Het bericht Is ISO27001 verplicht? Dit moet je als mkb-organisatie weten verscheen eerst op Vink Information Security.

Een verkeerd geadresseerde e-mail met klantgegevens. Een verloren laptop zonder versleuteling. Een medewerker die per ongeluk een Excel-bestand in Teams deelt met “iedereen”. Veel datalekken ontstaan niet door “geavanceerde hackers”, maar door heel gewone vergissingen.

Toch zijn de gevolgen allesbehalve klein: meldplichten, stress, onderzoek door de Autoriteit Persoonsgegevens, imagoschade en soms zelfs boetes. De Autoriteit Persoonsgegevens benadrukt daarom dat organisaties zélf veel kunnen doen om datalekken te voorkomen of de impact te beperken.

In dit artikel laten we concreet zien hoe u een datalek voorkomt – pragmatisch, haalbaar en afgestemd op mkb-organisaties die IT veelal hebben uitbesteed, maar wél verantwoordelijk blijven.

Kort antwoord: hoe voorkomt u een datalek?

Hoe datalek voorkomen? In de praktijk werkt een combinatie van beleid, mens en techniek het beste. In de kern doet u het volgende:

1. Verwerk minder data – verzamel, bewaar en deel alleen persoonsgegevens die echt nodig zijn.
2. Richt duidelijke processen in – wie mag wat, waar staat welke data, hoe wordt die gedeeld?
3. Train medewerkers regelmatig – maak van datalekken een bespreekbaar onderwerp, geen taboe.
4. Beveilig accounts en toegang – sterk wachtwoordbeleid, MFA, rol- en taakgebonden toegang.
5. Zorg voor passende technische maatregelen – encryptie, logging, back-ups, netwerkbeveiliging, patching.
6. Ruim data op – verwijder gegevens die u niet meer nodig hebt en beperk kopietjes en exports.
7. Wees voorbereid als het tóch misgaat – datalekregister, draaiboek, meldprocedure AVG/NIS2.

In de rest van dit blog werken we deze punten uit, met voorbeelden en concrete handvatten voor uw organisatie.

Wat is een datalek precies?

Volgens de AVG is er sprake van een datalek zodra er een inbreuk is op de beveiliging van persoonsgegevens die leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang. Het gaat daarbij om elke situatie waarin persoonsgegevens niet langer op de manier worden beschermd die wettelijk vereist is.

Een e-mail met persoonsgegevens naar de verkeerde ontvanger

Een datalek kan ontstaan wanneer een e-mail met persoonsgegevens per ongeluk naar een verkeerde ontvanger wordt gestuurd. Hoewel dit vaak wordt gezien als een kleine fout, kan de impact groot zijn, zeker wanneer het gevoelige of bijzondere persoonsgegevens betreft. De organisatie verliest in zo’n geval de controle over wie toegang heeft tot de gegevens.

Een usb-stick met klantgegevens die is kwijtgeraakt

Ook het verlies van fysieke gegevensdragers valt onder een datalek. Wanneer een usb-stick met klantgegevens kwijtraakt, is niet meer te achterhalen wie toegang heeft tot de informatie. Zelfs als niet vaststaat dat de gegevens daadwerkelijk zijn ingezien, is er sprake van een beveiligingsinbreuk.

Test- en acceptatieomgevingen met productiedata

Het gebruik van echte persoonsgegevens in test- of acceptatieomgevingen zonder passende beveiligingsmaatregelen kan leiden tot een datalek. Deze omgevingen zijn vaak minder streng beveiligd dan productieomgevingen.

Een Excel-bestand met personeelsgegevens dat per ongeluk openbaar is gedeeld

Het onbedoeld openbaar maken van bestanden met persoonsgegevens is een veelvoorkomend voorbeeld van een datalek. Denk aan een Excel-bestand dat via een gedeelde link toegankelijk wordt voor onbevoegden. In zulke gevallen worden persoonsgegevens actief beschikbaar gesteld aan een bredere groep dan bedoeld.

Externe partijen zonder juiste afspraken

Het delen van persoonsgegevens met leveranciers of partners zonder geldige verwerkersovereenkomst, of zonder duidelijke afspraken over beveiliging en gebruik, kan eveneens leiden tot een datalek in de zin van de AVG.

Belangrijk om te onthouden is dat een datalek niet alleen ontstaat door “gehackt worden”. Ook menselijke fouten en organisatorische tekortkomingen kunnen leiden tot een inbreuk op de beveiliging van persoonsgegevens en vallen daarmee onder de definitie van een datalek volgens de AVG.

Hoe ontstaan datalekken in het mkb?

In audits en trajecten bij mkb-organisaties komen telkens dezelfde patronen naar voren. Deze sluiten aan bij wat toezichthouders en kenniscentra structureel rapporteren. Het gaat daarbij zelden om één grote misser, maar vaker om een combinatie van terugkerende oorzaken.

Menselijke fouten

Menselijke fouten vormen een van de meest voorkomende oorzaken van datalekken. Denk aan het sturen van een e-mail naar de verkeerde ontvanger, of het gebruik van privé-clouddiensten en chatapps om snel “even” een bestand te delen. Deze handelingen lijken onschuldig, maar kunnen direct leiden tot ongeoorloofde toegang tot persoonsgegevens.

