Wat is social engineering en hoe voorkom je het?

Geplaatst op: 8 juni 2026

Social engineering is een aanvalstechniek waarbij cybercriminelen mensen manipuleren in plaats van systemen te hacken. In plaats van technische kwetsbaarheden te misbruiken, spelen aanvallers in op menselijke emoties zoals vertrouwen, angst of urgentie. Het resultaat is dat slachtoffers zelf gevoelige informatie vrijgeven of onbewust toegang verlenen tot systemen. In dit artikel beantwoorden we de meest gestelde vragen over social engineering en laten we zien hoe je jezelf en je organisatie beschermt.

Welke technieken gebruiken social engineers om mensen te manipuleren?

Social engineers gebruiken een breed scala aan psychologische technieken om slachtoffers te manipuleren. De meest voorkomende methoden zijn phishing via e-mail of sms, pretexting (waarbij een aanvaller een valse identiteit aanneemt), baiting (het verleiden met een aantrekkelijk aanbod) en tailgating (fysiek meelopen achter een bevoegd persoon). Elk van deze technieken speelt in op een specifieke menselijke neiging.

Bij phishing stuurt een aanvaller een bericht dat afkomstig lijkt van een betrouwbare partij, zoals een bank, collega of overheidsinstantie. Het doel is dat de ontvanger op een link klikt, inloggegevens invult of een bijlage opent. Phishingtests worden door organisaties ingezet om te meten hoe gevoelig medewerkers zijn voor dit soort aanvallen.

Bij pretexting bouwt de aanvaller een geloofwaardig verhaal op. Denk aan iemand die zich voordoet als IT-medewerker die dringend toegang nodig heeft tot een account. Baiting werkt anders: een aanvaller laat een besmette USB-stick liggen op een parkeerplaats of stuurt een link naar een “gratis” download. Nieuwsgierigheid doet de rest. Vishing (voice phishing) via de telefoon en smishing via sms zijn varianten die steeds vaker voorkomen.

Wat al deze technieken gemeen hebben: ze zijn gericht op de menselijke factor in cybersecurity. Systemen kunnen worden gepatcht, maar mensen reageren altijd op emotie en context.

Waarom is social engineering zo moeilijk te herkennen?

Social engineering is moeilijk te herkennen omdat aanvallers bewust inspelen op vertrouwen, tijdsdruk en autoriteit, drie factoren die mensen van nature minder kritisch maken. Een goed opgezette social engineering-aanval ziet er op het eerste gezicht volkomen legitiem uit. De afzender, het taalgebruik en de context kloppen allemaal, waardoor het gevoel van argwaan ontbreekt.

Moderne aanvallers doen uitgebreid vooronderzoek via sociale media, LinkedIn en bedrijfswebsites. Ze weten wie de directeur is, welke leveranciers een bedrijf gebruikt en hoe interne communicatie klinkt. Met die informatie kunnen ze berichten schrijven die bijna niet van echt te onderscheiden zijn.

Daarnaast speelt cognitieve overbelasting een rol. Medewerkers die veel berichten ontvangen en onder tijdsdruk werken, scannen berichten vluchtig in plaats van ze kritisch te beoordelen. Aanvallers spelen hierop in door urgentie te creëren: “Reageer binnen twee uur, anders wordt uw account geblokkeerd.” Die kunstmatige druk schakelt het kritisch denkvermogen uit.

Tot slot zijn aanvallen steeds persoonlijker geworden. Waar phishing vroeger massaal en generiek was, zijn gerichte aanvallen, ook wel spear phishing genoemd, toegesneden op één specifieke persoon of organisatie. Dat maakt ze aanzienlijk gevaarlijker en lastiger te herkennen.

Wat zijn bekende voorbeelden van social engineering-aanvallen?

Bekende voorbeelden van social engineering-aanvallen zijn CEO-fraude, phishing via nep-facturen, helpdesk-impersonatie en het misbruiken van datalekken om geloofwaardige vervolgaanvallen op te zetten. Deze aanvallen komen voor in alle sectoren en bij organisaties van elke omvang.

Bij CEO-fraude (ook wel BEC, Business Email Compromise) doet een aanvaller zich voor als een directeur of leidinggevende en vraagt een medewerker van de financiële afdeling om dringend een bedrag over te maken naar een externe rekening. Omdat het verzoek van “boven” komt, wordt het zelden in twijfel getrokken.

Een ander veelvoorkomend voorbeeld is de nep-factuuraanval. Een leverancier wordt geïmiteerd, en de organisatie ontvangt een factuur met een aangepast rekeningnummer. Zonder verificatie wordt het bedrag overgemaakt naar de aanvaller.

Bij helpdesk-impersonatie belt een aanvaller naar een medewerker en doet zich voor als IT-support. Ze vragen om inloggegevens te resetten of een tool te installeren die vervolgens toegang geeft tot het systeem. Dit type aanval is effectief omdat medewerkers gewend zijn hulp te accepteren van de IT-afdeling.

Wat al deze voorbeelden illustreren, is dat de aanval begint bij mensen, niet bij technologie. Inzicht in actuele dreigingen helpt organisaties om patronen te herkennen voordat ze schade aanrichten.

Hoe herken je een social engineering-poging?

Een social engineering-poging herken je aan een combinatie van signalen: onverwachte urgentie, verzoeken om gevoelige informatie, ongebruikelijke afzenders of telefoonnummers, en berichten die emotionele druk uitoefenen. Geen enkel signaal is op zichzelf doorslaggevend, maar een combinatie van twee of meer is een duidelijke waarschuwing.

Let op de volgende kenmerken:

• Urgentie of dreiging: berichten die aangeven dat je direct moet handelen, anders volgt een negatieve consequentie
• Ongebruikelijke verzoeken: een collega of leidinggevende die via een nieuw kanaal vraagt om een wachtwoord of betaling
• Taalfouten of vreemde opmaak: ook al worden aanvallen steeds professioneler, kleine afwijkingen zijn soms nog zichtbaar
• Onbekende links of bijlagen: URL’s die lijken op bekende domeinen maar net iets afwijken, zoals “rnabobank.nl” in plaats van “rabobank.nl”
• Verzoek om vertrouwelijke informatie: legitieme organisaties vragen nooit via e-mail of telefoon om wachtwoorden of pincodes
• Onverwacht contact: iemand die je niet kent neemt contact op met een aanbieding of vraag die te mooi of te toevallig klinkt

Een eenvoudige vuistregel: als iets een ongemakkelijk gevoel geeft, verifieer het via een ander kanaal. Bel de persoon terug op een bekend nummer in plaats van het nummer in het bericht te gebruiken.

Hoe bescherm je een organisatie tegen social engineering?

Een organisatie beschermen tegen social engineering vereist een combinatie van bewustwording, beleid en technische maatregelen. Geen enkele technische oplossing alleen is voldoende, omdat de aanval gericht is op mensen. De sterkste verdediging is een goed getrainde medewerker die weet hoe hij een verdachte situatie herkent en rapporteert.

Bewustwording en training

Cybersecuritybewustwording begint bij regelmatige training voor alle medewerkers, niet alleen IT-personeel. Trainingen moeten praktisch zijn en gebaseerd op realistische scenario’s. Phishingsimulaties zijn een effectieve manier om te testen hoe medewerkers reageren en om bewustzijn te vergroten zonder dat er echte schade optreedt. Herhaling is essentieel: eenmalige training heeft weinig duurzaam effect.

Beleid en procedures

Duidelijke procedures verminderen de kans op succesvolle aanvallen aanzienlijk. Denk aan een vier-ogen-principe bij financiële transacties, een verificatieprotocol voor externe verzoeken en een heldere procedure voor het melden van verdachte berichten. Medewerkers moeten weten wat ze moeten doen als ze twijfelen, zonder angst voor negatieve gevolgen als ze een vals alarm slaan.

