afnemers, maar heeft verder nog geen gevolgen voor de vereenvoudiging van de verplichte verificatie van grondstoffen door de afnemer. Aan een deelnemer wordt maximaal een jaar de status audit + in aanvraag gegeven. Wordt dit jaar overschreden, dan wordt de deelnemer van de website verwijderd. In dat geval kan een bedrijf pas weer op de website worden vermeld als de status RiskPlaza-audit + behaald is. Auditreglement RiskPlaza-audit + systeem 22 van 57

24 Leveranciers die opgaan voor de RiskPlaza-audit + betalen naast de kosten voor de audit door de Certificerende Instelling een vast bedrag aan het Productschap voor deelname aan de RiskPlaza-audit +. Dit bedrag wordt via de CI verrekend en wordt jaarlijks geïndexeerd. De hoogte van het bedrag is te vinden op Deze afdracht is bedoeld voor het toezicht door de systeemdeskundige op de CI's en auditoren (waaronder harmonisatie). De kosten van een RiskPlaza-audit + zijn afhankelijk van de CI en van de benodigde audittijd. De deelnemer sluit een contract af met de CI. In het contract dienen de volgende eisen te zijn opgenomen: - De deelnemer dient kennis te hebben genomen van de verplichtingen in het auditreglement en dient zich hieraan te houden Planning RiskPlaza-audit + Voorafgaand aan de RiskPlaza-audit + moet de deelnemer de inspectielijst aan de auditor van de CI opsturen. De auditor moet op basis van de inspectielijst een inschatting maken van de benodigde audittijd. Met behulp van de inspectielijst kan de auditor zich voorbereiden op de audit. Een CI dient in de gelegenheid te zijn om, wanneer een deelnemer hier om verzoekt, binnen 3 maanden een RiskPlaza-audit + in te plannen. De auditdatum wordt vastgesteld in overleg tussen de CI en de deelnemer, waarbij de deelnemer voldoende tijd moet hebben om zich op de audit voor te bereiden Scope RiskPlaza-audit + Het RiskPlaza-audit + systeem is geen certificatieschema. Bedrijven die de audit + met goed gevolg hebben afgerond, krijgen de RiskPlaza-audit + status. De CI mag onder voorwaarden een verklaring hiervoor afgeven. De deelnemer mag onder voorwaarden het RiskPlazabeeldmerk gebruiken (zie bijlage 5). Er is echter geen sprake van een certificaat (product- en procescertificatie volgens NEN-EN 45011, ISO/IEC Guide 65) dat door CI s onder accreditatie wordt uitgevoerd. Zoals vermeld in hoofdstuk 1.7 kan de RiskPlaza-audit + uitgevoerd worden bij alle bedrijven die onder de RiskPlaza-audit + scope vallen. In het algemeen zijn dit bedrijven die (al dan niet samengestelde) producten leveren aan afnemers uit de levensmiddelensector. Handelsbedrijven die zelf geen bewerking uitvoeren op grondstoffen/halffabrikaten kunnen ook deelnemen aan de RiskPlaza-audit +. Voor de uitvoering van de audit dient tussen de deelnemer en de CI te worden afgesproken welke ingrediënten er meegenomen worden in de RiskPlaza-audit + (inspectielijst). RiskPlaza-audit + bij meerdere productielocaties (multi-site) Bedrijven met meerdere vestigingen/ productielocaties kunnen voor alle productielocaties opgaan voor de RiskPlaza-audit +, mits zij producten leveren onder de scope van RiskPlaza. Bij vermelding op wordt vermeld welke (productie)locaties onder de RiskPlaza-audit + zijn meegenomen. Wanneer de inkoop voor de verschillende locaties (gedeeltelijk) centraal plaatsvindt kan een groot deel van de RiskPlaza-audit + op deze centrale locatie plaatsvinden. Uitsluitend aspecten die samenhangen met het productieproces zullen door de CI op de individuele (productie)locaties getoetst worden. Auditreglement RiskPlaza-audit + systeem 23 van 57

25 3.7. Frequentie en type audits De frequentie van de RiskPlaza-audit + is gelijk aan die van de reguliere voedselveiligheidsaudits. Per bedrijf dient er minimaal één RiskPlaza-audit + per jaar te worden uitgevoerd. Indien nodig kan er sprake zijn van een aanvullende audit, zoals een follow-up audit of tussentijdse audit. De RiskPlaza-audit + mag tijdens of na een reguliere voedselveiligheidsaudit (HACCP, BRC, IFS, ISO 22000, FSSC of goedgekeurde hygiënecode) worden uitgevoerd. In de RiskPlaza-audit + systematiek wordt onderscheid gemaakt in 4 typen audits: 1. Een initiële RiskPlaza-audit + (de eerste audit bij een bedrijf); 2. Een RiskPlaza controle-audit (een audit in de jaren daaropvolgend); 3. Een tussentijdse onaangekondigde audit (indien er signalen zijn dat de voedselveiligheid van grondstoffen in het geding is); 4. Een follow-up audit (indien een bedrijf onvoldoende verbetering laat zien op geconstateerde tekortkomingen door middel van een actieplan of bij 3 of meer grote tekortkomingen) De kosten voor bovengenoemde audits komen voor rekening van de deelnemer. Initiële RiskPlaza-audit + Een initiële audit is de allereerste RiskPlaza-audit + die bij een bedrijf wordt uitgevoerd dat de RiskPlaza-audit + nog niet eerder met goed gevolg heeft doorlopen. De initiële RiskPlaza-audit + bestaat uit twee fasen: - De Fase 1-audit is eenmalig en heeft tot doel de voorbereiding van de deelnemer op de RiskPlaza-audit + te beoordelen en is met name een documentatie-beoordeling. Hiertoe behoort een toets op de voorgestelde scope van de audit, een toets op de lijst met schadelijke gevaren en een toets op de risico-analyse van de deelnemer met als resultaat een lijst met reële gevaren. De Fase 1-audit vindt altijd plaats voorafgaand aan de Fase 2-audit. - De Fase 2-audit heeft tot doel de beheersing van de reële gevaren daadwerkelijk te beoordelen. De fase-2 audit mag direct aansluitend op de Fase 1-audit plaatsvinden, maar kan ook op een later tijdstip worden uitgevoerd om de deelnemer meer voorbereidingstijd te geven. Controle-audit Een controle-audit is een vervolg-riskplaza-audit +, vanaf het jaar volgend op de initiële audit. Ook deze audit mag gecombineerd worden met een reguliere voedselveiligheidsaudit. Bij de controle-audit worden geen fases onderscheiden. Indien een deelnemer ervoor kiest om de RiskPlaza-audit + door een andere CI te laten uitvoeren een jaar na de initiële audit, dan is er tevens sprake van een controle-audit. Een tussentijdse overstap naar een andere CI is alleen mogelijk als er geen openstaande tekortkomingen zijn. Tussentijdse onaangekondigde audit Er kunnen zich bij bedrijven situaties voordoen waarbij de voedselveiligheid in het geding is door onvoldoende beheersing van grondstoffen. De NVWA is één van de partijen die hierover informatie ontvangt. In het RiskPlaza-audit + systeem geldt de afspraak dat de NVWA deze signalen door mag geven aan het PA, mits vertrouwelijk behandeld. In een dergelijk geval kan het PA aan een CI de opdracht geven voor een tussentijdse onaangekondigde audit. Deze audit hoeft niet gecombineerd te worden met een reguliere voedselveiligheidsaudit. De deelnemer is in dit geval verplicht om medewerking te verlenen aan deze audit. Auditreglement RiskPlaza-audit + systeem 24 van 57

26 Follow-up audit Tijdens een RiskPlaza-audit + kan het zijn dat de auditor bepaalde tekortkomingen constateert, dat wil zeggen dat de RiskPlaza-systematiek niet in voldoende mate is toegepast. Een deelnemer krijgt de mogelijkheid om eventuele tekortkomingen te herstellen/verbeteren via een actieplan. Het actieplan dient onderbouwd te zijn met bewijsmateriaal. Indien de auditor van mening is dat het actieplan onvoldoende verbetering laat zien, is er de mogelijkheid voor een follow-up audit binnen 3 maanden na de laatste audit. Een follow-up audit vindt altijd plaats indien de deelnemer 3 of meer grote tekortkomingen heeft. De follow-up audit kan op locatie plaatsvinden of door beoordeling van het opgestuurde bewijsmateriaal. Het is aan de CI om te bepalen wat de vorm wordt van de follow-up audit Tijdsbesteding De tijdsbesteding van de RiskPlaza-audit + wordt bepaald door het aantal ingrediënten dat de deelnemer inkoopt en het aantal reële gevaren in die ingrediënten. Om de tijdsbesteding goed in te schatten levert de deelnemer die opgaat voor de RiskPlazaaudit + aan de CI een overzicht aan van de ingekochte ingrediënten en de gevaren uit RiskPlaza. Als stelregel wordt gehanteerd dat de voorbereidingstijd inclusief rapportagetijd gelijk is aan de tijdsbesteding op locatie. Tijdsbesteding initiële audit Een initiële RiskPlaza-audit + vraagt zowel op locatie als in voorbereiding en rapportage meer tijd dan de controle-audit. De bepaling van de werkelijke tijdsbesteding voor zowel initiële als controle-audit is echter te allen tijde de verantwoordelijkheid van de CI. De initiele RiskPlaza-audit + bestaat uit twee fases. Fase 1 heeft tot doel de voorbereiding van het bedrijf op de RiskPlaza-audit + te beoordelen. Voor Fase 1 en Fase 2 is de volgende minimale audittijd vastgesteld; - Fase 1-audit: 4 uur; - Fase 2-audit waarbij de audittijd wordt bepaald door het aantal reële gevaren: A: < 10 reële gevaren in ingrediënten: 2x4 uur (4 uur audittijd, 4 uur rapportage); B: Tussen de 10 en 20 reële gevaren in ingrediënten: 2 x 8 uur; C: > 20 reële gevaren in ingrediënten: 2 x 12 uur. De volgende situaties kunnen leiden tot een reductie van de audittijd: - Wanneer uitsluitend of het merendeel van de ingrediënten wordt afgenomen van RiskPlaza-audit + bedrijven; - Juiste voorbereiding van de deelnemer; - Wanneer verschillende gevaren beheerst worden middels deelname aan een sectoraal monitoringsprogramma; - Wanneer er sprake is van leveranciers die meerdere producten / ingrediënten leveren; - In het geval van een multi-site (een deelnemer met verschillende (productie)locaties allen werkende met hetzelfde kwaliteitssysteem en centrale inkoop) waarbij het merendeel van de inkoopgevaren op de hoofdlocatie getoetst wordt. Auditreglement RiskPlaza-audit + systeem 25 van 57