Onvoldoende toegangsbeheer

Bij veel organisaties is het toegangsbeheer onvoldoende ingericht. Medewerkers hebben toegang tot meer systemen en gegevens dan noodzakelijk is voor hun rol, er wordt gewerkt met gedeelde accounts en er is geen duidelijk onderscheid tussen functies en verantwoordelijkheden. Daarnaast komt het regelmatig voor dat ex-medewerkers nog steeds toegang hebben tot systemen, waardoor het risico op misbruik of fouten toeneemt.

Onveilige apparatuur

Ook het gebruik van onvoldoende beveiligde apparatuur speelt een belangrijke rol. Laptops zonder schijfversleuteling, onbeveiligde usb-sticks, het ontbreken van automatische schermvergrendeling of de mogelijkheid om apparaten op afstand te wissen bij verlies of diefstal vergroten de kans dat persoonsgegevens in verkeerde handen vallen.

Onvoldoende technische basisbeveiliging

Een gebrekkige technische basisbeveiliging is een structureel probleem. Verouderde systemen, het ontbreken van een patchbeleid, geen of onvoldoende logging en het ontbreken van netwerksegmentatie tussen gevoelige en minder gevoelige systemen maken organisaties kwetsbaar voor incidenten en bemoeilijken het tijdig detecteren ervan.

Onvoldoende overzicht over persoonsgegevens

Tot slot ontbreekt het vaak aan overzicht. Veel organisaties weten niet precies waar persoonsgegevens worden opgeslagen, in welke systemen of bestanden ze zich bevinden en wie er toegang toe heeft. Zonder dit inzicht is het vrijwel onmogelijk om risico’s gericht te beheersen of adequaat te reageren bij een incident.

Het goede nieuws is dat vrijwel al deze oorzaken voorspelbaar zijn en daarmee ook voorkom- en beheersbaar. Met de juiste organisatorische, technische en procesmatige maatregelen kunnen veel datalekken worden voorkomen voordat ze ontstaan.

Welke maatregelen kun je treffen?

Laag 1: minder data, beter beleid

De meest vergeten maatregel om datalekken te voorkomen is verrassend simpel: werk met minder data.

Verwerk alleen wat nodig is

De Autoriteit Persoonsgegevens en andere partijen benadrukken het principe van dataminimalisatie. Dit betekent dat organisaties alleen persoonsgegevens mogen verzamelen en bewaren die noodzakelijk zijn voor een duidelijk en gerechtvaardigd doel.

Hebben we al deze gegevens echt nodig?

Bij iedere dataset is het belangrijk om kritisch te kijken naar de noodzaak van de persoonsgegevens. Worden alle gegevens daadwerkelijk gebruikt, of is een deel ervan overbodig en daarmee een onnodig risico?

Met welk doel verwerken we deze data?

Persoonsgegevens mogen alleen worden verwerkt voor een specifiek, vooraf bepaald doel. Het expliciet benoemen van dit doel helpt om scherp te blijven op wat wel en niet nodig is en voorkomt dat data voor andere, onbedoelde doeleinden wordt gebruikt.

Hoe lang moeten we de gegevens bewaren?

Gegevens hoeven niet langer te worden bewaard dan noodzakelijk. Door duidelijke bewaartermijnen vast te stellen en deze actief te beheren, wordt voorkomen dat verouderde data onnodig risico blijft opleveren.

Kunnen we de data eerder anonimiseren of verwijderen?

In veel situaties is het mogelijk om persoonsgegevens na verloop van tijd te anonimiseren of volledig te verwijderen. Dit verkleint de hoeveelheid gevoelige data binnen de organisatie en beperkt de impact wanneer er toch iets misgaat.

Minder data betekent minder risico en daarmee een kleinere impact als er onverhoopt iets misgaat.

Opschonen en ordenen: minder rommel, minder risico

De Autoriteit Persoonsgegevens adviseert expliciet om data actief op te ruimen en regelmatig interne opschoonacties uit te voeren. Door structureel aandacht te besteden aan het verwijderen van overbodige gegevens, wordt het risico op datalekken aanzienlijk verkleind.

Verwijder oude exports, downloads en kopieën

In veel organisaties blijven oude exports, gedownloade bestanden en kopieën van rapportages onnodig lang bestaan. Deze bestanden bevatten vaak persoonsgegevens en vormen een onzichtbaar risico. Door ze actief op te schonen, wordt de hoeveelheid gevoelige data direct verminderd.

Centraliseer de opslag van gegevens

Versnipperde opslag vergroot het risico op fouten en ongeoorloofde toegang. Het is veiliger om te werken met één goed beveiligde centrale omgeving dan met losse mapjes verspreid over laptops, netwerkschijven en cloudomgevingen.

Laat gevoelige bestanden niet in mailarchieven blijven hangen

E-mailarchieven bevatten vaak gevoelige bijlagen die daar eigenlijk niet thuishoren. Door duidelijke afspraken te maken over het opslaan en verwijderen van deze bestanden, wordt voorkomen dat persoonsgegevens onnodig lang in mailboxen blijven staan.

Voer periodiek een opschoondag uit

Het organiseren van een periodieke opschoondag met afdelingen zoals HR, finance en sales helpt om structureel aandacht te geven aan dataminimalisatie. Zo wordt opschonen een vast onderdeel van het werkproces in plaats van een eenmalige actie.

Wie minder digitale rommel heeft, loopt minder risico en verkleint de kans op datalekken aanzienlijk.

Maak beleid concreet (niet alleen op papier)

Veel organisaties beschikken over een privacy- of informatiebeveiligingsbeleid, maar in de praktijk blijft dit vaak een papieren werkelijkheid. Het beleid is wel vastgelegd, maar wordt niet actief gebruikt of nageleefd in het dagelijks werk.

