Multi-factor authenticatie: waarom en hoe?

Geplaatst op: 15 juni 2026

Multi-factor authenticatie (MFA) is een beveiligingsmethode waarbij je minimaal twee verschillende verificatiestappen doorloopt om toegang te krijgen tot een account of systeem. Alleen een wachtwoord is niet langer voldoende: aanvallers kunnen wachtwoorden stelen, raden of kopen zonder dat jij het merkt. MFA voegt een extra laag toe die een aanvaller tegenhoudt, zelfs als het wachtwoord al bekend is. In dit artikel beantwoorden we de meest gestelde vragen over hoe MFA werkt, welke vormen er zijn en hoe je het succesvol invoert in je organisatie.

Hoe werkt multi-factor authenticatie technisch gezien?

Multi-factor authenticatie werkt door twee of meer onafhankelijke verificatiefactoren te combineren uit verschillende categorieën: iets wat je weet, iets wat je hebt, en iets wat je bent. Pas als beide factoren correct zijn geverifieerd, krijgt een gebruiker toegang. Het systeem controleert elke factor afzonderlijk via een authenticatieserver of identiteitsprovider.

In de praktijk verloopt het proces als volgt. Een gebruiker voert eerst het wachtwoord in, de eerste factor. Daarna ontvangt diezelfde gebruiker een tijdelijke code via een authenticator-app, sms of hardwaretoken, de tweede factor. Beide stappen moeten slagen voordat toegang wordt verleend.

De kracht van dit systeem zit in de onafhankelijkheid van de factoren. Een aanvaller die het wachtwoord heeft bemachtigd, heeft nog steeds geen toegang tot het fysieke apparaat of de biometrische eigenschap die de tweede factor vormt. Authenticator-apps zoals Google Authenticator of Microsoft Authenticator genereren codes op basis van een gedeeld geheim en een tijdstempel, zodat elke code slechts dertig seconden geldig is. Deze tijdgebonden eenmalige wachtwoorden worden TOTP-codes genoemd en zijn een van de meest gebruikte vormen van MFA.

Wat zijn de meest gebruikte vormen van MFA?

De meest gebruikte vormen van MFA zijn sms-codes, authenticator-apps, hardwaretokens, pushberichten en biometrie. Elke methode verschilt in gebruiksgemak en beveiligingsniveau. Voor de meeste organisaties bieden authenticator-apps de beste balans tussen veiligheid en praktische inzetbaarheid.

• Sms-codes (OTP via sms): Een eenmalige code wordt naar het telefoonnummer van de gebruiker gestuurd. Eenvoudig in gebruik, maar vatbaar voor sim-swapping en onderschepping.
• Authenticator-apps (TOTP): Apps zoals Microsoft Authenticator of Authy genereren tijdgebonden codes lokaal op het apparaat. Veiliger dan sms en breed ondersteund.
• Hardwaretokens (FIDO2/WebAuthn): Fysieke apparaten zoals een YubiKey die je in de USB-poort steekt of via NFC gebruikt. Bieden de hoogste beveiliging en zijn phishing-resistent.
• Pushberichten: De gebruiker ontvangt een melding op een vertrouwd apparaat en keurt de inlogpoging goed of af. Snel en gebruiksvriendelijk, maar kwetsbaar voor MFA-fatigue-aanvallen waarbij aanvallers herhaaldelijk meldingen sturen.
• Biometrie: Vingerafdruk, gezichtsherkenning of irisscanning. Wordt vaak als tweede factor ingezet op mobiele apparaten in combinatie met een wachtwoord.

Voor organisaties die werken met gevoelige systemen of onder regelgeving zoals NIS2-verplichtingen vallen, zijn phishing-resistente methoden zoals FIDO2-tokens de aanbevolen keuze. Voor de meeste medewerkers in een kantooromgeving is een authenticator-app een praktische en veilige oplossing.

Waarom is een sterk wachtwoord alleen niet meer voldoende?

Een sterk wachtwoord alleen is niet meer voldoende omdat wachtwoorden op talloze manieren kunnen worden gestolen zonder dat de gebruiker iets fout doet. Datalekken bij externe diensten, phishing-aanvallen, keyloggers en credential stuffing maken het mogelijk dat zelfs complexe wachtwoorden in handen van aanvallers vallen. MFA is de belangrijkste aanvullende maatregel om accounts te beschermen wanneer een wachtwoord gecompromitteerd is.

Wachtwoorden hebben een fundamentele zwakte: ze zijn statische kennis. Zodra een aanvaller een wachtwoord heeft, heeft hij onbeperkte toegang totdat het wachtwoord wordt gewijzigd. En gebruikers weten vaak niet dat hun wachtwoord al lang op straat ligt. Op het dark web worden miljarden gestolen inloggegevens verhandeld als gevolg van datalekken bij grote platforms.

Bovendien hergebruiken veel mensen wachtwoorden op meerdere diensten. Een datalek bij een relatief onschuldige webshop kan daardoor toegang geven tot bedrijfssystemen. MFA doorbreekt deze keten: zelfs als een aanvaller beschikt over het juiste wachtwoord, stuit hij op een tweede verificatiestap waarvoor hij het fysieke apparaat of de biometrische eigenschap van de gebruiker nodig heeft.

Wanneer moet een organisatie MFA verplicht stellen?

Een organisatie moet MFA minimaal verplicht stellen voor alle accounts met toegang tot gevoelige systemen, bedrijfsdata, e-mail en cloudomgevingen. In de praktijk betekent dit dat MFA voor vrijwel alle medewerkers van toepassing is. Organisaties die onder NIS2 of andere regelgeving vallen, zijn wettelijk verplicht MFA als onderdeel van hun toegangsbeheer te implementeren.

Als prioritering handig is, begin dan met deze situaties:

1. Beheerdersaccounts en privileged access: Accounts met verhoogde rechten zijn het meest aantrekkelijk voor aanvallers. MFA is hier absoluut noodzakelijk.
2. Remote toegang en VPN: Medewerkers die van buiten het kantoornetwerk inloggen, brengen extra risico met zich mee. MFA is hier een minimumvereiste.
3. Clouddiensten en SaaS-applicaties: Microsoft 365, Google Workspace en vergelijkbare platforms zijn populaire doelwitten. Activeer MFA via de beheerdersinstellingen van het platform.
4. E-mail: Toegang tot zakelijke e-mail geeft aanvallers een startpunt voor verdere aanvallen en social engineering. MFA op e-mail is een basismaatregel.
5. Alle overige medewerkers: Na de bovenstaande groepen is een organisatiebrede uitrol de logische vervolgstap.

De NIS2-richtlijn noemt het gebruik van multi-factorauthenticatie expliciet als een van de minimummaatregelen die organisaties moeten treffen in het kader van hun zorgplicht. Wachten tot er een incident plaatsvindt is geen optie.

Hoe implementeer je MFA zonder weerstand van medewerkers?

MFA invoeren zonder weerstand lukt het best door te starten met communicatie en uitleg, een gebruiksvriendelijke methode te kiezen, en de uitrol gefaseerd te doen. Medewerkers verzetten zich zelden tegen MFA zelf, maar wel tegen onduidelijkheid, extra gedoe en het gevoel dat hun iets wordt opgedrongen zonder uitleg.

Praktische stappen voor een soepele implementatie:

• Communiceer het waarom: Leg uit wat MFA doet en waarom het noodzakelijk is. Medewerkers die begrijpen wat ze beschermen, zijn bereidwilliger om mee te werken.
• Kies voor gebruiksvriendelijke tools: Een authenticator-app met pushberichten heeft minder wrijving dan het handmatig overtypen van codes. Maak het zo eenvoudig mogelijk.
• Bied ondersteuning bij de installatie: Organiseer een korte sessie of stapsgewijze handleiding. Veel weerstand ontstaat doordat mensen niet weten hoe ze de app moeten instellen.
• Faseer de uitrol: Begin met een pilotgroep, verzamel feedback, en rol daarna organisatiebreed uit. Zo kun je knelpunten vroeg opsporen.
• Stel duidelijke deadlines: Geef medewerkers de tijd om te wennen, maar maak MFA na de overgangsperiode verplicht. Vrijblijvendheid leidt tot achterblijvers.

Weerstand neemt snel af zodra medewerkers merken dat het inloggen met MFA slechts een paar seconden extra kost. Het helpt ook om MFA te framen als een maatregel die hen persoonlijk beschermt, niet alleen de organisatie.

Biedt MFA ook bescherming tegen phishing?

Standaard MFA biedt gedeeltelijke bescherming tegen phishing, maar is niet volledig phishing-resistent. Aanvallers kunnen via geavanceerde phishing-technieken zoals real-time proxy-aanvallen zowel het wachtwoord als de MFA-code onderscheppen. Alleen phishing-resistente MFA-methoden zoals FIDO2-hardwaretokens of passkeys bieden volledige bescherming tegen dit type aanval.

Bij een klassieke phishing-aanval lokt een aanvaller de gebruiker naar een nepwebsite die er identiek uitziet als de echte dienst. De gebruiker voert het wachtwoord in en de aanvaller stuurt dit direct door naar de echte site. Als de gebruiker vervolgens ook de MFA-code invult op de nepsite, heeft de aanvaller binnen dertig seconden toegang tot het echte account. Dit type aanval wordt een adversary-in-the-middle-aanval genoemd.

FIDO2-tokens en passkeys lossen dit probleem op doordat de authenticatie cryptografisch is gebonden aan het exacte domein van de website. Een nepdomein levert nooit een geldige authenticatie op, ongeacht wat de gebruiker invult. Dit maakt deze methoden fundamenteel veiliger dan op codes gebaseerde MFA.

Voor de meeste organisaties geldt: elke vorm van MFA is beter dan geen MFA. Maar voor systemen met hoge risico’s, zoals financieel beheer, beheerderstoegang of verwerking van persoonsgegevens, is investeren in phishing-resistente authenticatie de verstandige keuze. Een gerichte pentest kan inzicht geven in hoe kwetsbaar de huidige inloginfrastructuur werkelijk is.

Hoe Q-Cyber helpt met multi-factor authenticatie

Q-Cyber helpt organisaties bij het opzetten en verankeren van sterke authenticatieoplossingen als onderdeel van een bredere cybersecuritystrategie. We combineren technische kennis met beleidsmatige expertise, zodat MFA niet alleen technisch correct wordt ingericht maar ook organisatorisch wordt geborgd.

Wat we concreet voor jouw organisatie kunnen doen:

• Beoordelen welke MFA-methoden passen bij jouw risicoprofiel en werkprocessen
• Begeleiden bij de technische implementatie van MFA in cloudomgevingen zoals Microsoft 365 of Google Workspace
• Schrijven van toegangsbeleid en MFA-procedures die aansluiten op NIS2-vereisten
• Verzorgen van bewustwordingstrainingen zodat medewerkers begrijpen waarom MFA noodzakelijk is
• Uitvoeren van phishing-simulaties via Q-Cyber Scans om te testen hoe weerbaar medewerkers zijn
• Ondersteunen via Continuous-Q, onze virtuele CISO-dienst, voor doorlopend advies en toezicht op toegangsbeveiliging

We werken onafhankelijk, zonder binding aan softwarepartijen, en geven altijd pragmatisch advies dat aansluit op jouw situatie. Wil je weten waar jouw organisatie nu staat en welke stappen als eerste gezet moeten worden? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

Wat is de 3-2-1 back-upregel?

Geplaatst op: 12 juni 2026

De 3-2-1 back-upregel is een bewezen strategie voor gegevensbeveiliging waarbij je drie kopieën van je data bewaart, op twee verschillende opslagmedia, waarvan één kopie zich op een externe locatie bevindt. Deze aanpak zorgt ervoor dat je altijd een werkende back-up hebt, ook als een locatie of opslagmedium uitvalt door brand, diefstal, technisch falen of een cyberaanval. In dit artikel beantwoorden we de meest gestelde vragen over de 3-2-1 back-upstrategie, van de praktische uitvoering tot de verplichtingen onder de NIS2-wetgeving.

Hoe werkt de 3-2-1 back-upregel in de praktijk?