Technische maatregelen zoals multifactorauthenticatie (MFA), e-mailfiltering en toegangsbeperking op basis van het principe van minimale rechten vormen een aanvullende verdedigingslaag. Ze verkleinen de schade als een aanval toch slaagt. Organisaties die vallen onder de NIS2-regelgeving zijn bovendien verplicht om dergelijke maatregelen structureel te implementeren en aantoonbaar te maken.

Wat moet je doen als je slachtoffer bent geworden van social engineering?

Als je slachtoffer bent geworden van een social engineering-aanval, zijn de eerste stappen: meld het direct intern, wijzig gecompromitteerde wachtwoorden onmiddellijk, blokkeer eventuele toegang die is verleend en documenteer wat er is gebeurd. Hoe sneller je handelt, hoe meer schade je kunt beperken.

Volg dit stappenplan:

1. Meld het direct bij de IT-afdeling of security officer van je organisatie, ook als je niet zeker weet of het een echte aanval was
2. Wijzig wachtwoorden van alle accounts die mogelijk zijn blootgesteld, te beginnen met e-mail en zakelijke systemen
3. Blokkeer toegang door eventuele tokens, sessies of verleende rechten in te trekken
4. Informeer betrokkenen als er persoonsgegevens zijn gelekt, zijn er mogelijk ook meldverplichtingen richting de Autoriteit Persoonsgegevens
5. Documenteer de aanval zodat de organisatie ervan kan leren en de aanvalsmethode kan worden herkend bij toekomstige pogingen
6. Evalueer en verbeter analyseer hoe de aanval heeft kunnen slagen en pas beleid of training aan

Schaamte of angst voor negatieve gevolgen zorgen er vaak voor dat medewerkers een incident niet melden. Dat is gevaarlijk: een niet-gemeld incident geeft aanvallers de tijd om dieper in systemen door te dringen. Een veilige meldcultuur is daarom net zo belangrijk als de technische respons.

Hoe Q-Cyber helpt bij het voorkomen van social engineering

Social engineering-aanvallen zijn effectief omdat ze inspelen op menselijk gedrag. Technische maatregelen alleen zijn onvoldoende. Wij helpen organisaties om weerbaarheid op te bouwen die verder gaat dan firewalls en filters, door de menselijke factor structureel te versterken.

Wat wij concreet voor je kunnen doen:

• Phishingsimulaties en bewustwordingstrainingen om te meten hoe medewerkers reageren en hun weerbaarheid te vergroten
• Beleid en procedures schrijven die social engineering-aanvallen structureel moeilijker maken, afgestemd op jouw organisatie
• NIS2-begeleiding voor organisaties die moeten aantonen dat cybersecurity structureel is ingebed, inclusief de menselijke en beleidsmatige kant
• Red team-oefeningen waarbij ethische hackers realistische aanvallen simuleren om kwetsbaarheden bloot te leggen voordat echte aanvallers dat doen
• Virtuele CISO-diensten via Continuous-Q voor organisaties die behoefte hebben aan structurele, onafhankelijke begeleiding op het gebied van cybersecurity

Wij werken onafhankelijk, zonder binding aan softwarepartijen of leveranciers, en geven altijd pragmatisch advies dat past bij jouw specifieke situatie. Wil je weten hoe kwetsbaar jouw organisatie is voor social engineering? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

NIS2-compliance: een stappenplan voor het mkb

Geplaatst op: 5 juni 2026

NIS2-compliance voor het mkb betekent concreet: bepalen of je onder de richtlijn valt, een risicobeoordeling uitvoeren, technische en organisatorische maatregelen implementeren, en een meldproces inrichten voor beveiligingsincidenten. De Nederlandse implementatie via de Cyberbeveiligingswet (Cbw) legt deze verplichtingen vast voor essentiële en belangrijke entiteiten in aangewezen sectoren. Dit artikel loopt stap voor stap door alles wat het mkb moet weten om compliant te worden.

Welke mkb-bedrijven vallen onder de NIS2-richtlijn?

Een mkb-bedrijf valt onder de NIS2-richtlijn als het actief is in een van de aangewezen sectoren én voldoet aan de drempelwaarden voor middelgrote of grote ondernemingen: minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro. Sectoren die onder de richtlijn vallen, zijn onder andere energie, transport, drinkwater, digitale infrastructuur, gezondheidszorg, financiële dienstverlening en bepaalde digitale aanbieders.

Belangrijk om te weten: ook kleinere bedrijven kunnen onder de NIS2 vallen als zij kritieke diensten leveren of als hun uitval een aanzienlijk maatschappelijk risico vormt. Bovendien geldt de richtlijn indirect voor veel meer organisaties. In Nederland vallen naar schatting ruim 10.000 organisaties direct onder de NIS2, en naar schatting krijgen 50.000 bedrijven die aan deze groep leveren eveneens met de eisen te maken wanneer er sprake is van toeleveringsrisico’s.

Ben je niet zeker of jouw organisatie onder de wet valt? Via de NIS2-zelfevaluatietool op regelhulpenvoorbedrijven.nl kun je dit zelf nagaan. Het NCSC biedt daarnaast een flowchart aan die de registratieplicht verduidelijkt. Organisaties zijn zelf verantwoordelijk voor deze beoordeling.

Wat zijn de concrete verplichtingen onder NIS2?

Onder de NIS2-richtlijn hebben organisaties vier hoofdverplichtingen: een zorgplicht voor technische en organisatorische maatregelen, een registratieplicht bij het NCSC, een meldplicht voor significante incidenten, en een trainingsplicht voor bestuurders. Samen vormen deze verplichtingen het fundament van NIS2-compliance voor het mkb.

Zorgplicht: wat moet je technisch en organisatorisch regelen?

De zorgplicht verplicht organisaties passende maatregelen te nemen om de continuïteit van dienstverlening te waarborgen en informatie te beschermen. De Cyberbeveiligingswet noemt een aantal concrete minimummaatregelen:

• Beleid voor risicoanalyse en beveiliging van informatiesystemen
• Maatregelen voor bedrijfscontinuïteit en crisisbeheer
• Beveiliging van de toeleveringsketen (supply chain security)
• Beleid en procedures voor cryptografie en encryptie
• Beveiligingsmaatregelen voor personeel en toegangsbeheer
• Gebruik van multi-factorauthenticatie of continue authenticatie

Registratieplicht en bestuurlijke verantwoordelijkheid

Organisaties die onder de Cbw vallen, moeten zich registreren via het NCSC-portaal. Na registratie ontvangen zij informatie over actuele cyberdreigingen. Daarnaast legt de NIS2-richtlijn de verantwoordelijkheid voor cyberweerbaarheid expliciet bij het bestuur. Bestuurders moeten voldoende kennis hebben om weloverwogen beslissingen te nemen over informatiebeveiliging, en zijn verplicht een training te volgen. Vanaf de inwerkingtreding van de Cbw hebben zij maximaal twee jaar om aan die trainingsplicht te voldoen.

Hoe begin je met een NIS2-gap-analyse?

Een NIS2-gap-analyse begint met het in kaart brengen van je huidige beveiligingsniveau en het vergelijken daarvan met de minimumvereisten uit de Cyberbeveiligingswet. Het doel is helder te krijgen welke maatregelen al aanwezig zijn, welke ontbreken, en waar de grootste risico’s liggen. Dit vormt de basis voor een realistisch en prioritair actieplan.