27 Tijdsbesteding controle-audit Bij beperkte wijzigingen in het assortiment en de leveranciers wordt voor de controle-audit circa 50% minder tijdsbesteding ingeschat dan voor de initiële RiskPlaza-audit +. Hierbij is de grootste tijdsreductie te realiseren doordat de benodigde rapportagetijd korter zal zijn. De bepaling van de werkelijke tijdsbesteding is echter te allen tijde de verantwoordelijkheid van de CI. Via tijdregistratie kan de CI de benodigde audittijd verantwoorden aan de deelnemer. Tijdsbesteding tussentijdse onaangekondigde audit De tijdsbesteding van een onaangekondigde audit is situatie-afhankelijk en kan niet van tevoren worden bepaald. Tijdsbesteding follow-up audit De tijdsbesteding van een follow-up audit is sterk afhankelijk van de soort tekortkomingen die het bedrijf nog heeft openstaan na de laatste audit. Het is daarom niet mogelijk om deze van te voren te bepalen Audit op locatie Een RiskPlaza-audit + dient te bestaan uit de volgende onderdelen: - Openingsbijeenkomst; - Documentatie-beoordeling (juistheid en volledigheid inspectielijst, risico-analyse, lijst met reële gevaren, en een controle of de deelnemer een abonnement op RiskPlaza heeft); - Toets op effectieve beheersing van reële gevaren ( waar nodig middels interviews met auditees in het bedrijf); - Laatste beoordeling van bevindingen van de auditor-voorbereiding eindbespreking; - Eindbespreking; - Overhandigen van een lijst met geconstateerde tekortkomingen, te ondertekenen door een bevoegde vertegenwoordiger van de deelnemer. De termijn om met aanvullende bewijsvoering te komen moet gemeld worden. De audit is geen momentopname maar een weergave van de resultaten van de beheersing door de deelnemer over een periode van tenminste 1 jaar. Hierbij dient de auditor te oordelen op basis van objectief bewijs. De beslissing om een deelnemer goed te keuren vindt pas plaats na de beoordeling op het bedrijf en na een technische beoordeling van het auditrapport door de coördinator binnen de CI Uitleg categorie-indeling grote en kleine tekortkomingen Er is sprake van tekortkomingen als een deelnemer niet voldoet aan de eisen van het RiskPlaza-audit + systeem, en de gevaren van ingrediënten niet aantoonbaar beheerst zijn. De RiskPlaza-audit + maakt onderscheid in 3 categorieën tekortkomingen: - Kritieke tekortkoming: Verwijtbare kritische situatie op voedselveiligheid of wetgeving, verdenking van mogelijke fraude; - Grote tekortkoming: significante afwijking in naleven eisen of situatie met ernstige twijfels aan beheersing ingrediëntgevaren; - Kleine tekortkoming: niet geheel voldoen aan bepaling maar geen twijfels beheersing ingrediëntgevaren Auditreglement RiskPlaza-audit + systeem 26 van 57

28 Het aantal toegestane tekortkomingen en de actie die de deelnemer dient te ondernemen bij tekortkomingen staan in tabel 3.1. Bijlage 3 bevat daarnaast een handvat waarbij een indeling is gegeven voor verschillende tekortkomingen. Deze tabel is ter ondersteuning en is niet exclusief of volledig De beoordeling van de situatie is te allen tijden aan de auditor die de RiskPlaza-audit + uitvoert. Tabel 3.1 Categorie-indeling grote en kleine tekortkomingen Indeling Tekortkomingen Kritieke tekortkoming Grote tekortkoming Kleine tekortkoming Definities tekortkomingen Kritiek: Verwijtbare kritische situatie op voedselveiligheid of wetgeving, fraude. Een situatie is verwijtbaar indien bewust het risico is genomen op het ontstaan van een kritische situatie. Groot: significante afwijking in naleven eisen of situatie met ernstige twijfels aan beheersing ingrediëntgevaren. De voedselveiligheid is niet aantoonbaar voldoende gewaarborgd. Klein: niet volledig voldoen aan bepaling, maar geen twijfels over beheersing ingrediëntgevaren. De voedselveiligheid is voldoende gewaarborgd. Tekortkomingen Niet toegestaan 2 grote tekortkomingen zijn toegestaan, mits hersteld met actieplan(inclusief onderbouwing met bewijsmateriaal) binnen periode van 4 weken, mogelijk een follow-up audit nodig; Bij 2 grote tekortkomingen zijn maximaal 5 kleine tekortkomingen toegestaan, mits afdoende hersteld via actieplan (inclusief onderbouwing met bewijsmateriaal) binnen periode van 4 weken) 10 kleine tekortkomingen (zonder grote tekortkoming) zijn toegestaan bij een inspectielijst van 15 ingrediënten, mits afdoende hersteld via actieplan (inclusief onderbouwing met bewijsmateriaal) binnen periode van 4 weken. 20 kleine tekortkomingen (zonder grote tekortkoming) zijn toegestaan bij een inspectielijst van 16 ingrediënten, mits afdoende hersteld via actieplan (inclusief onderbouwing met bewijsmatriaal) binnen een periode van 4 weken. Actie bij tekortkomingen Kritieke tekortkoming: onmiddellijke intrekking status RiskPlaza-audit +. Nieuwe initiële audit nodig. Schorsing voor maximaal 6 maanden. 2 grote tekortkomingen en 5 kleine tekortkomingen: binnen 4 weken herstel/verbetering door deelnemer via actieplan (inclusief onderbouwing met bewijsmateriaal). Indien niet afdoende verbetering, binnen 3 maanden follow-up audit. 3 grote tekortkomingen of 2 grote tekortkomingen en 5 kleine tekortkomingen: Binnen 4 weken herstel/ verbetering door deelnemer via actieplan (inclusief onderbouwing met bewijsmateriaal). Na 3 maanden komter een follo-up audit.. Indien niet afdoende verbetering, kan er besloten worden tot het intrekken van de RiskPlaza-audit + status voor maximaal 6 maanden. 10 kleine tekortkomingen (zonder grote tekortkoming) bij een inspectielijst van 15 ingrediënten of 20 kleine tekortkomingen (zonder grote tekortkoming) bij een inspectielijst van 16 ingrediënten: binnen 4 weken herstel/verbetering door deelnemer via actieplan (inclusief onderbouwing met bewijsmateriaal) 11 kleine tekortkomingen (zonder grote tekortkoming) bij een inspectielijst van 15 ingrediënten of 20 kleine tekortkomingen (zonder grote tekortkoming) bij een inspectielijst van 16 ingrediënten: omzetting naar 1 grote tekortkoming Auditreglement RiskPlaza-audit + systeem 27 van 57