Duidelijk beleid voor e-mail, opslag en het delen van bestanden

Om beleid echt te laten leven, is het belangrijk dat er heldere richtlijnen zijn voor het gebruik van e-mail, de opslag van gegevens en het delen van bestanden. Medewerkers moeten weten wat wel en niet is toegestaan en welke werkwijze van hen wordt verwacht.

Heldere afspraken over cloudopslag en apparaten

Daarnaast zijn duidelijke afspraken nodig over het gebruik van cloudopslag, usb-sticks en privé-apparaten. Zonder deze afspraken ontstaat al snel onduidelijkheid, wat het risico op datalekken vergroot.

Vaste procedures voor nieuwe systemen

Bij de introductie van nieuwe systemen moeten vaste procedures worden gevolgd. Denk aan het toepassen van privacy by design en het uitvoeren van een DPIA wanneer dat vereist is. Zo worden privacy- en beveiligingsrisico’s al in een vroeg stadium meegenomen.

Beleid hoeft geen dik document te zijn, zolang het maar duidelijk, praktisch en toepasbaar is in de dagelijkse praktijk.

Laag 2: mensen & gedrag – de belangrijkste factor

Datalekken ontstaan vaak door mensen. Dat is geen verwijt, maar een realiteit. Daarom is bewustwording net zo belangrijk als techniek.

De mensen

Maak datalekken bespreekbaar

Medewerkers moeten fouten durven melden. Een eerlijk gemelde fout vandaag is altijd beter dan een “vergeten” incident dat een week later volledig is geëscaleerd. Het tijdig signaleren van fouten maakt het mogelijk om schade te beperken en snel passende maatregelen te nemen.

Maak melden normaal

Een open meldcultuur begint bij het normaliseren van melden. Medewerkers moeten weten dat het melden van een fout geen verwijt oplevert, maar juist wordt gewaardeerd als een professionele handeling.

Gebruik fouten om te leren

Fouten bieden waardevolle inzichten. Door incidenten en bijna-incidenten te gebruiken als leermomenten, kan de organisatie processen verbeteren en herhaling voorkomen, in plaats van te focussen op schuld of sancties.

Zorg voor dat medewerkers bij twijfel weten bij wie ze terecht kunnen

Medewerkers moeten precies weten bij wie zij terechtkunnen als ze twijfelen of iets een incident of datalek is. Duidelijke aanspreekpunten en korte lijnen zorgen ervoor dat vragen snel worden gesteld en risico’s niet onnodig blijven liggen.

Gedrag

Train gericht, niet generiek

In plaats van één keer per jaar een algemene e-learning, werkt het beter om korte, praktijkgerichte sessies te doen:

• hoe ga je om met gevoelige documenten?
• wanneer is een e-mail risicovol?
• hoe herken je dat je mogelijk een datalek hebt veroorzaakt?
• wat doe je dan, stap voor stap?

Koppel voorbeelden aan jullie eigen processen (CRM, ECD, HR-systeem, logistiek platform, etc.).

Laag 3: technische maatregelen – de basis op orde

De AVG schrijft voor dat organisaties “passende technische en organisatorische maatregelen” moeten treffen, afgestemd op de risico’s die zij lopen. Wat “passend” is, hangt af van de context, maar voor mkb-organisaties is er een duidelijke en realistische basis.

Toegangsbeheer en identiteit

Goed toegangsbeheer vormt het fundament van informatiebeveiliging. Medewerkers werken met unieke accounts en gedeelde logins worden vermeden. Sterke wachtwoorden in combinatie met Multi-Factor Authenticatie (MFA) verkleinen de kans op misbruik aanzienlijk. Toegang tot systemen en data is rol- en taakgebonden: medewerkers krijgen alleen toegang tot wat zij nodig hebben voor hun werkzaamheden. Daarnaast zijn duidelijke processen nodig voor in- en uitdiensttreding, waarbij toegangen direct worden ingericht én tijdig worden ingetrokken.

Versleuteling en veilige apparaten

Apparaten waarop persoonsgegevens staan opgeslagen, moeten goed zijn beveiligd. Dit betekent dat laptops, telefoons en usb-media zijn voorzien van encryptie. Automatische schermvergrendeling voorkomt ongewenste inzage bij onbeheerd achtergelaten apparaten. Voor mobiele apparaten is centraal beheer via Mobile Device Management (MDM) wenselijk, bij voorkeur met de mogelijkheid om apparaten op afstand te wissen bij verlies of diefstal.

Logging en monitoring

Inzicht in wat er gebeurt binnen systemen is essentieel. Logging op toegang tot gevoelige systemen en data maakt het mogelijk om incidenten te reconstrueren. Monitoring op verdachte inlogpogingen en ongebruikelijke datastromen helpt om incidenten vroegtijdig te signaleren. Deze logs moeten bovendien periodiek worden beoordeeld, met name rondom kritieke systemen.

Beveiliging van de infrastructuur

Een veilige infrastructuur begint bij up-to-date systemen en software. Patchmanagement voorkomt dat bekende kwetsbaarheden worden misbruikt. Daarnaast is goede netwerkbeveiliging nodig, zoals firewalls, netwerksegmentatie en veilige wifi-configuraties. Ook webapplicaties moeten veilig worden ontwikkeld en correct worden geconfigureerd om datalekken en misbruik te voorkomen.