Praktisch gezien doorloop je de volgende stappen:

1. Inventariseer je kritieke systemen en processen: Welke systemen zijn essentieel voor je dienstverlening? Wat zijn de gevolgen als deze uitvallen?
2. Toets je huidige maatregelen aan de NIS2-minimumvereisten: Gebruik de mapping van het ministerie van BZK, die aangeeft welke maatregelen verplicht, optioneel of situationeel zijn in relatie tot NEN-EN-ISO/IEC 27002.
3. Identificeer de gaps: Noteer concreet welke maatregelen ontbreken of onvoldoende zijn uitgewerkt.
4. Prioriteer op risico: Niet alle gaps zijn even urgent. Begin bij de maatregelen die de grootste risico’s afdekken.

Een goede gap-analyse is geen eenmalige exercitie. Cyberdreigingen veranderen voortdurend, en je beveiligingsniveau moet meegroeien. Overweeg daarom om de analyse periodiek te herhalen of te laten ondersteunen door een externe specialist.

Welke maatregelen moet het mkb als eerste implementeren?

Het mkb doet er verstandig aan om eerst de maatregelen te implementeren die de meeste risico’s afdekken met de minste complexiteit: multi-factorauthenticatie, een actueel patchbeleid, toegangsbeheer op basis van het least-privilege-principe, en een gedocumenteerd incidentresponsproces. Deze vier maatregelen vormen een solide fundament voor verdere NIS2-compliance.

Daarna richt je je op de bredere organisatorische maatregelen die de NIS2 vereist:

• Risicobeleid: Stel een formeel beleid op voor risicoanalyse en informatiebeveiliging. Dit hoeft niet complex te zijn, maar moet wel aantoonbaar zijn.
• Bedrijfscontinuïteitsplan: Beschrijf hoe je organisatie omgaat met uitval van kritieke systemen, inclusief back-upprocessen en herstelstappen.
• Supply chain security: Breng in kaart welke leveranciers toegang hebben tot je systemen of data, en stel eisen aan hun beveiligingsniveau.
• Bewustwording en training: Zorg dat medewerkers weten hoe ze phishing herkennen en wat ze moeten doen bij een beveiligingsincident. Een phishingtest kan helpen om het bewustzijnsniveau te meten.

De volgorde van implementatie hangt af van de uitkomsten van je gap-analyse. Begin altijd bij de maatregelen die de grootste kwetsbaarheden dichten.

Hoe werkt de meldplicht bij een beveiligingsincident?

Bij een significant beveiligingsincident ben je als mkb-bedrijf verplicht dit te melden via het NCSC-portaal. De meldplicht bestaat uit drie stappen: een vroegtijdige waarschuwing binnen 24 uur na ontdekking, een vervolgmelding met aanvullende informatie binnen 72 uur, en een eindverslag uiterlijk één maand na de eerste melding. Het portaal stuurt de melding automatisch door naar zowel het relevante CSIRT als de toezichthouder, zodat je niet dubbel hoeft te melden.

Een incident is meldingswaardig als het de continuïteit van je dienstverlening aanzienlijk kan verstoren. Factoren die daarbij een rol spelen, zijn het aantal getroffen personen, de duur van de verstoring en de mogelijke financiële schade. De precieze drempelcriteria worden per sector uitgewerkt in ministeriële regelingen.

Praktisch advies: wacht niet tot een incident zich voordoet om je meldproces in te richten. Stel vooraf vast wie in jouw organisatie verantwoordelijk is voor het doen van een melding, welke informatie daarvoor nodig is, en hoe je intern communiceert tijdens een incident. Een vooraf getest incidentresponsplan bespaart kostbare tijd op het moment dat het er echt toe doet.

Wat zijn de gevolgen als het mkb niet voldoet aan NIS2?

Als het mkb niet voldoet aan de NIS2-verplichtingen, riskeer je aanzienlijke financiële boetes en reputatieschade. Essentiële entiteiten kunnen boetes krijgen tot maximaal 10 miljoen euro of 2% van hun wereldwijde jaaromzet. Voor belangrijke entiteiten gelden lagere maxima: tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Bovendien kan het senior management persoonlijk aansprakelijk worden gesteld bij ernstige overtredingen.

Naast de directe financiële gevolgen zijn er ook indirecte risico’s. Klanten en partners, zeker grotere organisaties die zelf NIS2-compliant moeten zijn, zullen steeds vaker eisen stellen aan de beveiliging van hun leveranciers. Wie niet aan die eisen voldoet, loopt het risico contracten te verliezen of uitgesloten te worden van aanbestedingen.

Het toezicht op de naleving ligt bij onafhankelijke toezichthouders. Voor de meeste sectoren is dat de Rijksinspectie Digitale Infrastructuur (RDI). De Rijksoverheid adviseert organisaties nadrukkelijk om niet af te wachten totdat de wet volledig in werking treedt: de risico’s zijn er nu al, en vroegtijdig handelen verkleint zowel de kans op incidenten als de kans op handhaving.

Hoe Q-Cyber helpt met NIS2-compliance

NIS2-compliance is voor veel mkb-bedrijven een complex traject dat zowel technische kennis als beleidsmatige expertise vereist. Wij begeleiden organisaties door dit traject op een pragmatische en onafhankelijke manier, zonder binding aan softwarepartijen of andere toeleveranciers. Concreet bieden wij het volgende:

• Gap-analyse: We brengen je huidige beveiligingsniveau in kaart en vergelijken dit met de NIS2-minimumvereisten, zodat je precies weet waar actie nodig is.
• Beleidsschrijving: We stellen op maat gemaakte beleidsdocumenten op die aansluiten bij jouw organisatie en voldoen aan de eisen van de Cyberbeveiligingswet.
• Bestuurstrainingen: We verzorgen trainingen voor bestuurders waarmee zij voldoen aan de wettelijke trainingsplicht en beter in staat zijn om weloverwogen beslissingen te nemen over cyberrisico’s.
• Technische tests: Via vulnerability scans en phishingtests meten we de technische weerbaarheid van je organisatie en identificeren we concrete kwetsbaarheden.
• Doorlopend advies: Via onze virtuele CISO-dienst zorgen we voor structurele inbedding van cybersecurity in je organisatie, ook na de initiële implementatie.

NIS2-compliance is geen eenmalig project maar een doorlopend proces. Wil je weten waar jouw organisatie nu staat en wat de eerste stap is? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

Hoe kies je de juiste cybersecuritypartner voor je mkb?

Geplaatst op: 5 juni 2026

De juiste cybersecuritypartner voor je mkb kiezen begint met één centrale vraag: heeft dit bedrijf echte kennis van beveiliging, of verkoopt het vooral producten? Een goede cyberbeveiliger voor het mkb combineert technische diepgang met praktisch advies, werkt onafhankelijk van softwareleveranciers en sluit aan op de schaal en het risiconiveau van jouw organisatie. De vragen hieronder helpen je om de juiste keuze te maken.

Waar moet een goede cybersecuritypartner aan voldoen?

Een goede cybersecuritypartner voor het mkb voldoet aan drie kernvereisten: onafhankelijk advies, brede technische kennis en een aanpak die past bij de omvang van jouw organisatie. De partner denkt mee vanuit jouw risico’s, niet vanuit een productcatalogus, en levert zowel technische als beleidsmatige ondersteuning.

Concreet betekent dit dat je op de volgende punten let bij het beoordelen van een cybersecurityleverancier:

• Technische breedte: kan de partner zowel een penetratietest uitvoeren als beleid schrijven en medewerkers trainen?
• Onafhankelijkheid: is de partner gebonden aan specifieke softwareproducten, of adviseert hij op basis van jouw situatie?
• Schaalbaarheid: biedt de partner diensten die groeien met jouw organisatie, zonder dat je direct een volledig team hoeft in te huren?
• Aantoonbare kennis van wet- en regelgeving: begrijpt de partner wat NIS2 en andere relevante cybersecurityregelgeving voor jouw sector betekent?
• Pragmatisme: geeft de partner concrete, uitvoerbare adviezen in plaats van abstracte rapporten die in een la verdwijnen?

