Hoe lang is certificeringsaudit geldig en hoe verleng je het?
Hoe lang is certificeringsaudit geldig en hoe verleng je het?
Een ISO-certificaat is standaard drie jaar geldig. Om het te verlengen, moet je vóór de vervaldatum een zogenaamde hercertificatie-audit uitvoeren.
Stel je voor: je hebt eindelijk dat felbegeerde ISO-certificaat binnen. Het hangt aan de muur, de klanten zijn blij, en je voelt je trots. Maar dan, na een jaar of twee, komt er een herinnering van de certificerende instantie: tijd voor de surveillance-audit. En even later: tijd voor de hercertificatie. Wat betekent dit nu eigenlijk precies? Is het certificaat na drie jaar zomaar weg, of kun je het gewoon weer verlengen? Veel mensen vinden het lastig om de bomen door het bos van audit-data te zien. In dit artikel leggen we het rustig uit, zonder ingewikkelde jargon.
Hoe werkt die driejaarlijkse cyclus?
De meeste ISO-normen, zoals ISO 9001 (kwaliteit) of ISO 27001 (informatiebeveiliging), werken met een cyclus van drie jaar. Dat is niet zomaar een getal; het is bedoeld om te zorgen dat bedrijven niet stil blijven staan.
Je kunt het vergelijken met het onderhoud van je auto. Je koopt de auto (de certificering), maar je moet hem elk jaar naar de garage (de surveillance-audit) om te controleren of alles nog werkt. Na drie jaar is er een groter onderhoud nodig (de hercertificatie-audit) om het kentekenbewijs te vernieuwen.
Als je net gecertificeerd bent, start de teller op nul. De geldigheid loopt tot exact drie jaar na de datum van de eerste audit. In die periode verwacht de certificerende instantie dat je blijft werken volgens de norm. Je mag niet achteroverleunen.
De surveillance-audit: jaarlijkse controle
In het midden van die drie jaar gebeurt er meestal nog iets. Dit noemt men de surveillance-audit. Dit is geen examen zoals de eerste keer, maar meer een controlebezoek.
- Eerste jaar: Meestal is er geen audit, of alleen een klein gesprek (telefonisch) om te kijken of je nog bestaat.
- Tweede jaar: De auditor komt langs om te checken of je de processen echt gebruikt. Ze kijken vaak naar specifieke delen van de norm en vragen naar verbeteringen die je hebt doorgevoerd.
Het doel is simpel: certificaten mogen geen dode letter blijven. De organisatie moet laten zien dat ze de norm levend houden. Als je in het tweede jaar niets hebt gedaan, of je documentatie niet bijgehouden hebt, kan dat problemen geven. De audit duurt meestal korter dan de oorspronkelijke certificatie-audit, maar het is wel verplicht.
Hoe verleng je het certificaat na drie jaar?
Na drie jaar is het tijd voor de hercertificatie-audit. Dit is het moment waarop je het certificaat vernieuwt. Je moet dit proces starten voordat je huidige certificaat verloopt. Wacht je te lang, dan vervalt het certificaat en moet je vaak helemaal opnieuw beginnen met een volledige audit, wat duurder en intensiever is.
De stappen om te verlengen zijn als volgt:
- Neem contact op met je certificerende instelling: Doe dit minstens 3 maanden voor de vervaldatum. Zij plannen de datum in.
- Zorg dat je administratie op orde is: De auditor wil zien wat je in de afgelopen drie jaar hebt gedaan. Denk aan interne audits, managementbeoordelingen en klanttevredenheidsonderzoeken.
- De hercertificatie-audit: De auditor komt vaak 1,5 tot 2 dagen langs (afhankelijk van de grootte van je bedrijf). Dit voelt weer als een eerste audit: alles wordt gecheckt.
- Uitslag: Als je slaagt, krijg je een nieuw certificaat dat weer drie jaar geldig is.
Een handige tip: zorg dat je niet alleen in het derde jaar druk bent, maar het hele jaar door. Als je continu bezig bent met verbeteren, is de verlenging een formaliteit.
Wat als je de audit mist?
Stel, de datum komt eraan, maar je bent niet klaar. Of de auditor kan niet. Wat dan?
Als je de audit niet op tijd uitvoert, vervalt je certificering. Punt. Je mag het ISO-keurmerk dan niet meer gebruiken op je website of documenten. Voor veel bedrijven is dat een ramp, omdat klanten dit eisen.
Er is vaak een kleine coulanceregeling, maar die is klein. Soms mag de audit nog een paar weken worden uitgesteld, maar daar moet je goede redenen voor hebben. De makkelijkste manier is om ruim op tijd te plannen. De agenda’s van inspecteurs zitten vaak vol, vooral rond vakantieperiodes.