Het Nationaal Cyber Security Centrum biedt hiervoor praktische richtlijnen en factsheets die goed toepasbaar zijn voor zowel middelgrote als grotere organisaties. Deze handvatten helpen om AVG-eisen concreet en werkbaar te maken in de dagelijkse praktijk.

Voorbereid zijn als het tóch misgaat

Hoe goed u ook uw best doet: 100% voorkomen lukt niemand. Daarom is voorbereiding essentieel.

Datalekregister

Volgens de AVG bent u verplicht om een datalekregister bij te houden, ook voor datalekken die uiteindelijk niet meldplichtig zijn. Het doel hiervan is niet alleen verantwoording afleggen, maar vooral leren van incidenten.

Vastleggen wat er is gebeurd

In het datalekregister wordt vastgelegd wat er precies is gebeurd. Een duidelijke beschrijving van het incident helpt om later te reconstrueren hoe het heeft kunnen ontstaan en welke factoren daarbij een rol speelden.

Inzicht in de betrokken gegevens

Daarnaast wordt genoteerd welke persoonsgegevens bij het incident betrokken waren. Dit geeft inzicht in de aard en gevoeligheid van de data en helpt bij het inschatten van risico’s voor betrokkenen.

Documenteren van genomen maatregelen

Het register bevat ook welke maatregelen zijn genomen om het incident te stoppen en herhaling te voorkomen. Dit maakt zichtbaar welke acties effectief zijn en waar nog verbeteringen nodig zijn.

Onderbouwen van de meldbeslissing

Tot slot wordt vastgelegd waarom is besloten om wel of niet te melden bij de toezichthouder en eventueel bij betrokkenen. Deze onderbouwing is belangrijk voor transparantie en voor eventuele controles achteraf.

Het datalekregister helpt zo om patronen te herkennen en gericht verbetermaatregelen te nemen.

Draaiboek voor datalekken

Een praktisch draaiboek voor datalekken

Een eenvoudig maar goed doordacht draaiboek voorkomt paniek op het moment dat er daadwerkelijk iets misgaat. Door vooraf duidelijke afspraken te maken, kan snel en gestructureerd worden gehandeld.

Duidelijke rollen en verantwoordelijkheden

In het draaiboek is vastgelegd wie het incident onderzoekt, wie beoordeelt of er sprake is van een datalek en wie beslist over het melden bij de Autoriteit Persoonsgegevens en de betrokkenen. Ook is duidelijk wie verantwoordelijk is voor de interne en externe communicatie.

Vastleggen van stappen en acties

Het draaiboek beschrijft welke stappen moeten worden doorlopen en waar deze worden vastgelegd. Dit zorgt voor overzicht en consistentie tijdens en na het incident.

Het Nationaal Cyber Security Centrum benadrukt in zijn richtlijnen dat een incidentresponsplan essentieel is om schade te beperken en de bedrijfsvoering zo goed mogelijk gaande te houden.

Samenvatting: hoe datalek voorkomen in het mkb?

Hoe datalek voorkomen? In de kern draait het om drie dingen:

1. Minder en beter georganiseerde data – dataminimalisatie, opruimen, duidelijk beleid.
2. Bewuste medewerkers – trainen, meldcultuur, duidelijke afspraken.
3. Degelijke technische basis – toegangsbeheer, encryptie, logging, patching, monitoring.

U hoeft geen miljoenenbudget te hebben om serieuze stappen te zetten. Wat u wél nodig hebt, is overzicht: wat doet uw IT-leverancier, wat doet u zelf en waar zitten de blinde vlekken?

Wilt u weten waar de datalek-risico’s in uw organisatie écht zitten?

Veel organisaties hebben het gevoel dat ze het “best goed geregeld” hebben, maar kunnen het niet aantonen. Vaak zien we dan:

• dat er méér data rondzwerft dan men dacht;
• dat toegangsrechten veel te ruim zijn;
• dat er geen zicht is op wie wat doet met gevoelige informatie;
• dat awareness en beleid achterlopen op de techniek.

Bij Vink Information Security helpen we organisaties om:

• risico’s rond datalekken zichtbaar te maken;
• beleid, processen, mensen en techniek op elkaar af te stemmen;
• praktische maatregelen te kiezen die passen bij uw omvang en sector;
• aantoonbaar te voldoen aan AVG-eisen.

Wilt u sparren over hoe u datalekken in uw organisatie kunt voorkomen?

Neem gerust contact op – dan kijken we samen waar uw grootste winst ligt.

Bronnen

Autoriteit Persoonsgegevens. (z.d.). Wat is een datalek?

https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken

Autoriteit Persoonsgegevens. (z.d.). Meldplicht datalekken (AVG).

https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/meldplicht-datalekken

Autoriteit Persoonsgegevens. (z.d.). Dataminimalisatie.

https://www.autoriteitpersoonsgegevens.nl/algemene-onderwerpen/avg/dataminimalisatie

Europese Commissie. (2016). Algemene verordening gegevensbescherming (AVG).

https://eur-lex.europa.eu/eli/reg/2016/679/oj

Europese Commissie. (2022). Directive (EU) 2022/2555 (NIS2-richtlijn).

