Hoe lang is externe audit geldig en hoe verleng je het?

Thomas Bakker
Thomas Bakker
Redacteur KVGM & Veiligheid
ISO Certificering · 2026-01-25 · 10 min leestijd

Hoe lang is externe audit geldig en hoe verleng je het?

Een externe audit is meestal drie jaar geldig. Je verlengt het door elk jaar een kleine controle (surveillance-audit) te doen en na drie jaar een grotere herhalingsaudit uit te voeren. Als je dit netjes doet, blijft je certificaat geldig zonder onderbreking.

Stel je voor: je hebt eindelijk dat felbegeerde papiertje op zak. Je bedrijf is ISO-gecertificeerd. Hoog tijd om te vieren! Maar dan hoor je iets over surveillance-audits, herhalingsaudits en verlengingen. Wacht even. Is dat certificaat straks weer geldig? En moet je dan weer opnieuw beginnen?

Geen zorgen. Het klinkt ingewikkelder dan het is. In dit artikel leggen we precies uit hoe de vork in de steel zit. Want hoewel de meeste bronnen zeggen dat een certificaat drie jaar geldig is, zit het echte verhaal in de manier waarop je die drie jaar doorloopt. Het is geen sprint van drie jaar, maar een marathon die je in drie etappes loopt.

De magische drie jaar: waarom is dat eigenlijk zo?

Als je een rijbewijs haalt, ben je een stuk langer geldig. Waom doen bedrijfscertificaten dat dan niet? De reden is logisch. Een bedrijf verandert constant. Nieuwe medewerkers, nieuwe processen, nieuwe technieken. Een audit op maandag zegt niets over de situatie op dinsdag.

Daarom werken certificerende instellingen met een cyclus van drie jaar. Dit is de standaard voor de meeste ISO-normen, zoals ISO 9001 (kwaliteit) of ISO 27001 (informatiebeveiliging). Het idee is simpel: je moet laten zien dat je niet alleen goed bent, maar dat je ook blijft werken aan verbetering.

Denk aan een tuin. Je zaait (de certificering), je water geft en onkruid wiedt (de jaarlijkse controles), en na drie jaar controleer je of de tuin nog steeds bloeit (de herhalingsaudit). Als je drie jaar niets doet, groeit de boel dicht. Dus, hoe werkt dat in de praktijk?

Het eerste jaar: de start is cruciaal

Nadat je de eerste audit met succes hebt afgerond, begint het echte werk pas. Het certificaat is binnen, maar de teller loopt al. In de eerste 12 maanden na de certificering komt de certificerende instelling langs voor een zogenaamde surveillance-audit.

Dit is geen volledige audit zoals de eerste keer. Je hoeft niet alles opnieuw te bewijzen. De auditor kijkt vooral of je de gemaakte afspraken nakomt. Heeft het bedrijf de actiepunten van de vorige audit opgelost? Werken de medewerkers volgens de procedures?

Deze audit duurt meestal korter dan de oorspronkelijke certificering. Het is een soort APK-keuring voor je bedrijfsprocessen. Het doel is controleren of je stabiel blijft draaien. Als je hier doorheen komt, mag je door naar jaar twee. Een tip: zorg dat je documenten up-to-date zijn. Niets is vervelender dan een audit die mislukt omdat een formulier nog op de oude versie staat.

Jaar twee: de voortgangscontrole

Na twaalf maanden komt de auditor terug. Dit is vaak de surveillance-audit van jaar twee. Het patroon herhaalt zich, maar de focus kan iets verschuiven. Waar jaar één vaak gaat over het stabiliseren van het systeem, gaat jaar twee vaak over het meten van resultaten.

Heb je je doelstellingen gehaald? Als je hebt gezegd: "Wij gaan het aantal klachten met 10% verminderen", moet je kunnen laten zien dat je dit hebt gemeten en of het gelukt is. Dit is het moment om te laten zien dat je leert van je fouten en successen.

Het mooie van deze tussentijdse controles is dat ze je helpen om wakker te blijven. Het zorgt ervoor dat het certificaat niet in een la belandt en vergeten wordt. Je bent continue bezig met verbeteren, zonder dat het elke dag een zware last is. Het wordt onderdeel van je routine.

Jaar drie: de herhalingsaudit (de verlenging)

Hier komt de echte verlenging om de hoek kijken. Rond het einde van het derde jaar (meestal voordat het certificaat precies verloopt) komt de auditor voor de herhalingsaudit.

Dit is een grondige check. Je kunt het vergelijken met de eerste audit, maar dan met de voorkennis van de auditor. Hij of zij weet inmiddels hoe je bedrijf in elkaar steekt. De audit duurt vaak even lang als de allereerste keer, of soms iets korter als het systeem heel stabiel is.

Deze audit bepaalt of je certificaat verlengd wordt. Als je slaagt, wordt het certificaat opnieuw uitgegeven voor nog eens drie jaar. De cyclus begint weer opnieuw. Is er iets mis? Dan krijg je correctiepunten. Als die niet op tijd opgelost zijn, kan je certificaat vervallen. Dat wil je natuurlijk voorkomen.

Wat als je een audit mist?

Stel, je bent vergeten dat de surveillance-audit gepland stond. Of je hebt de afspraak afgezegd en niet opnieuw ingepland. Wat gebeurt er dan?

De meeste certificerende instellingen hebben een tolerantieperiode, maar die is kort. Als je een jaarlijkse controle mist, loop je het risico dat je certificaat tijdelijk wordt geschorst. Dit betekent dat je het niet meer mag gebruiken in je communicatie totdat de controle is ingehaald.

Als je te lang wacht (meestal meer dan 6 tot 9 maanden na de vervaldatum), moet je vaak een volledig nieuwe certificeringsaudit doen. Dat betekent weer dezelfde kosten en moeite als de eerste keer. Het is dus slimmer om gewoon op tijd te zijn. Plan deze data ver van tevoren in je agenda.

De kosten van verlenging: wat kun je verwachten?

Veel mensen denken dat verlengen goedkoper is dan de eerste certificering. Meestal is dat ook zo, maar het hangt af van de grootte van je bedrijf en de complexiteit van je processen.

De surveillance-audits (jaar 1 en 2) zijn vaak korter en dus goedkoper. De herhalingsaudit (jaar 3) is duurder, omdat deze uitgebreider is. De totale kosten over drie jaar zijn vaak lager dan drie keer een nieuwe certificering proberen.

Let op: sommige organisaties rekenen aparte kosten voor reistijd, rapportages en het gebruik van hun portaal. Vraag altijd een duidelijke offerte aan. Het is verstandig om offertes aan te vragen bij meerdere partijen. Denk aan bekende namen zoals DNV, Bureau Veritas, SGS of TÜV, maar kijk ook zeker naar gespecialiseerde Nederlandse partijen die aansluiten bij jouw branche.

Als je bedrijf flink gegroeid is of als de processen ingewikkelder zijn geworden, kan de auditor meer tijd nodig hebben. Houd hier rekening mee in je budget. Het is een investering in kwaliteit en vertrouwen.

Hoe bereid je je voor op een soepele verlenging?

De sleutel tot een makkelijke verlenging is consistentie. Je hoeft niet elke dag bezig te zijn met de audit, maar zorg dat je systeem leeft.

Een handige manier om dit te doen is door de PDCA cyclus (Plan-Do-Check-Act) toe te passen. Dit is een simpele manier om continue te verbeteren. Je plant iets, je doet het, je checkt of het werkt, en je past het aan waar nodig. Als je dit routine maakt, is de audit maar een formaliteit.

Zorg ook dat je interne audits uitvoert. Dit zijn audits die je zelf (of een collega) doet om te checken of alles goed gaat voordat de externe auditor komt. Dit is verplicht voor ISO-normen, maar het helpt je ook echt om problemen op te lossen voordat ze groot worden.

Organiseer eens per jaar een managementoverleg. Bespreek de resultaten, de klachten en de doelen. Zorg dat dit vastgelegd is. De auditor zal hier altijd om vragen. Het is het bewijs dat het management betrokken is.

ISO-normen en hun geldigheid: is het overal hetzelfde?

Hoewel drie jaar de standaard is, kunnen er kleine verschillen zitten tussen specifieke normen. De meeste managementnormen (ISO 9001, ISO 14001, ISO 27001) werken met hetzelfde driejarige schema. Maar voor specifieke sectoren kan het iets anders zijn.

Neem bijvoorbeeld ISO 45001, de norm voor arbomanagement. Ook hier is de basis drie jaar, maar de focus op risico's voor medewerkers vraagt om extra aandacht. Wil je weten hoe dat specifiek werkt voor veiligheid en gezondheid? Lees dan meer over hoe lang ISO 45001 geldig is en hoe je het verlengt. De principes zijn hetzelfde, maar de inhoudelijke eisen verschillen.

Het is belangrijk om je te verdiepen in de norm die voor jou relevant is. Een bouwbedrijf heeft andere eisen dan een IT-bedrijf. Voor de bouw is ISO 9001 vaak de basis. Wil je weten hoe je dat aanpakt in die sector? Kijk dan eens naar ISO 9001 voor een bouw. De logica achter de audits blijft hetzelfde: bewijs dat je het doet en dat je het bijhoudt.

Ben je nieuwsgierig naar het hele plaatje van certificeren? Er zijn veel verschillende normen en mogelijkheden. Een goed overzicht helpt je de juiste keuze te maken. Je kunt veel lezen over alles over ISO Certificering om te zien welk pad het beste bij jou past.

De rol van de auditor: vriend of vijand?

Veel mensen zien op tegen de auditor. Alsof het een soort politieagent is die alleen maar boetes geeft. Dat is een verkeerde mindset. Een goede auditor is een partner die je helpt om je bedrijf te verbeteren.

Natuurlijk, de auditor moet objectief zijn. Ze mogen geen fouten negeren. Maar hun doel is niet om je certificaat af te pakken. Ze willen zien dat je systeem werkt. Als ze een verbeterpunt zien, geven ze dat aan zodat jij er beter van wordt.

Probeer open en eerlijk te zijn tijdens de audit. Probeer niet dingen te verbergen. Dat werkt meestal averechts. Als je een probleem hebt, leg dan uit hoe je het gaat oplossen. Dat wordt vaak meer gewaardeerd dan perfectie.

Je mag zelf kiezen welke certificerende instelling je gebruikt, zolang ze geaccrediteerd zijn (door de Raad voor Accreditatie, RvA). Dit geeft je de vrijheid om te zoeken naar een auditor die goed bij je bedrijfscultuur past. Iemand die de taal spreekt en begrijpt wat je doet.

Praktische stappen voor verlenging

Om het overzichtelijk te houden, hier een simpel stappenplan voor de driejarige cyclus:

  1. Jaar 0 (Certificering): Volledige audit. Actiepunten oplossen.
  2. Jaar 1 (Surveillance): Controle op actiepunten en stabiliteit. Interne audit en managementoverleg tonen.
  3. Jaar 2 (Surveillance): Focus op resultaten en metingen. Doelen behaald?
  4. Jaar 3 (Herhalingsaudit): Volledige check van het hele systeem. Verlenging voor 3 jaar.

Houd een map bij (digitaal of fysiek) met alle bewijslasten. Zodra de auditor iets vraagt, kun je het direct laten zien. Dit scheelt stress en tijd.

Wat gebeurt er na drie jaar?

Na drie jaar stopt het certificaat officieel. Tenminste, als je niet op tijd verlengt. Als je de herhalingsaudit succesvol afrondt, krijg je een nieuw certificaat met een nieuwe vervaldatum. De oude vervaldatum telt niet meer mee.

Sommige bedrijven kiezen ervoor om na een cyclus van 3 of 6 jaar te stoppen. Dat mag. Maar als je het certificaat wilt behouden, moet je de cyclus blijven volgen. Het is een doorlopende verbintenis.

Let op dat je de certificaten goed bewaart. Je hebt ze nodig voor klanten, opdrachtgevers en soms voor verzekeringen. Zorg dat je altijd een geldig certificaat kunt overleggen.

Conclusie

Een externe audit verlengen is geen rocket science. Het is een gestructureerd proces van drie jaar. Het bestaat uit twee jaarlijkse controles en een grotere verlengingsaudit in het derde jaar.

Door je systeem levend te houden en te blijven verbeteren, wordt de audit een logisch gevolg van je dagelijkse werk. Je bent niet aan het 'spelen' voor de audit, je bent gewoon aan het ondernemen. En dat is precies wat de norm van je vraagt.

Onthoud: het certificaat is een erkenning van wat je al doet. Het is geen doel op zich. Zolang je dat in je achterhoofd houdt, komt die verlenging vanzelf goed. En blijft je bedrijf groeien.

Volgende stap
Lees het complete overzicht
Alles over ISO Certificering: de complete gids voor 2026 →
Thomas Bakker
Over Thomas Bakker

Thomas schrijft al meer dan 8 jaar over KVGM, arbeidsveiligheid en milieucertificering. Als onafhankelijk redacteur helpt hij bedrijven om VCA, ISO en andere veiligheidseisen te begrijpen en implementeren.

Op de hoogte blijven?
Ontvang praktische tips over KVGM-certificering. Geen spam, alleen bruikbare informatie.
Door je aan te melden ga je akkoord met onze voorwaarden. Je gegevens worden niet gedeeld met derden.