Een cybersecuritypartner die echt bij het mkb past, begrijpt dat kleine en middelgrote organisaties niet de middelen hebben van een grote corporate. De beste partners vertalen complexe dreigingen naar heldere prioriteiten en helpen je stap voor stap verder, zonder onnodige complexiteit of kostbare overkill.

Wat is het verschil tussen een cybersecuritypartner en een IT-leverancier?

Het belangrijkste verschil is focus: een IT-leverancier beheert systemen en zorgt dat de techniek werkt, terwijl een cybersecuritypartner actief nadenkt over hoe die systemen aangevallen kunnen worden en hoe je dat voorkomt. Beide rollen zijn waardevol, maar ze zijn niet uitwisselbaar.

Een IT-leverancier installeert firewalls, beheert updates en houdt de infrastructuur draaiende. Dat is essentieel, maar het is van nature reactief: er wordt ingegrepen als er iets stukgaat. Een cybersecuritypartner voor het mkb kijkt verder dan het beheer en stelt de vraag: wat als een aanvaller dit systeem probeert te misbruiken? Die denkwijze is fundamenteel anders.

Concreet verschil in de praktijk:

• Een IT-leverancier configureert een VPN. Een cybersecuritypartner test of die VPN ook echt veilig is en of medewerkers hem correct gebruiken.
• Een IT-leverancier installeert antivirussoftware. Een cybersecuritypartner beoordeelt of die software aansluit op de dreigingen die voor jouw sector relevant zijn.
• Een IT-leverancier lost een incident op. Een cybersecuritypartner helpt je te begrijpen hoe het incident kon gebeuren en wat je moet veranderen om herhaling te voorkomen.

Veel mkb-bedrijven vertrouwen uitsluitend op hun IT-leverancier voor beveiliging. Dat is begrijpelijk, maar het creëert een blinde vlek. IT-beheer en cybersecurity zijn verwante, maar verschillende disciplines. Een goede cyberbeveiliger voor het mkb vult de IT-leverancier aan in plaats van hem te vervangen.

Hoe weet je of een cybersecuritypartner echt onafhankelijk is?

Een cybersecuritypartner is echt onafhankelijk als hij geen financieel belang heeft bij de producten of diensten die hij adviseert. Dat betekent: geen commissies van softwareleveranciers, geen verborgen bindingen met specifieke tooling en geen contractstructuren die hem dwingen bepaalde oplossingen te verkopen.

Onafhankelijkheid is in de cybersecuritywereld geen vanzelfsprekendheid. Veel aanbieders zijn reseller van bepaalde beveiligingssoftware of hebben partnercontracten met grote technologieleveranciers. Dat hoeft niet per se problematisch te zijn, maar het beïnvloedt wel het advies dat je krijgt. Als een partner baat heeft bij de verkoop van een bepaald product, zal hij dat product sneller aanbevelen dan een neutrale partij zou doen.

Stel deze vragen om onafhankelijkheid te toetsen:

1. Heeft u partnercontracten met softwareleveranciers? Zo ja, welke en wat houdt dat in voor uw advies?
2. Hoe wordt u betaald? Op basis van uren, een vast maandtarief of via commissies op producten?
3. Kunt u meerdere oplossingen vergelijken zonder voorkeur? Vraag om een concreet voorbeeld van een situatie waarin u een klant adviseerde iets niet aan te schaffen.
4. Werkt u ook samen met bestaande leveranciers van de klant? Een onafhankelijke partner werkt constructief samen met je huidige IT-omgeving in plaats van die te vervangen.

Een transparante partner legt zijn werkwijze en contractstructuur uit zonder omhaal. Als een cybersecurityleverancier vaag blijft over hoe hij zijn geld verdient, is dat een waarschuwingssignaal.

Welke cybersecuritydiensten heeft een mkb echt nodig?

Een mkb-organisatie heeft minimaal vier soorten cybersecuritydiensten nodig: inzicht in kwetsbaarheden, beleid en bewustwording, monitoring van dreigingen en een plan voor als het misgaat. Welke combinatie het beste past, hangt af van de sector, de omvang en het risiconiveau van de organisatie.

Veel mkb-bedrijven beginnen met een vulnerability scan of pentest om te begrijpen waar de zwakke plekken zitten. Dat geeft een concreet startpunt. Maar een eenmalige test is geen structurele beveiliging. Cybersecurity voor het mkb is effectief als het een doorlopend proces is, geen eenmalig project.

De meest relevante diensten voor het mkb op een rij:

• Vulnerability scans en pentests: periodiek testen van systemen, applicaties en netwerken op bekende zwakheden en aanvalsmogelijkheden.
• Phishingsimulaties: testen hoe medewerkers reageren op nep-phishingmails, gevolgd door gerichte training.
• Beleid en procedures: vastleggen van wie toegang heeft tot welke systemen, hoe incidenten worden afgehandeld en hoe nieuwe medewerkers worden onboarded.
• Virtuele CISO: voor mkb-bedrijven die geen fulltime beveiligingsexpert kunnen aanstellen, biedt een virtuele CISO strategisch advies op maat zonder de kosten van een vaste aanstelling.
• NIS2-begeleiding: als je organisatie onder de NIS2-richtlijn valt of levert aan partijen die dat doen, is aantoonbare naleving van de zorgplicht verplicht.

Niet elk mkb heeft alles tegelijk nodig. Een goede cybersecuritypartner helpt je prioriteren op basis van je werkelijke risicoprofiel, niet op basis van wat het meest oplevert voor zijn omzet.

Wanneer is het tijd om van cybersecuritypartner te wisselen?

Het is tijd om van cybersecuritypartner te wisselen als de partner reactief in plaats van proactief werkt, als adviezen vaag blijven zonder concrete opvolging, of als je het gevoel hebt dat je meer een klant bent dan een partner. Stagnatie in je beveiligingsniveau is een duidelijk signaal.

Een goede cyberbeveiliger voor het mkb groeit mee met je organisatie en past zijn aanpak aan als het dreigingslandschap verandert. Als je partner al jaren dezelfde aanbevelingen doet zonder te evalueren of ze nog actueel zijn, is dat een probleem. Cyberdreigingen ontwikkelen zich snel en een statische aanpak biedt steeds minder bescherming.

Concrete signalen dat het tijd is voor een wissel:

• Je ontvangt rapporten, maar geen duidelijke prioriteiten of actieplannen.
• De partner adviseert steeds dezelfde producten, ongeacht je situatie.
• Er is geen periodieke evaluatie van je beveiligingsniveau.
• Na een incident ontbreekt een grondige analyse van de oorzaak.
• De partner reageert traag of is moeilijk bereikbaar bij urgente vragen.
• Je organisatie is gegroeid of van sector veranderd, maar het advies is niet meegegroeid.

Wisselen van partner voelt als een grote stap, maar een slechte match kost uiteindelijk meer: in tijd, geld en risico. Een overgangsperiode waarbij beide partijen tijdelijk parallel werken, is vaak mogelijk en zorgt voor continuïteit.

Hoe wij helpen bij het kiezen en invullen van de juiste cybersecurityaanpak

Bij Q-Cyber combineren we technische kennis met beleidsexpertise, zodat we het mkb op alle niveaus kunnen ondersteunen. We werken volledig onafhankelijk: geen binding aan softwarepartijen, geen verborgen belangen. Ons advies is altijd gebaseerd op jouw situatie.

Wat we concreet bieden:

• Vulnerability scans en pentests om je huidige beveiligingsniveau objectief in kaart te brengen.
• Virtuele CISO-diensten via Continuous-Q® voor organisaties die strategisch beveiligingsadvies nodig hebben zonder een fulltime CISO aan te stellen.
• NIS2-begeleiding van gap-analyse tot beleid en bestuurderstraining, zodat je voldoet aan de zorgplicht.
• Phishingsimulaties en bewustwordingstrainingen voor medewerkers op alle niveaus.
• Pragmatisch beleid dat aansluit op de werkelijkheid van jouw organisatie, niet op een theoretisch ideaalplaatje.