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555

Nationaal Cyber Security Centrum. (z.d.). Ransomware.

https://www.ncsc.nl/onderwerpen/ransomware

Nationaal Cyber Security Centrum. (z.d.). Incidentrespons.

https://www.ncsc.nl/onderwerpen/incidentrespons

ENISA. (2023). ENISA Threat Landscape 2023.

https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023

Microsoft. (2024). Protect sensitive data and prevent data breaches.

https://learn.microsoft.com/security

IBM Security. (2023). Cost of a Data Breach Report.

https://www.ibm.com/reports/data-breach

Het bericht Hoe een datalek voorkomen? Zo verkleint u het risico als mkb-organisatie verscheen eerst op Vink Information Security.

Stel, het is maandagochtend. De eerste medewerkers klappen hun laptop open. Maar in plaats van het vertrouwde scherm verschijnt er een rood scherm:

“Uw bestanden zijn versleuteld. Betaal binnen 48 uur.”

Wat doen bij een cyberaanval?

Het soort bericht waarvan uw hartslag meteen stijgt — ook al heeft u een IT-partner, back-ups en “best wel wat met security geregeld”.

En ineens voelt iedereen in de organisatie dezelfde urgente vraag:

Cyberaanvallen zijn geen ver-van-je-bed-show meer. Ze raken mkb-organisaties net zo hard — misschien nog wel harder — omdat processen stilvallen, data op straat kan belanden en klanten afhankelijk zijn van uw dienstverlening.

In dit artikel krijgt u het complete, praktische en direct toepasbare antwoord, zodat u weet hoe u schade beperkt én rust bewaart.

Kort antwoord: wat doet u direct bij een cyberaanval?

Wanneer u nu een cyberaanval ontdekt, doet u in de eerste uren het volgende:

1. Raak niets onnodig aan en zet geen systemen uit.
2. Schakel uw incidentteam in (directie, IT, security, privacy, communicatie).
3. Isoleer getroffen systemen van het netwerk — zonder ze uit te zetten.
4. Breng de impact in kaart (systemen, data, processen, gebruikers).
5. Controleer meldplichten (AVG binnen 72 uur, NIS2 vaak binnen 24 uur).
6. Controleer back-ups, maar herstel pas wanneer ze aantoonbaar schoon zijn.
7. Documenteer elke stap voor juridische, technische en verzekeringsdoeleinden.

Dit is de snelle versie. Hieronder duiken we dieper in elke stap, met voorbeelden uit de praktijk en concrete aanbevelingen voor mkb-organisaties.

Wat is een cyberaanval in de praktijk?

Een cyberaanval is veel meer dan “een virus” of “een hack”. In de praktijk zien we bij mkb-bedrijven vooral vier soorten aanvallen:

Ransomware

Bestanden worden versleuteld, systemen ontoegankelijk gemaakt. regelmatig gekoppeld aan datadiefstal.

Business Email Compromise

Een medewerker gebruikt een gehackt Microsoft 365-account zonder het te weten. Aanvallers lezen mail mee, kapen facturen of passen bankrekening nummers aan.

Account takeover

Criminelen krijgen toegang via gestolen wachtwoorden, niet-gepatchte systemen of ontbrekende Multi Factor Authenticatie.

Supply chain-aanval

De IT-dienstverlener, softwareleverancier of integratiepartner wordt gehackt, waardoor uw omgeving indirect geraakt wordt.

Het maakt niet uit welk type aanval u treft — de eerste stappen blijven hetzelfde: rust, isolatie en overzicht.

De eerste 60 minuten: wat doen bij cyberaanval?

De eerste 60 minuten zijn cruciaal. In deze fase maakt u fouten die later grote gevolgen kunnen hebben, of u legt de basis voor een gecontroleerde aanpak.

1. Stop met 'even proberen' en raak niets onnodig aan

Deze fouten zien we vrijwel altijd gebeuren:

• IT-dienstverlener reboot “voor de zekerheid”
• systemen worden uitgeschakeld
• gebruikers proberen opnieuw in te loggen of openen meer bestanden

Dit zorgt voor:

• verlies van bewijs
• versnelling van encryptie
• verdere verspreiding
• problemen bij AVG/NIS2-meldingen (u moet kunnen reconstrueren wat er is gebeurd)

Laat systemen draaien zoals ze zijn, tenzij een security-expert anders adviseert.

Deze fouten zien we in de praktijk vrijwel altijd terug. Vaak reboot een IT-dienstverlener een systeem “voor de zekerheid”, worden werkstations uitgeschakeld of proberen gebruikers nog eens opnieuw in te loggen of extra bestanden te openen om te controleren wat er aan de hand is. Helaas verergert dit de situatie. Dergelijke handelingen leiden namelijk tot verlies van belangrijk bewijsmateriaal, versnellen in sommige gevallen de encryptie, vergroten de kans op verdere verspreiding van de aanval en maken het lastiger om te voldoen aan AVG- of NIS2-meldplichten, omdat u niet meer precies kunt reconstrueren wat er is gebeurd.

Laat systemen daarom draaien zoals ze zijn, tenzij een security-expert expliciet aangeeft dat uitschakelen noodzakelijk is.

2. Activeer direct het incidentteam

Cyberaanvallen zijn geen puur technische incidenten, maar organisatiebrede crisissituaties. Daarom is het essentieel om vanaf het eerste moment een goed samengesteld incidentteam te activeren. Dat team bestaat minimaal uit

• Directie, die besluiten neemt over communicatie, kosten en meldplichten
• IT-beheer of de IT-dienstverlener, die de technische maatregelen uitvoert
• Een securityspecialist die de analyse, containment en eventuele forensics coördineert
• De privacy officer of functionaris gegevensbescherming, die toeziet op de AVG- en contractuele verplichtingen
• Iemand van communicatie die zorgt voor duidelijke interne en externe berichtgeving

Wanneer één van deze rollen ontbreekt, ontstaat al snel chaos, miscommunicatie en vertraging. Vergeet bovendien niet om het hele proces zorgvuldig te laten notuleren — volledige documentatie is cruciaal voor juridische verantwoording, meldplichten en verzekeringsafhandeling.

3. Isoleer systemen, maar zet ze niet uit

Veel organisaties denken dat uitzetten veiliger is.

Maar: zodra systemen uitgaan, raakt u kritische loginformatie kwijt die nodig is om:

• te zien hoe de aanvaller binnenkwam
• te bepalen of data is gekopieerd
• te voldoen aan AVG/NIS2
• de aanval écht te stoppen

Isoleren betekent:

• wifi verbreken
• netwerkpoort dichtzetten
• verdachte accounts blokkeren
• remote toegang tijdelijk afsluiten

Maar de systemen blijven aan.

Veel organisaties denken in eerste instantie dat het veiliger is om systemen volledig uit te zetten. Dat lijkt logisch, maar het tegenovergestelde is waar. Zodra systemen worden uitgeschakeld, verdwijnt een groot deel van de kritische loginformatie die u later nodig heeft om te achterhalen hoe de aanvaller binnenkwam, of er data is gekopieerd, welke verplichtingen u heeft richting AVG of NIS2, en welke stappen noodzakelijk zijn om de aanval écht te stoppen.

Daarom is het belangrijk om systemen niet uit te zetten, maar te isoleren. In de praktijk betekent dit dat u bijvoorbeeld de wifi-verbinding verbreekt, een netwerkpoort afsluit, verdachte accounts blokkeert of tijdelijk de remote toegang (zoals VPN of RDP) uitschakelt. Op deze manier voorkomt u verdere verspreiding van de aanval, terwijl u de waardevolle informatie intact houdt die nodig is voor analyse, herstel en naleving van wet- en regelgeving.

4. Leg alles vast: meldingen, schermen en tijdstippen

Forensisch bewijs zit in kleine details.

Maak screenshots van:

• foutmeldingen
• verdachte e-mails
• encryptieberichten
• logbestanden
• afwijkend gedrag

Documenteer:

• wie wat zag
• wanneer het begon
• welke systemen vreemd gedrag vertoonden

Dit maakt schadebeperking, meldingen en verzekeringsclaims aanzienlijk eenvoudiger.

Forensisch bewijs zit vaak in de kleinste details. Daarom is het verstandig om meteen screenshots te maken van alles wat relevant kan zijn: foutmeldingen die plotseling verschijnen, verdachte e-mails die aan de aanval gekoppeld kunnen zijn, berichten waarin bestanden versleuteld lijken, logbestanden die afwijkingen tonen, en elk ander stukje systeemgedrag dat niet normaal is. Leg daarnaast duidelijk vast wie welk signaal heeft gezien, op welk moment het probleem begon en welke systemen afwijkend gedrag vertoonden. Door dit zorgvuldig te documenteren, wordt het later veel eenvoudiger om de schade goed in te schatten, meldingen onder de AVG of NIS2 correct uit te voeren en verzekeringsclaims te onderbouwen.

Vervolgstappen: van analyse tot herstel

Na de eerste 60 minuten start de fase waarin u echt grip krijgt op de aanval.

1. Breng de impact in kaart

U moet weten:

• Welke systemen zijn getroffen?
• Is er datadiefstal?
• Zijn gebruikersaccounts misbruikt?
• Welke bedrijfsprocessen liggen stil?
• Wat is het risico voor klanten en ketenpartners?

Zonder deze informatie kunt u geen juiste besluiten nemen.

Zodra de eerste noodmaatregelen zijn getroffen, is het cruciaal om snel een helder beeld te krijgen van de daadwerkelijke impact. Breng in kaart welke systemen zijn getroffen, of er sprake is van datadiefstal, of gebruikersaccounts zijn misbruikt en welke bedrijfsprocessen hierdoor stilvallen. Kijk bovendien naar de gevolgen voor klanten en ketenpartners — in veel mkb-organisaties zit juist daar de grootste afhankelijkheid.

Zonder dit overzicht kunt u geen gefundeerde beslissingen nemen over prioriteiten, herstel en communicatie. Een goed beeld van de impact bepaalt de rest van uw aanpak én voorkomt dat problemen later groter blijken dan gedacht.

2. Onderzoek de oorzaak

Een cyberaanval is vaak het gevolg van:

• een medewerker die op phishing klikt
• ongepatchte systemen
• zwakke wachtwoorden
• leverancier die gehackt is
• misbruik van remote toegang

Door de oorzaak te achterhalen, voorkomt u vervolgschade.

Om grip te krijgen op een cyberaanval is het essentieel om te achterhalen hoe de aanvaller binnen is gekomen. Vaak begint het met iets ogenschijnlijk kleins: een medewerker die op een phishingmail klikt, een systeem dat al maanden geen updates heeft gehad, een zwak wachtwoord dat eenvoudig te raden is, een gehackte leverancier die toegang heeft tot uw omgeving, of misbruik van remote toegang zoals VPN of RDP.

Door zorgvuldig te onderzoeken wat de daadwerkelijke oorzaak is, voorkomt u dat de aanval zich herhaalt of verder uitbreidt. Dit inzicht bepaalt bovendien welke verbetermaatregelen nodig zijn om uw organisatie structureel beter te beschermen.

