Het behalen van het ISO 27001-certificaat is een mijlpaal, maar het is geen eindbestemming. Na de initiële certificering volgt een driejarige cyclus van surveillance-audits en een hercertificeringsaudit. Voor veel MKB-organisaties komt de eerste surveillance-audit als een verrassing: men dacht dat het certificaat drie jaar lang automatisch geldig zou zijn. Dat klopt niet.
In dit artikel lees je precies hoe de auditcyclus werkt, wat er tijdens surveillance-audits wordt gecontroleerd en hoe je je certificaat zonder stress behoudt.
De driejarige certificeringscyclus
ISO 27001-certificering werkt in een cyclus van drie jaar:
| Jaar | Type audit | Doel |
|---|---|---|
| Jaar 0 | Stage 1 + Stage 2 (initieel) | Certificaat behalen |
| Jaar 1 | Surveillance-audit 1 | Aantonen van continu onderhoud |
| Jaar 2 | Surveillance-audit 2 | Aantonen van continu onderhoud |
| Jaar 3 | Hercertificeringsaudit | Volledige hernieuwde beoordeling |
Na de hercertificeringsaudit in jaar 3 begint de cyclus opnieuw. Het certificaat verliest zijn geldigheid als je een surveillance-audit overslaat of als er ernstige nonconformities zijn die je niet tijdig verhelpt.
Wat wordt er tijdens een surveillance-audit getoetst?
Een surveillance-audit is minder uitgebreid dan de initiële Stage 2-audit, maar minder uitgebreid betekent niet vrijblijvend. De auditor controleert specifiek of je ISMS levend en actief is — niet of het ooit is opgezet.
Standaard onderdelen van een surveillance-audit:
Managementreview
De auditor wil zien dat de directie het ISMS actief bestuurt. Hiervoor heb je een gedocumenteerde management review nodig — een formeel overleg waarbij de directie de werking van het ISMS beoordeelt. Onderwerpen in deze review zijn onder andere:
- Resultaten van interne audits
- Voortgang van beveiligingsdoelstellingen
- Status van corrigerende maatregelen
- Veranderingen in de organisatie of externe context
- Terugkoppeling van belanghebbenden
Interne auditprogramma
Je moet aantonen dat je interne audits uitvoert. De auditor controleert het auditprogramma, de auditverslagen en de opvolging van bevindingen. Heb je de afgelopen twaalf maanden geen interne audit gehouden? Dan is dat vrijwel zeker een nonconformity.
Incidentbeheer
Zijn er informatiebeveiligingsincidenten geweest in het afgelopen jaar? Dan wil de auditor zien hoe je die heeft geregistreerd, geanalyseerd en opgelost. Heb je géén incidenten geregistreerd, dan kan de auditor vraagtekens plaatsen bij de volwassenheid van je meldcultuur.
Voortgang van het risicobehandelplan
Je risicobehandelplan beschrijft welke maatregelen je gaat nemen om risico’s te beheersen. De auditor controleert of je daadwerkelijk voortgang heeft geboekt op de geplande maatregelen en of je risicoanalyse is bijgewerkt na wijzigingen in de organisatie.
Tip: Houd een eenvoudig voortgangsregister bij van je risicobehandelplan. Noteer per maatregel de geplande einddatum, de verantwoordelijke persoon en de huidige status. Dit document spreekt voor zich tijdens een surveillance-audit en toont aan dat je actief bezig bent met verbetering.
Hoeveel tijd kost een surveillance-audit?
Een surveillance-audit is aanzienlijk korter dan de initiële certificeringsaudit. Voor een MKB-organisatie van 10 tot 50 medewerkers rekent je op gemiddeld een halve tot één auditdag. Grotere organisaties rekenen op één tot twee dagen.
De audit vindt veelal op locatie plaats, maar sommige certificeringsinstellingen bieden ook hybride opties aan waarbij een deel remote wordt uitgevoerd.