De 3-2-1 back-upregel werkt als volgt: je bewaart drie kopieën van je gegevens (de originele data plus twee back-ups), slaat deze op op twee verschillende soorten opslagmedia, en zorgt ervoor dat één kopie zich op een externe locatie bevindt, los van je primaire omgeving. Dit principe beschermt je tegen vrijwel elk scenario van dataverlies.

In de praktijk ziet dit er voor een gemiddelde organisatie zo uit:

• Kopie 1: De actieve, werkende data op je primaire server of werkstation
• Kopie 2: Een lokale back-up op een NAS-apparaat, externe schijf of secundaire server binnen hetzelfde kantoor
• Kopie 3: Een offsite back-up, bijvoorbeeld in een cloudomgeving of op een fysieke locatie elders

Het sleutelwoord is spreiding. Door de drie kopieën bewust te verdelen over verschillende media en locaties, verklein je de kans dat één incident alle back-ups tegelijk treft. Een brand op kantoor verwoest misschien kopie 1 en 2, maar kopie 3 in de cloud blijft intact. Een ransomware-aanval die je lokale netwerk versleutelt, kan een geïsoleerde cloudback-up niet bereiken als die verbinding correct is beveiligd.

De kracht van de 3-2-1 back-upregel zit in de eenvoud: het is een duidelijk, controleerbaar kader dat je kunt toepassen ongeacht de omvang van je organisatie.

Welke opslagmedia zijn geschikt voor een 3-2-1 back-upstrategie?

Voor een effectieve 3-2-1 back-upstrategie zijn interne harde schijven of SSD’s, NAS-systemen (Network Attached Storage), externe harde schijven, tapemedia en cloudopslag de meest gebruikte opslagmedia. De twee media in de regel moeten echt van elkaar verschillen, zodat een defect in het ene type geen invloed heeft op het andere.

Lokale opslagopties

Een NAS-apparaat is een populaire keuze als tweede kopie: het is snel toegankelijk, schaalbaar en biedt mogelijkheden voor automatische back-ups. Externe harde schijven zijn betaalbaar en eenvoudig te gebruiken, maar zijn gevoeliger voor fysieke schade en menselijke fouten. Tapeopslag is minder gangbaar voor kleinere organisaties, maar wordt in grotere omgevingen nog steeds gebruikt vanwege de hoge opslagcapaciteit en lange levensduur.

Cloudopslag als offsite back-up

Cloudopslag is tegenwoordig de meest praktische invulling van de offsite-kopie. Diensten als Microsoft Azure Backup, Amazon S3 of gespecialiseerde back-upplatforms bieden versleuteling, automatische replicatie en geografische spreiding. Een belangrijk aandachtspunt: zorg dat de cloudback-up niet rechtstreeks gekoppeld is aan je primaire netwerk. Een aanvaller die toegang heeft tot je omgeving, kan anders ook de cloudback-up bereiken en versleutelen of verwijderen.

De keuze van media hangt af van je herstelsnelheid (RTO), de hoeveelheid data die je maximaal mag verliezen (RPO) en het budget. Een combinatie van een lokale NAS voor snelle herstelacties en een cloudomgeving voor offsite bescherming is voor veel organisaties de meest evenwichtige aanpak.

Wat zijn de grootste risico’s zonder een 3-2-1 back-upstrategie?

Zonder een 3-2-1 back-upstrategie loop je het risico dat één incident, of dat nu ransomware, hardware-uitval, brand of menselijke fout is, leidt tot permanent en volledig dataverlies. Organisaties zonder gestructureerde back-upbeveiliging zijn kwetsbaar voor langdurige uitval, financiële schade en reputatieschade die soms onherstelbaar is.

De meest voorkomende risico’s zijn:

• Ransomware: Aanvallers versleutelen niet alleen je primaire data, maar richten zich steeds vaker ook op lokale back-ups. Zonder een geïsoleerde offsite-kopie heb je geen hersteloptie zonder losgeld te betalen.
• Hardware-uitval: Harde schijven hebben een beperkte levensduur. Als je enige back-up op hetzelfde apparaat staat als je originele data, verlies je alles bij een schijfdefect.
• Menselijke fouten: Per ongeluk verwijderde bestanden of overschreven data zijn een van de meest voorkomende oorzaken van dataverlies. Zonder meerdere back-upversies is herstel onmogelijk.
• Fysieke calamiteiten: Brand, overstroming of diefstal kan een complete kantooromgeving treffen. Alleen een offsite-kopie overleeft zo’n scenario.
• Geen getest herstelproces: Organisaties die wel back-ups maken maar nooit testen, ontdekken vaak pas tijdens een crisis dat de back-up corrupt of onvolledig is.

De financiële en operationele gevolgen van dataverlies zijn aanzienlijk. Denk aan stilstaande processen, verloren klantdata, juridische aansprakelijkheid en herstelkosten die snel in de tienduizenden euro’s lopen. Een solide back-upstrategie is daarmee niet alleen een technische maatregel, maar een bedrijfskritische investering.

Is de 3-2-1 back-upregel voldoende voor moderne cyberdreigingen?

De 3-2-1 back-upregel biedt een sterke basis, maar is op zichzelf niet altijd voldoende voor de meest geavanceerde moderne dreigingen. Aanvallers die zich richten op back-upinfrastructuur, of malware die langere tijd sluimert voordat ze actief worden, vragen om uitbreidingen op het klassieke 3-2-1 model.

Een veelgebruikte uitbreiding is de 3-2-1-1-0 regel, waarbij de extra “1” staat voor één offline of air-gapped kopie (volledig losgekoppeld van elk netwerk) en de “0” staat voor nul fouten bij herstelverificatie. Een air-gapped back-up is onbereikbaar voor ransomware, zelfs als een aanvaller volledige toegang heeft tot je netwerkomgeving.

Andere aanvullende maatregelen die de weerbaarheid vergroten:

• Immutable storage: Back-ups die gedurende een ingestelde periode niet kunnen worden gewijzigd of verwijderd, ook niet door beheerders.
• Langere retentieperiodes: Sommige malware blijft weken of maanden inactief. Back-ups van slechts enkele dagen zijn dan onbruikbaar als herstelpunt.
• Versleuteling van back-ups: Zowel tijdens transport als in rust, zodat gestolen back-updata niet bruikbaar is voor een aanvaller.
• Toegangsbeheer: Beperk wie back-ups kan beheren of verwijderen via strikte rechtenstructuren en multi-factorauthenticatie.

De 3-2-1 back-upregel blijft een essentieel fundament, maar organisaties die te maken hebben met gevoelige data of een verhoogd risicoprofiel, doen er goed aan dit fundament verder uit te bouwen.

Hoe vaak moet je een back-up testen om zeker te zijn van herstel?

Je moet back-ups minimaal één keer per kwartaal testen, maar voor kritieke systemen geldt dat maandelijkse of zelfs wekelijkse herstelproeven de voorkeur verdienen. Een back-up die nooit is getest, biedt geen garantie op herstel, ongeacht hoe zorgvuldig de back-upstrategie is opgezet.

Testen betekent niet alleen controleren of de back-up bestaat, maar daadwerkelijk het herstelproces doorlopen. Dit omvat:

1. Hersteltest in een geïsoleerde omgeving: Zet de back-up terug op een testserver of in een sandbox, zodat je productiesystemen niet worden verstoord.
2. Verificatie van data-integriteit: Controleer of de herstelde bestanden volledig en bruikbaar zijn, niet alleen aanwezig.
3. Meting van hersteltijd: Houd bij hoe lang het herstel duurt en vergelijk dit met je vastgestelde RTO (Recovery Time Objective).
4. Documentatie van het resultaat: Leg bevindingen vast en pas het back-upproces aan als er problemen zijn geconstateerd.

Naast periodieke tests is het verstandig om ook na elke grote systeemwijziging, softwareupdate of infrastructuurverandering een hersteltest uit te voeren. De omgeving verandert continu, en een back-up die werkte voor de wijziging, werkt niet automatisch daarna ook nog.

Organisaties die hun continuïteitsbeleid serieus nemen, plannen hersteltests in als vaste terugkerende activiteit en documenteren de resultaten als onderdeel van hun informatiebeveiligingsbeleid.

Wat zijn de verplichtingen rondom back-ups onder NIS2?

Onder de NIS2-richtlijn, en de Nederlandse uitwerking daarvan in de Cyberbeveiligingswet (Cbw), zijn organisaties verplicht passende maatregelen te nemen voor bedrijfscontinuïteit en crisisbeheer, waaronder een aantoonbaar werkend back-up- en herstelbeleid. Back-ups zijn daarmee geen optionele maatregel, maar een expliciet onderdeel van de wettelijke zorgplicht.

De NIS2-zorgplicht schrijft voor dat organisaties beleid opstellen en implementeren voor:

• Bedrijfscontinuïteit, waaronder back-upbeheer en noodherstel
• Risicoanalyse en beveiliging van informatiesystemen
• Beveiligingsmaatregelen voor toegangsbeheer en cryptografie
• Beveiliging van de toeleveringsketen, inclusief de back-upinfrastructuur van leveranciers

Concreet betekent dit dat het niet voldoende is om back-ups te maken. Organisaties moeten ook kunnen aantonen dat het back-upbeleid is gedocumenteerd, dat herstelprocedures zijn getest en dat de verantwoordelijkheden duidelijk zijn belegd. Bij een incident waarbij data verloren gaat, kan de toezichthouder vragen om bewijs van een adequaat back-upproces.

Voor organisaties in de publieke sector geldt bovendien dat de BIO2 (Baseline Informatiebeveiliging Overheid 2) als normatief kader fungeert voor de invulling van de NIS2-zorgplicht. Continuïteitsmaatregelen, waaronder back-upbeleid, zijn hierin expliciet opgenomen. Meer informatie over de bredere verplichtingen vind je op de NIS2-regelgeving pagina.

De Cyberbeveiligingswet is per 4 juni 2025 ingediend bij de Tweede Kamer en de inwerkingtreding wordt verwacht in Q2 2026. Organisaties die nu al voldoen aan de 3-2-1 back-upregel en hun herstelprocessen documenteren, lopen voor op de wettelijke verplichting en zijn beter beschermd tegen de risico’s die er nu al zijn.

Hoe Q-Cyber helpt met je back-upstrategie en NIS2-compliance

Een goede back-upstrategie is meer dan een technische instelling. Het vraagt om beleid, verantwoordelijkheden, herstelplannen en aantoonbare naleving van wet- en regelgeving zoals NIS2. Wij helpen organisaties om dit volledig en pragmatisch in te richten, zonder onnodige complexiteit en zonder binding aan softwarepartijen.

Wat wij voor je kunnen doen:

• Gap-analyse: We brengen in kaart waar je back-upstrategie tekortschiet ten opzichte van de NIS2-zorgplicht en best practices zoals de 3-2-1 regel
• Beleidsvorming: We schrijven een concreet en compliant back-up- en herstelbeleid dat aansluit op jouw organisatie en risicoprofiel
• Technisch advies: We adviseren onafhankelijk over de juiste combinatie van opslagmedia, cloudoplossingen en offsite-opties
• Hersteltest begeleiding: We begeleiden en documenteren hersteltests zodat je aantoonbaar voldoet aan de continuïteitsvereisten
• NIS2-begeleiding: We ondersteunen je bij het volledige NIS2-traject, van registratie tot bestuurstraining en toezichtsvoorbereiding

Wacht niet tot de wet in werking treedt. De risico’s zijn er nu al, en wie nu in actie komt, is straks beter beschermd en beter voorbereid op toezicht. Neem contact op en ontdek hoe we jouw organisatie kunnen helpen.

Lees meer

Hoe maak je een back-upstrategie voor je bedrijf?

Geplaatst op: 11 juni 2026

Een goede back-upstrategie voor je bedrijf bestaat uit drie kernonderdelen: meerdere kopieën van je data op verschillende locaties, een duidelijke back-upfrequentie afgestemd op je bedrijfsprocessen, en een getest herstelplan. Zonder die drie elementen is een back-up in naam aanwezig, maar biedt het geen echte bescherming. In dit artikel beantwoorden we de meest gestelde vragen over het opzetten van een solide back-upplan voor je organisatie.

Wat zijn de belangrijkste onderdelen van een back-upstrategie?

