Hoe lang is ISO 27001 geldig en hoe verleng je het?

Je ISO 27001 certificaat is precies drie jaar geldig. Na die periode is het certificaat verlopen tenzij je het op tijd verlengt. De verlenging gebeurt door een zogenaamde hercertificeringsaudit, die je moet doorstaan om weer drie jaar vooruit te kunnen.

Stel je voor: je hebt eindelijk dat felbegeerde papiertje op zak. Je bedrijf is nu officieel ISO 27001 gecertificeerd. De champagne is ontkurkt, de collega’s blij, en je bent trots op het behaalde resultaat. Maar dan komt er na een tijdje een mailtje van de certificeringsinstantie: "Herinnering: hercertificering staat gepland." Het gevoel van opluchting maakt plaats voor een lichtelijke paniek. Moet je alles opnieuw gaan uitzoeken? Is het net zoveel werk als de eerste keer?

Veel organisaties hebben dit gevoel. Ze zien op tegen de driejaarlijkse cyclus en vragen zich af of het echt nodig is. Het antwoord is volmondig: ja, het is noodzakelijk. Maar het is lang niet zo spannend als het lijkt, mits je het slim aanpakt. In dit artikel duiken we dieper in de levensduur van je certificaat en geven we je een concrete roadmap voor een soepele verlenging.

De driejarige cyclus: meer dan alleen een stempel

ISO 27001 is geen eenmalig project. Het is een managementsysteem dat leeft en ademt binnen je organisatie. De certificeringsinstantie ziet het certificaat als een bewijs dat je op dit moment voldoet aan de norm, maar ze willen er zeker van zijn dat je dit de komende jaren ook blijft doen.

Daarom duurt een certificaat standaard drie jaar. In die periode gebeurt er het volgende:

• Jaarlijkse onderhoudsaudit (surveillance-audit): In het eerste en tweede jaar na de initiële certificering komt de auditor langs voor een bezoek. Dit is meestal korter en minder intensief dan de allereerste audit. De auditor checkt of je het systeem nog steeds gebruikt en of je de gemaakte afspraken nakomt.
• De derde jaar: hercertificering: In het derde jaar is de audit veel uitgebreider. Dit is het moment waarop je certificaat verlengd wordt voor weer een nieuwe cyclus van drie jaar.

Het doel van deze cyclus is voorkomen dat het certificaat alleen op papier bestaat. Het moet in de praktijk werken. Het gaat niet alleen om techniek, maar ook om gedrag en processen.

Hoe verloopt de verlenging stap voor stap?

De verlenging (hercertificering) voelt groot, maar het is eigenlijk een herhaling van wat je eerder hebt gedaan, met een frisse blik. Hier is een stappenplan dat je kunt volgen om je voor te bereiden.

Stap 1: De voorbereiding (maanden van tevoren)

Begin op tijd. Wacht niet tot de auditor voor de deur staat. Plan intern een vergadering om de huidige status van je Information Security Management System (ISMS) te bespreken. Zijn er grote veranderingen geweest in de afgelopen drie jaar? Denk aan nieuwe software, een verhuizing of een fusie. Deze informatie is cruciaal voor de auditor.

Verzamel alle documenten die je nodig hebt. Denk aan:

• De huidige risicoanalyse.
• Beleidsdocumenten (zoals het informatiebeveiligingsbeleid).
• Logs van interne audits en managementreviews.
• Incidentenrapporten van de afgelopen jaren.

Stap 2: De interne audit

Voordat de externe auditor langskomt, moet je zelf kritisch kijken naar je systeem. Dit is verplicht. Voer een interne audit uit. Dit betekent niet dat je alles zelf moet checken; je kunt ook een collega vragen om een ander proces te controleren (interne objectiviteit).

Check of alle procedures nog kloppen. Werkt de toegangscontrole nog zoals het hoort? Zijn de wachtwoordregels nog up-to-date? Het doel is om problemen te vinden voordat de externe auditor ze vindt.

Stap 3: De managementreview

Na de interne audit is het tijd voor de managementreview. Dit is een formele vergadering waarin het management bespreekt of het ISMS nog steeds effectief is. Dit moet vastgelegd worden. Bespreek hier de resultaten van de interne audit, klanttevredenheid, wijzigingen in wetgeving en de prestaties van de afgelopen periode.