Veelgemaakte fouten die leiden tot problemen bij surveillance
De praktijk leert dat organisaties na de initiële certificering regelmatig in dezelfde valkuilen stappen:
1. ISMS-documenten worden niet bijgehouden Beleidsopgaven worden vastgesteld en daarna nooit meer herzien. ISO 27001 vereist periodieke review van alle relevante documenten. Controleer jaarlijks of je documenten nog actueel zijn.
2. Medewerkers volgen geen herhalingstraining Bewustwordingstraining is geen eenmalige activiteit. Je moet aantonen dat medewerkers regelmatig worden getraind. Plan bewustwordingssessies minstens één keer per jaar in.
3. Nieuwe systemen of leveranciers niet verwerkt in het ISMS Als je een nieuwe cloudtoepassing in gebruik neemt, moet je die beoordelen en opnemen in je risicoanalyse. Auditoren letten specifiek op wijzigingen die niet zijn verwerkt.
4. Geen follow-up op interne auditbevindingen Een interne audit uitvoeren is één ding; de bevindingen ook daadwerkelijk opvolgen een ander. Zorg dat corrigerende maatregelen worden gedocumenteerd én afgerond.
De hercertificeringsaudit in jaar 3
Na drie jaar vindt de hercertificeringsaudit plaats. Dit is een volledige herbeoordeling van je ISMS, vergelijkbaar met de initiële Stage 2-audit. De auditor beoordeelt de effectiviteit van het gehele systeem over de afgelopen drie jaar en toetst of je voldoet aan de meest actuele versie van de norm.
Houd er rekening mee dat je de hercertificering ruim op tijd moet aanvragen — doorgaans drie tot zes maanden voor het verlopen van je certificaat. Wacht je te lang, dan loop je het risico dat je certificaat verloopt voordat de nieuwe audit is afgerond.
| Activiteit | Aanbevolen timing |
|---|---|
| Hercertificering plannen | 6 maanden voor verloopdatum |
| Interne pre-audit uitvoeren | 3 maanden voor hercertificering |
| Documenten actualiseren | 2 maanden voor hercertificering |
| Directiebeoordeling houden | 1 maand voor hercertificering |
Praktisch: hoe blijft je het hele jaar audit-ready?
De beste voorbereiding op een surveillance-audit is om je ISMS het hele jaar door actief te onderhouden. Praktische aanpak:
- Maandelijks: bijhouden van incidentenregister, toegangsreviews
- Kwartaals: voortgangscheck risicobehandelplan, controleren van KPI’s informatiebeveiliging
- Halfjaarlijks: bewustwordingstraining medewerkers
- Jaarlijks: interne audit, directiebeoordeling, herziening beleidsopgaven
Veelgestelde vragen
Wat als ik de surveillance-audit niet tijdig plan? Als je de surveillance-audit overslaat of te laat plant, kan de certificeringsinstelling je certificaat intrekken. Zet de deadlines voor surveillance-audits vast in je agenda direct na het behalen van de initiële certificering.
Kan ik van certificeringsinstelling wisselen? Ja, dat is mogelijk, maar het vereist een nieuwe initiële audit bij de nieuwe instelling. Overweeg dit alleen als je serieuze bezwaren heeft tegen je huidige instelling.
Is een surveillance-audit goedkoper dan de initiële certificeringsaudit? Ja, doorgaans aanzienlijk. Een surveillance-audit kost ruwweg de helft tot twee derde van de kosten van de initiële certificering, afhankelijk van de instelling en je organisatieomvang.
Wil je je ISO 27001-certificering structureel onderhouden zonder elk jaar opnieuw vanaf nul te beginnen? Control One helpt je met een continu ISMS dat altijd audit-ready is. Bekijk onze opties op de prijzenpagina.
Klaar om te starten met ISO 27001?
Control One begeleidt je stap voor stap door het volledige implementatieproces. Van gap-analyse tot certificeringsaudit — inclusief alle templates en werkstromen.