Een back-upstrategie voor een bedrijf bestaat uit vijf essentiële onderdelen: welke data je back-upt, hoe vaak, waar je de kopieën opslaat, hoe lang je ze bewaart, en hoe je ze terugzet. Ontbreekt één van deze elementen, dan heb je geen strategie maar een losse maatregel die je op het verkeerde moment in de steek kan laten.

Elk onderdeel verdient concrete invulling. Begin met een data-inventarisatie: welke bestanden, databases en systemen zijn bedrijfskritisch? Denk aan klantgegevens, financiële administratie, configuratiebestanden en e-mailarchief. Bepaal daarna per categorie hoe snel je die data weer nodig hebt na een incident. Dit noem je de Recovery Time Objective (RTO) en de Recovery Point Objective (RPO). De RTO geeft aan hoe lang je het maximaal zonder die data kunt stellen. De RPO bepaalt hoeveel dataverlies acceptabel is, uitgedrukt in tijd.

Naast de technische kant speelt ook de organisatorische kant mee. Wie is verantwoordelijk voor het uitvoeren en controleren van back-ups? Hoe lang bewaar je versies? En wat doe je bij een ransomware-aanval waarbij ook de back-ups versleuteld zijn? Een doordacht back-upplan in lijn met regelgeving zoals NIS2 dwingt je om al deze vragen vooraf te beantwoorden in plaats van tijdens een crisis.

Wat is de 3-2-1-regel en hoe pas je die toe?

De 3-2-1-regel is de meest gebruikte richtlijn voor een betrouwbare back-upstrategie: maak 3 kopieën van je data, sla ze op 2 verschillende typen media op, en bewaar 1 kopie op een externe locatie. Deze aanpak zorgt ervoor dat geen enkel enkelvoudig incident, of het nu gaat om een harde schijf die uitvalt, een brand of een cyberaanval, al je data tegelijk kan vernietigen.

In de praktijk werkt dit als volgt voor een gemiddeld bedrijf:

• Kopie 1: de actieve productiedata op je primaire systeem of server
• Kopie 2: een lokale back-up op een NAS-apparaat of externe schijf op kantoor
• Kopie 3: een offsite back-up in de cloud of op een fysieke locatie buiten je pand

De kracht van de 3-2-1-regel zit in de spreiding van risico. Als je server crasht, staat er nog een lokale kopie. Als je kantoor afbrandt, heb je nog de cloudback-up. Sommige organisaties breiden dit uit naar de 3-2-1-1-regel, waarbij de vierde kopie offline of air-gapped bewaard wordt, volledig losgekoppeld van het netwerk. Dit biedt extra bescherming tegen ransomware die actieve back-upverbindingen kan bereiken en versleutelen.

Wat is het verschil tussen een lokale, cloud- en hybride back-up?

Het verschil zit in waar je de back-updata opslaat en hoe je die beheert. Een lokale back-up staat op hardware binnen je eigen organisatie, een cloudback-up staat bij een externe aanbieder op afstand, en een hybride back-up combineert beide. Elk type heeft eigen voordelen en beperkingen, afhankelijk van je herstelsnelheid, budget en risicobereidheid.

Lokale back-up

Lokale back-ups zijn snel te herstellen omdat de data zich fysiek dichtbij bevindt. Ze zijn doorgaans goedkoper in gebruik en vereisen geen internetverbinding. Het nadeel is kwetsbaarheid voor fysieke incidenten zoals brand, diefstal of een overstroming. Ook ransomware kan lokale back-ups bereiken als ze verbonden zijn met het netwerk.

Cloudback-up

Cloudback-ups zijn geografisch gescheiden van je primaire locatie, wat ze robuust maakt tegen fysieke rampen. Ze schalen makkelijk mee met groeiende datavolumes en zijn toegankelijk vanaf elke locatie. Het herstel kan echter trager zijn bij grote datahoeveelheden, en je bent afhankelijk van een stabiele internetverbinding en de continuïteit van de cloudaanbieder.

Hybride back-up

De hybride aanpak combineert de snelheid van lokale opslag met de veiligheid van de cloud. Dit is voor de meeste bedrijven de meest volwassen back-upstrategie. Je herstelt kleine incidenten snel via de lokale kopie, terwijl de cloudback-up bescherming biedt bij grote calamiteiten. Veel moderne back-upoplossingen bieden hybride functionaliteit standaard aan.

Hoe vaak moet je een back-up maken van bedrijfsdata?

Hoe vaak je een bedrijfsback-up moet maken, hangt af van hoe snel je data verandert en hoeveel dataverlies je kunt accepteren. Voor de meeste bedrijven geldt: maak dagelijks een back-up van operationele data en wekelijks een volledige systeemback-up. Kritische systemen, zoals databases die doorlopend wijzigen, vereisen vaak continue of uurlijkse back-ups.

Een handige vuistregel is om terug te redeneren vanuit je RPO. Als je maximaal vier uur aan transacties kunt missen, moet je minstens elke vier uur een back-up draaien. Als één dag verlies acceptabel is voor een bepaalde categorie data, volstaat een nachtelijke back-up.

Concreet ziet een veelgebruikte back-upfrequentie er als volgt uit:

• Continu of elk uur: databases, kassasystemen, CRM-data
• Dagelijks: e-mail, projectbestanden, klantdossiers
• Wekelijks: volledige systeemimages, archief
• Maandelijks: langetermijnarchief voor compliance en audits

Houd ook rekening met bewaarperiodes. Niet elke back-up hoef je eeuwig te bewaren, maar sommige sectoren hebben wettelijke bewaartermijnen voor bepaalde data. Stem je back-upfrequentie en retentiebeleid op elkaar af zodat je altijd kunt aantonen wat er wanneer beschikbaar was.

Hoe test je of een back-up daadwerkelijk werkt?

Een back-up testen doe je door een hersteltest uit te voeren: herstel bestanden of systemen vanuit de back-up naar een testomgeving en controleer of de data volledig, correct en bruikbaar is. Een back-up die nooit getest is, is geen betrouwbare back-up. De enige manier om zeker te weten dat je back-up werkt, is door het herstelproces daadwerkelijk te doorlopen.

Veel bedrijven ontdekken pas tijdens een echte crisis dat hun back-up onvolledig was, verouderd of niet meer leesbaar door een softwarewijziging. Om dat te voorkomen, plan je regelmatige hersteltests in als vast onderdeel van je back-upstrategie.

Een praktische testaanpak ziet er zo uit:

1. Bestandsherstel: herstel maandelijks willekeurige bestanden en controleer of ze correct openen
2. Systeemherstel: herstel elk kwartaal een volledig systeem of virtuele machine naar een testomgeving
3. Disaster recovery test: simuleer jaarlijks een volledig uitvalscenario en meet de werkelijke hersteltijd
4. Documenteer de resultaten: leg vast wat er getest is, hoe lang het duurde en of er knelpunten waren

Naast technische tests is het ook verstandig om het herstelproces te laten uitvoeren door iemand die het niet dagelijks doet. Als alleen de beheerder weet hoe het moet, ontstaat er een afhankelijkheid die bij ziekte of vertrek problemen geeft. Een doorlopend beveiligingsprogramma kan helpen om dit soort kwetsbaarheden structureel te monitoren.

Welke back-upfouten maken bedrijven het vaakst?

De meest gemaakte back-upfouten zijn: geen hersteltest uitvoeren, back-ups opslaan op hetzelfde netwerk als de productieomgeving, te lange intervallen tussen back-ups, en geen back-up maken van cloudapplicaties zoals Microsoft 365 of Google Workspace. Deze fouten maken een back-upstrategie kwetsbaar op precies de momenten dat je er het meest op rekent.

Hieronder de meest voorkomende valkuilen op een rij:

• Geen hersteltests: back-ups worden aangemaakt maar nooit gevalideerd, waardoor fouten onopgemerkt blijven
• Back-ups op hetzelfde netwerk: bij een ransomware-aanval worden ook de back-ups versleuteld
• Aanname dat clouddata automatisch back-upt: SaaS-platformen bieden doorgaans geen volledige back-upbescherming, de verantwoordelijkheid ligt bij de gebruiker
• Geen versiebeheer: zonder meerdere versies kun je niet teruggaan naar een punt vóór een infectie of fout
• Back-upverantwoordelijkheid niet belegd: niemand controleert actief of de back-ups daadwerkelijk draaien en slagen
• Encryptie vergeten: back-updata die onversleuteld wordt opgeslagen of verstuurd, is een beveiligingsrisico op zichzelf

Een bijkomend risico is dat bedrijven hun back-upstrategie eenmalig inrichten en daarna niet meer aanpassen. Terwijl de organisatie groeit, nieuwe systemen toevoegt of overstapt naar andere software, blijft de back-upopzet achter. Periodieke evaluatie, minimaal één keer per jaar, is noodzakelijk om je data back-upbeveiliging actueel te houden.

Hoe Q-Cyber helpt met je back-upstrategie en databeveiliging

Een back-upstrategie is geen losstaande maatregel, maar onderdeel van een bredere aanpak van cyberweerbaarheid. Wij helpen organisaties om databeveiliging en bedrijfscontinuïteit structureel te verankeren, niet als technische checklist maar als levende capaciteit die aansluit op de risico’s die jouw organisatie daadwerkelijk loopt.

Wat wij voor je kunnen doen:

• Gap-analyse: we brengen in kaart waar je huidige back-upstrategie tekortschiet ten opzichte van best practices en regelgeving zoals NIS2
• Beleidsvorming: we schrijven een concreet back-up- en herstelbeleid dat aansluit op jouw organisatiestructuur en risicobereidheid
• Technisch advies: we adviseren onafhankelijk over de juiste tools en architectuur, zonder binding aan softwarepartijen
• Herstelscenario’s testen: via onze security tests simuleren we aanvalsscenario’s om te valideren of je back-up- en herstelproces standhouden onder druk
• Virtuele CISO: via Continuous-Q® denken onze specialisten structureel met je mee over back-upbeheer, incidentrespons en bredere cyberveiligheid

Wil je weten hoe jouw huidige back-upstrategie scoort en waar de grootste risico’s zitten? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

Wat zijn de rechten van betrokkenen onder de AVG?

Geplaatst op: 11 juni 2026

De AVG kent betrokkenen zeven concrete rechten toe die hen controle geven over hun persoonsgegevens. Dit zijn het recht op inzage, rectificatie, vergetelheid, beperking van verwerking, dataportabiliteit, bezwaar en het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming. Deze rechten gelden voor iedereen van wie een organisatie persoonsgegevens verwerkt, ongeacht of het gaat om klanten, medewerkers of bezoekers. In dit artikel beantwoorden we de meest gestelde vragen over deze privacyrechten, van hoe je een verzoek indient tot wat de gevolgen zijn als een organisatie deze rechten negeert.

Welke rechten geeft de AVG aan betrokkenen?

De AVG geeft betrokkenen zeven rechten: het recht op inzage, rectificatie, vergetelheid (wissing), beperking van verwerking, dataportabiliteit, bezwaar en het recht om niet uitsluitend te worden beoordeeld op basis van geautomatiseerde verwerking. Samen vormen deze rechten een fundament voor transparantie en zeggenschap over persoonsgegevens.

Elk recht heeft een eigen toepassingsgebied en voorwaarden. Het recht op inzage stelt iemand in staat te weten welke gegevens een organisatie over hem of haar bewaart en waarvoor die worden gebruikt. Het recht op rectificatie zorgt ervoor dat onjuiste of onvolledige gegevens gecorrigeerd kunnen worden. Het recht op vergetelheid biedt de mogelijkheid om verwijdering van gegevens te verzoeken onder specifieke omstandigheden.

Daarnaast geeft de AVG betrokkenen het recht om de verwerking van hun gegevens te laten beperken, zodat gegevens tijdelijk niet worden gebruikt terwijl een geschil wordt opgelost. Het recht op dataportabiliteit maakt het mogelijk gegevens in een gestructureerd, machineleesbaar formaat op te vragen en door te sturen naar een andere partij. Tot slot kunnen betrokkenen bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen of voor direct marketingdoeleinden.

Voor organisaties die vallen onder relevante privacywetgeving is het essentieel dat er processen bestaan om al deze rechten tijdig en correct af te handelen.

Hoe kan een betrokkene een inzageverzoek indienen?