29 3.11. Auditrapportage De rapportage vindt conform het in bijlage 3 opgenomen rapportageformat plaats. De rapportage is gericht op de borging van gevaren. Vanaf het onderdeel algemene beheersmaatregelen dient de rapportage op de wijze zoals opgenomen in het format gerapporteerd te worden. De algemene gegevens van de eerste vier pagina s uit dit rapportageformat moeten opvraagbaar zijn. De bevindingen van de audit worden verwerkt in een auditrapport. Bedrijven hebben de mogelijkheid om binnen 7 kalenderdagen na de audit nog aanvullende of ontbrekende documentatie aan te leveren die in de voorlopige rapportage meegenomen kan worden. De auditor beoordeelt of op basis van de nageleverde documentatie voldoende vertrouwen bestaat dat de mogelijke gevaren voldoende beheerst zijn. De auditor stuurt binnen 14 kalenderdagen de conceptversie van het auditrapport naar de deelnemer. De auditrapportages van de RiskPlaza-audit + inclusief de opvolging van de tekortkomingen is een aangelegenheid tussen CI en deelnemer. Auditrapportages van deelnemers moeten tevens opvraagbaar zijn bij de CI door de systeemdeskundige. Indien de afnemer van een RiskPlaza-audit + bedrijf verzoekt om inzage in de rapportage van de RiskPlaza-audit +, dan mag het RiskPlaza-audit + bedrijf de auditrapportage aan de afnemer ter beschikking te stellen. Op het besloten gedeelte van de Riskplaza-website is een module aanwezig waarin het mogelijk is (delen van) de audit-rapportage van de RiskPlaza-audit + van het geauditte bedrijf op te slaan. De toeleverancier kan met een wachtwoord haar afnemers individueel toegang geven tot (delen van) de RiskPlaza-audit + rapportage. Doordat de toeleverancier zelf deze gegevens beheert en zelf belanghebbenden toegang kan verstrekken tot deze informatie is deze informatie niet voor andere partijen (andere bedrijven, NVWA, CI s) toegankelijk Werkwijze tekortkomingen en aanvullende bewijsvoering De deelnemer kan binnen 14 kalenderdagen reageren op het auditrapport, waarna de definitieve versie van het auditrapport door de auditor wordt opgesteld. De reactie van de deelnemer op het concept auditrapport betreft uitsluitend de juiste weergave op tekstuele zaken. De feiten blijven onveranderd, deze zijn reeds vastgesteld door de auditor. Wanneer de deelnemer deze termijn door omstandigheden niet denkt te gaan halen, dient dit tijdens de audit aan de auditor te worden gemeld. Bedrijven die alle gevaren in voldoende mate beheersen maar dit nog niet volledig aantoonbaar hebben, krijgen 28 kalenderdagen na de audit de tijd om aantoonbaar objectieve bewijsvoering aan te leveren. Het betreft hier uitsluitend het administratief op orde brengen van documentatie. Hierna wordt het definitieve rapport opgemaakt. Zie voor de betreffende termijnen tabel 3.1. Indien een CI van oordeel is datde aantoonbaar objectieve bewijsvoering onvoldoende is, dan kan de CI binnen 3 maanden na auditdatum een follow-up audit uitvoeren. Bij 3 grote tekortkomingen of 2 grote tekortkomingen en 5 kleine tekortkomingen volgt er na 3 maanden altijd een follow-up audit. Auditreglement RiskPlaza-audit + systeem 28 van 57

30 3.13. Besluit RiskPlaza-audit + status Op basis van de definitieve rapportage opgesteld door de auditor geeft de auditor een advies aan de coördinator van de CI. De coördinator van de CI neemt het besluit of de RiskPlazavoor de RiskPlaza- audit + met goed gevolg is afgesloten, en of het bedrijf in aanmerking komt audit + status. Het rapport en het besluit wordt door de CI aan het deelnemende bedrijf toegestuurd. Het traject vanaf de uitvoering van de audit tot aan definitief besluit dient binnen 42 kalenderdagen na uitvoering afgerond te zijn, zie hiervoor figuur 3.2. Figuur 3.2 Tijdschema van audit tot RiskPlaza-audit + bedrijf Tijdlijn Auditreglement RiskPlaza-audit + systeem 29 van 57

31 Bedrijven die binnen de gestelde termijn, na uitvoering van de (controle) audit, alle reële gevaren in voldoende mate aantoonbaar beheersen worden door de CI aangemeld bij het PA, en verkrijgen hiermee de RiskPlaza-audit + status. De gegevens van de deelnemer (naam, adresgegevens, behaalde auditdatum, goedgekeurde locaties) worden door het PA gepubliceerd in een openbaar register op de RiskPlaza-website onder RiskPlaza-audit + bedrijven. In de kolom Audit + wordt de status behaald vermeld. Bedrijven die na een definitieve afkeur niet aan de eisen voldoen worden niet RiskPlazaaudit + goedgekeurd en vallen terug in de status in aanvraag. Indien na 3 maanden nog geen geldige RiskPlaza-audit + status is behaald, dan wordt het bedrijf van de site verwijderd Verklaring RiskPlaza-audit + Om deelnemende leveranciers te laten tonen dat zij de RiskPlaza-audit + met goed gevolg hebben doorlopen wordt de mogelijkheid geboden tot de afgifte van een Verklaring RiskPlaza-audit +. Een format van een verklaring is te vinden in bijlage 4. Aan de afgifte van de Verklaring RiskPlaza-audit + zijn de volgende voorwaarden verbonden: 1. De CI die gerechtigd is RiskPlaza audits + uit te voeren, mag een Verklaring RiskPlazaaudit + afgeven aan een ondernemer die overeenkomstig de criteria uit het Auditreglement RiskPlaza-audit + systeem de RiskPlaza-audit + met goed gevolg heeft doorlopen. 2. De CI verleent alleen dan een Verklaring RiskPlaza-audit + indien naar aanleiding van een initiële audit, een controle-audit of een onaangekondigde audit ten genoegen van de CI wordt aangetoond dat voor de betreffende productielocatie(s) wordt voldaan aan de criteria van het RiskPlaza-audit + systeem. 3. De Verklaring RiskPlaza-audit + heeft een geldigheidsduur van maximaal één jaar. De geldigheidsduur wordt telkenmale met maximaal één jaar verlengd tenzij: a) De overeenkomst tussen de CI en de ondernemer voor het verstrijken van de geldigheidsduur van de RiskPlaza-audit + status is opgezegd, of b) De controle-audit tot een negatieve uitkomst leidt. 4. Alvorens de CI tot verlenging van de Verklaring RiskPlaza-audit + overgaat, voert hij een herbeoordeling (controle-audit) uit ten aanzien van het voldoen aan alle criteria uit het Auditreglement RiskPlaza-audit + systeem Auditcyclus De deelnemer en de CI spreken een doorlopende auditplanning af. De vervaldatum van de volgende controle-audit (na 1 jaar) moet berekend worden vanaf de datum van uitvoering van de initiële audit. De RiskPlaza-audit + status is een jaar geldig vanaf de datum waarop de audit is uitgevoerd + 42 dagen. Hiervan mag maximaal 1 maand worden afgeweken. De deelnemer is hiervoor verantwoordelijk Intrekken status RiskPlaza-audit + Mocht ongeacht de reden - het reguliere voedselveiligheidscertificaat komen te vervallen dan wordt de RiskPlaza-audit + status van het bedrijf direct ingetrokken. Indien het reguliere voedselveiligheidscertificaat weer behaald is, dan wordt het bedrijf weer op de lijst RiskPlaza-audit + bedrijven geplaatst. De verantwoordelijkheid hiervoor ligt bij de CI s. Mocht het resultaat van een reguliere, follow-up audit of tussentijdse onaangekondigde audit zijn dat de voedselveiligheid in het geding is vanwege een ontoereikende borging van grondstoffen (kritieke tekortkoming), dan kan dit leiden tot schorsing van de RiskPlaza-audit + status. De CI van de betreffende deelnemer rapporteert dit per ommegaande aan het PA. Bij intrekking van de status RiskPlaza-audit + wordt het bedrijf direct verwijderd uit de lijst Auditreglement RiskPlaza-audit + systeem 30 van 57

32 RiskPlaza-audit + bedrijven op de RiskPlaza website. Het bedrijf kan tot maximaal 6 maanden worden geweerd van de RiskPlaza-audit +. Er mag niet worden overgestapt naar een andere CI in deze periode Eisen aan de verwerking van wijzigingen Wijzigingen kunnen optreden nadat een bedrijf de RiskPlaza-audit + heeft behaald. De deelnemer dient assortimentswijzigingen vast te leggen met de data van de wijzigingen. Bij nieuwe ingrediënten is de deelnemer verplicht vast te leggen op welke wijze de gevaren zoals vastgesteld in de RiskPlaza databank worden geborgd. Bij de volgende RiskPlaza-audit + worden de nieuwe ingrediënten door de CI op reguliere wijze in de RiskPlaza-audit + meegenomen. Wanneer er inhoudelijke wijzigingen in RiskPlaza zijn doorgevoerd dient de deelnemer deze te implementeren in het bedrijfseigen HACCP-systeem. De termijn waarop deze wijzigingen door het bedrijf in de eigen risico-analyse moeten zijn verwerkt, zijn als volgt: - Wettelijke normen zijn van kracht per de datum dat zij ook wettelijk van kracht zijn. - Nieuwe koppeling van gevaren en ingrediënten moeten binnen een periode van 3 maanden na de datum van wijziging geïmplementeerd zijn. Bij de eerst volgende reguliere RiskPlaza-audit + betekent dit het volgende: - Voor een verlichting (bv wanneer een koppeling tussen een ingrediënt en gevaar is verwijderd) betekent dit dat per direct bij de RiskPlaza-audit + geen controle meer op het betreffende gevaar in het ingrediënt meer hoeft plaats te vinden. - Bij een verzwaring (bv bij een nieuwe factsheet of bij een nieuwe koppeling tussen een gevaar en een ingrediënt) betekent dit dat uiterlijk drie maanden na dagtekening van de nieuwsbrief bij de RiskPlaza-audit + een controle op het betreffende gevaar in het ingrediënt moet plaatsvinden. Voorafgaand aan de RiskPlaza-audit + dient een deelnemer zelf de inspectielijst op te stellen en aan de CI toe te sturen. De deelnemer kan er dus zelf voor kiezen om bepaalde wijzigingen vast te implementeren en andere wijzigingen pas in een later stadium te implementeren Voorwaarden gebruik RiskPlaza beeldmerk Een deelnemer die de RiskPlaza-audit + status heeft behaald mag onder voorwaarden gebruik maken van het RiskPlaza beeldmerk. Deze voorwaarden zijn te vinden in bijlage 5. Het RiskPlaza beeldmerk is op te vragen bij het PA of via de website Meldplicht en communicatie met CI en NVWA Zaken die de deelnemer aan de CI moet melden zijn veranderde omstandigheden binnen het bedrijf die de geldigheid van de goedgekeurde status RiskPlaza-audit + in gevaar zouden kunnen brengen, waaronder bijvoorbeeld: - Naamsverandering of verandering juridische entiteit; - Juridische stappen met betrekking tot productveiligheid of wettelijkheid; - Aanzienlijke schade aan de locatie, bijvoorbeeld natuurrampen. De CI dient de veranderde situatie te beoordelen en een oordeel te vellen over de geldigheid van de status RiskPlaza-audit +. De deelnemer is verplicht om een melding bij de NVWA, dan wel de nationaal bevoegde autoriteit, in het kader van de General Food Law, ook aan de CI te melden. Deze verplichting geldt ook als een afnemer van een RiskPlaza-audit + bedrijf de melding heeft gedaan en het Auditreglement RiskPlaza-audit + systeem 31 van 57

