Een ISO 27001-certificaat is drie jaar geldig vanaf de datum van afgifte. Gedurende die drie jaar voer je jaarlijkse tussentijdse controles uit, de zogeheten surveillance-audits, om aan te tonen dat je informatiebeveiligingssysteem nog steeds functioneert zoals het hoort. Na drie jaar verloopt het certificaat en start je een hercertificeringstraject om de cyclus opnieuw te beginnen. Wil je weten hoe dit proces precies in elkaar zit? We helpen je graag verder via onze contactpagina. In dit artikel beantwoorden we alle veelgestelde vragen over de geldigheidsduur, surveillance-audits, hercertificering en alles wat daartussenin speelt.
Hoe lang is een ISO 27001-certificaat geldig?
Een ISO 27001-certificaat heeft een geldigheidsduur van drie jaar. Binnen die periode moet je aantonen dat je informatiebeveiliging op peil blijft via jaarlijkse surveillance-audits. Pas na het succesvol doorlopen van de volledige driejarige cyclus, inclusief die tussentijdse controles, kun je het certificaat verlengen via een hercertificering.
De driejarige cyclus is geen willekeurige keuze. ISO 27001 is gebaseerd op het principe van continue verbetering: een organisatie moet haar informatiebeveiligingsbeleid voortdurend evalueren en aanpassen aan veranderende risico’s, technologie en wetgeving. Drie jaar biedt genoeg tijd om volwassenheid te tonen, maar niet zo lang dat het systeem kan verouderen zonder toetsing.
Het certificaat wordt afgegeven door een geaccrediteerde certificatie-instelling, zoals wij als DigiTrust. De geldigheid is direct gekoppeld aan het actief bijhouden van je Information Security Management System (ISMS) en het succesvol doorlopen van de geplande auditmomenten.
Wat zijn surveillance-audits en wanneer vinden ze plaats?
Surveillance-audits zijn jaarlijkse tussentijdse controles die plaatsvinden in het eerste en tweede jaar na de initiële certificering. Ze toetsen of je ISMS nog steeds voldoet aan de eisen van ISO 27001 en of je verbeteringen doorvoert waar dat nodig is. Zonder geslaagde surveillance-audits verliest je certificaat zijn geldigheid.
Tijdens een surveillance-audit wordt niet het volledige normenkader opnieuw doorgelopen. De focus ligt op specifieke onderdelen van je ISMS, zoals de interne auditresultaten, de managementbeoordeling, de voortgang op eerder vastgestelde verbeterpunten en eventuele wijzigingen in de organisatie of haar risico-omgeving.
De planning is als volgt:
- Jaar 1: Eerste surveillance-audit, ongeveer twaalf maanden na de initiële certificering
- Jaar 2: Tweede surveillance-audit, ongeveer vierentwintig maanden na de initiële certificering
- Jaar 3: Hercertificeringsaudit ter afsluiting van de cyclus
Houd er rekening mee dat surveillance-audits worden gepland op basis van de certificeringsdatum, niet op basis van het kalenderjaar. Goede voorbereiding en een goed bijgehouden ISMS maken deze audits een stuk minder belastend.
Wat gebeurt er als een certificaat verloopt?
Als een ISO 27001-certificaat verloopt zonder dat er tijdig een hercertificering heeft plaatsgevonden, verliest de organisatie het recht om te claimen dat ze gecertificeerd is. Het certificaat mag dan niet meer worden gebruikt in offertes, op de website of in communicatie richting klanten en partners.
Een verlopen certificaat heeft praktische gevolgen. Veel opdrachtgevers en aanbestedende partijen stellen als harde eis dat een geldig certificaat wordt overlegd. Is dat certificaat verlopen, dan kan dit leiden tot het mislopen van contracten of het niet mogen deelnemen aan aanbestedingen. Ook intern geeft een verlopen certificaat een signaal af dat informatiebeveiliging niet de prioriteit heeft die het verdient.
Wil je na een verlopen certificaat opnieuw gecertificeerd worden, dan is een volledige hercertificeringsaudit nodig. Afhankelijk van hoe lang het certificaat verlopen is en in welke staat het ISMS verkeert, kan dit een intensiever traject zijn dan een reguliere hercertificering. Tijdig plannen voorkomt deze situatie.
Hoe werkt de hercertificering aan het einde van de cyclus?
Hercertificering is het proces waarmee je aan het einde van de driejarige cyclus je ISO 27001-certificaat verlengt. Het omvat een uitgebreide audit waarbij het volledige ISMS opnieuw wordt beoordeeld, vergelijkbaar met de initiële certificeringsaudit maar met extra aandacht voor de ontwikkeling en volwassenheid van het systeem in de afgelopen drie jaar.
De hercertificeringsaudit bestaat doorgaans uit twee fasen:
- Documentatiebeoordeling: De auditor toetst of de documentatie van je ISMS actueel, volledig en consistent is met de eisen van de norm.
- Implementatieaudit: Op locatie of op afstand wordt gecontroleerd of de beschreven maatregelen daadwerkelijk worden uitgevoerd en effectief zijn.
Een belangrijk verschil met de initiële certificering is dat bij hercertificering ook de continuïteit en verbetering over de gehele cyclus worden beoordeeld. Zijn er bevindingen uit eerdere audits adequaat opgepakt? Heeft de organisatie haar ISMS aangepast aan nieuwe risico’s en ontwikkelingen? Dit maakt hercertificering een waardevolle reflectie op drie jaar informatiebeveiliging.
Plan de hercertificeringsaudit bij voorkeur twee tot drie maanden voor het verstrijken van de geldigheidsdatum. Zo is er voldoende tijd om eventuele bevindingen op te lossen zonder dat het certificaat tussentijds verloopt.
Kan een certificaat tussentijds worden ingetrokken?
Ja, een ISO 27001-certificaat kan tussentijds worden geschorst of ingetrokken door de certificatie-instelling. Dit gebeurt wanneer een organisatie niet langer voldoet aan de eisen van de norm of wanneer zij haar verplichtingen richting de certificatie-instelling niet nakomt.
Veelvoorkomende redenen voor schorsing of intrekking zijn:
- Het niet tijdig plannen of doorlopen van surveillance-audits
- Ernstige bevindingen die niet binnen de afgesproken termijn worden opgelost
- Significante wijzigingen in de organisatie die niet zijn gemeld aan de certificatie-instelling
- Misbruik van het certificaatlogo of onjuiste claims over de certificeringsstatus
Bij schorsing krijgt een organisatie doorgaans een hersteltermijn om de situatie te corrigeren. Wordt die termijn overschreden of zijn de tekortkomingen te ernstig, dan volgt intrekking. Na intrekking moet een volledig nieuw certificeringstraject worden doorlopen om opnieuw gecertificeerd te worden.
Hoe blijf je continu klaar voor audits binnen de certificatiecyclus?
Continu auditgereed blijven begint met het behandelen van je ISMS als een levend systeem, niet als een eenmalig project. Organisaties die hun informatiebeveiliging structureel inbedden in dagelijkse processen, ervaren surveillance-audits en hercertificering als een bevestiging van wat ze al doen, in plaats van als een stressvolle voorbereiding.
Praktische stappen om continu klaar te blijven:
- Voer regelmatig interne audits uit: Minimaal één keer per jaar, maar bij voorkeur vaker bij grotere organisaties of snel veranderende omgevingen.
- Houd de managementbeoordeling actueel: Zorg dat het management aantoonbaar betrokken is bij het ISMS en dat beoordelingen goed gedocumenteerd zijn.
- Registreer en volg bevindingen op: Een goed bijgehouden logboek van non-conformiteiten en verbetermaatregelen laat zien dat je systeem werkt.
- Houd documentatie actueel: Beleid, procedures en risicobeoordelingen moeten de huidige werkelijkheid weerspiegelen.
- Train medewerkers continu: Bewustzijn rondom informatiebeveiliging moet onderdeel zijn van de organisatiecultuur, niet alleen een jaarlijkse e-learning.
Een goede vuistregel: als je op elk moment van het jaar een auditor zou kunnen ontvangen zonder extra voorbereiding, zit je op de juiste koers. Dat klinkt ambitieus, maar het is precies wat een volwassen ISMS beoogt te bereiken. Wil je weten hoe je jouw organisatie optimaal voorbereidt op de certificatiecyclus? Neem contact op en we denken graag met je mee.
Veelgestelde vragen
Hoe lang is een ISO 27001-certificaat geldig en wat moet ik in die periode doen?
V: Hoe lang is een ISO 27001-certificaat geldig en wat moet ik in die periode doen?nA: Een ISO 27001-certificaat is drie jaar geldig, maar je bent gedurende die periode verplicht om jaarlijkse surveillance-audits te doorlopen om aan te tonen dat je informatiebeveiliging op peil blijft. Alleen door deze tussentijdse controles succesvol af te ronden, behoud je het recht om je gecertificeerde status te gebruiken richting klanten en partners.
Wat gebeurt er als ik een surveillance-audit mis of mijn certificaat laat verlopen?
V: Wat gebeurt er als ik een surveillance-audit mis of mijn certificaat laat verlopen?nA: Als je een surveillance-audit mist of je certificaat laat verlopen zonder tijdige hercertificering, verlies je het recht om je gecertificeerde status te claimen in offertes, op je website en in klantcommunicatie. Dit kan directe zakelijke gevolgen hebben, zoals het mislopen van contracten of uitsluiting van aanbestedingen waarbij een geldig certificaat verplicht is.
Wanneer moet ik beginnen met de voorbereiding op mijn hercertificering?
V: Wanneer moet ik beginnen met de voorbereiding op mijn hercertificering?nA: Het is verstandig om de hercertificeringsaudit twee tot drie maanden vóór het verstrijken van je certificaat in te plannen, zodat je voldoende tijd hebt om eventuele bevindingen op te lossen zonder dat je certificaat tussentijds verloopt. Door je ISMS continu bij te houden en interne audits regelmatig uit te voeren, voorkom je dat de voorbereiding een intensief en stressvol traject wordt.
Waarom kan een ISO 27001-certificaat tussentijds worden ingetrokken?
V: Waarom kan een ISO 27001-certificaat tussentijds worden ingetrokken?nA: Een certificaat kan worden geschorst of ingetrokken als je niet langer voldoet aan de eisen van de norm, bijvoorbeeld door het missen van surveillance-audits, het niet oplossen van ernstige bevindingen of het onjuist gebruik van het certificaatlogo. Na intrekking moet je een volledig nieuw certificeringstraject doorlopen om opnieuw gecertificeerd te worden.
Gerelateerde artikelen
- Welke norm is het meest relevant voor een organisatie ISO 27001 of NEN 7510?
- Wat moet je doen om te certificeren voor NEN 7510?
- Wat zijn de kwalificaties van een goede ISO 27001 auditor?
- Hoe moeilijk is het om ook NEN 7510 te halen als je al ISO 27001 hebt?
- Welke documenten zijn nodig voor ISO 27001 certificering?