Een betrokkene kan een inzageverzoek indienen door contact op te nemen met de verwerkingsverantwoordelijke organisatie, via welk communicatiekanaal dan ook. Er is geen verplicht formulier of vaste procedure; een e-mail, brief of mondeling verzoek volstaat. De organisatie moet het verzoek binnen één maand beantwoorden.

Bij een inzageverzoek heeft de betrokkene recht op een kopie van de verwerkte persoonsgegevens, maar ook op informatie over de verwerkingsdoeleinden, de categorieën gegevens, de ontvangers aan wie de gegevens zijn verstrekt, de bewaartermijnen en of er geautomatiseerde besluitvorming plaatsvindt. De organisatie mag vragen om de identiteit van de verzoeker te bevestigen, maar mag dit niet als obstakel gebruiken om een verzoek te vertragen of te weigeren.

In de meeste gevallen is een inzageverzoek kosteloos. Alleen bij kennelijk ongegronde of buitensporige verzoeken, bijvoorbeeld als iemand herhaaldelijk identieke verzoeken indient, mag een organisatie een redelijke vergoeding vragen of het verzoek weigeren. De bewijslast voor dat oordeel ligt bij de organisatie, niet bij de betrokkene.

Wat houdt het recht op vergetelheid precies in?

Het recht op vergetelheid, ook wel het recht op wissing genoemd, houdt in dat een betrokkene een organisatie kan verzoeken zijn of haar persoonsgegevens te verwijderen. Dit recht is echter niet absoluut: het geldt alleen onder specifieke omstandigheden die in de AVG zijn vastgelegd.

Een verzoek tot vergetelheid is gegrond wanneer:

• de gegevens niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld;
• de betrokkene zijn toestemming intrekt en er geen andere rechtsgrond voor verwerking is;
• de betrokkene bezwaar maakt tegen de verwerking en er geen dwingende gerechtvaardigde gronden zijn;
• de gegevens onrechtmatig zijn verwerkt;
• wissing verplicht is op grond van een wettelijke verplichting.

Organisaties hoeven niet altijd gehoor te geven aan een wisverzoek. Wanneer de verwerking noodzakelijk is voor de uitoefening van vrijheid van meningsuiting, voor naleving van een wettelijke verplichting, voor archiveringsdoeleinden in het algemeen belang, of voor de instelling of verdediging van rechtsvorderingen, mag de organisatie de gegevens bewaren. Het recht op vergetelheid vraagt dus altijd om een zorgvuldige afweging van belangen.

Wanneer mag een organisatie een AVG-verzoek weigeren?

Een organisatie mag een verzoek van een betrokkene weigeren wanneer het verzoek kennelijk ongegrond of buitensporig is, of wanneer een wettelijke uitzondering van toepassing is. De organisatie moet de weigering altijd schriftelijk motiveren en de betrokkene informeren over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Concrete situaties waarin een weigering gerechtvaardigd kan zijn:

• Wettelijke bewaarplicht: als de organisatie verplicht is gegevens te bewaren, bijvoorbeeld op grond van belasting- of boekhoudwetgeving, kan een wisverzoek niet worden ingewilligd voor die specifieke gegevens.
• Vrijheid van meningsuiting en informatie: journalistieke of academische verwerking kan zwaarder wegen dan het recht op vergetelheid.
• Volksgezondheid of wetenschappelijk onderzoek: gegevens die noodzakelijk zijn voor onderzoek in het algemeen belang mogen onder voorwaarden worden bewaard.
• Rechtsvorderingen: als gegevens nodig zijn voor een lopende juridische procedure, kan wissing worden geweigerd.
• Herhaalde of misbruikende verzoeken: bij aantoonbaar buitensporige verzoeken mag een organisatie een vergoeding vragen of weigeren, mits zij de buitensporigheid kan aantonen.

Wat een organisatie nooit mag, is een verzoek stilzwijgend negeren. Zelfs bij een terechte weigering geldt een informatieplicht richting de betrokkene.

Hoe verschilt het recht op dataportabiliteit van het recht op inzage?

Het recht op inzage geeft een betrokkene toegang tot zijn of haar persoonsgegevens en informatie over hoe die worden verwerkt. Het recht op dataportabiliteit gaat een stap verder: het geeft de betrokkene het recht die gegevens te ontvangen in een gestructureerd, veelgebruikt en machineleesbaar formaat, en ze rechtstreeks door te sturen naar een andere verwerkingsverantwoordelijke.

Er zijn twee belangrijke praktische verschillen:

• Toepassingsgebied: dataportabiliteit geldt alleen voor gegevens die de betrokkene zelf heeft verstrekt en die worden verwerkt op basis van toestemming of een overeenkomst. Het recht op inzage geldt voor alle persoonsgegevens die een organisatie verwerkt, ongeacht de rechtsgrond.
• Doel: inzage is bedoeld voor transparantie en controle. Dataportabiliteit is bedoeld om overstappen te vergemakkelijken, bijvoorbeeld van de ene app of dienstverlener naar de andere.

Een voorbeeld: een klant van een streamingdienst heeft recht op inzage in alle gegevens die de dienst over hem bewaart, inclusief kijkgedrag en betalingsgegevens. Het recht op dataportabiliteit stelt hem in staat zijn profiel en voorkeuren mee te nemen naar een concurrent, maar alleen als die gegevens door hemzelf zijn verstrekt en de verwerking op toestemming of contract berust.

Wat zijn de gevolgen als een organisatie AVG-rechten negeert?

Als een organisatie de rechten van betrokkenen negeert of structureel niet naleeft, riskeert zij forse boetes van de Autoriteit Persoonsgegevens, reputatieschade en civiele aansprakelijkheid. De AVG kent boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

De Autoriteit Persoonsgegevens kan optreden naar aanleiding van een klacht van een betrokkene, maar ook op eigen initiatief. Naast financiële sancties kan de toezichthouder ook een verwerkingsverbod opleggen, wat voor veel organisaties operationeel ingrijpend is. Betrokkenen hebben bovendien het recht om schadevergoeding te eisen als zij aantoonbaar schade hebben geleden door een schending van hun privacyrechten.

In de praktijk zijn de reputatiegevolgen vaak even zwaar als de financiële. Consumenten en zakelijke partners hechten steeds meer waarde aan zorgvuldige omgang met persoonsgegevens. Een organisatie die herhaaldelijk AVG-verzoeken negeert of afwijst zonder goede motivering, beschadigt het vertrouwen van klanten en partners structureel.

AVG-compliance is ook nauw verwant aan bredere beveiligingsverplichtingen. Organisaties die werken aan NIS2-naleving merken dat privacy en informatiebeveiliging steeds meer verweven zijn: wie zijn databeheer op orde heeft, staat ook sterker bij een beveiligingsaudit.

Hoe Q-Cyber helpt met AVG-compliance en privacyrechten

Wij begrijpen dat de AVG voor veel organisaties een complex geheel vormt, zeker wanneer privacyverplichtingen samenkomen met bredere cybersecurityeisen zoals NIS2. Q-Cyber helpt organisaties om hun informatiebeheer en beveiligingsbeleid zo in te richten dat zij structureel voldoen aan zowel privacywetgeving als cybersecurityregelgeving.

Wat wij concreet bieden:

• Gap-analyses die inzichtelijk maken waar uw organisatie tekortschiet in de naleving van AVG-verplichtingen en beveiligingseisen.
• Beleidsschrijving op maat, waaronder procedures voor het afhandelen van inzageverzoeken, wisverzoeken en andere rechten van betrokkenen.
• Trainingen voor bestuurders en medewerkers over privacyrechten, meldplichten en beveiligingsverantwoordelijkheden.
• Pragmatisch advies zonder binding aan softwarepartijen, zodat onze aanbevelingen altijd in uw belang zijn.
• Ondersteuning via ons Continuous-Q programma, waarbij een team van specialisten uw organisatie doorlopend begeleidt op het gebied van cybersecurity en compliance.

Wilt u weten hoe uw organisatie er nu voor staat? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

Wat is business continuity management?

Geplaatst op: 10 juni 2026

Business continuity management (BCM) is een gestructureerde aanpak waarmee organisaties ervoor zorgen dat kritieke bedrijfsprocessen kunnen blijven functioneren tijdens en na een verstoring, zoals een cyberaanval, brand of stroomuitval. Het doel is niet alleen overleven in een crisis, maar ook het borgen van de continuïteit van dienstverlening op de lange termijn. BCM omvat beleid, plannen, tests en verantwoordelijkheden die samen een robuust continuïteitsplan vormen. In dit artikel beantwoorden we de meest gestelde vragen over bedrijfscontinuïteit.

Wat onderscheidt business continuity management van crisismanagement?

Business continuity management en crisismanagement overlappen elkaar, maar zijn niet hetzelfde. BCM richt zich op het vooraf plannen en inrichten van processen zodat de organisatie tijdens een verstoring blijft functioneren. Crisismanagement gaat over de acute respons op een onverwachte situatie: wie doet wat, hoe communiceer je, en hoe beperk je de schade op het moment zelf.

Een handige manier om het onderscheid te begrijpen: BCM is de voorbereiding, crisismanagement is de uitvoering. Een sterk bedrijfscontinuïteitsplan maakt crisismanagement effectiever, omdat rollen, escalatiepaden en uitwijkprocedures al vastliggen voordat de crisis uitbreekt.

BCM heeft een bredere scope dan crisismanagement. Waar crisismanagement stopt zodra de acute situatie onder controle is, loopt BCM door tot de organisatie volledig is hersteld en de geleerde lessen zijn verwerkt in het beleid. Denk aan het herstel van systemen, het hervatten van klantcommunicatie en het evalueren van wat beter had gekund. Beide disciplines zijn onmisbaar, maar ze vullen elkaar aan in plaats van elkaar te vervangen.

Welke onderdelen vormen een business continuity plan?

Een business continuity plan (BCP) bestaat uit een aantal vaste bouwstenen die samen de organisatie in staat stellen om gecontroleerd te reageren op verstoringen. De kern van elk goed continuïteitsplan is een risicobeoordeling die inzicht geeft in welke processen kritiek zijn en welke dreigingen de grootste impact hebben.

De belangrijkste onderdelen van een BCM-plan zijn:

• Business Impact Analysis (BIA): een analyse van welke processen het meest kritiek zijn en wat de maximale uitvaltijd per proces mag zijn.
• Risicoanalyse: een inventarisatie van mogelijke verstoringen en de kans dat deze zich voordoen.
• Herstelstrategieën: concrete maatregelen om kritieke processen te herstellen of te continueren, zoals uitwijklocaties, back-upprocedures of alternatieve leveranciers.
• Rollen en verantwoordelijkheden: wie is waarvoor verantwoordelijk tijdens een verstoring, inclusief een duidelijke escalatiestructuur.
• Communicatieplan: hoe communiceer je intern en extern tijdens een incident, en wie is de woordvoerder.
• Test- en oefenplan: periodieke oefeningen om te controleren of het plan in de praktijk werkt en om medewerkers voor te bereiden.
• Evaluatie en actualisatie: een cyclus om het plan up-to-date te houden na wijzigingen in de organisatie of het dreigingslandschap.

Een BCM-plan is geen statisch document. Het vraagt regelmatige aandacht, zeker wanneer de organisatie groeit, nieuwe systemen in gebruik neemt of te maken krijgt met nieuwe risico’s zoals aanvallen op de toeleveringsketen.

Wanneer is business continuity management verplicht?

BCM is wettelijk verplicht voor organisaties die vallen onder de NIS2-richtlijn, in Nederland geïmplementeerd via de Cyberbeveiligingswet (Cbw). Deze wet schrijft voor dat essentiële en belangrijke entiteiten aantoonbare maatregelen nemen voor bedrijfscontinuïteit en crisisbeheer als onderdeel van hun zorgplicht. In Nederland vallen ruim 10.000 organisaties direct onder NIS2.