Wil je weten welke aanpak het beste past bij jouw mkb? Neem contact op en we denken graag vrijblijvend met je mee.

Lees meer

Phishing herkennen: 7 tips voor medewerkers

Geplaatst op: 5 juni 2026

Phishing herkennen doe je door te letten op verdachte afzenderadressen, onverwachte bijlagen, een urgente toon en links die niet overeenkomen met de echte domeinnaam van de organisatie. De meeste phishing e-mails proberen je te verleiden tot een snelle actie, zoals inloggen of een betaling doen, voordat je de tijd neemt om na te denken. In dit artikel beantwoorden we de meest gestelde vragen over phishing herkennen, zodat jij en je collega’s beter voorbereid zijn.

Wat zijn de meest voorkomende kenmerken van een phishing e-mail?

Een phishing e-mail herken je aan een combinatie van signalen: een onbekend of vervalst afzenderadres, een dringende of bedreigende toon, spelfouten, verdachte links en verzoeken om persoonlijke gegevens of inloggegevens. Geen enkel signaal staat op zichzelf, maar hoe meer van deze kenmerken je ziet, hoe groter de kans dat het om een phishing aanval gaat.

Hieronder staan de meest voorkomende kenmerken op een rij:

• Verdacht afzenderadres: De weergegeven naam lijkt betrouwbaar, maar het echte e-mailadres klopt niet. Denk aan “support@microsoft-helpdesk.net” in plaats van “@microsoft.com”.
• Urgentie en druk: Berichten als “Uw account wordt geblokkeerd binnen 24 uur” zijn erop gericht om je zonder nadenken te laten klikken.
• Onverwachte bijlagen: Bestanden met extensies als .exe, .zip of zelfs .pdf kunnen malware bevatten als je ze niet verwacht.
• Vreemde of nep-links: De linktekst toont een vertrouwd domein, maar de werkelijke URL wijst naar een ander adres.
• Slechte opmaak of spelfouten: Professionele organisaties sturen zelden e-mails met taalfouten of een rommelige lay-out.
• Verzoek om gevoelige informatie: Banken, overheidsdiensten en softwareleveranciers vragen nooit per e-mail om wachtwoorden of betaalgegevens.

Houd er rekening mee dat moderne phishing e-mails er steeds professioneler uitzien. Aanvallers kopiëren huisstijlen van bekende merken vrijwel perfect. Juist daarom is het belangrijk om niet alleen op uiterlijk te vertrouwen, maar ook de afzender en de link zelf te controleren.

Hoe verschilt phishing van spear phishing en smishing?

Phishing is een brede aanvalsmethode waarbij criminelen massaal nep-e-mails sturen in de hoop dat iemand bijt. Spear phishing is een gerichte variant waarbij de aanvaller zich specifiek richt op één persoon of organisatie, met gepersonaliseerde informatie. Smishing werkt volgens hetzelfde principe, maar dan via sms of berichten-apps in plaats van e-mail.

Spear phishing: gericht en gevaarlijker

Bij spear phishing gebruikt de aanvaller vooraf verzamelde informatie, zoals je naam, functietitel, de naam van je manager of lopende projecten. Die informatie halen ze vaak van LinkedIn, bedrijfswebsites of eerdere datalekken. Het bericht lijkt daardoor veel geloofwaardiger dan een generieke phishing e-mail. Spear phishing aanvallen zijn moeilijker te herkennen en richten zich vaak op medewerkers met toegang tot financiën of gevoelige systemen.

Smishing: phishing via je telefoon

Smishing berichten komen binnen als sms of via apps als WhatsApp. Ze doen zich voor als pakketbezorgers, banken of de Belastingdienst. Omdat mensen sms-berichten sneller vertrouwen dan e-mails, en omdat links op een klein scherm moeilijker te controleren zijn, zijn smishing aanvallen bijzonder effectief. De vuistregel is dezelfde als bij e-mail: klik nooit op een link in een onverwacht bericht en bel de afzender direct als je twijfelt.

Hoe controleer je of een link in een e-mail veilig is?

Controleer een link door er met je muis overheen te bewegen zonder te klikken. Onderaan je scherm of in een tooltip zie je dan de werkelijke URL. Let op of het domein overeenkomt met de organisatie die beweert het bericht te hebben gestuurd, en of het adres begint met “https://” gevolgd door het juiste domein.

Een aantal praktische stappen om een link te beoordelen:

1. Hover over de link: Beweeg je muis over de link zonder te klikken en bekijk de URL die verschijnt.
2. Controleer het domein nauwkeurig: Let op subtiele variaties zoals “paypa1.com” (met een cijfer 1) in plaats van “paypal.com”, of extra subonderdelen als “login.paypal.nep-site.com”.
3. Kijk naar het protocol: Een “https://” verbinding is versleuteld, maar dat betekent niet automatisch dat de website betrouwbaar is. Criminelen gebruiken ook HTTPS.
4. Gebruik een linkchecker: Tools zoals VirusTotal of de ingebouwde beveiligingscontrole van je browser kunnen een URL scannen voordat je die bezoekt.
5. Navigeer handmatig: Als het bericht zegt dat je moet inloggen bij je bank of een dienst, typ het adres dan zelf in je browser in plaats van op de link te klikken.

Op mobiele apparaten is hoveren niet mogelijk. Houd een link dan ingedrukt om een preview van de URL te zien voordat je beslist of je erop tikt.

Wat moet je doen als je een phishing e-mail hebt ontvangen?

Als je een phishing e-mail ontvangt, klik dan op niets, download geen bijlagen en beantwoord het bericht niet. Meld de e-mail bij je IT-afdeling of securityteam, markeer het als spam of phishing in je e-mailprogramma, en verwijder het bericht daarna. Heb je al geklikt? Meld dat dan direct, ook als er niets lijkt te zijn gebeurd.

Een goede aanpak stap voor stap:

• Niet klikken, niet reageren: Elke interactie kan al informatie aan de aanvaller geven, zoals bevestiging dat jouw e-mailadres actief is.
• Meld het intern: Stuur de e-mail door naar je IT- of securityteam. Zij kunnen onderzoeken of meer collega’s hetzelfde bericht hebben ontvangen.
• Markeer als phishing: De meeste e-mailclients hebben een knop om een bericht als phishing te rapporteren. Dit helpt ook andere gebruikers te beschermen.
• Verwijder het bericht: Na de melding kun je het bericht veilig verwijderen.
• Meld verdachte e-mails extern: In Nederland kun je phishing e-mails ook doorsturen naar valse e-mails herkennen of de Fraudehelpdesk.

Wat zijn de gevolgen als een medewerker op een phishing link klikt?

Als een medewerker op een phishing link klikt, kunnen de gevolgen variëren van het stelen van inloggegevens tot het installeren van malware of ransomware op het bedrijfsnetwerk. In het ergste geval krijgt een aanvaller toegang tot gevoelige systemen, klantdata of financiële rekeningen. De schade kan groot zijn en snel oplopen.

De meest voorkomende gevolgen zijn:

• Gestolen inloggegevens: De medewerker vult zijn gebruikersnaam en wachtwoord in op een nep-inlogpagina. De aanvaller gebruikt deze gegevens vervolgens om in te loggen op bedrijfssystemen.
• Malware-infectie: Door op een link te klikken of een bijlage te openen wordt kwaadaardige software geïnstalleerd, die zich kan verspreiden over het netwerk.
• Ransomware: Bestanden worden versleuteld en de organisatie wordt gevraagd losgeld te betalen om ze terug te krijgen.
• Datalekken: Klantgegevens, financiële informatie of bedrijfsgeheimen komen in verkeerde handen terecht.
• Reputatieschade en boetes: Onder regelgeving zoals de NIS2-richtlijn zijn organisaties verplicht significante incidenten te melden. Niet-naleving kan leiden tot forse boetes.