Een ander scenario is dat je faalt. De auditor vindt te veel afwijkingen. Meestal krijg je dan eerst een correctierapport. Je krijgt tijd om dingen te fixen. Lukt dat niet? Dan loop je het risico dat je certificaat wordt geschorst of ingetrokken.
Is het anders per norm?
Hoewel drie jaar de standaard is, zijn er uitzonderingen. De meeste ISO-normen volgen deze cyclus, maar sommige specifieke normen hebben kortere of langere cycli. Ook hangt het af van het land waar je gecertificeerd bent of van de certificerende instantie (de CB).
Het is verstandig om altijd even de specifieke eisen van je norm te checken. Voor de meeste bedrijven in Nederland geldt: houd rekening met drie jaar, maar plan je volgende audit al in voordat het zover is.
Wil je meer weten over hoe al die verschillende normen werken en wat de precieze regels zijn? Dan is dit handig om te lezen: Alles over ISO Certificering: de complete gids voor 2025. Daarin staat uitgelegd hoe de systemen in elkaar steken.
Praktische voorbereiding: waar let de auditor op?
Bij een hercertificatie-audit kijkt de auditor niet alleen naar papieren. Hij of zij wil zien dat de norm is geïntegreerd in je dagelijkse werk. Het gaat om de sfeer en de cultuur.
Een veelgemaakte fout is dat bedrijven alleen in het derde jaar alles netjes opschrijven. Een slimme auditor merkt dat meteen. Ze vragen bijvoorbeeld: "Hoe bent u met deze verbetering aan de slag gegaan?" en verwachten dan een verhaal dat niet uit het hoofd geleerd is, maar uit ervaring komt.
Het is slim om je interne audits zo in te richten dat ze de externe audit spiegelen. Als je zelf elk jaar kritisch kijkt naar je processen, kom je tijdens de echte audit niet voor verrassingen te staan.
Als je net begint met certificeren, is het handig om te weten hoe je dit opzet. Een goed handboek is hierbij essentieel. Bekijk bijvoorbeeld dit stappenplan: kwaliteitshandboek behalen: stappenplan van A tot Z. Dit helpt je om de basis goed te leggen voor die toekomstige audits.
De kosten van verlenging
Veel organisaties vergeten de kosten mee te tellen in hun begroting. Een verlenging is goedkoper dan de initiële certificering, maar het is nog steeds een investering. Je betaalt voor de dagen dat de auditor aanwezig is en voor de administratieve verwerking.
De kosten hangen af van de grootte van je bedrijf en het aantal vestigingen. Een klein bedrijf is vaak sneller klaar dan een groot concern. Houd er rekening mee dat als de audit extra tijd kost (bijvoorbeeld omdat er veel afwijkingen zijn), dit ook extra geld kost.
Wil je een idee krijgen van wat je kunt verwachten qua budget? Het is verstandig om hier op tijd onderzoek naar te doen. Je kunt hier meer lezen over de financiële kant: Hoeveel kost ISO normeisen in 2025?. Zo kom je niet voor verrassingen te staan.
Waarom zou je het überhaupt blijven doen?
Je vraagt je misschien af: waarom blijf ik dit doen? Het kost geld en tijd. Toch heeft het blijven certificeren veel voordelen. Het zorgt voor structuur en vertrouwen. Klanten weten dat ze op je kunnen bouwen.
Als je het certificaat eenmaal hebt, wil je het natuurlijk niet kwijtraken. Maar het echte voordeel zit 'm in de dagelijkse praktijk. Een gecertificeerd bedrijf werkt vaak efficiënter en heeft minder fouten. Dit levert op de lange termijn geld op.
Ben je benieuwd naar de concrete voordelen voor jouw bedrijf? Dit artikel gaat dieper in op wat het oplevert: Wat levert ISO 27001 je bedrijf concreet op?. Hoewel dit specifiek over 27001 gaat, zijn de voordelen voor andere normen vaak vergelijkbaar.
Conclusie
De geldigheid van een certificeringsaudit is dus drie jaar, met jaarlijkse surveillance tussendoor. Het verlengen gebeurt door een hercertificatie-audit uit te voeren voordat het certificaat afloopt. Het is een cyclus die ervoor zorgt dat bedrijven blijven verbeteren.
De belangrijkste tip? Zie het niet als een eenmalige klus, maar als een doorlopend proces. Als je dagelijks werkt volgens de norm, is de audit slechts een momentopname die je successen bevestigt. Zorg dat je op tijd bent, houd je administratie bij, en blijf vooral doen waar je goed in bent: je bedrijf runnen.