Naast NIS2 zijn er andere kaders die BCM verplicht of sterk aanbevolen maken:

• NIS2 / Cyberbeveiligingswet: verplicht voor essentiële en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg, financiën en digitale infrastructuur.
• BIO2 (Baseline Informatiebeveiliging Overheid): het normenkader voor de gehele overheid, wettelijk verankerd onder de Cbw. Continuïteitsbeheer is hier een expliciet onderdeel van.
• ISO 27001 / NEN-EN-ISO/IEC 27002: internationale informatiebeveiligingsnormen die BCM als vereiste opnemen voor organisaties die een certificering nastreven.
• Sectorspecifieke regelgeving: in de zorg geldt onder meer NEN 7510, waarbij continuïteit van zorgprocessen een centrale eis is.

Ook organisaties die niet direct onder een wettelijke verplichting vallen, maar leveren aan NIS2-entiteiten, krijgen steeds vaker te maken met contractuele eisen op het gebied van bedrijfscontinuïteit. De NIS2-zorgplicht vereist namelijk dat organisaties ook inzicht hebben in de continuïteitsmaatregelen van hun leveranciers.

Hoe verschilt BCM van een IT disaster recovery plan?

Een IT disaster recovery plan (DRP) is een onderdeel van BCM, maar geen synoniem. Het disaster recovery plan richt zich specifiek op het herstellen van IT-systemen, data en infrastructuur na een technische storing of cyberaanval. BCM heeft een bredere reikwijdte: het omvat alle kritieke bedrijfsprocessen, inclusief mensen, locaties, leveranciers en communicatie.

Het verschil wordt duidelijk aan de hand van een voorbeeld. Stel dat een ransomware-aanval de systemen van een organisatie platgooit. Het DRP beschrijft hoe de IT-afdeling de systemen herstelt, back-ups terugzet en de infrastructuur opnieuw inricht. Het BCM-plan beschrijft daarnaast hoe de organisatie in de tussentijd blijft functioneren: welke processen kunnen handmatig worden uitgevoerd, hoe worden klanten geïnformeerd, en welke medewerkers nemen welke taken over.

Een goed beveiligingstestprogramma helpt overigens ook bij het valideren van herstelplannen: door gesimuleerde aanvallen te testen, ontdek je of de recovery procedures in de praktijk werken zoals verwacht. Samengevat geldt: elk DRP maakt deel uit van een BCM-plan, maar een BCM-plan gaat altijd verder dan alleen IT-herstel.

Wat zijn veelgemaakte fouten bij het opstellen van een BCM-plan?

De meest voorkomende fout bij business continuity management is dat het plan wordt opgesteld als een eenmalige exercitie en daarna in een la verdwijnt. Een BCM-plan dat niet regelmatig wordt getest, bijgewerkt en gecommuniceerd, biedt in een echte crisis weinig houvast.

Andere veelgemaakte fouten zijn:

• Geen of onvolledige Business Impact Analysis: zonder een grondige BIA weet je niet welke processen echt kritiek zijn, waardoor herstelprioriteiten verkeerd worden gesteld.
• Te veel focus op IT, te weinig op mensen en processen: continuïteit hangt niet alleen af van systemen, maar ook van medewerkers, fysieke locaties en externe leveranciers.
• Onrealistische hersteltijden: organisaties stellen soms Recovery Time Objectives (RTO’s) vast die technisch niet haalbaar zijn, zonder dit te toetsen.
• Geen betrokkenheid van het bestuur: BCM werkt alleen als het bestuur verantwoordelijkheid neemt en het plan actief ondersteunt. Zowel NIS2 als de BIO2 leggen die verantwoordelijkheid expliciet bij de bestuurders.
• Leveranciers buiten beschouwing laten: organisaties vergeten vaak dat verstoringen bij toeleveranciers ook hun eigen continuïteit kunnen bedreigen. Supply chain security is een integraal onderdeel van risicobeheer.
• Niet oefenen: een plan dat nooit is getest, bevat vrijwel altijd blinde vlekken die pas in een echte crisis zichtbaar worden.

Hoe begin je met het implementeren van business continuity management?

Begin met een risicobeoordeling en een Business Impact Analysis om inzicht te krijgen in welke processen kritiek zijn en welke dreigingen de grootste impact hebben. Vanuit die basis bouw je stapsgewijs een BCM-programma op dat past bij de omvang en het risicoprofiel van je organisatie.

Een praktische aanpak voor implementatie:

1. Bepaal de scope: welke processen, systemen en locaties vallen onder het BCM-programma?
2. Voer een BIA en risicoanalyse uit: breng de kritieke processen in kaart en bepaal de maximale uitvaltijd per proces.
3. Stel herstelstrategieën op: kies concrete maatregelen per risico, zoals uitwijkprocedures, back-uplocaties of alternatieve leveranciers.
4. Schrijf het BCM-plan: leg rollen, verantwoordelijkheden, procedures en communicatielijnen vast in een helder document.
5. Train medewerkers en het bestuur: zorg dat iedereen weet wat zijn of haar rol is. Bestuurders moeten in staat zijn om weloverwogen beslissingen te nemen tijdens een crisis.
6. Test en oefen regelmatig: simuleer scenario’s om te controleren of het plan werkt en om verbeterpunten te identificeren.
7. Evalueer en actualiseer: pas het plan aan na elke oefening, na een incident of bij organisatiewijzigingen.

Voor organisaties die onder NIS2 vallen, is het verstandig om de implementatie van BCM te combineren met de bredere NIS2-compliance aanpak. De NIS2-regelgeving vereist namelijk dat bedrijfscontinuïteit aantoonbaar is ingebed in beleid en processen, en dat dit periodiek wordt getoetst.

Hoe Q-Cyber helpt met business continuity management

BCM is een complex vraagstuk dat technische kennis, beleidsexpertise en organisatorisch inzicht vereist. Wij ondersteunen organisaties bij het opzetten, testen en verbeteren van hun bedrijfscontinuïteitsbeleid, van de eerste risicoanalyse tot een volledig geïmplementeerd en getest continuïteitsplan.

Wat wij concreet bieden:

• Uitvoeren van een Business Impact Analysis en risicoanalyse op maat
• Schrijven van BCM-beleid en continuïteitsplannen die aansluiten op NIS2 en BIO2-vereisten
• Gap-analyses om te bepalen waar je organisatie nu staat en wat er nog ontbreekt
• Trainingen voor bestuurders en medewerkers, zodat iedereen zijn rol kent
• Begeleiding bij het testen en oefenen van het BCM-plan via gesimuleerde scenario’s
• Virtuele CISO-diensten voor organisaties die structurele ondersteuning nodig hebben bij risicobeheer en continuïteitsplanning

Wij werken onafhankelijk, zonder binding aan softwarepartijen, en leveren pragmatisch advies dat direct toepasbaar is. Wil je weten waar jouw organisatie staat op het gebied van bedrijfscontinuïteit? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

Wat is een penetratietest en wanneer heb je die nodig?

Geplaatst op: 10 juni 2026

Een penetratietest, ook wel pentest genoemd, is een gesimuleerde cyberaanval op een systeem, netwerk of applicatie waarbij beveiligingsexperts proberen in te breken zoals een echte aanvaller dat zou doen. Het doel is om kwetsbaarheden te ontdekken voordat kwaadwillenden dat doen. Een pentest geeft je een realistisch beeld van hoe weerbaar je organisatie werkelijk is, niet alleen op papier maar ook in de praktijk.

In dit artikel beantwoorden we de meest gestelde vragen over penetratietesten: van hoe ze werken en wat ze kosten tot wanneer ze verplicht zijn en wat je met de resultaten doet.

Hoe werkt een penetratietest in de praktijk?

Een penetratietest verloopt in een aantal vaste fasen: verkenning, aanval, exploitatie en rapportage. De tester brengt eerst het doelwit in kaart, zoekt vervolgens naar zwakke plekken, probeert die actief te misbruiken en legt alle bevindingen vast in een gedetailleerd rapport. Het hele proces is gecontroleerd en vooraf afgestemd met de opdrachtgever.

In de verkenningsfase verzamelt de tester informatie over het systeem: welke poorten staan open, welke software draait er, zijn er bekende kwetsbaarheden in de gebruikte versies? Dit kan op passieve wijze (openbare bronnen) of actief (directe interactie met het systeem).

Daarna volgt de aanvalsfase. De tester probeert via gevonden zwakke plekken toegang te krijgen tot systemen, data of netwerksegmenten. Dit kan technisch zijn, zoals het misbruiken van een softwarekwetsbaarheid, maar ook via social engineering, zoals een phishingtest. Juist de combinatie van technische en menselijke aanvalsvectoren maakt een pentest zo waardevol.

Na de exploitatiefase wordt alles gedocumenteerd. De tester beschrijft niet alleen wat er mogelijk was, maar ook hoe groot de impact zou zijn geweest bij een echte aanval. Dit vormt de basis voor het eindrapport dat de opdrachtgever ontvangt.

Wat is het verschil tussen een penetratietest en een vulnerability scan?

Een vulnerability scan is een geautomatiseerde controle die bekende kwetsbaarheden in kaart brengt, maar niet actief probeert die te misbruiken. Een penetratietest gaat een stap verder: een menselijke expert probeert de gevonden kwetsbaarheden ook daadwerkelijk te exploiteren om te bepalen welke risico’s echt uitnutbaar zijn. Een scan vertelt je wat er mogelijk mis is; een pentest laat zien wat een aanvaller er in de praktijk mee kan.

Dit onderscheid is belangrijk voor de keuze tussen beide methoden. Een vulnerability scan is sneller, goedkoper en goed geschikt als periodieke basiscontrole. Je krijgt een breed overzicht van technische zwaktes in je omgeving. Nadeel is dat geautomatiseerde tools context missen: ze kunnen niet beoordelen of een kwetsbaarheid in jouw specifieke omgeving ook echt gevaarlijk is.

Een penetratietest vereist menselijke expertise en duurt langer, maar levert een veel rijker beeld op. De tester denkt als een aanvaller, combineert meerdere kwetsbaarheden en ontdekt aanvalspaden die een scanner nooit zou vinden. Voor organisaties die serieuze risico’s willen begrijpen en aantoonbaar willen maken dat hun beveiliging stand houdt, is een pentest de betere keuze.

In de praktijk vullen beide methoden elkaar aan. Veel organisaties voeren regelmatig vulnerability scans uit als continu vangnet en plannen een of meerdere keren per jaar een volledige penetratietest voor diepgaande validatie.

Wanneer is een penetratietest verplicht of sterk aanbevolen?

Een penetratietest is verplicht of sterk aanbevolen in een aantal situaties: wanneer wetgeving zoals NIS2 of ISO 27001 dit vereist, na grote technische wijzigingen, bij de lancering van een nieuwe applicatie of na een beveiligingsincident. Organisaties die onder de Cyberbeveiligingswet vallen, zijn verplicht aantoonbare technische maatregelen te treffen, waarbij een pentest een van de meest concrete bewijsmiddelen is.

De NIS2-richtlijn, die in Nederland via de Cyberbeveiligingswet wordt ingevoerd, verplicht essentiële en belangrijke entiteiten tot uitgebreid cyberrisicobeheer. Hoewel de wet geen expliciete verplichting tot een jaarlijkse pentest bevat, is een periodieke penetratietest een logische en breed geaccepteerde invulling van de zorgplicht. Organisaties die hier niet aan voldoen, lopen het risico op boetes tot 10 miljoen euro of 2% van hun wereldwijde jaaromzet.

Buiten wettelijke verplichtingen zijn er situaties waarbij een pentest sterk aanbevolen is:

• Voor de livegang van een nieuwe applicatie of webshop
• Na een fusie, overname of grote infrastructuurwijziging
• Wanneer je klanten of partners om een beveiligingsaudit vragen
• Na een beveiligingsincident of datalek
• Bij het afsluiten van een cyberverzekering, die steeds vaker een recente pentest vereist
• Wanneer medewerkers toegang hebben tot gevoelige klant- of persoonsgegevens

Organisaties die werken met kritieke infrastructuur, medische data of financiële systemen doen er goed aan minimaal jaarlijks een penetratietest uit te voeren, ongeacht wettelijke verplichtingen.

Wat kost een penetratietest gemiddeld?

De kosten van een penetratietest variëren sterk en liggen doorgaans tussen de 2.000 en 20.000 euro, afhankelijk van de omvang, het type test en de complexiteit van de omgeving. Kleinere webapplicaties of gerichte tests zijn goedkoper; uitgebreide infrastructuurtests of red team-oefeningen kosten aanzienlijk meer. Een vaste prijs noemen is lastig zonder inzicht in de scope.