Dit is een moment om knopen door te hakken. Moet er budget vrijgemaakt worden voor nieuwe beveiligingsmaatregelen? Zijn er personele wijzigingen nodig?

Stap 4: De hercertificeringsaudit

Het moment is daar. De auditor komt langs. In tegenstelling tot de jaarlijkse check, zal de auditor nu dieper ingaan op de hele cyclus. Hij of zij wil zien dat je de norm niet alleen 'op papier' hebt staan, maar dat het leeft in de organisatie.

De auditor zal willekeurige medewerkers spreken, fysieke beveiliging controleren en technische maatregelen testen. Het is een moment om te laten zien dat je bedrijf veiligheid serieus neemt.

Is de uitkomst positief? Dan ontvang je weer een certificaat met een geldigheid van drie jaar. Is er een afwijzing? Dan krijg je meestal de kans om binnen een bepaalde tijd correcties door te voeren.

Wat gebeurt er als je niets doet?

Stel, je laat de tijd verlopen. Je certificaat vervalt. Wat betekent dat concreet?

Allereerst: je mag het ISO 27001 logo niet meer gebruiken in je communicatie of op je website. Dit kan reputatieschade opleveren, vooral als klanten verwachten dat je gecertificeerd bent.

Ten tweede: veel klanten eisen een geldig certificaat. Als je certificaat verloopt, loop je het risico opdrachten te verliezen of niet mee te kunnen dingen naar nieuwe aanbestedingen.

Her certificeren na verloop is mogelijk, maar het proces verschilt. Als je certificaat korter dan een jaar verlopen is, volgt vaak een verkorte audit. Is het langer verlopen? Dan moet je waarschijnlijk het hele traject opnieuw beginnen, inclusief de initiële audit. Dat is een stuk duurder en tijdrovender.

Hoe houd je het leven leuk tijdens de certificeringscyclus?

Het gevaar van ISO 27001 is dat het een 'jaarlijks karweitje' wordt. Om het leuk te houden en daadwerkelijk waarde te halen uit je certificering, moet je het integreren in je dagelijkse werk.

Probeer de volgende drie gewoontes aan te nemen:

1. Maak er een gewoonte van, niet een project. Beveiliging is geen iets-wat-je-eens-per-jaar-doet. Het is continu. Gebruik kleine checklists in je dagelijkse werk.
2. Blijf leren. De wereld van informatiebeveiliging verandert snel. Nieuwe dreigingen vragen om nieuwe maatregelen. Zorg dat je kennis up-to-date blijft.
3. Vier successen. Als er een beveiligingslek is gedicht of als een interne audit soepel verliep, vier dat dan. Het motiveert het team.

Praktische tips voor een soepele verlenging

Wil je zorgen dat de verlenging geen stress oplevert? Hier zijn een aantal concrete tips die je helpen om het proces soepel te laten verlopen.

First things first: begin veel eerder dan je denkt. Veel bedrijven wachten tot drie maanden voor de vervaldatum, maar begin minimaal zes maanden van tevoren met de voorbereiding. Dit geeft ruimte voor onverwachte hiccups.

Zorg dat je documentatie op orde is. Het is een cliché, maar het is waar. De auditor zal veel vragen stellen, maar het antwoord moet vaak terug te vinden zijn in een document. Als je beleid zegt dat je back-ups maakt, maar er is geen logboek of procedure, dan telt het niet.

Als je wilt weten hoe je dit soort normen het beste kunt aanpakken, is het handig om breder te kijken. Op onze pagina over Alles over ISO Certificering: de complete gids voor 2025 vind je veel achtergrondinformatie over hoe verschillende normen in elkaar steken.

Het verschil tussen ISO 27001 en andere normen

Hoewel dit artikel gaat over ISO 27001, is het goed om te weten dat de driejaarlijkse cyclus vrij standaard is binnen de ISO-wereld. Of je nu kijkt naar kwaliteitsmanagement (ISO 9001) of arbo (ISO 45001), de structuur van certificering en verlenging lijkt vaak op elkaar.

Veel organisaties kiezen ervoor om meerdere normen te combineren (geïntegreerd managementssysteem). Dit kan efficiënt zijn omdat je audits kunt combineren. Als je je afvraagt of een andere norm relevant is voor jou, kun je kijken naar wat ISO 9001 jou oplevert. Check hiervoor Is ISO 9001 verplicht voor jouw bedrijf?. Het gaat hier vaak om klanttevredenheid en procesverbetering, wat naadloos aansluit op de veiligheidseisen van ISO 27001.

Daarnaast is er aandacht voor de menselijke factor. Beveiliging is niet alleen techniek; het gaat ook over hoe je medewerkers werken. Een veilige werkomgeving is essentieel. Ben je benieuwd hoe je dat aanpakt? Lees dan Wat levert ISO 45001 je bedrijf concreet op?. Hoewel dit over arbeidsomstandigheden gaat, zie je dat een tevreden en goed opgeleide medewerker vaak de beste beveiliger is.

De rol van de auditor: vriend of vijand?

Veel mensen zien op tegen de auditor. Alsof het een politieagent is die alleen maar boetes uitdeelt. Dat is een verkeerde mindset. Een goede auditor is een partner die je helpt om je bedrijf beter te maken.

Probeer transparant te zijn. Als je weet dat er een zwakke plek is, maar je bent er actief mee bezig om het op te lossen, deel dat dan. Een auditor waardeert het als je proactief bent. Het gaat er niet om dat je perfect bent, maar dat je aantoont dat je continu verbetert.

Het is ook slim om je medewerkers voor te bereiden op de komst van de auditor. Zorg dat ze weten wat ISO 27001 inhoudt en waarom het belangrijk is voor het bedrijf. Dit voorkomt onnodige zenuwen en onduidelijke antwoorden tijdens de interviews.

Concreet stappenplan voor de komende maanden

Om je op weg te helpen, hier een visuele weergave van hoe je je tijd kunt indelen rondom de verlenging. Dit is een generieke planning; pas deze aan op basis van de grootte van je organisatie.

• 6 maanden voor vervaldatum: Plan de hercertificeringsaudit in met je certificeringsinstantie. Start de interne voorbereiding.
• 4 maanden voor vervaldatum: Voer de interne audits uit. Check alle processen.
• 3 maanden voor vervaldatum: Voer de managementreview uit. Bespreek de bevindingen en stel actieplannen op.
• 1 maand voor vervaldatum: De externe audit vindt plaats. Zorg dat alle documenten klaarliggen.
• Na de audit: Verwerk de resultaten. Als er non-conformiteiten zijn, los deze dan snel op.

Een goede voorbereiding helpt niet alleen bij de audit, maar ook bij het verbeteren van je dagelijkse bedrijfsvoering. Wil je meer weten over hoe je de normeisen praktisch kunt toepassen? Bekijk dan Praktische tips voor een succesvolle ISO normeisen. Dit geeft je handvatten om de eisen niet als last, maar als voordeel te zien.

Veelgestelde vragen over de geldigheid

Om het artikel compleet te maken, beantwoorden we nog een paar vragen die vaak terugkomen.

Kan ik mijn certificaat tussentijds opzeggen?
Ja, dat kan. Je bent niet verplicht om de cyclus af te maken. Houd er wel rekening mee dat je dan het certificaat inlevert en het logo niet meer mag gebruiken.

Wat als we niet slagen voor de hercertificering?
Dit komt gelukkig niet vaak voor als je je onderhoud goed hebt gedaan. Mocht het gebeuren, dan krijg je meestal een correctietermijn. Als je de problemen binnen die termijn oplost, mag je alsnog verlengen. Lukt dat niet? Dan vervalt het certificaat.

Is de hercertificering duurder dan de initiële audit?
Over het algemeen is de hercertificering goedkoper omdat de auditor minder tijd nodig heeft dan bij de allereerste audit. Echter, als er veel non-conformiteiten zijn, kan de audit langer duren en dus duurder worden.

Conclusie

De geldigheid van ISO 27001 is drie jaar, maar de verlenging ervan is een proces dat continuïteit vereist. Het is geen race tegen de klok, maar een marathon van verbeteren. Door je interne audits serieus te nemen, je documentatie bij te houden en je medewerkers te betrekken, wordt de hercertificering een formaliteit in plaats van een nachtmerrie.

Zie het certificaat niet als een doel, maar als een middel. Een middel om je informatiebeveiliging op peil te houden, klantvertrouwen te winnen en je bedrijf toekomstbestendig te maken. Met de juiste voorbereiding en een positieve mindset zorg je ervoor dat je certificaat niet alleen geldig blijft, maar ook waarde toevoegt aan je organisatie.