Het is belangrijk dat medewerkers begrijpen dat een klik op een phishing link geen persoonlijk falen is, maar een beveiligingsincident dat snel gemeld moet worden. Hoe sneller de IT-afdeling op de hoogte is, hoe beter de schade beperkt kan worden.

Hoe train je medewerkers om phishing structureel te herkennen?

Medewerkers train je om phishing structureel te herkennen door een combinatie van bewustwordingstrainingen, gesimuleerde phishing tests en duidelijk beleid. Eenmalige training is niet voldoende: phishing aanvallen evolueren voortdurend, en herhaling zorgt ervoor dat alertheid een gewoonte wordt in plaats van een uitzondering.

Een effectief trainingsprogramma bevat de volgende elementen:

• Regelmatige bewustwordingssessies: Bespreek actuele voorbeelden van phishing aanvallen en laat medewerkers zien hoe deze eruitzien.
• Gesimuleerde phishing tests: Stuur nep-phishing e-mails naar medewerkers om te meten wie erop klikt. Gebruik de resultaten niet als straf, maar als leermomenten.
• Duidelijk meldproces: Zorg dat iedereen weet hoe en waar ze een verdachte e-mail kunnen melden. Een laagdrempelig meldproces verhoogt de meldingsbereidheid.
• Rolspecifieke training: Medewerkers in financiën, HR of management zijn vaker doelwit van gerichte aanvallen. Geef hen extra aandacht in het trainingsprogramma.
• Technische maatregelen als vangnet: Training vervangt geen technologie. Combineer het met spamfilters, multi-factorauthenticatie en e-mailbeveiliging zoals DMARC.

Organisaties die vallen onder de Continuous-Q dienstverlening profiteren van doorlopende begeleiding op het gebied van security awareness, waarbij training en techniek hand in hand gaan. Onderzoek laat zien dat organisaties die regelmatig phishing simulaties uitvoeren, significant minder incidenten rapporteren dan organisaties die alleen vertrouwen op jaarlijkse cursussen.

Hoe Q-Cyber helpt met phishing herkennen en preventie

Phishing blijft een van de meest effectieve aanvalsmethoden, juist omdat het inspeelt op menselijk gedrag. Technische maatregelen alleen zijn niet voldoende: medewerkers moeten weten wat ze moeten herkennen, wat ze moeten doen en hoe ze kunnen bijdragen aan de weerbaarheid van de organisatie. Wij helpen organisaties op een concrete, pragmatische manier om dit voor elkaar te krijgen.

Wat we voor jouw organisatie kunnen doen:

• Phishing simulaties en penetratietesten: We sturen realistische nep-phishing e-mails naar medewerkers en rapporteren wie klikt, wat invult en wat meldt. Op basis daarvan stellen we gerichte verbeteracties op.
• Security awareness trainingen: Praktische sessies afgestemd op de rollen binnen jouw organisatie, van directie tot operationele medewerkers.
• Virtuele CISO via Continuous-Q: Een team van specialisten dat structureel toezicht houdt op je cyberveiligheid, inclusief monitoring van dreigingen en begeleiding bij incidenten.
• Beleid en procedures: We schrijven of verbeteren het meldproces, het incidentresponsbeleid en de cybersecurityrichtlijnen voor medewerkers.
• NIS2-begeleiding: Voor organisaties die onder de NIS2-regelgeving vallen, zorgen we dat awareness-training en technische maatregelen aansluiten op de verplichte zorgplicht.

Wil je weten hoe jouw organisatie er nu voor staat? Neem contact met ons op voor een vrijblijvend gesprek. We kijken graag mee en geven je een eerlijk, onafhankelijk beeld van de risico’s en de stappen die je kunt zetten.

Lees meer

Wat is het verschil tussen een incident en een datalek?

Geplaatst op: 4 juni 2026

Een incident en een datalek zijn niet hetzelfde, hoewel ze nauw met elkaar samenhangen. Een beveiligingsincident is elke gebeurtenis die de beschikbaarheid, integriteit of vertrouwelijkheid van informatie bedreigt. Een datalek is een specifiek type incident waarbij persoonsgegevens daadwerkelijk zijn blootgesteld, verloren zijn gegaan of onrechtmatig zijn verwerkt. Het onderscheid bepaalt welke wettelijke verplichtingen op jou als organisatie van toepassing zijn. In de rest van dit artikel beantwoorden we de meest gestelde vragen over dit verschil en wat het voor jouw organisatie betekent.

Wanneer wordt een incident een datalek?

Een incident wordt een datalek op het moment dat er persoonsgegevens bij betrokken zijn en die gegevens zijn blootgesteld aan onbevoegde toegang, verlies, vernietiging of onrechtmatige verwerking. Niet elk incident leidt automatisch tot een datalek. Het gaat specifiek om situaties waarbij de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens in het geding is.

De Algemene Verordening Gegevensbescherming (AVG) definieert een datalek als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens. Dat klinkt technisch, maar in de praktijk gaat het om concrete situaties zoals:

• Een ransomware-aanval waarbij klantgegevens zijn versleuteld of gestolen
• Een medewerker die een laptop met persoonsgegevens verliest
• Een verkeerd geadresseerde e-mail met persoonlijke informatie van klanten
• Een database die door een configuratiefout publiek toegankelijk is geworden
• Ongeautoriseerde toegang tot een systeem met medische of financiële gegevens

Het cruciale verschil zit in de aanwezigheid van persoonsgegevens. Een DDoS-aanval die een webshop platlegt, is een ernstig incident, maar wordt pas een datalek als daarbij ook klantgegevens zijn buitgemaakt of ingezien. De geldende regelgeving rondom cybersecurity maakt dit onderscheid expliciet, omdat de meldplicht en de bijbehorende verplichtingen sterk verschillen, afhankelijk van de aard van het incident.

Wat zijn voorbeelden van een beveiligingsincident zonder datalek?

Een beveiligingsincident zonder datalek is een verstoring of aanval waarbij de veiligheid van systemen in het geding is, maar waarbij geen persoonsgegevens zijn blootgesteld of gelekt. Dit type incident vereist interne opvolging, maar leidt niet automatisch tot een meldplicht bij de Autoriteit Persoonsgegevens.

Voorbeelden van beveiligingsincidenten die geen datalek zijn:

• DDoS-aanval op een website: de dienst valt uit, maar er worden geen gegevens gestolen of ingezien
• Malware op een geïsoleerde server: de infectie wordt snel ingedamd voordat persoonsgegevens bereikbaar waren
• Phishing-poging die mislukt: een medewerker herkent de aanval en klikt niet op de link
• Ongeautoriseerde inlogpoging die wordt geblokkeerd: het systeem detecteert de poging en weigert toegang
• Stroomstoring die systemen tijdelijk onbeschikbaar maakt: de beschikbaarheid is aangetast, maar gegevens zijn niet gelekt

Het onderscheid is in de praktijk niet altijd direct duidelijk. Bij een ransomware-aanval is het bijvoorbeeld lang niet altijd meteen zeker of aanvallers ook daadwerkelijk gegevens hebben ingezien of geëxfiltreerd. In dat geval moet je als organisatie onderzoeken wat er precies is gebeurd voordat je kunt concluderen of er sprake is van een datalek. Juist in die eerste uren en dagen is een gestructureerde aanpak essentieel.

Moet je een datalek altijd melden bij de Autoriteit Persoonsgegevens?