De belangrijkste factoren die de prijs bepalen zijn:

• Scope en omvang: Hoeveel systemen, applicaties of netwerksegmenten worden getest?
• Type pentest: Een webapplicatietest is doorgaans goedkoper dan een volledige infrastructuurtest of een red team-engagement
• Black box, grey box of white box: Bij een black box test heeft de tester geen voorkennis; bij white box krijgt de tester volledige documentatie. Hoe meer kennis vooraf, hoe efficiënter de test
• Diepgang van de rapportage: Uitgebreide rapporten met hersteladvies kosten meer tijd en dus meer geld
• Hertest: Wordt na het oplossen van kwetsbaarheden een nieuwe test uitgevoerd om te controleren of het herstel correct is?

Goedkoop is niet altijd voordelig. Een penetratietest die alleen een geautomatiseerde scan nabootst, voegt weinig waarde toe. De meerwaarde zit in de menselijke expertise die aanvalspaden combineert en contextgevoelig beoordeelt. Vraag altijd naar de methodiek en de achtergrond van de testers voordat je een keuze maakt op basis van prijs.

Wie mag een penetratietest uitvoeren?

Een penetratietest mag wettelijk worden uitgevoerd door elke partij die daartoe door de eigenaar van het systeem is gemachtigd. Er bestaat in Nederland geen formele certificeringsverplichting voor pentesters, maar in de praktijk zijn erkende certificeringen zoals OSCP, CEH of CREST een sterke indicator van vakbekwaamheid. Kies altijd een partij met aantoonbare ervaring en een duidelijk contract over de scope.

Het ontbreken van een wettelijke certificeringsverplichting betekent niet dat iedereen geschikt is. Een goede pentester beschikt over diepgaande technische kennis van netwerken, applicaties en aanvalstechnieken, maar ook over het vermogen om bevindingen begrijpelijk te rapporteren voor niet-technische stakeholders. De combinatie van technische vaardigheid en communicatieve helderheid is wat een goede tester onderscheidt.

Let bij de keuze van een uitvoerende partij op:

• Relevante certificeringen van de individuele testers (niet alleen het bedrijf)
• Ervaring in jouw sector of met vergelijkbare systemen
• Een heldere en schriftelijke opdrachtovereenkomst met vastgelegde scope
• Vertrouwelijkheidsafspraken over gevonden kwetsbaarheden
• De mogelijkheid tot een hertest na het doorvoeren van verbeteringen

Sommige organisaties kiezen voor een intern red team voor continue security testing. Voor de meeste organisaties is een externe partij beter: die kijkt met frisse ogen en heeft geen blinde vlekken door gewenning aan de eigen omgeving.

Wat gebeurt er na een penetratietest met de resultaten?

Na een penetratietest ontvang je een gedetailleerd rapport met alle gevonden kwetsbaarheden, de ernst ervan (vaak uitgedrukt in een CVSS-score of een eigen risicoclassificatie) en concrete aanbevelingen voor herstel. De volgende stap is het prioriteren en oplossen van die kwetsbaarheden, gevolgd door een hertest om te bevestigen dat het herstel effectief is.

Een goed pentest-rapport bevat doorgaans twee lagen: een managementsamenvatting voor bestuurders en een technisch gedeelte voor de IT-afdeling. De samenvatting beschrijft het algehele risiconiveau en de meest kritieke bevindingen. Het technische gedeelte gaat dieper in op elke kwetsbaarheid, inclusief hoe die is gevonden, wat de impact is en hoe je die oplost.

Na ontvangst van het rapport doorloop je idealiter de volgende stappen:

1. Prioriteer bevindingen: Pak kritieke en hoge risico’s als eerste aan, ongeacht de complexiteit van het herstel
2. Wijs eigenaarschap toe: Bepaal wie verantwoordelijk is voor het oplossen van elke bevinding
3. Plan herstelmaatregelen: Stel een realistische tijdlijn op en zorg voor voldoende capaciteit
4. Voer een hertest uit: Laat de tester controleren of de kwetsbaarheden daadwerkelijk zijn verholpen
5. Documenteer de actie: Leg vast wat er is gevonden, wat er is gedaan en wanneer, zodat je dit kunt aantonen richting toezichthouders of klanten

De resultaten van een pentest zijn ook waardevol als input voor bredere verbeteringen: beleid, bewustwording, architectuurkeuzes en trainingen. Een pentest is geen eindpunt maar een startpunt voor structurele verbetering van je digitale weerbaarheid.

Hoe Q-Cyber helpt met penetratietesten

Wij voeren penetratietesten uit voor organisaties die serieus willen weten hoe weerbaar zij zijn tegen echte cyberaanvallen. Onze aanpak combineert technische diepgang met heldere rapportage, zodat zowel IT-teams als bestuurders direct weten wat er speelt en wat er moet gebeuren.

Wat wij bieden:

• Webapplicatie- en infrastructuurtests door gecertificeerde ethical hackers
• Phishingtests om de menselijke factor in kaart te brengen
• Red team-simulaties voor organisaties die een realistisch aanvalsscenario willen testen
• Heldere rapportage met een managementsamenvatting en technisch hersteladvies
• Hertest na het doorvoeren van verbeteringen
• Begeleiding bij NIS2-compliance, inclusief het vertalen van pentest-uitkomsten naar beleidsmaatregelen

We werken volledig onafhankelijk, zonder binding aan softwarepartijen of leveranciers. Dat betekent dat ons advies altijd in jouw belang is, niet in dat van een product dat we willen verkopen. Wil je weten hoe weerbaar jouw organisatie is? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

Hoe stel je een incidentresponsplan op?

Geplaatst op: 9 juni 2026

Een incidentresponsplan opstellen doe je door vijf kernonderdelen vast te leggen: een duidelijke definitie van wat een incident is, de rollen en verantwoordelijkheden van betrokkenen, een stapsgewijze responsprocedure, communicatieprotocollen en een evaluatieproces na afloop. Zonder dit plan reageert een organisatie chaotisch op een cyberaanval, datalekken of ransomware. In dit artikel beantwoorden we de meest gestelde vragen over het opzetten van een effectief incidentresponsplan.

Wat moet er in een incidentresponsplan staan?

Een incidentresponsplan bevat minimaal zes onderdelen: een scope en doelstelling, een classificatiesysteem voor incidenten, rollen en verantwoordelijkheden, een stapsgewijze responsprocedure, communicatieprotocollen en een evaluatieproces. Samen vormen deze elementen de ruggengraat van gestructureerd incidentbeheer binnen een organisatie.

Begin met de scope: voor welke systemen, processen en locaties geldt het plan? Daarna leg je vast wat jouw organisatie verstaat onder een incident, zodat iedereen hetzelfde beeld heeft bij een beveiligingsgebeurtenis. Vervolgens beschrijf je de stappen die worden gezet vanaf het moment van ontdekking tot en met het herstel en de evaluatie.

De incident response procedure volgt doorgaans deze volgorde:

1. Voorbereiding: tools, trainingen en contactlijsten op orde hebben
2. Detectie en melding: het incident signaleren en intern rapporteren
3. Analyse: de aard, omvang en ernst bepalen
4. Indamming: verdere schade beperken
5. Herstel: systemen en processen terugbrengen naar normale werking
6. Evaluatie: lessen trekken en het plan verbeteren

Naast de technische procedure hoort ook een communicatieprotocol in het plan. Wie informeert intern de directie? Wie communiceert extern richting klanten, toezichthouders of de pers? Onder de NIS2-regelgeving geldt bovendien een meldplicht: een significant incident moet binnen 24 uur worden gemeld bij de bevoegde autoriteit, gevolgd door aanvullende informatie binnen 72 uur en een eindverslag binnen een maand. Dit meldproces hoort expliciet in het plan beschreven te staan.

Welke rollen en verantwoordelijkheden horen in een incidentresponsplan?

In een incidentresponsplan leg je minimaal vier rollen vast: een incident response manager (of CISO), een technisch team, een communicatieverantwoordelijke en een beslissingsbevoegde uit het bestuur. Elke rol heeft een duidelijk omschreven taak zodat er geen overlap of gat ontstaat op het moment dat het misgaat.

De incident response manager coördineert de respons en bewaakt de voortgang. Het technisch team analyseert het incident, damt het in en herstelt systemen. De communicatieverantwoordelijke beheert alle interne en externe berichten. De bestuurder neemt beslissingen over escalatie, externe melding en eventuele bedrijfsonderbreking.

Een veelgemaakte fout is dat organisaties geen vervangers benoemen. Stel dat de CISO ziek is op het moment van een aanval: wie neemt dan de leiding? Leg per rol een primaire en een secundaire verantwoordelijke vast, inclusief contactgegevens. Bewaar deze contactlijst ook offline, want bij een ransomware-aanval zijn digitale systemen mogelijk niet bereikbaar.

Voor organisaties zonder fulltime beveiligingspersoneel biedt een virtuele CISO-dienst uitkomst. Hierbij fungeert een extern team als de interne beveiligingsverantwoordelijke, inclusief beschikbaarheid bij incidenten.

Hoe classificeer je een cybersecurity-incident?

Een cybersecurity-incident classificeer je op basis van drie factoren: de impact op de bedrijfsvoering, de gevoeligheid van de betrokken data en de omvang van de verstoring. Doorgaans worden incidenten ingedeeld in drie of vier niveaus, van laag naar kritiek, waarbij elk niveau een bijbehorende responstijd en escalatieprocedure heeft.

Een praktisch classificatiemodel werkt als volgt:

• Niveau 1 (laag): beperkte impact, geen gevoelige data betrokken, systemen functioneren nog. Voorbeeld: een phishingmail die niet is geopend.
• Niveau 2 (gemiddeld): beperkte verstoring, mogelijk gevoelige data geraakt. Voorbeeld: een medewerker heeft op een phishinglink geklikt maar er is nog geen data gelekt.
• Niveau 3 (hoog): aanzienlijke verstoring van dienstverlening of bewijs van data-exfiltratie. Voorbeeld: een systeem is versleuteld door ransomware.
• Niveau 4 (kritiek): volledige uitval van kritieke systemen, grote hoeveelheden persoonsgegevens gelekt of reputatieschade op grote schaal.

Onder de NIS2-meldplicht is een incident significant als het de continuïteit van de dienstverlening aanzienlijk kan verstoren. Factoren die daarbij meewegen zijn het aantal getroffen personen, de duur van de verstoring en de mogelijke financiële schade. Door je interne classificatie af te stemmen op deze criteria weet je direct wanneer een extern meldingsproces in werking treedt.

Wat is het verschil tussen een incidentresponsplan en een bedrijfscontinuïteitsplan?

Een incidentresponsplan richt zich op de directe reactie op een beveiligingsincident: detecteren, indammen, analyseren en herstellen. Een bedrijfscontinuïteitsplan (BCP) richt zich op het waarborgen van kritieke bedrijfsprocessen tijdens en na een verstoring, ongeacht de oorzaak. De twee plannen vullen elkaar aan maar hebben een andere focus en tijdshorizon.

Het incidentresponsplan is operationeel en technisch van aard. Het beschrijft wat het beveiligingsteam doet in de eerste uren en dagen na een aanval. Het bedrijfscontinuïteitsplan is strategischer: het beschrijft hoe de organisatie essentiële diensten draaiende houdt als systemen uitvallen, ook als dat weken duurt.

In de praktijk verwijzen de twee plannen naar elkaar. Zodra een incident zo ernstig is dat het de bedrijfsvoering langdurig verstoort, schakelt de incident response over naar de continuïteitsprotocollen. Stel beide plannen daarom samen op en zorg dat de betrokken teams van elkaars bestaan weten. Een organisatie die alleen een incidentresponsplan heeft maar geen continuïteitsplan, weet wel hoe ze reageert op een aanval, maar niet hoe ze daarna de boel weer op de rit krijgt.

Hoe vaak moet je een incidentresponsplan testen en bijwerken?

Een incidentresponsplan test je minimaal één keer per jaar en update je na elk significant incident, elke grote organisatiewijziging of relevante wijziging in het dreigingslandschap. Een plan dat nooit wordt getest, geeft een vals gevoel van veiligheid: pas tijdens een oefening blijkt of procedures werkbaar zijn en of medewerkers weten wat ze moeten doen.