3. Controleer back-ups — écht grondig

Hier gaat het vaak mis. Veel organisaties ontdekken tijdens een incident dat hun back-ups:

• nooit getest zijn
• ook geïnfecteerd zijn
• te oud zijn
• niet volledig zijn
• niet offline staan

Back-ups vormen het laatste verdedigingsmiddel.

Maar herstel pas wanneer u zeker weet dat ze:

• schoon zijn
• compleet zijn
• bruikbaar zijn

Back-ups lijken vaak het reddingsmiddel tijdens een cyberaanval, maar in de praktijk gaat het hier opvallend vaak mis. Veel organisaties ontdekken pas tijdens een incident dat hun back-ups nooit zijn getest, dat ze besmet of onbruikbaar zijn, dat ze te ver teruggaan in de tijd, niet volledig bleken te zijn of zelfs helemaal niet offline stonden.

Omdat back-ups vaak het laatste verdedigingsmiddel vormen, is het cruciaal om ze zeer grondig te controleren voordat u begint met herstellen. Zorg dat u zeker weet dat het herstelpunt dat u kiest schoon is, volledig is en daadwerkelijk bruikbaar. Pas wanneer dat bevestigd is, kunt u veilig beginnen met het herstel van uw systemen.

4. Herstel gefaseerd en gecontroleerd

Zodra duidelijk is wat veilig is, gaat herstel in fases:

1. kritieke bedrijfsprocessen
2. primaire applicaties (ERP, e-mail, dossierbeheer)
3. secundaire systemen
4. overige diensten

Parallel daaraan:

• wachtwoorden resetten
• MFA opnieuw instellen
• kwetsbaarheden dichten
• monitoring aanscherpen

Zodra duidelijk is welke onderdelen van de omgeving veilig zijn, kan het herstelproces in fases worden uitgevoerd. Begin altijd met de kritieke bedrijfsprocessen, gevolgd door de primaire applicaties zoals ERP-systemen, e-mail en dossierbeheer. Pas daarna komen de secundaire systemen en overige diensten aan bod.

Parallel aan dit hersteltraject moeten ook de nodige beveiligingsmaatregelen worden genomen: alle wachtwoorden worden opnieuw ingesteld, MFA-configuraties worden herbevestigd, kwetsbaarheden worden gedicht en de monitoring wordt aangescherpt om te voorkomen dat de aanvaller opnieuw toegang krijgt. Vergeet bij het opnieuw instellen van de wachtwoorden ook zeker niet de zogenaamde service accounts en wachtwoorden voor API's en scripts.

Deze combinatie van gecontroleerd herstel en versterkte beveiliging zorgt ervoor dat uw organisatie weer veilig en stabiel kan functioneren.

Meldplichten: AVG en NIS2

Wetgeving speelt een grote rol tijdens cyberincidenten.

Veel organisaties onderschatten dit.

AVG-melding (binnen 72 uur)

U moet melden als:

• er persoonsgegevens zijn betrokken, én
• er risico’s voor betrokkenen zijn (klanten/medewerkers)

Daarnaast kunt u verplicht zijn betrokkenen te informeren.

NIS2 / Cyberbeveiligingswet (vaak binnen 24 uur)

Voor sectoren in zorg, logistiek, IT-diensten, overheid, financiële ketens:

• early warning binnen 24 uur
• incidentmelding binnen 72 uur
• eindrapport binnen 30 dagen

Ook organisaties die niet direct onder NIS2 vallen, kunnen indirect meldplicht hebben via ketenverantwoordelijkheid.

Wetgeving speelt een grote rol tijdens cyberincidenten, maar veel organisaties onderschatten hoeveel impact dit in de praktijk heeft. Zodra er sprake is van een aanval, moet u namelijk niet alleen technisch handelen, maar ook voldoen aan strikte juridische verplichtingen.

AVG-melding (binnen 72 uur)

Onder de AVG bent u verplicht een datalek te melden wanneer er persoonsgegevens zijn betrokken én wanneer dit risico’s oplevert voor betrokkenen, zoals klanten of medewerkers. In sommige situaties moet u deze betrokkenen zelfs rechtstreeks informeren, bijvoorbeeld wanneer zij direct hinder kunnen ondervinden van het lek. De termijn van 72 uur is hard; wachten of twijfelen kan leiden tot boetes en compliance problemen.

NIS2 / Cyberbeveiligingswet (vaak binnen 24 uur)

Voor organisaties in onder andere de zorg, logistiek, IT-dienstverlening, overheidssectoren en financiële ketens gelden nog strengere meldplichten. Zij moeten binnen 24 uur een early warning indienen, binnen 72 uur een volledige incidentmelding aanleveren en binnen 30 dagen een uitgebreid eindrapport verstrekken.

Let op:

Ook organisaties die niet rechtstreeks onder NIS2 vallen, kunnen toch met meldplichten te maken krijgen. Dit gebeurt wanneer u onderdeel bent van een keten waarin wél een NIS2-plichtige partij actief is. In dat geval kunnen contractuele afspraken ervoor zorgen dat u alsnog incidenten moet melden of extra informatie moet aanleveren.

Veelgemaakte fouten die wij in de praktijk zien bij mkb-bedrijven

In incident analyses zien we terugkerende patronen:

Te laat schakelen

Er wordt pas een crisis team bijeen geroepen wanneer er al grote schade is.

IT-dienstverlener krijgt volledige verantwoordelijkheid

Maar: security ≠ IT-beheer. Daarnaast ligt de verantwoordelijkheid ligt altijd bij uw organisatie.