Nee, niet elk datalek hoef je te melden bij de Autoriteit Persoonsgegevens (AP). Onder de AVG geldt een meldplicht alleen als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokken personen. Is dat risico verwaarloosbaar, dan volstaat interne documentatie.

Er zijn drie niveaus te onderscheiden:

1. Geen meldplicht: het datalek levert waarschijnlijk geen risico op voor betrokkenen. Wel verplicht intern vastleggen in het datalekregister.
2. Melding bij de AP verplicht: het datalek levert waarschijnlijk een risico op. De melding moet binnen 72 uur na ontdekking plaatsvinden.
3. Melding bij de AP én bij betrokkenen verplicht: het datalek levert waarschijnlijk een hoog risico op voor betrokkenen. Denk aan gelekte medische gegevens of financiële informatie.

Factoren die bepalen of een risico aanwezig is, zijn onder meer de aard van de gegevens (zijn het gevoelige categorieën zoals gezondheidsdata of BSN-nummers?), het aantal betrokkenen, de waarschijnlijkheid dat de gegevens zijn ingezien door onbevoegden en de mogelijke gevolgen voor de betrokkenen.

Naast de AVG-meldplicht geldt voor organisaties die onder de NIS2-richtlijn vallen een aanvullende meldplicht voor significante cyberincidenten. Deze melding gaat naar het NCSC en de relevante toezichthouder, en kent een eerste melding binnen 24 uur na ontdekking, een vervolgmelding binnen 72 uur en een eindverslag uiterlijk één maand na de eerste melding. Dit is een andere meldplicht dan die van de AVG en staat er los van.

Hoe reageer je op een incident dat mogelijk een datalek is?

Reageer op een mogelijk datalek door direct drie stappen te zetten: beheers het incident, stel vast of er persoonsgegevens bij betrokken zijn, en bepaal of melding verplicht is. Snelheid is cruciaal, want de wettelijke termijnen beginnen te lopen vanaf het moment van ontdekking, niet vanaf het moment van bevestiging.

Een gestructureerde aanpak ziet er als volgt uit:

1. Indammen: isoleer het getroffen systeem of de betrokken account om verdere schade te voorkomen. Schakel geen systemen uit voordat forensisch onderzoek mogelijk is geweest.
2. Onderzoeken: breng in kaart wat er is gebeurd, welke systemen zijn geraakt en of persoonsgegevens zijn betrokken. Leg alles vast.
3. Beoordelen: bepaal of het incident kwalificeert als datalek en wat het risiconiveau is voor betrokkenen.
4. Melden (indien van toepassing): bij een meldplichtig datalek moet je binnen 72 uur bij de Autoriteit Persoonsgegevens melden. Wacht niet tot je alle details hebt. Een initiële melding met de beschikbare informatie is beter dan een te late melding.
5. Documenteren: registreer het incident in je interne datalekregister, ook als melding niet verplicht was.
6. Herstellen en leren: herstel de normale bedrijfsvoering en analyseer hoe het incident kon ontstaan om herhaling te voorkomen.

Een goede voorbereiding op cyberincidenten begint lang voordat een incident plaatsvindt. Organisaties die beschikken over een actueel incidentresponsplan, duidelijke interne communicatielijnen en getraind personeel kunnen aanzienlijk sneller en effectiever reageren.

Wie is verantwoordelijk voor het afhandelen van een datalek?

De verwerkingsverantwoordelijke is primair verantwoordelijk voor het afhandelen van een datalek. Dat is de organisatie die het doel en de middelen van de gegevensverwerking bepaalt. Verwerkers, zoals externe leveranciers die namens jou gegevens verwerken, zijn verplicht een datalek onverwijld te melden aan de verwerkingsverantwoordelijke, maar de eindverantwoordelijkheid ligt bij de verwerkingsverantwoordelijke.

Binnen de organisatie zelf ligt de operationele verantwoordelijkheid doorgaans bij de Functionaris Gegevensbescherming (FG) of de privacy officer, in samenwerking met de IT-afdeling en het management. Maar de bestuurlijke verantwoordelijkheid ligt nadrukkelijk bij het bestuur zelf. Dit is ook het uitgangspunt van de NIS2-richtlijn: bestuurders zijn verantwoordelijk voor beslissingen over informatiebeveiliging en moeten voldoende kennis hebben om weloverwogen keuzes te maken.

Voor organisaties met een externe leverancier die persoonsgegevens verwerkt, is het essentieel dat de verwerkersovereenkomst duidelijke afspraken bevat over:

• De termijn waarbinnen de verwerker een incident meldt aan de verwerkingsverantwoordelijke
• Welke informatie de verwerker moet aanleveren bij een incident
• Hoe samenwerking bij onderzoek en herstel is geregeld

In de praktijk zien we dat verantwoordelijkheden bij een datalek snel onduidelijk worden, zeker bij complexe ketens met meerdere leveranciers. Het is daarom verstandig om vooraf te bepalen wie welke rol heeft, en dit vast te leggen in beleid en procedures.

Hoe Q-Cyber helpt bij incidenten en datalekken

Het verschil tussen een incident en een datalek begrijpen is één ding. Weten wat je moet doen als het zover is, en ervoor zorgen dat je organisatie voorbereid is, is een ander verhaal. Wij helpen organisaties bij het hele traject: van preventie tot respons.

Wat wij concreet bieden:

• Incidentresponsbeleid: wij schrijven beleid op maat zodat iedereen binnen de organisatie weet wat te doen bij een (mogelijk) datalek
• NIS2-begeleiding: wij begeleiden organisaties bij de implementatie van de meldplicht en zorgplicht onder de Cyberbeveiligingswet
• Vulnerability scans en pentests: via onze pentestdiensten brengen we kwetsbaarheden in kaart voordat aanvallers dat doen
• Virtuele CISO: via Continuous-Q hebben organisaties toegang tot een team van specialisten dat structureel meekijkt en adviseert
• Trainingen voor bestuurders en medewerkers: zodat de juiste mensen weten hoe ze moeten handelen bij een incident

Wil je weten hoe jouw organisatie er nu voor staat en wat je kunt doen om beter voorbereid te zijn op incidenten en datalekken? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

Wat is ransomware en hoe bescherm je je bedrijf?

Geplaatst op: 4 juni 2026

Ransomware is schadelijke software die bestanden of systemen van een bedrijf versleutelt en pas vrijgeeft na betaling van losgeld. Elke organisatie, groot of klein, kan doelwit worden. In dit artikel beantwoorden we de meest gestelde vragen over ransomware: hoe het binnenkomt, wat de gevolgen zijn, hoe je het herkent en wat je kunt doen om je bedrijf te beschermen.

Hoe komt ransomware een bedrijfsnetwerk binnen?

Ransomware komt een bedrijfsnetwerk het vaakst binnen via phishing-e-mails, zwakke wachtwoorden, onbeveiligde remote access of kwetsbaarheden in software. Een medewerker die op een kwaadaardige link klikt of een geïnfecteerde bijlage opent, is nog altijd de meest voorkomende ingang voor aanvallers.

Naast phishing zijn er andere veelgebruikte aanvalsvectoren:

• Remote Desktop Protocol (RDP): Slecht beveiligde of openstaande RDP-verbindingen zijn een geliefde ingang voor aanvallers die brute-force aanvallen uitvoeren.
• Kwetsbare software: Verouderde besturingssystemen of applicaties zonder recente beveiligingsupdates bevatten bekende lekken die actief worden misbruikt.
• Supply chain-aanvallen: Aanvallers compromitteren een leverancier of softwarepartner om via die weg toegang te krijgen tot meerdere klantorganisaties tegelijk.
• Besmette USB-sticks of externe media: Fysieke apparaten die onbewust malware introduceren in het netwerk.

Eenmaal binnen bewegen aanvallers zich zijdelings door het netwerk, verhogen hun rechten en plaatsen de ransomware op strategische plekken. Dit proces duurt soms dagen of weken voordat de versleuteling daadwerkelijk wordt geactiveerd.