Er zijn verschillende manieren om een plan te testen:

• Tabletop-oefening: een scenariobespreking waarbij betrokkenen stap voor stap doorlopen wat ze zouden doen bij een fictief incident. Laagdrempelig en geschikt als startpunt.
• Simulatieoefening: een realistische naspeling van een aanval waarbij teams daadwerkelijk handelen alsof het een echt incident is.
• Red team-oefening: een ethisch hacker probeert actief in te breken, waarna de respons van het interne team wordt geëvalueerd.

Na elke test stel je een evaluatierapport op met verbeterpunten. Verwerk deze verbeterpunten direct in het plan. Hetzelfde geldt na een echt incident: de ervaringen uit de praktijk zijn waardevoller dan elke theoretische oefening. Wil je weten hoe je organisatie reageert op een echte aanvalspoging, dan biedt een penetratietest inzicht in kwetsbaarheden voordat een aanvaller ze vindt.

Wat zijn veelgemaakte fouten bij het opstellen van een incidentresponsplan?

De meest voorkomende fouten bij het opstellen van een incidentresponsplan zijn: het plan nooit testen, rollen niet concreet genoeg vastleggen, communicatieprotocollen vergeten en het plan niet actueel houden. Veel organisaties beschikken wel over een document, maar dat document werkt niet omdat het te vaag, te verouderd of te onbekend is bij de mensen die het moeten uitvoeren.

Andere veelgemaakte fouten zijn:

• Geen offline back-up van het plan: bij een ransomware-aanval zijn interne systemen mogelijk niet bereikbaar. Bewaar het plan ook buiten het netwerk.
• Contactlijsten niet actueel: medewerkers vertrekken, leveranciers wisselen. Een verouderde contactlijst is nutteloos op het moment dat het misgaat.
• Geen aandacht voor externe meldverplichtingen: organisaties die onder de NIS2 vallen, zijn verplicht significante incidenten te melden. Als dit niet in het plan staat, wordt het in de chaos vergeten.
• Het plan is alleen van IT: een cyberincident raakt de hele organisatie. HR, juridische zaken, communicatie en het bestuur moeten allemaal weten wat hun rol is.
• Geen escalatiecriteria: zonder duidelijke drempelwaarden weet niemand wanneer een incident groot genoeg is om de directie te informeren of externe hulp in te schakelen.

Een goed incidentresponsplan is geen statisch document maar een levend instrument dat meegroeit met de organisatie en het dreigingslandschap. Wie het plan alleen opstelt om een vinkje te zetten, mist het punt volledig.

Hoe Q-Cyber helpt met een incidentresponsplan opstellen

Wij begrijpen dat het opstellen van een werkbaar incidentresponsplan meer vraagt dan het invullen van een sjabloon. Het vereist inzicht in de specifieke risico’s van jouw organisatie, kennis van wet- en regelgeving zoals NIS2 en de praktische ervaring om een plan te schrijven dat ook onder druk werkt.

Wat wij voor jouw organisatie kunnen doen:

• Een gap-analyse uitvoeren om te bepalen wat er ontbreekt in de huidige responsprocedures
• Een incidentresponsplan op maat schrijven, afgestemd op jouw sector, omvang en risicoprofiel
• De meldprocedures inrichten conform de NIS2-vereisten, inclusief tijdlijnen en rapportageformats
• Tabletop-oefeningen begeleiden om het plan te testen en medewerkers voor te bereiden
• Het plan periodiek reviewen en actualiseren via onze Continuous-Q virtuele CISO-dienst

We werken onafhankelijk, zonder binding aan softwarepartijen, en adviseren altijd vanuit het belang van jouw organisatie. Wil je weten waar jouw organisatie nu staat en hoe we je kunnen helpen? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

Hoe meld je een datalek bij de Autoriteit Persoonsgegevens?

Geplaatst op: 9 juni 2026

Een datalek melden bij de Autoriteit Persoonsgegevens doe je via het online meldloket op de website van de AP, bij voorkeur binnen 72 uur nadat je het lek hebt ontdekt. Dit is een wettelijke verplichting onder de Algemene Verordening Gegevensbescherming (AVG) voor alle organisaties die persoonsgegevens verwerken. In dit artikel beantwoorden we de meest gestelde vragen over de meldplicht datalekken, van wanneer je verplicht bent te melden tot hoe je een datalek in de toekomst kunt voorkomen.

Wanneer ben je verplicht een datalek te melden bij de AP?

Je bent verplicht een datalek te melden bij de Autoriteit Persoonsgegevens wanneer het lek een risico oplevert voor de rechten en vrijheden van de betrokken personen. Dat is het geval bij vrijwel elk incident waarbij persoonsgegevens onbedoeld verloren gaan, worden gewijzigd, openbaar worden gemaakt of toegankelijk worden voor onbevoegden.

De AVG maakt onderscheid tussen twee drempels. Bij een gewoon risico moet je het lek melden aan de AP. Bij een hoog risico moet je bovendien de betrokkenen zelf informeren. Alleen als je met zekerheid kunt aantonen dat het lek géén risico oplevert voor betrokkenen, mag je afzien van melding. In de praktijk is die zekerheid zelden aanwezig, dus de vuistregel is: twijfel je, meld dan.

Voorbeelden van situaties die doorgaans meldplichtig zijn:

• Een laptop met onversleutelde klantgegevens wordt gestolen
• Een e-mail met persoonsgegevens wordt naar de verkeerde ontvanger gestuurd
• Een ransomware-aanval vergrendelt systemen met patiëntdossiers
• Een medewerker verwijdert per ongeluk een database zonder back-up
• Een externe partij krijgt onbedoeld toegang tot klantgegevens

Organisaties die vallen onder de NIS2-regelgeving hebben daarnaast te maken met een aanvullende meldplicht voor significante cyberincidenten, los van de AVG-meldplicht. Die twee verplichtingen kunnen tegelijk van toepassing zijn op hetzelfde incident.

Wat moet je melden bij de Autoriteit Persoonsgegevens?

Bij een datalekmelding bij de AP moet je een aantal concrete gegevens aanleveren: een beschrijving van het incident, de categorieën en het geschatte aantal betrokkenen, de verwachte gevolgen en de maatregelen die je hebt genomen of nog gaat nemen. Hoe gedetailleerder de melding, hoe beter de AP het incident kan beoordelen.

De AP vraagt in het meldformulier minimaal het volgende:

• De aard van het datalek: wat is er precies gebeurd?
• Welke categorieën persoonsgegevens zijn betrokken (bijvoorbeeld gezondheidsgegevens, financiële gegevens, inloggegevens)?
• Hoeveel personen zijn (mogelijk) getroffen?
• Wat zijn de waarschijnlijke gevolgen van het lek?
• Welke maatregelen zijn genomen om het lek te beperken en herhaling te voorkomen?
• Contactgegevens van de Functionaris Gegevensbescherming (FG) of een andere contactpersoon

Als je op het moment van melden nog niet alle informatie beschikbaar hebt, is dat geen reden om te wachten. Je kunt een eerste melding doen met de informatie die je op dat moment hebt, en de melding later aanvullen. De AP verwacht wel dat je actief werkt aan het verzamelen van de ontbrekende gegevens.

Hoe meld je een datalek stap voor stap?

Een datalek melden bij de AP verloopt via het online meldloket op autoriteitpersoonsgegevens.nl. Het proces bestaat uit een aantal vaste stappen die je zo snel mogelijk na ontdekking van het incident doorloopt, met de 72-uurstermijn als harde deadline.

Stap 1: Stel vast of er sprake is van een meldplichtig datalek

Niet elk beveiligingsincident is automatisch een meldplichtig datalek. Beoordeel eerst of er persoonsgegevens bij betrokken zijn en of het incident een risico oplevert voor betrokkenen. Raadpleeg hierbij je interne datalekprocedure of de Functionaris Gegevensbescherming als je die hebt aangesteld.

Stap 2: Documenteer het incident intern

Leg vast wat er is gebeurd, wanneer je het ontdekte, welke gegevens zijn betrokken en welke maatregelen je direct hebt getroffen. Deze documentatie is verplicht onder de AVG, ongeacht of je het lek extern meldt. De AP kan om deze interne registratie vragen bij een controle.

Stap 3: Doe de melding binnen 72 uur

Ga naar het meldloket van de AP en vul het formulier zo volledig mogelijk in. De 72-uurstermijn telt vanaf het moment dat je als organisatie redelijkerwijs op de hoogte kon zijn van het lek, niet pas vanaf het moment dat je er zeker van bent. Vermeld in de melding expliciet als je informatie nog niet compleet is en wanneer je verwacht dit aan te vullen.

Stap 4: Aanvullende informatie indienen

Als je na de eerste melding meer informatie beschikbaar krijgt, dien je een aanvulling in via het meldloket. Zorg dat de melding binnen een redelijke termijn volledig is. Voor organisaties die ook onder de Cyberbeveiligingswet vallen, geldt een vergelijkbare drietrapsstructuur: een vroegtijdige waarschuwing binnen 24 uur, een vervolgmelding binnen 72 uur en een eindverslag binnen een maand.

Moet je ook betrokkenen informeren bij een datalek?

Ja, maar alleen als het datalek een hoog risico oplevert voor de betrokkenen. In dat geval ben je verplicht hen zonder onredelijke vertraging te informeren over wat er is gebeurd en wat zij zelf kunnen doen om zich te beschermen. Dit is een aparte verplichting bovenop de melding aan de AP.

Een hoog risico is aanwezig wanneer het lek ernstige gevolgen kan hebben voor mensen, zoals identiteitsfraude, financiële schade, reputatieschade of discriminatie. Denk aan het lekken van wachtwoorden, bankgegevens, medische informatie of gegevens van kwetsbare groepen zoals kinderen.

In de communicatie aan betrokkenen moet je in begrijpelijke taal uitleggen:

• Wat er is gebeurd
• Welke gegevens zijn betrokken
• Welke gevolgen dat voor hen kan hebben
• Welke maatregelen jij als organisatie hebt genomen
• Wat zij zelf kunnen doen, zoals het wijzigen van wachtwoorden
• Bij wie ze terecht kunnen met vragen

Er zijn drie situaties waarin je betrokkenen niet hoeft te informeren, ook al is er sprake van een hoog risico: als de getroffen gegevens effectief versleuteld waren, als je achteraf maatregelen hebt genomen die het hoge risico alsnog wegnemen, of als het informeren van betrokkenen onevenredig veel inspanning zou vergen. In dat laatste geval moet je wel een publieke mededeling doen.

Wat zijn de gevolgen als je een datalek niet meldt?

Als je een meldplichtig datalek niet of te laat meldt bij de Autoriteit Persoonsgegevens, riskeer je een boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet van je organisatie. Bovendien kan de AP aanvullende handhavingsmaatregelen opleggen en is reputatieschade bij betrokkenen en de markt een reëel bijkomend gevolg.

De AP beoordeelt bij handhaving niet alleen of je hebt gemeld, maar ook hoe snel je dat deed, hoe volledig de melding was en welke maatregelen je had genomen. Organisaties die aantoonbaar hebben geprobeerd het juiste te doen maar fouten hebben gemaakt, worden doorgaans minder hard aangepakt dan organisaties die bewust niet meldden.

Naast de directe boete zijn er indirecte gevolgen die minstens zo ingrijpend kunnen zijn:

• Verlies van vertrouwen bij klanten, patiënten of burgers
• Aansprakelijkheidsclaims van gedupeerde betrokkenen
• Negatieve publiciteit en mediaaandacht
• Verhoogd toezicht en herhaalde audits door de AP

Het niet melden van een datalek is zelden een bewuste keuze, maar vaker het gevolg van onduidelijke interne procedures, onvoldoende bewustzijn of een te trage detectie van het incident. Juist daarom is een goed ingericht incidentresponsproces zo waardevol.

Hoe voorkom je dat een datalek meldplichtig wordt?

Een datalek is niet altijd te voorkomen, maar je kunt de kans aanzienlijk verkleinen dat een incident meldplichtig wordt. De sleutel ligt in het nemen van preventieve technische en organisatorische maatregelen die de impact van een incident beperken voordat het escaleert.