Back-ups zijn nooit getest

Op papier bestaan ze, maar in de praktijk werken ze niet altijd.

Geen duidelijke verantwoordelijkheden

Wie beslist? Wie meldt? Wie communiceert? Als dit niet vooraf geregeld is, ontstaat chaos.

Logging en monitoring ontbreken

Daardoor blijft onduidelijk of data is gekopieerd, wat cruciaal is voor meldplichten.

Communicatie is onduidelijk of te laat

Medewerkers raken in paniek, klanten raken vertrouwen kwijt.

Hoe bereidt u uw organisatie voor op een cyberaanval?

De schade van een cyberaanval wordt niet bepaald door de aanval zelf, maar door uw voorbereiding.

Dit is wat elke mkb-organisatie nodig heeft:

1. Incident Response Plan

Wie doet wat, wanneer en hoe?

Eenduidige rollen, processen en draaiboeken.

2. Geteste back-up- en herstelprocedures

Back-ups die niet getest zijn, zijn geen back-ups. Dus zorg ervoor dat regelmatig herstel tests worden uitgevoerd door de IT afdeling of IT-dienstverlener.

3. Afgestemde afspraken met de IT-dienstverlener

Heldere taakverdeling:

• wat is beheer
• wat is security
• waar ligt welke verantwoordelijkheid
• hoe snel wordt gereageerd

4. Basismaatregelen op orde

• multi factor authenticatie (MFA)
• kwetsbaarheden beheer, systeem hardening en life cycle management
• toegangsbeheer
• logging en monitoring
• awareness-training
• netwerksegmentatie

5. Periodieke onafhankelijke securitychecks

Geen vinkjes, maar echte controle:

• klopt het?
• werkt het?
• is het aantoonbaar?

Samenvatting: wat doen bij een cyberaanval?

In één oogopslag:

• raak niets onnodig aan
• isoleer systemen
• activeer het incidentteam
• documenteer alles
• bepaal impact & oorzaak
• controleer meldplichten
• herstel gefaseerd
• evalueer en verbeter

Een cyberaanval hoeft geen ramp te zijn — als u de juiste stappen volgt én goed bent voorbereid.

Veelgestelde vragen over cyberaanvallen (FAQ)

Moet ik aangifte doen bij een cyberaanval?

Ja, bij ransomware en datadiefstal is aangifte verstandig en vaak vereist voor verzekeringen.

Wanneer moet ik een datalek melden?

Binnen 72 uur bij de Autoriteit Persoonsgegevens wanneer persoonsgegevens risico lopen.

Helpt het betalen van losgeld bij ransomware?

Nee. U weet nooit of u de sleutel krijgt — en u stimuleert criminele activiteit.

Hoe weet ik of mijn back-ups betrouwbaar zijn?

Door ze periodiek te testen en door herstel te oefenen.

Los mijn IT-dienstverlener dit niet gewoon op?

Nee. IT-beheer ≠ security. Uiteindelijk blijft uw organisatie verantwoordelijk.

Wilt u zeker weten dat uw organisatie écht voorbereid is?

Veel organisaties denken dat hun cybersecurity op orde is, maar kunnen het niet aantonen.

Bij Vink Information Security helpen we u om:

• risico’s zichtbaar te maken
• processen te organiseren
• IT-afspraken te verscherpen
• borgen dat back-ups en herstel testen worden uitgevoerd
• incidentrespons klaar te zetten
• aan NIS2 en AVG te voldoen

Pragmatisch, helder en zonder onnodige kosten.

Wilt u een vrijblijvende risico-scan of introductiegesprek? Stuur me gerust een bericht.

Bronnenlijst

Bronnen

Autoriteit Persoonsgegevens. (z.d.). Datalekken: Zo meldt u een datalek.

https://autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/zo-meldt-u-een-datalek

Autoriteit Persoonsgegevens. (z.d.). Meldplicht datalekken (AVG).

https://autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/meldplicht-datalekken

Europese Commissie. (2022). Directive (EU) 2022/2555 of the European Parliament and of the Council (NIS2-richtlijn).

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555

Nationaal Cyber Security Centrum. (2023). Wat betekent NIS2 voor uw organisatie?

https://www.ncsc.nl/onderwerpen/nis2

Nationaal Cyber Security Centrum. (2024). Meldplicht voor incidenten onder NIS2.

https://www.ncsc.nl/onderwerpen/nis2/meldplicht

Nationaal Cyber Security Centrum. (2023). Ransomware: Dreigingsbeeld en handelingsperspectief.

https://www.ncsc.nl/documenten/publicaties/2023/01/01/ransomware-rapport

Privacy Regulation. (z.d.). AVG Artikel 33 – Melding van een datalek binnen 72 uur.

https://www.privacy-regulation.eu/nl/artikel-33-melding-van-een-inbreuk-in-verband-met-persoonsgegevens-aan-de-toezichthoudende-autoriteit-EU-AVG.htm

ENISA. (2023). Threat Landscape Report.

https://www.enisa.europa.eu/publications

Microsoft. (2024). Cyberattack and ransomware response guide.

https://learn.microsoft.com/security

IBM Security. (2023). Cost of a Data Breach Report.

https://www.ibm.com/reports/data-breach

Het bericht Wat doen bij cyberaanval? De complete gids voor mkb die snel grip willen (en moeten) krijgen verscheen eerst op Vink Information Security.