De meest bediscussieerde onderdelen van ISO/IEC 17065 (“Conformiteitsbeoordeling – eisen voor certificatie-instellingen die producten, processen en diensten certificeren”) zijn ongetwijfeld de paragrafen 6.2.1 (“Interne middelen”) en 6.2.2. (“Externe middelen”). Even om op te frissen: de evaluatieactiviteiten die benodigd zijn in het kader van de productcertificatie, bestaan uit testen, inspectie/keuring en/of auditing. Zowel in de situatie dat de certificeringsinstelling een evaluatieactiviteit zelf verricht als dat deze door een externe partij uitgevoerd wordt, moeten hierbij de eisen uit respectievelijk ISO/IEC 17025, ISO/IEC 17020 en/of ISO/IEC 17021 worden gerespecteerd.
Scope van een accreditatie
In het geval dat deze evaluatieactiviteiten door de certificeringsinstelling worden uitbesteed aan een externe partij, dan wordt in de ISO/IEC 17065 geëist dat deze partij geaccrediteerd is voor de relevante accreditatienorm. Een accreditatie zegt echter nog niet alles; deze accreditatie moet uiteraard wel betrekking hebben op de specifieke activiteiten, waarvoor de certificeringsinstelling opdracht gegeven heeft. Het is dus sowieso niet voldoende om alleen uit te gaan van de aanwezigheid van een accreditatie. Bij het “inkopen” van een evaluatie activiteit, te weten: testen, inspecteren of auditeren zal de certificeringsinstelling de “scope”, dus het werkgebied waarvoor het bedrijf aan dat een evaluatie activiteit uitbesteed gaat worden, nader moeten beoordelen.
Werken conform accreditatienorm voldoet
Hoewel een dergelijke constructie de meest eenvoudige is, en dus indien mogelijk te prefereren is, is accreditatie geen vereiste. De eis is alleen dat de externe partij werkt conform de betreffende accreditatienorm. In dergelijke situaties kan de (product)certificatie-instelling middels een second party audit dit zelf onderzoeken en vaststellen.
De (product)certificatie-instelling moet vooraf zorgvuldig vaststellen welke eisen hiervoor relevant zijn. Dit zijn vanzelfsprekend niet alle eisen uit de accreditatienorm, maar de eisen die relevant zijn om te waarborgen dat die specifieke evaluatieactiviteit een betrouwbaar resultaat oplevert.
Second party audit
Vervolgens onderzoekt de (product)certificatie-instelling zelf of de externe partij werkt volgens de eisen uit de accreditatienorm die van toepassing is. Omdat de meeste (product)certificatie-instellingen gespecialiseerd zijn in het beoordelen van producten en niet in het beoordelen van andere instellingen, is het ook mogelijk om dergelijke second party audits uit te besteden.