33 RiskPlaza-audit + bedrijf betrokken is bij een productrecall. Zie meldwijzer van de NVWA op hun website. Voortvloeiend uit het convenant met de NVWA geldt dat de NVWA informatie van de deelnemer mag doorgeven aan het PA over situaties waarbij de voedselveiligheid in het geding is door onvoldoende beheersing van de grondstofgevaren. Het PA mag deze informatie bespreken met de CI Bezwaar- en klachtenprocedure De deelnemer heeft het recht om bezwaar te maken tegen de beslissing van de CI om een bedrijf al dan niet de status RiskPlaza-audit + te verlenen. Dit bezwaar dient binnen 7 kalenderdagen na de ontvangst van de beslissing van de CI schriftelijk ingediend te worden bij de CI. Zie verder hoofdstuk 4.8. Auditreglement RiskPlaza-audit + systeem 32 van 57

34 4. Eisen aan Certificerende Instellingen (CI s) 4.1. Erkenning CI Wanneer een CI RiskPlaza-audits wil gaan uitvoeren, dan dient de CI erkend te worden. In het erkenningproces worden de volgende stappen genomen: - De CI neemt contact op met het PA. Het PA stuurt een informatiepakket aan de CI toe en zal een presentatie voor de auditoren verzorgen; - De systeemdeskundige zal middels een bureau-audit bij de CI beoordelen of aan alle eisen uit dit Auditreglement wordt voldaan en of er binnen de CI auditoren zijn die gekwalificeerd kunnen worden; - De systeemdeskundige benoemt een aantal auditoren die zich hebben gekwalificeerd als RiskPlaza-audit + auditor en een coördinator (zie hoofdstuk 4.6). - Nadat het erkenningproces is afgerond wordt een overeenkomst gesloten tussen het PA en de CI. In de overeenkomst wordt verwezen naar de bepalingen in dit Auditreglement; - De CI mag pas RiskPlaza-audits uitvoeren nadat de overeenkomst getekend is en de namen van gekwalificeerde auditoren geregistreerd zijn bij het PA; - Na erkenning plaatst het PA de namen van erkende CI s en hun gekwalificeerde auditoren met contactgegevens op het openbare gedeelte van de website van RiskPlaza (onder Certificerende Instellingen) Verantwoordelijkheden en verplichtingen CI s De verantwoordelijkheden en verplichtingen van CI s die RiskPlaza-audits uitvoeren zijn als volgt: 1. Het uitvoeren van de RiskPlaza-audits volgens dit Auditreglement; 2. Het leveren van een maximale inspanning om auditoren te kwalificeren voor de RiskPlaza-audit +, zoals training, deelname aan verplichte harmonisatie-overleggen en deelname aan examens (zie hoofdstuk 4.6); 3. Waarborgen dat de competentie van auditoren bewaakt en gehandhaafd wordt (zie 4.6); 4. Het verlenen van volledige medewerking aan de activiteiten van de systeemdeskundige zoals het opsturen van auditrapportages binnen 2 weken na afronding, het op verzoek opsturen van de auditplanning, het meewerken aan bureau-audits, en het laten bijwonen van audits door de systeemdeskundige; 5. Het melden van relevante wijzigingen binnen de CI aan het PA zoals opheffing, wijziging naam of adres, uiterlijk 30 kalenderdagen voorafgaand aan de wijziging; 6. Het zo spoedig mogelijk doormelden van relevante wijzigingen in de status van de RiskPlaza-audit + bedrijven aan het PA, bijvoorbeeld intrekking of goedkeuring; 7. Het doormelden aan het PA indien een RiskPlaza-audit + bedrijf betrokken is bij een productrecall en dit aan de CI heeft gemeld (zie hoofdstuk 3.19); 8. In het contract tussen de CI en de deelnemer wordt opgenomen dat de deelnemer bekend is met de inhoud van het auditreglement en zich hieraan zal houden; 9. Het volgens de voorwaarden (zie hoofdstuk 3.14) uitgeven van een verklaring aan RiskPlaza-audit + bedrijven waarin de status RiskPlaza-audit + is toegekend; 10. Het verplicht afdragen van een vaste vergoeding per uitgevoerde RiskPlaza-audit + aan het PA. De hoogte van dit bedrag is vastgelegd op de RiskPlaza-website en mag door het PA per 1 januari van een nieuw kalenderjaar verhoogd worden; 11. Het doorgeven van bedrijven die staan vermeld op de RiskPlaza-site, maar niet meer opgaan voor de RiskPlaza-audit + ; 12. Het afmelden van auditor/coördinator binnen 30 dagen na vertrek/stopzetten werkzaamheden voor RiskPlaza; Auditreglement RiskPlaza-audit + systeem 33 van 57

35 13. Het zorg dragen dat tijdens een schorsing van een auditor of coördinator de taken van deze auditor of coördinator door een andere gekwalificeerde auditor of coördinator worden waargenomen Verantwoordelijkheden en verplichtingen PA naar CI s De verantwoordelijkheden en verplichtingen van het PA in de communicatie naar CI s (en andere belanghebbenden) zijn als volgt: 1. Het zorgen voor en het beheren en onderhouden van het RiskPlaza-audit + systeem; 2. Het onderhouden van de RiskPlaza databank met de actuele wettelijke normen en regelgeving; 3. Het tijdig informeren van de CI s en andere belanghebbenden via een nieuwsbrief over significante wijzigingen in het RiskPlaza-audit + systeem en de RiskPlaza databank; 4. Het publiceren van de RiskPlaza- audit + bedrijven in een openbaar register op 5. Het organiseren van bijeenkomsten voor CI s en andere belanghebbenden zoals harmonisatie-overleg, examens etc., en het tijdig communiceren van data; 6. Het zo spoedig mogelijk doormelden van signalen van de NVWA of RASFF meldingen aan CI s en belanghebbenden over situaties bij RiskPlaza-audit + bedrijven waarbij de voedselveiligheid in het geding is door onvoldoende beheersing van grondstofrisico s Duur overeenkomst en beëindiging De overeenkomst tussen CI en PA heeft een geldigheidsduur van 1 jaar en treedt in werking vanaf de datum van ondertekening. Na afloop van deze periode wordt de overeenkomst stilzwijgend verlengd, tenzij één der partijen 2 maanden voor het verstrijken van de periode schriftelijk aangeeft de overeenkomst te willen beëindigen. Indien de CI ernstig in gebreke is gebleven in de naleving van de overeenkomst of het Auditreglement, of aantoonbaar schadelijk voor het PA handelt, dan kan de overeenkomst door het PA met onmiddellijke ingang worden beëindigd. Het PA kan de overeenkomst tussentijds beëindigen indien daar bestuurlijke of financiële redenen toe zijn Vertrouwelijkheid en geheimhouding De CI is tot geheimhouding verplicht en gaat vertrouwelijk om met gegevens van deelnemende RiskPlaza-audit + bedrijven. De CI stelt het auditrapport en de bevindingen bij bedrijven alleen beschikbaar aan: - Het bedrijf dat geaudit is; - De systeemdeskundige; - Het PA in situaties waarbij de voedselveiligheid in het geding is. Het PA kan in voorkomende gevallen hierover in contact treden met de NVWA Kwalificaties auditor en coördinator RiskPlaza-audit + De kwalificatie tot RiskPlaza-audit + auditor of coördinator moet aansluiten bij de interne kwalificatieprocedure van elke CI. Belangrijk is dat alle eisen behorend bij dit Auditreglement zijn overgenomen in de kwalificatieprocedure van de CI en dat deze worden toegepast. Auditreglement RiskPlaza-audit + systeem 34 van 57

36 Kwalificatie auditor Een auditor wordt gekwalificeerd voor de RiskPlaza-audit + wanneer hij/zij voldoet aan de criteria gesteld op basis van het certificatieschema waarop de audit gebaseerd is (BRC, HACCP, IFS, ISO 22000, FSSC 22000, goedgekeurde hygiënecode) aangevuld met relevante aantoonbare ervaring in de voor de branche relevante bedrijven. Daarnaast wordt aan RiskPlaza-auditoren een aantal specifieke eisen gesteld. Ten minste voldoet de auditor RiskPlaza-audit + aan de volgende criteria: - Opleiding levensmiddelentechnologie op tenminste HBO-niveau of gelijkwaardig; - Kennis van voedselveiligheidssystemen en levensmiddelenmicrobiologie; - Up-to-date technische/technologische kennis van machines en processen in de levensmiddelenbranche waarin RiskPlaza-audits worden uitgevoerd; - Up-to-date kennis van ingrediënten, grondstoffen en producten en de bijbehorende gevaren in de branche waarin RiskPlaza-audits worden uitgevoerd (gebruik makend van - Minimaal 2 jaar relevante, aantoonbare kennis en ervaring m.b.t. kwaliteitszorg in relevante branche; - IRCA Erkend Lead Assessor diploma; - Kwalificatie als HACCP/BRC/IFS/FSSC en/of ISO auditor door de CI in de voor de branche relevante bedrijven; - Afgeronde interne training en kwalificatie als RiskPlaza-audit + auditor; - Deelname aan de interne harmonisatie-overleggen RiskPlaza binnen de CI; - Deelname aan het jaarlijkse harmonisatieoverleg RiskPlaza; - Initieel en periodiek met goed gevolg afleggen van een examen met betrekking tot de RiskPlaza-audit +. Een auditor mag maximaal 3 keer opeenvolgend een audit uitvoeren bij eenzelfde bedrijf, dus voor een periode van maximaal 3 jaar. De fase-1 en fase-2 audit van de initiële audit zijn samen te beschouwen als 1 audit. Kwalificatie coördinator De rol van de coördinator binnen een CI is het nemen van besluiten over het al dan niet verlenen van de RiskPlaza-audit + status. Dit doet hij/zij op basis van een beoordeling van de auditrapportage van de auditor. Ten minste voldoet de coördinator RiskPlaza-audit + aan de volgende criteria: - Relevante kennis en ervaring van certificatieprocessen; - Opleiding levensmiddelentechnologie op tenminste HBO-niveau of gelijkwaardig; - Kennis van voedselveiligheidssystemen en levensmiddelenmicrobiologie; - Up-to-date technische/technologische kennis van machines en processen in de relevante branche; - Up-to-date kennis van ingrediënten, grondstoffen en producten en de bijbehorende gevaren in de relevante branche (gebruik makend van - Relevante kennis en ervaring m.b.t. kwaliteitszorg in de branche relevante bedrijven. - Deelname aan de interne harmonisatie-overleggen RiskPlaza binnen de CI; - Deelname aan het jaarlijkse harmonisatieoverleg RiskPlaza; - Initieel en periodiek met goed gevolg afleggen van een examen met betrekking tot de RiskPlaza-audit +. Auditreglement RiskPlaza-audit + systeem 35 van 57

37 4.7. Deelname harmonisatie-overleg en examens De deelname aan het harmonisatie-overleg RiskPlaza is verplicht voor auditoren en coordinatoren. Wanneer er grondige redenen zijn dat een auditor niet kan deelnemen aan het jaarlijkse harmonisatieoverleg, kan in overleg met het PA bekeken worden of hier op een andere wijze invulling aan gegeven kan worden. De deelname aan examens is tevens verplicht. Het examen is met goed gevolg afgelegd als een score van minstens 70% wordt behaald. Zie voor de geldigheid van het examen de onderstaande tabel: Examenscore Minimale score Maximale score Frequentie <70 % Herexamen (1) 70 % < 80 % Jaarlijks 80 % < 90 % 2-jaarlijks 90% jaarlijks 1) Wordt het herexamen niet met goed gevolg afgelegd, dan wordt de auditor gedurende een jaar geschorst. De kosten voor de examens liggen ten laste van de CI Klachten en sancties Bezwaren en klachten De deelnemer heeft de mogelijkheid om bezwaar en klachten in te dienen over de beoordeling en werkwijze van de CI tijdens en na de RiskPlaza-audit +. De deelnemer dient in eerste instantie het bezwaar/de klacht bij de CI in. De CI dient een gedocumenteerde procedure te hebben voor het afhandelen van bezwaren en klachten. Het bezwaar of de klacht moet binnen 30 kalenderdagen na ontvangst afgehandeld worden door de CI. Na het uitvoeren van een volledig onderzoek dient de CI een schriftelijk antwoord te geven aan het bedrijf. Het is daarnaast voor bedrijven tevens mogelijk om klachten over CI s en het RiskPlazaaudit + systeem bij het PA in te dienen. Dit kan via het contactformulier op de RiskPlaza website. Klachten die bij het PA binnenkomen en betrekking hebben op de kwaliteit van de prestatie van CI s, zullen door het PA vertrouwelijk worden behandeld. De kwestie wordt voorgelegd aan de betreffende CI. De CI dient binnen 14 kalenderdagen een verklaring en correctieve maatregelen bij het PA aan te leveren. Het PA reageert binnen 3 weken na ontvangst van het bezwaar/ de klacht. Sancties Het PA behoudt zich het recht voor om sancties uit te vaardigen naar CI s indien zij zich niet aan bepalingen in dit Auditreglement houden, zoals het voldoen aan de eisen van de kwalificatie van auditoren. Maatregelen kunnen zijn: - De erkenning schorsen voor een periode van maximaal drie maanden; - De erkenning, al dan niet na schorsing, intrekken en één jaar geen nieuwe aanvraag tot erkenning in behandeling nemen. Indien de erkenning van een CI (tijdelijk) wordt geschorst, wordt aan bedrijven die door deze CI geaudit zouden worden de redelijkerwijs benodigde tijd beschikbaar gesteld om een andere CI te contracteren. Auditreglement RiskPlaza-audit + systeem 36 van 57

38 5. Technisch beheer en organisatie 5.1. Organisatie De organisatiestructuur van RiskPlaza is als volgt: Het PA is de eigenaar van het RiskPlazaaudit + systeem. RiskPlaza valt binnen het koepelplatform Bakkerijplaza. Onder het bestuur van het PA is een Werkgroep RiskPlaza en een Deskundigenoverleg RiskPlaza ingesteld. Hieronder zijn de taken weergegeven van de diverse overlegvormen. Taken Werkgroep RiskPlaza ; 1. Richt zich op het RiskPlaza-audit + systeem; 2. Geeft uitwerking aan RiskPlaza en dit Auditreglement, en daarmee aan de inrichting van de databank binnen de door het bestuur aangegeven kaders; 3. Signaleert en bespreekt aandachtspunten, knelpunten en wensen. Taken Deskundigenoverleg RiskPlaza: 1. Richt zich op de inhoud van de RiskPlaza databank; 2. Stelt wijzigingen in ingrediëntgroepen, factsheets van gevaren en de koppelingen tussen ingrediëntgroepen en gevaren vast; 3. Wisselt actualiteiten, gewijzigde wet- en regelgeving en laatste ontwikkelingen uit op het gebied van voedselveiligheid van ingrediënten. De Werkgroep en het Deskundigenoverleg RiskPlaza komen maximaal 4 maal per jaar bijeen. In beide overleggen is vanuit iedere betrokken branche minimaal één lid afgevaardigd, daarnaast nemen ook de CI s en op verzoek de systeemdeskundige van RiskPlaza deel. Het NVWA neemt deel aan het Deskundigenoverleg. Afhankelijk van de te bespreken problematiek kan voor een vergadering van het Deskundigenoverleg een expert (bijv. TNO, NVWA, RIKILT, RIVM) uitgenodigd worden. Het PA voert het secretariaat van beide overleggen Beheer RiskPlaza-databank De inhoud van de databank in RiskPlaza wordt beheerd door het Deskundigenoverleg. De databank is naar aanleiding van nieuwe wet- en regelgeving en veranderde inzichten aan verandering onderhevig. RiskPlaza hanteert hiervoor een onderhoudsprocedure. Gewijzigde gevaren worden in de factsheets van gevaren opgenomen. De betreffende factsheet wordt met het Deskundigenoverleg afgestemd. Aanleidingen tot wijzigingen zijn: - Nieuwe wetgeving; - Rapid Alert System for Food and Feed (RASFF) meldingen; - Crisissen; - Nieuwe wetenschappelijke inzichten; - Praktijkervaringen. Bij calamiteiten op het gebied van voedselveiligheid wordt het Deskundigenoverleg per e- mail geraadpleegd zodat nieuwe gevaren op een zo kort mogelijk termijn aan de sector kenbaar kunnen worden gemaakt. Deelnemende bedrijven en abonnementhouders worden op de hoogte gehouden van wijzigingen in de gevaren en/of factsheets via nieuwsbrieven die per worden toegezonden. Alle verstuurde nieuwsbrieven zijn te vinden achter het log-in gedeelte onder Documenten RiskPlaza. Wijzigingen in de factsheets blijven zichtbaar met datum onder het kopje Algemeen. Auditreglement RiskPlaza-audit + systeem 37 van 57

39 Op de RiskPlaza-website staat onder Factsheets gevaren welke wijzigingen zijn doorgevoerd, wanneer de factsheet voor het laatst gewijzigd is en wat hiervoor de reden is geweest. Aan de termijn van het doorvoeren van wijzigingen in het bedrijfseigen HACCP-systeem zijn eisen verbonden, deze zijn beschreven in hoofdstuk Beheer RiskPlaza documenten Algemeen documentenbeheer Op de RiskPlaza-website is te allen tijde de laatste versie van documenten te vinden. Een deel van de documenten is alleen toegankelijk voor abonnementhouders via een inloggedeelte. Nieuwsbrieven en het vraag- en antwoorddocument zijn voorzien van een datum. Het Auditreglement heeft een versienummer en een datum. Wijzigingen ten opzichte van de vorige versie van het Auditreglement zijn zichtbaar gemarkeerd. De RiskPlaza-website is ook beschikbaar in het Engels. De originele documenten zijn in het Nederlands. Indien de vertaling afwijkt van de brontekst gaat de Nederlandse versie voor. Wijziging Auditreglement Indien dit Auditreglement aan de hand van voortschrijdend inzicht of gewijzigde wet- en regelgeving aanpassing behoeft, dan wordt dit ingebracht in de Werkgroep RiskPlaza. Evaluatie vindt minimaal jaarlijks plaats. De Werkgroep RiskPlaza stelt de aangepaste werkwijze vast alvorens deze toegepast wordt door de betrokkenen. Na publicatie is het gewijzigde Auditreglement per direct van kracht met een overgangstermijn van drie maanden. Auditreglement RiskPlaza-audit + systeem 38 van 57