De meest effectieve maatregelen om de melddrempel te verlagen:

• Versleuteling van persoonsgegevens: Als gestolen of gelekte data versleuteld zijn, levert dat doorgaans geen risico op voor betrokkenen en hoef je niet te melden
• Sterke toegangsbeveiliging: Multi-factorauthenticatie en strikte toegangsrechten beperken de schade bij een inbreuk
• Minimale gegevensverwerking: Verwerk alleen de persoonsgegevens die je echt nodig hebt, zodat een lek minder gegevens raakt
• Bewustwording bij medewerkers: Veel datalekken ontstaan door menselijke fouten, zoals het versturen van e-mail naar de verkeerde ontvanger of het klikken op phishinglinks
• Regelmatige penetratietests: Door kwetsbaarheden proactief te ontdekken, kun je ze dichten voordat een aanvaller ze uitbuit
• Duidelijke interne procedures: Een goed gedocumenteerde datalekprocedure zorgt dat medewerkers weten wat ze moeten doen bij een vermoedelijk incident

Preventie is geen eenmalig project maar een doorlopend proces. Organisaties die cybersecurity structureel inbedden in hun beleid en processen, zijn beter in staat om incidenten vroeg te signaleren, de impact te beperken en aantoonbaar verantwoord te handelen als er toch iets misgaat.

Hoe Q-Cyber helpt bij datalekken en AVG-compliance

Een datalek melden is stressvol, zeker als de procedures niet op orde zijn. Wij helpen organisaties om zowel de preventieve kant als de reactieve kant van datalekbeheer goed in te richten, zodat je nooit voor verrassingen staat.

Concreet bieden wij:

• Gap-analyses en beleidsvorming: We brengen in kaart waar je organisatie kwetsbaar is en schrijven heldere procedures voor incidentrespons en datalekmeldingen
• Technische scans en pentests: We testen actief op kwetsbaarheden die tot een datalek kunnen leiden, zodat je ze kunt dichten voordat ze worden misbruikt
• Virtuele CISO via Continuous-Q: Een team van specialisten dat structureel meekijkt met jouw cybersecuritybeleid, inclusief AVG-compliance en meldplichtprocedures
• Trainingen voor medewerkers en bestuurders: Van bewustwordingssessies tot gerichte trainingen over de meldplicht en bestuurlijke verantwoordelijkheid
• Onafhankelijk advies: We zijn niet gebonden aan softwarepartijen of leveranciers, waardoor ons advies altijd in jouw belang is

Of je nu voor het eerst een datalekprocedure wilt opzetten of je huidige aanpak wilt versterken: neem contact op en we kijken samen wat jouw organisatie nodig heeft.

Lees meer

Wat is het verschil tussen een CISO en een vCISO?

Geplaatst op: 8 juni 2026

Een CISO (Chief Information Security Officer) is een vaste, interne functionaris die fulltime verantwoordelijk is voor de cybersecuritystrategie van een organisatie. Een vCISO (virtuele CISO) levert dezelfde strategische expertise, maar op flexibele, externe basis. Het grootste verschil zit in de inzet: een CISO is in dienst, een vCISO wordt ingehuurd voor de uren en taken die een organisatie daadwerkelijk nodig heeft. Voor veel organisaties biedt een vCISO daarmee een praktischer en betaalbaarder alternatief zonder in te leveren op kwaliteit. In dit artikel beantwoorden we de meest gestelde vragen over het verschil tussen beide rollen.

Wanneer heeft een organisatie een vCISO nodig in plaats van een CISO?

Een organisatie heeft een vCISO nodig in plaats van een vaste CISO wanneer de behoefte aan strategische cybersecurityleiding reëel is, maar een fulltime aanstelling financieel of organisatorisch niet haalbaar is. Dit geldt voor het overgrote deel van het midden- en kleinbedrijf, maar ook voor grotere organisaties die tijdelijk capaciteit nodig hebben.

Een vaste CISO is doorgaans pas rendabel als een organisatie groot genoeg is om die rol fulltime te vullen met inhoudelijk werk. Denk aan een organisatie met een omvangrijke IT-afdeling, complexe systemen en een eigen securityteam dat dagelijkse aansturing nodig heeft. Zodra die schaal ontbreekt, betaalt een organisatie voor een fulltime functie die voor een groot deel onbenut blijft.

Een vCISO-dienst is de betere keuze in de volgende situaties:

• De organisatie groeit snel en heeft tijdelijk behoefte aan strategische sturing
• Er is een concrete aanleiding zoals een audit, een incident of een NIS2-verplichting
• Een interne CISO is ziek, vertrekt of is nog niet gevonden
• Het budget voor een senior securityprofessional ontbreekt, maar de behoefte is er wel
• De organisatie wil onafhankelijk advies zonder de politieke dynamiek van een vaste aanstelling

Een vCISO biedt ook een voordeel dat een interne CISO zelden kan bieden: brede ervaring in meerdere sectoren en bij meerdere organisaties tegelijk. Die breedte vertaalt zich direct in beter en scherper advies.

Wat doet een vCISO concreet voor een organisatie?

Een vCISO neemt de strategische cybersecurityverantwoordelijkheid op zich die normaal bij een interne CISO ligt. Concreet betekent dit: het opstellen en bewaken van het securitybeleid, het adviseren van het bestuur, het begeleiden van audits en het vertalen van dreigingen naar beheersbare maatregelen.

De exacte invulling varieert per organisatie, maar een vCISO werkt doorgaans aan de volgende taken:

• Risicoanalyse en beleid: het in kaart brengen van de belangrijkste risico’s en het schrijven van beleid dat aansluit op de organisatie
• Bestuurlijk advies: het informeren en adviseren van directie en management over cybersecurityrisico’s en beslissingen
• Compliancebegeleiding: het begeleiden van trajecten rondom wet- en regelgeving zoals NIS2
• Leveranciersmanagement: het beoordelen van de cybersecuritymaatregelen van leveranciers en partners
• Incident response: het ondersteunen bij het opzetten van procedures en het begeleiden bij daadwerkelijke incidenten
• Bewustwording en training: het organiseren of begeleiden van securitytrainingen voor medewerkers en bestuurders

Een vCISO is geen uitvoerende technicus. De rol is strategisch en adviserend van aard. Voor technische uitvoering, zoals penetratietesten of vulnerability scans, werkt een vCISO samen met specialisten of coördineert hij de inzet van die diensten.

Wat zijn de kosten van een vCISO vergeleken met een vaste CISO?

Een vCISO is in vrijwel alle gevallen aanzienlijk goedkoper dan een vaste CISO. Een ervaren interne CISO vraagt een bruto jaarsalaris van doorgaans tussen de 90.000 en 130.000 euro, exclusief werkgeverslasten, secundaire arbeidsvoorwaarden, opleidingsbudget en overheadkosten. Een vCISO werkt op uurbasis of via een maandelijkse retainer en schaalt mee met de werkelijke behoefte.

De totale kosten van een interne CISO liggen inclusief alle werkgeverslasten al snel op anderhalf tot twee keer het bruto salaris. Dat betekent dat een organisatie jaarlijks 150.000 tot 250.000 euro kwijt kan zijn aan één functie, ook in periodes dat er weinig strategisch werk te doen is.

Een vCISO via een retainermodel kost doorgaans een fractie daarvan. Hoeveel precies hangt af van de omvang van de organisatie, het aantal uren per maand en de complexiteit van de opdracht. Maar het principe is helder: een organisatie betaalt alleen voor wat ze daadwerkelijk nodig heeft, zonder vaste lasten, wervingskosten of het risico van een slechte match.

Naast de directe kostenbesparing brengt een vCISO ook indirecte waarde mee: geen inwerkperiode van maanden, directe toegang tot actuele kennis en een bredere blik door ervaring bij meerdere organisaties.

Hoe werkt de samenwerking met een vCISO in de praktijk?

De samenwerking met een vCISO verloopt in de meeste gevallen via een vast aantal uren per maand, aangevuld met beschikbaarheid voor urgente situaties. De vCISO neemt deel aan relevante overleggen, adviseert het management en werkt zelfstandig aan beleid, rapportages en compliancedocumentatie.

In de opstartfase maakt een vCISO doorgaans een grondige inventarisatie van de huidige situatie: welke systemen zijn er, welk beleid bestaat er al, wat zijn de grootste risico’s en waar liggen de prioriteiten. Op basis daarvan stelt de vCISO een werkplan op dat aansluit op de doelen van de organisatie.

Daarna is de samenwerking cyclisch van aard. Een vCISO rapporteert periodiek aan de directie, bewaakt de voortgang van maatregelen, signaleert nieuwe dreigingen en past het beleid aan als de situatie verandert. Bij grotere vraagstukken, zoals een fusie, een nieuwe dienst of een audit, schaalt de inzet tijdelijk op.

Wat de samenwerking effectief maakt, is duidelijke afbakening. Een vCISO is geen projectmanager of IT-beheerder. De rol werkt het best wanneer er intern een aanspreekpunt is, zoals een IT-manager of een lid van de directie, dat de verbinding legt tussen de vCISO en de rest van de organisatie. Voor meer achtergrond over hoe onafhankelijk cybersecurityadvies werkt, is de pagina over Q-Cyber een goed startpunt.

Is een vCISO geschikt voor NIS2-compliance?

Ja, een vCISO is zeer geschikt voor NIS2-compliance. De NIS2-richtlijn vereist dat organisaties aantoonbaar cybersecuritybeleid voeren, risicobeheer implementeren en bestuurders actief betrekken bij informatiebeveiliging. Dat zijn precies de taken waarbij een vCISO strategische meerwaarde levert.

De NIS2-vereisten raken meerdere lagen van een organisatie tegelijk: technische maatregelen, beleidsdocumentatie, incidentmeldprocedures, leveranciersbeheer en bestuurlijke verantwoordelijkheid. Een vCISO kan al deze onderdelen coördineren, van een gap-analyse in de beginfase tot het schrijven van het benodigde beleid en het begeleiden van bestuurders bij hun trainingsplicht.

Onder de Nederlandse Cyberbeveiligingswet moeten bestuurders aantoonbaar in staat zijn om beveiligingsrisico’s te herkennen, maatregelen te beoordelen en de impact daarvan voor hun organisatie te overzien. Een vCISO kan die bestuurlijke bewustwording direct ondersteunen en tegelijkertijd zorgen dat de technische en organisatorische maatregelen op orde zijn.

Specifieke NIS2-verplichtingen waarbij een vCISO waarde toevoegt:

• Het opstellen van beleid voor risicoanalyse en beveiliging van informatiesystemen
• Het inrichten van procedures voor incidentmelding binnen de wettelijke termijnen
• Het in kaart brengen en beveiligen van de toeleveringsketen
• Het implementeren van toegangsbeveiliging en multi-factorauthenticatie
• Het begeleiden van bestuurders bij hun wettelijke trainingsplicht

Een vCISO is daarmee niet alleen een kostenefficiënte keuze, maar ook een strategisch verstandige keuze voor organisaties die serieus werk willen maken van NIS2-naleving zonder een fulltime aanstelling te rechtvaardigen.

Hoe Q-Cyber helpt met vCISO-dienstverlening

Wij bieden vCISO-diensten via ons Continuous-Q programma, waarbij een team van specialisten de strategische cybersecurityverantwoordelijkheid op zich neemt voor uw organisatie. Geen losse adviseur, maar een gestructureerde aanpak die aansluit op uw specifieke situatie, sector en risicoprofiel.

Wat wij concreet voor u doen:

• Gap-analyse en nulmeting: we brengen in kaart waar uw organisatie staat en wat er nodig is
• Beleid op maat: we schrijven cybersecuritybeleid dat aansluit op uw organisatie en voldoet aan geldende wet- en regelgeving zoals NIS2
• Bestuurlijk advies: we adviseren directie en management in begrijpelijke taal, zonder technisch jargon
• NIS2-begeleiding: we begeleiden het volledige NIS2-traject, van registratie tot implementatie van maatregelen
• Onafhankelijk en transparant: we werken zonder binding aan softwarepartijen of leveranciers, zodat ons advies altijd in uw belang is

Wilt u weten wat een vCISO voor uw organisatie kan betekenen? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer