ISO 27001-hercertificering: wat verandert er na 3 jaar?
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
ISO 27001-update: surveillance vs. hercertificering
De ISO 27001-certificering loopt in een driejaarscyclus. Daarbinnen kom je twee soorten audits tegen.
Surveillance-audit (jaar 1 en 2)
Korter en gerichter, maar geen quick scan. De auditor toetst in elk geval je interne audits, directiebeoordeling, opvolging van eerdere bevindingen, klachten en eventuele scope-wijzigingen. Daarnaast neemt hij een sample uit Annex A: wisselend per jaar, niet één keer alle 93. Het doel is: bevestigen dat je ISMS (Information Security Management System) onderhoud krijgt en niet stilstaat.
Hercertificeringsaudit (jaar 3)
Volledige audit, vergelijkbaar met de oorspronkelijke certificering. De auditor toetst je hele scope tegen alle relevante controls uit Annex A, je risicoanalyse, je Verklaring van Toepasselijkheid (SoA), je directiebeoordelingen en je interne audits. Op basis daarvan wordt je certificaat opnieuw afgegeven voor de volgende drie jaar.
Zo bereid je je ISO 27001-hercertificering voor in vier stappen
Stap 1. Start zes maanden vooraf
Reken op een voorbereidingstijd van zes maanden voor de hercertificeringsaudit. Korter kan, maar dan moet je systeem al strak staan. Plan de externe audit in en werk daarvandaan terug.
Stap 2. Doe een interne audit (en neem de tijd)
Hoofdstuk 9.2 van de norm verplicht interne audits. Voor een hercertificering geldt: doe een grondige interne audit van je hele scope, niet alleen van wat sinds vorig jaar veranderd is. Een goede interne audit vindt de bevindingen die anders bij de externe auditor terechtkomen.
Stap 3. Voer een complete directiebeoordeling uit
De directiebeoordeling is je managementmoment. Daarin behandel je risico's, prestaties, incidenten, opvolging van eerdere bevindingen en wijzigingen in scope of context. De externe auditor leest de notulen: zorg dat alle hoofdstuk 9.3-onderwerpen zijn besproken en vastgelegd. Template nodig? Die download je hier.
Stap 4. Werk open non-conformiteiten, SoA, assetregister en risk treatment plan bij
Loop alle bevindingen van eerdere audits door. Wat staat nog open? Wat is gesloten, maar zonder verifieerbare actie? Werk je SoA bij met eventuele scope-wijzigingen, controleer of je risicoanalyse en risk treatment plan actueel zijn en kijk je asset-register na. Een SoA van twee jaar terug is een rode vlag voor een hercertificeringsaudit en datzelfde geldt voor een asset-register dat sinds de eerste audit niet meer is aangeraakt.
Wat kost een ISO 27001-hertificering?
De kosten van hercertificering liggen meestal in dezelfde ordegrootte als de oorspronkelijke audit. Je beïnvloedt ze op drie manieren:
- Goede voorbereiding: hoe minder de auditor moet repareren of doorvragen, hoe efficiënter zijn dagen. Een strakke interne audit vooraf is je beste investering.
- Stabiele scope: scope-wijzigingen tijdens de hercertificering geven extra audit-uren.
- Onderhoud certificaat: jaarlijks bijhouden van je ISMS scheelt grote sprongen op het laatste moment.
Veelgestelde vragen
Krijg ik een heel nieuw certificaat?
Ja. Het oude certificaat verloopt formeel; het nieuwe wordt afgegeven voor de volgende drie jaar. Je certificaatnummer blijft doorgaans wel hetzelfde: handig voor klantcommunicatie en aanbestedingen.
Wat als ik bevindingen krijg tijdens de hercertificering?
Minor non-conformities los je binnen een afgesproken termijn op. Bij een major non-conformity geeft of verlengt de certificerende instelling het certificaat pas als de corrective action én het effectiviteitsbewijs zijn geaccepteerd: meestal binnen 90 dagen.
Kan ik switchen van certificerende instelling tijdens hercertificering?
Ja, maar reken op extra werk. Afhankelijk van de dossieroverdracht doet een nieuwe CI een transfer-review of een volledige Stage 1-audit. De IAF-regels schrijven dat voor; "we nemen het over" zonder check bestaat niet.
Moet ik tijdens hercertificering opnieuw door Stage 1 en Stage 2?
Niet altijd. Bij een bestaande gecertificeerde organisatie wordt vaak één integrale hercertificeringsaudit gedaan in plaats van twee stages. Stem dit af met je CI.
Klaar voor je hercertificering?
Hercertificering is geen verlenging-met-vinkje. Het is een volledige toets. Wil je meer weten?
- Download onze ISO 27001 checklist
- Lees meer over ISO 27001 in onze gids
- Plan een vrijblijvend en kosteloos adviesgesprek in.
.png)