40 6. Integriteitsprogramma De Werkgroep RiskPlaza heeft vanaf de start van RiskPlaza een integriteitsprogramma in werking om de kwaliteit van het RiskPlaza-audit + systeem te bewaken. Er zijn twee stromen: preventieve kwaliteitsbewaking middels bewaking door een systeemdeskundige, en het reageren op feedback vanuit de omgeving/belanghebbenden Preventieve kwaliteitsbewaking: de systeemdeskundige Het PA heeft een onafhankelijke systeemdeskundige aangesteld om technisch toezicht te houden op de prestaties van de CI s. Deze systeemdeskundige rapporteert aan de Werkgroep RiskPlaza en is verantwoordelijk voor de uitvoering van de volgende toezichtactiviteiten: - Bureau-audits; - Bijwoningen RiskPlaza-audits op locatie; - Beoordeling auditrapportages; - Deelname aan overlegvormen RiskPlaza. Bureau-audit Een bureau-audit bij de CI door de systeemdeskundige is een vast onderdeel van het toezicht op CI s. De SD beoordeelt tijdens de bureau-audit het kwalificatieproces voor auditoren binnen de CI. De SD bekijkt of in de kwalificatieprocedure van de CI alle eisen voor de auditor en de coördinator uit RiskPlaza zijn overgenomen en of deze juist worden toegepast in de praktijk. De frequentie van een volledige bureau-audit bij een CI met rapportage is 1 keer per 3 jaar. Vervolgens wordt er elk jaar een bezoek afgelegd aan de CI zonder rapportage. Bijwoning RiskPlaza-audits op locatie De systeemdeskundige voert jaarlijks ter controle van de werkwijze van de auditor en CI steekproefsgewijs een aantal bijwoningen van RiskPlaza-audits op locatie uit. Een bijwoning is een reguliere RiskPlaza-audit + bij een bedrijf waarbij de SD de auditor beoordeelt. Het doel van een bijwoning is het toetsen van de competentie van de auditor. De frequentie van de bijwoningen wordt vastgesteld op basis van objectieve criteria en is afhankelijk van het aantal deelnemende bedrijven, CI s, auditoren en bevindingen bij de bijwoningen. Auditoren worden geobserveerd tijdens de audit en krijgen achteraf feedback over de prestatie tijdens de audit. De SD beoordeelt ondermeer de audittechniek, onafhankelijkheid en het verzamelen van bewijsmateriaal door de auditor. Bij de uitvoering van de bijwoning staan de volgende punten centraal: - Beoordeling kwalificatie auditor; - Beoordeling van de technische kennis, productkennis en kennis van RiskPlazadatabank van de auditor, en hoe de auditor deze kennis praktisch toepast; - Beoordeling van de diepgang en de volledigheid ten aanzien van de scope. Voorwaarden voor de bijwoning door de systeemdeskundige: - De systeemdeskundige streeft ernaar de bijwoning in een constructieve sfeer te laten verlopen; - Bedrijven mogen minimale hinder ondervinden van de aanwezigheid van de systeemdeskundige; - De systeemdeskundige is tot geheimhouding verplicht en stelt de bevindingen alleen beschikbaar aan PA de auditor/ CI waar de bijwoning is uitgevoerd; Auditreglement RiskPlaza-audit + systeem 39 van 57

41 - Na afloop van de bijwoning bespreekt de systeemdeskundige met de auditor in beslotenheid de resultaten ten aanzien van het functioneren van de auditor. Beoordeling auditrapportages CI Naast het bijwonen van audits op locatie ontvangt de systeemdeskundige alle auditrapportages van CI s en beoordeelt deze steekproefsgewijs. De systeemdeskundige verkrijgt hiermee inzicht in sterke en zwakke punten in de rapportages. De CI is verplicht mee te werken aan het aanleveren van auditrapportages. De systeemdeskundige dient vertrouwelijk met deze rapportage om te gaan en mag de informatie alleen gebruiken voor zover nodig in de uitvoering van de functie als systeemdeskundige. De systeemdeskundige zal vervolgens beoordelen of deze auditrapportage voldoende diepgang heeft. Terugkoppeling beoordelingen systeemdeskundige aan CI s en het PA De systeemdeskundige rapporteert de bevindingen van de beoordelingen (bureau-audit, bijwoningen en/of beoordelingen rapportages) aan de coördinator van de betreffende CI en het PA met een brief en een samenvattende rapportage. Het PA Werkgroep RiskPlaza beoordeelt in overleg met de systeemdeskundige de rapportage van de bijwoning, bureau-audit of beoordeling van de auditor-rapportage. In samenspraak met de systeemdeskundige en de Werkgroep RiskPlaza worden indien nodig passende maatregelen geformuleerd. Waar sprake is van tekortkomingen, wordt verzocht om passende maatregelen te treffen. Een termijn, waarbinnen de passende maatregelen moeten worden genomen, wordt in de brief opgenomen. Ook wordt in de brief vermeld of er een herbijwoning zal worden uitgevoerd. Deelname aan overleggen RiskPlaza - Werkgroep RiskPlaza: De systeemdeskundige stuurt eenmaal per jaar een overzicht van uitgevoerde bijwoningen en de conclusies hiervan naar de Werkgroep RiskPlaza. Op verzoek kunnen leden van de Werkgroep RiskPlaza een nadere toelichting van de systeemdeskundige vragen. De Werkgroep RiskPlaza komt maximaal 4 keer per jaar bijeen. Indien de systeemdeskundige dringende tekortkomingen of interpretatieverschillen constateert, wordt er eerder afgestemd met de Werkgroep RiskPlaza. - In het harmonisatieoverleg (1x per jaar) vindt afstemming plaats tussen CI s, NVWA en deskundigen omtrent de uitvoering van de audits Feedback over RiskPlaza en de RiskPlaza-audit + Op de RiskPlaza-website worden deelnemende bedrijven in de gelegenheid gesteld om via het contactformulier opmerkingen en verbeterpunten door te geven aan de Werkgroep RiskPlaza of het Deskundigenoverleg. Ook andere partijen zoals afnemers die zelf audits uitvoeren bij RiskPlaza-bedrijven en tekortkomingen constateren zijn vrij om feedback te geven aan RiskPlaza. Ingebrachte punten worden besproken in het overleg van één van deze groepen. Het PA en de Werkgroep RiskPlaza hechten veel waarde aan deze feedback, omdat dit aanknopingspunten biedt om het RiskPlaza-audit + systeem verder te verbeteren. De NVWA houdt toezicht op het gehele RiskPlaza-audit + systeem als goedgekeurd zelfcontrolesysteem. De NVWA kan een inspectie uitvoeren middels een steekproef onder de deelnemers ter verificatie van het RiskPlaza-audit + systeem. Het PA geeft de NVWA de gelegenheid om naar eigen inzicht een bureau-audit uit te voeren op de toepassing van dit reglement. Tevens kan de NVWA auditrapporten (Iaten) opvragen en deelnemende bedrijven bezoeken. Auditreglement RiskPlaza-audit + systeem 40 van 57

42 Bijlage 1: Betrokkenen en belanghebbenden RiskPlaza-audit + systeem Het RiskPlaza-audit + systeem kent verschillende betrokkenen en belanghebbenden, te weten: - Nederlandse Vereniging voor de Bakkerij (NVB), Vereniging voor de Bakkerij- en Zoetwarenindustrie (VBZ), Nederlands Bakkerij Centrum (NBC) en Nederlandse Brood- en banketbakkers Ondernemers Vereniging (NBOV); - Vereniging van Nederlandse Fabrikanten van Bakkerijgrondstoffen (NEBAFA); - AKSV (Algemene Kokswaren en Snackproducenten Vereniging); - VNV (Vereniging van Nederlandse Vleeswarenindustrie); - NEPLUVI (Vereniging van de Nederlandse Pluimveeverwerkende Industrie); - KNVKT (Koninklijke Nederlandse Vereniging voor Koffie en Thee); - Productschap Tuinbouw; - Inkooporganisaties (verenigingen en groothandel); - Certificerende Instellingen / auditoren; - Raad voor Accreditatie (RvA); - Nederlandse Voedsel- en Warenautoriteit (NVWA); - Secretariaat Productschap Akkerbouw, Werkgroep RiskPlaza, Systeemdeskundige, Deskundigenoverleg. Auditreglement RiskPlaza-audit + systeem 41 van 57

43 Bijlage 2: Handleiding gebruik RiskPlaza databank Algemeen Inloggen met gebruikersnaam en wachtwoord. Aanmelden voor toegang tot de RiskPlaza databank kan via het aanmeldformulier ( onder Aanmelden). Bij aanmelding dienen de Algemene Voorwaarden BakkerijPlaza te worden geaccepteerd. Log-in gedeelte=mijn RiskPlaza (rechts bovenin) Rapportagemodule: - Factsheets gevaren; - Overzicht ingrediënten; - Matrix; - Combinatierapport. Factsheets gevaren Elk gevaar is nader uitgewerkt in een factsheet. In deze factsheets is opgenomen: - Algemene informatie zoals een korte omschrijving van het gevaar, type gevaar, informatiebron, het effect van het gevaar op de consument, wijzigingen en reden daarvoor; - Wettelijke en wetenschappelijke informatie over het gevaar, met verwijzingen naar wettelijke normen (EU, warenwettelijk, Codex) en private normen; - Procesinformatie: schadelijkheid en categorie met toegekende weegfactor (1-5) voor ernst; - Maatregelen: beheersmaatregelen om risico van gevaar te reduceren; - Ingrediënten: in welke ingrediënten het gevaar voor kan komen; - Gerelateerde documenten: doorverwijzingen naar wettelijke en private normen. In de factsheets gevaren op de RiskPlaza website is aangegeven welke wijzigingen wanneer zijn doorgevoerd, wanneer de factsheet voor het laatst gewijzigd is en wat hier de reden voor is geweest. Door het aanklikken van de button alleen gewijzigde gevaren kan een selectie worden gemaakt. Overzicht ingrediënten Dit is een lijst van mogelijke ingrediënten waaruit een bedrijf kan selecteren. Er is een zoekfunctie aanwezig. Door het invoeren van de ingrediëntnaam en het klikken op zoek kan de bijbehorende ingrediëntgroep worden gevonden. In het veld Overzicht ingrediënten zijn alle ingrediëntgroepen te vinden. Bij doorklikken op een ingrediënt(groep) is een overzicht van relevante gevaren te vinden voor dat ingrediënt. Matrix Een overzichtstabel van ingrediënten met bijbehorende gevaren (kruistabel). Deze matrix kan getransporteerd worden naar Excel. Combinatierapport Hierin kan een bedrijf een op maat gemaakt overzicht van factsheets genereren voor ingrediënten die voorkomen in producten van het bedrijf. Hiertoe moeten de ingrediënten worden aangeklikt en verplaatst naar geselecteerde ingrediënten, om vervolgens op factsheets te klikken. Inspectielijst ingrediënten(groepen) en gevaren Auditreglement RiskPlaza-audit + systeem 42 van 57

44 Voorafgaand aan de RiskPlaza-audit + dient elke deelnemer zelf een inspectielijst van ingrediënten en bijbehorende schadelijke gevaren op te stellen. Deze inspectielijst kan met de website middels de matrix en het combinatierapport worden gemaakt. De deelnemer kan een selectie maken op de schadelijke gevaren in de databank. Alleen de schadelijke gevaren worden meegenomen in de RiskPlaza-audit +. Het openbare gedeelte van de website Naast algemene informatie over RiskPlaza en een aantal links is op het openbare gedeelte ook het openbare register van RiskPlaza-audit + bedrijven te vinden (links onderin RiskPlazaaudit + bedrijven. Bij doorklikken op de naam van een bedrijf komen meer gegevens tevoorschijn zoals welke productielocaties geaudit zijn. Tevens zijn de gekwalificeerde CI s te vinden onder de kop Certificerende Inst. Bij doorklikken op een CI verschijnen de namen van de gekwalificeerde auditoren van die CI. Auditreglement RiskPlaza-audit + systeem 43 van 57

45 Bijlage 3: Tabel indeling tekortkomingen (handvat) Deze tabel is ter ondersteuning en is niet exclusief of volledig De beoordeling van de situatie is ten alle tijden aan de auditor die de RiskPlaza-audit + uitvoert. Type tekortkoming Grote tekortkoming Kleine tekortkoming Onderwerp: Risico-analyse De HACCP risico-analyse voor ingrediënten is niet goed opgezet. Systematiek kans x ernst klopt niet. Inhoudelijk is risico-analyse niet correct. Grens kans x ernst niet vastgelegd waarbij gevaren reëel worden en waarbij beheersmaatregelen nodig zijn. Er komen ingrediënten voor op het bedrijf die niet zijn opgenomen in de risico-analyse (en waar schadelijke gevaren aan gekoppeld zijn in de RiskPlaza databank). Er ontbreken gevaren in de risicoanalyse die wel in de RiskPlaza databank voorkomen, en op het bedrijf voorkomen vanwege de gekoppelde ingrediënten. De ernst van een gevaar is niet conform de ernstcategorie in de RiskPlaza databank. In de HACCP-systematiek is niet vastgelegd hoe moet worden omgegaan met nieuwe leveranciers en welke eisen aan analyses (certificaten) gesteld worden (Infoblad 64). Systeem om wijzigingen in RiskPlaza databank en assortiment door te voeren in eigen HACCP-risicoanalyse is niet aanwezig of functioneert niet goed. De risico-analyse voor ingrediënten/grondstoffen is in zijn geheel niet deugdelijk. 10% gemiste ingrediënten uit de RiskPlaza databank. 3 of meer gemiste gevaren die wel naar voren komen uit de RiskPlaza databank. Ernst van een gevaar is lager ingeschat dan in de RiskPlaza databank. Ernstcategorie is niet overgenomen, dit komt meer dan 1 keer voor in de risico-analyse. Werkwijze mbt systeem opvragen analyses bij nieuwe leverancier ontbreekt volledig. Werkwijze Infoblad 64 niet uitgewerkt en vastgelegd in risico-analyse. Hoeveel analyses dienen jaarlijks opgevraagd te worden, en hoe te handelen bij een nieuwe leverancier. Systeem ontbreekt geheel. De risico-analyse is op onderdelen niet consequent of compleet, maar is overall goed opgezet. < 10% gemiste ingrediënten uit de RiskPlaza databank 2 gemiste gevaren die wel naar voren komen uit de RiskPlaza databank. Ernst van een gevaar is niet conform de RiskPlaza databank, hooguit 1 keer lager ingeschat dan in RiskPlaza. Er is wel een werkwijze vastgelegd, maar wordt niet consequent toegepast. Systeem is wel aanwezig maar functioneert niet optimaal, aantal wijzigingen zijn niet doorgevoerd binnen de gestelde termijn. Onderwerp: Motivatie voor geen reëel gevaar Onderbouwing/ motivatie ontbreekt waarom een bepaald schadelijk gevaar geen reëel gevaar is, of motivatie is niet compleet Motivatie ontbreekt geheel. Motivatie ontbreekt gedeeltelijk. Voorbeeld microbiologie: wel een onderbouwing waarom er geen uitgroei kan plaatsvinden, maar niet waarom initiële besmetting niet kan optreden. Bv volgen van een kookof bakstap. Auditreglement RiskPlaza-audit + systeem 44 van 57

46 Type tekortkoming Grote tekortkoming Kleine tekortkoming Onderwerp: Te weinig of geen aantoonbaar bewijs van de onderbouwing voor geen reëel gevaar Bij een specifieke receptuur wordt het Ingrediënt beschouwd als < 5% aanwezig waardoor het genoemde gevaar als niet reëel wordt aangemerkt, maar dit is niet aantoonbaar te maken. Het voorkomen van het ingrediënt in < 5% van de receptuur is discutabel en niet aannemelijk. Ingrediënt wordt beschouwd als < 5% aanwezig in receptuur, dit is aannemelijk maar niet volledig aantoonbaar te maken middels berekeningen. Motivatie dat leveranciers beheersmaatregel uitvoeren is niet daadwerkelijk nagegaan. - Motivatie dat leveranciers beheersmaatregel uitvoeren is niet daadwerkelijk nagegaan. Motivatie voor geen reëel gevaar is dat er niet wordt ingekocht in verdachte oorsprongslanden. Het niet inkopen in verdachte oorsprongslanden is discutabel en niet aannemelijk. Het niet inkopen in verdachte oorsprongslanden is aannemelijk maar niet aantoonbaar, bv via productspecificatie. Onderwerp: Beheersmaatregel ontbreekt, niet beschreven en/of vastgelegd voor reëel gevaar Afwezigheid van analysecertificaten. Een aanzienlijk deel van de analysecertificaten is niet aanwezig, het opvragen is niet gedaan, 80% aanwezig. Analysecertificaten zijn niet aanwezig, wel opgevraagd. > 80% van analysecertificaten is aanwezig. Analysecertificaten niet 100% kloppend - Analysecertificaten voldoen niet geheel aan de eisen uit Infoblad 64 of 65. Waar noodzakelijk is er geen aantoonbare koppeling te maken tussen analysecertificaten en daadwerkelijk geleverde partijen. Van een ingrediënt zijn een aantal reële gevaren niet aantoonbaar beheerst door een beheersmaatregel of wel beheerst maar niet vastgelegd. Van een reëel gevaar wordt een beheersmaatregel vermeld die in de praktijk niet wordt uitgevoerd. Van een ingrediënt zijn 1 reële gevaren niet aantoonbaar beheerst middels een beheermaatregel. 1 of meer beheersmaatregelen die vermeld staan, worden in de praktijk niet uitgevoerd. Van een ingrediënt zijn 2 reële gevaren waarbij beheersmaatregelen wel worden uitgevoerd maar zijn niet vastgelegd. - Auditreglement RiskPlaza-audit + systeem 45 van 57

47 Bijlage 4: Format auditrapportage RiskPlaza-audit + BEOORDELINGSRAPPORT RiskPlaza-audit + Auditrapport XXBedrijfXX auditdatum XX maand jaar NB: Dit auditrapport wordt ingevuld bij de RiskPlaza-audit + op een deelnemend bedrijf. De gegevens op pagina 1 tot en met 5 van dit auditrapport dienen opvraagbaar te zijn. Vanaf het onderdeel Algemene beheersmaatregelen op bladzijde 6 dient de rapportage volgens onderstaand format gebruikt te worden. Auditreglement RiskPlaza-audit + systeem 46 van 57

48 HOOFDSTUK 1: ALGEMENE GEGEVENS Beoordeling uitgevoerd door: Algemeen Datum uitgevoerde audit: Naam bedrijf: Bedrijfsnaam invullen Adres: Adresgegevens invullen Tel. Telefoonnummer invullen Contactpersoon: Naam: Naam contactpersoon invullen Aanwezig bij beoordeling: Naam: Fax. Faxnummer invullen Functie Functie contactpersoon invullen Functie: Abonnement op RiskPlaza Heeft het bedrijf aantoonbaar een abonnement op RiskPlaza? (Inspectielijst) Leverancier van: Geef een overzicht weer van de producten die geleverd worden aan de ketenpartijen en de hierbij behorende ingrediënten en gevaren volgens RiskPlaza. Volledigheid inspectielijst Heeft het bedrijf aantoonbaar alle ingrediënten die, al dan niet na verdere verwerking, aan afnemers worden geleverd en de hierbij behorende gevaren in de inspectielijst opgenomen? Auditreglement RiskPlaza-audit + systeem 47 van 57

49 Omschrijving productielocatie 1. Geef aan of de productie op dezelfde locatie is als bovenstaand adres. Indien nee, geef adresgegevens productielocatie(s) aan. Bij meerdere productielocaties vermelden welke producten daar geproduceerd worden. 2.Geef een korte weergave van de historie van het bedrijf en de huidige bedrijfsprocessen. 3.Is bij de beoordeling een deel van de productielocatie betrokken of de gehele locatie? Indien het een deel betreft, geef weer welk gedeelte dit is. Onderdeel van een grotere organisatie Is uw bedrijf zelfstandig of maakt u deel uit van een grotere organisatie. Indien onderdeel van een grotere organisatie, beschrijf de organisatiestructuur van de holding. Auditreglement RiskPlaza-audit + systeem 48 van 57

50 HOOFDSTUK 2: ORGANISATIE EN SYSTEMEN Plaats in de keten 1. Is uw bedrijf een productie- of handelsbedrijf? 2. Wie zijn uw toeleveranciers en uw afnemers? 3. Bent u een leverancier van consumentenproducten, business to business producten of beiden? Structuur 1.Beschrijf de globale hiërarchische structuur in de organisatie (organogram toevoegen). 2. Hoeveel medewerkers zijn werkzaam in uw organisatie en in hoeveel ploegen zijn ze werkzaam? 3. Wat is de formele structuur voor beslissingsbevoegdheid m.b.t. afwijkende producten? 3b. Hoe is vervanging van personeel (o.a. m.b.t. beslissingsbevoegdheid) formeel vastgelegd? HACCP/ Kwaliteitssystemen 1.Welke certificaten heeft het bedrijf? Omschrijf de gegevens als volgt: Soort certificaat / Datum geldigheid certificaat / Datum laatste audit. 2. Gaat NVWA akkoord met het huidige HACCP- en kwaliteitssysteem? 3. Heeft er bij het bedrijf een VRI-inspectie door NVWA plaats gevonden? Indien ja, wanneer is deze uitgevoerd en wat was het resultaat? 4. Hoe blijft de organisatie op de hoogte van wijzigingen in normen/wetgeving? Auditreglement RiskPlaza-audit + systeem 49 van 57

51 Algemene beheersmaatregelen Noem de algemene beheersmaatregelen voor borging van de gevaren. Indien van toepassing, geef hierbij tevens de procedure/werkinstructie en de versiedatum weer. Voorbeelden van algemene beheersmaatregelen zijn: Recall procedure; Traceerbaarheidsprocedure; Algemene leveranciersbeoordeling; Wijze van vrijgave; Kalibratie apparatuur; Procedure productvreemde delen, metaaldetectie, glasbreuk etc.; Schoonmaakplan Hygiënereglement Ongediertebestrijding Onderhoudsplan Microbiologische controle grondstof/eindproduct Ingangscontrole Interne audits Procedure corrigerende en preventieve maatregelen Andere, namelijk Auditreglement RiskPlaza-audit + systeem 50 van 57

52 HOOFDSTUK 3: BORGING Inspectielijst Geef een overzicht weer van de producten die geleverd worden aan de ketenpartijen en de hierbij behorende ingrediënten en gevaren volgens RiskPlaza. NB: Producten die zowel als consumptiegereedproduct als halffabricaat/ grondstof worden uitgeleverd aan afnemers in de levensmiddelensector dienen eveneens onder de reikwijdte van de RiskPlaza-audit + te vallen. Producten die uitsluitend als consumptiegereed product worden uitgeleverd vallen niet onder de reikwijdte van de RiskPlaza-audit +. Gevaar XX: noteer nr uit RiskPlaza Afkomstig uit de volgende ingrediënten: opsomming maken ingrediënten Identificatie potentieel gevaar Heeft het bedrijf het gevaar uit RiskPlaza geïdentificeerd en opgenomen in zijn eigen HACCPsysteem? Aangewezen als reëel gevaar? Heeft het bedrijf het gevaar aangewezen als reëel gevaar voor alle ingrediënten/ productgroepen? + onderbouwing Wanneer Nee (en terechte onderbouwing) dan geen verdere rapportage nodig en eindconclusie noteren Normen Gevraagd wordt een bevestiging of deze norm conform RiskPlaza is. Ja/Nee Wanneer dit niet het geval is, nadere toelichting (hanteren ze strengere of soepelere normen) Uitleg borging Beheersmaatregel Beschrijving welke beheersmaatregel heeft het bedrijf genomen. Wijze van verificatie door bedrijf Toegepaste Testmethode Verificatie door de auditor: Conclusie auditor: of bedrijf de stappen correct heeft doorlopen (leveranciersselectie o.b.v. infoblad 64) Op welke wijze verifieert het bedrijf dat de beheersmaatregelen voldoende effectief zijn? (verificatie volgens infoblad 64) Toegepaste testmethode (analysemethode) Hoe betrouwbaar zijn de analyseresultaten. - is de methode gevalideerd voor de beoogde analyse? - Is het laboratorium geaccrediteerd voor analyse in betreffende matrix ja/ nee (accreditatienummer laboratorium en methode van onderzoek.) - Wanneer relevant ook het de methode van monstername vermelden. (zie bijlage I, infoblad 64) Op basis van een steekproef de hierboven beschreven borgingssystematiek toetsen. Steekproef kan op diverse wijzen uitgevoerd worden, beschrijving opnemen waarop is getoetst (chargenummers e.d) Ja/ Nee Wanneer Nee, aangeven waar afgeweken is van de stappen. Auditreglement RiskPlaza-audit + systeem 51 van 57

53 Conclusie auditor: zijn afwegingen door het bedrijf inhoudelijk correct uitgevoerd Eindconclusie Auditor geeft hier aan of de afwegingen van het bedrijf inhoudelijk correct zijn. Wanneer auditor van mening is dat geen correcte afweging is gemaakt dan nadere toelichting. - Bedrijf heeft het gevaar aantoonbaar beheerst - Bedrijf heeft het gevaar niet aantoonbaar beheerst - Het bedrijf heeft het gevaar terecht niet van toepassing verklaard Auditreglement RiskPlaza-audit + systeem 52 van 57

54 HOOFDSTUK 4: SAMENVATTING Naam grondstofleverancier: Gevaren die voor het bedrijf (terecht) geen reëel gevaar vormen: 2 Gevaren die aantoonbaar worden beheerst: Gevaren die niet aantoonbaar worden beheerst: Totaal aantal beoordeelde gevaren (zie auditrapport): Totaal aantal gevaren die niet aantoonbaar of onvoldoende aantoonbaar beheerst zijn: 0% Conclusie: 2 Indien een gevaar door het bedrijf ten onrechte als niet- reëel gevaar is aangeduid komt dit gevaar terug in het overzicht van gevaren die niet aantoonbaar worden beheerst. Auditreglement RiskPlaza-audit + systeem 53 van 57

55 HOOFDSTUK 5: VERBETERMAATREGELEN Naam bedrijf: Bedrijfsnaam invullen Adres: Adresgegevens invullen Tel. Telefoonnummer invullen Fax. Faxnummer invullen Gevaar nummer en naam Uitleg tekortkoming Correctieve maatregel leverancier Verantwoordelijke Datum gereed Opmerkingen NB: Indien de correctieve maatregel betrekking heeft op het opvragen van analysegegevens, graag kopie van deze gegevens meesturen. Auditreglement RiskPlaza-audit + systeem 54 van 57

56 Bijlage 5: Format Verklaring RiskPlaza-audit + Verklaring RiskPlaza Audit + Deze verklaring is een bevestiging dat op <datum audit> op genoemde locatie is vastgesteld dat is voldaan aan de eisen die worden gesteld in het document Auditreglemen RiskPlazaaudit + systeem <versienummer> over de borging van voedselveiligheidsgevaren van ingrediënten bij leveranciers. <bedrijfsnaam> <adres auditlocatie> <land> Datum van audit + <datum> Nummer van afgifte <nummer> Deze verklaring is alleen geldig in combinatie met het al aanwezige en geldige voedselveiligheidscertificaat. Van toepassing op: Borging van gevaren van de ingrediënten die aan bedrijven actief in de Levensmiddelensector worden geleverd. Deze verklaring is geldig tot (vervaldatum): <één jaar na auditdatum + 42 dagen> Voor <CI> <naam beslisser> Auditreglement RiskPlaza-audit + systeem 55 van 57