Wat zijn de gevolgen van een ransomware-aanval voor bedrijven?

Een ransomware-aanval treft bedrijven op meerdere fronten tegelijk: operationele stilstand, financiële schade, reputatieverlies en mogelijke juridische gevolgen. De directe kosten bestaan uit losgeld, herstelkosten en omzetverlies door downtime. De indirecte schade is vaak groter en langduriger.

De meest concrete gevolgen op een rij:

• Bedrijfsstilstand: Systemen en bestanden zijn onbereikbaar, waardoor processen volledig stilvallen. Zelfs een paar uur downtime kan aanzienlijke financiële schade veroorzaken.
• Dataverlies: Als er geen recente, offline back-ups zijn, kunnen bestanden permanent verloren gaan, ook als het losgeld wordt betaald.
• Datalekken: Moderne ransomware-groepen stelen gegevens voordat ze versleutelen en dreigen deze openbaar te maken. Dit leidt tot meldplicht bij de Autoriteit Persoonsgegevens.
• Reputatieschade: Klanten en partners verliezen vertrouwen wanneer een aanval publiek wordt.
• Compliance-risico’s: Onder wetgeving zoals de NIS2-richtlijn zijn organisaties verplicht significante incidenten te melden. Niet-naleving kan leiden tot boetes.

Betalen van losgeld biedt geen garantie op herstel. Aanvallers leveren niet altijd een werkende decryptiesleutel, en betaling maakt een organisatie aantrekkelijker als doelwit voor toekomstige aanvallen.

Hoe herken je een ransomware-aanval in een vroeg stadium?

Een ransomware-aanval is in een vroeg stadium herkenbaar aan ongewone systeemactiviteit, zoals onverklaarbare vertraging, onbekende processen die op de achtergrond draaien, of bestanden die plotseling een vreemde extensie krijgen. Vroege detectie is cruciaal omdat aanvallers zich soms weken in een netwerk bevinden voordat de versleuteling start.

Let op de volgende waarschuwingssignalen:

• Ongewoon hoog CPU- of schijfgebruik zonder duidelijke oorzaak
• Bestanden die niet meer openen of een onbekende bestandsextensie hebben gekregen
• Verdachte inlogpogingen, zeker buiten kantoortijden of vanuit onbekende locaties
• Beveiligingssoftware die plotseling is uitgeschakeld of geblokkeerd
• Onverwachte communicatie naar externe IP-adressen vanuit interne systemen
• Accounts met plotseling verhoogde rechten die dit normaal niet hebben

Organisaties die beschikken over een Security Information and Event Management (SIEM)-systeem of actieve monitoring kunnen deze signalen automatisch detecteren. Zonder monitoring zijn aanvallen vaak pas zichtbaar als de versleuteling al volledig actief is en de schade is aangericht.

Welke maatregelen beschermen je bedrijf het best tegen ransomware?

De meest effectieve bescherming tegen ransomware combineert technische maatregelen met organisatorisch beleid en menselijk bewustzijn. Geen enkele maatregel biedt volledige garantie, maar een gelaagde aanpak maakt een succesvolle aanval aanzienlijk moeilijker en de schade beperkter.

Technische maatregelen

• Regelmatige, offline back-ups: Zorg voor back-ups die niet bereikbaar zijn vanuit het netwerk, zodat je kunt herstellen zonder losgeld te betalen.
• Patchbeheer: Houd besturingssystemen en applicaties consequent up-to-date om bekende kwetsbaarheden te dichten.
• Multi-factor authenticatie (MFA): Verplicht MFA voor alle accounts, zeker voor remote access en beheerdersaccounts.
• Netwerksegmentatie: Verdeel het netwerk in zones zodat een infectie zich niet vrij kan verspreiden naar alle systemen.
• Endpoint Detection and Response (EDR): Moderne beveiligingssoftware die verdacht gedrag detecteert en blokkeert, ook bij onbekende malware.

Organisatorische maatregelen

• Bewustzijnstraining voor medewerkers: Leer medewerkers phishing herkennen en veilig omgaan met e-mails en bijlagen.
• Incident response plan: Zorg dat iedereen weet wat te doen bij een aanval, inclusief escalatielijnen en contactpersonen.
• Least privilege-principe: Geef medewerkers alleen de toegang die ze echt nodig hebben voor hun werk.
• Supply chain-beveiliging: Stel eisen aan de cybersecuritymaatregelen van leveranciers en partners die toegang hebben tot jouw systemen.

Wat moet je doen als je bedrijf getroffen wordt door ransomware?

Als je bedrijf getroffen wordt door ransomware, is de eerste prioriteit het isoleren van besmette systemen om verdere verspreiding te stoppen. Schakel daarna direct je IT-team of een externe cybersecurity-specialist in en doe aangifte bij de politie. Betaal het losgeld niet zonder professioneel advies.

Volg bij een actieve ransomware-aanval deze stappen:

1. Isoleer direct: Koppel besmette systemen los van het netwerk, inclusief wifi en externe opslagmedia, om verspreiding te voorkomen.
2. Schakel experts in: Neem contact op met een incident response-specialist die de aanval kan analyseren en beheersen.
3. Doe aangifte: Meld de aanval bij de politie. Dit is ook relevant voor eventueel strafrechtelijk onderzoek.
4. Meld bij autoriteiten: Controleer of je meldplicht hebt bij de Autoriteit Persoonsgegevens of, als je onder NIS2 valt, bij het NCSC. De eerste melding moet binnen 24 uur plaatsvinden.
5. Herstel vanuit back-ups: Herstel systemen uitsluitend vanuit schone, geverifieerde back-ups. Formatteer besmette systemen volledig voordat je ze hergebruikt.
6. Analyseer de aanvalsvector: Onderzoek hoe de aanvallers zijn binnengekomen en sluit die kwetsbaarheid voordat systemen weer online gaan.

Communiceer transparant met klanten, partners en medewerkers over wat er is gebeurd en welke maatregelen je neemt. Stilte vergroot het reputatierisico op de lange termijn.

Wanneer is een vulnerability scan of pentest nodig voor ransomware-bescherming?

Een vulnerability scan is nuttig als je snel inzicht wilt in bekende kwetsbaarheden in je systemen. Een pentest gaat verder en simuleert een echte aanval om te testen hoe ver een aanvaller kan komen. Voor ransomware-bescherming is een pentest bijzonder waardevol, omdat het de realistische aanvalspaden blootlegt die een geautomatiseerde scan mist.

Een vulnerability scan is geschikt als:

• Je een eerste beeld wilt van technische kwetsbaarheden in je netwerk of applicaties
• Je na een grote update of systeemwijziging wilt controleren of er nieuwe lekken zijn ontstaan
• Je een snel, kosteneffectief overzicht nodig hebt als startpunt voor verdere maatregelen

Een pentest is aan te raden als:

• Je wilt weten of een aanvaller daadwerkelijk toegang kan krijgen tot gevoelige systemen of data
• Je organisatie verwerkt gevoelige persoonsgegevens of kritieke bedrijfsinformatie
• Je voldoet aan wet- en regelgeving die periodieke beveiligingstests vereist, zoals NIS2
• Je na een incident wilt vaststellen hoe de aanvaller is binnengekomen

Beide vormen van testen zijn geen eenmalige activiteit maar onderdeel van een doorlopend beveiligingsprogramma. Kwetsbaarheden veranderen immers continu door nieuwe software, systeemwijzigingen en nieuwe aanvalstechnieken.

Hoe Q-Cyber helpt bij ransomware-bescherming

Q-Cyber helpt organisaties om ransomware-risico’s structureel te beheersen, van technische tests tot beleid en bewustzijn. We werken onafhankelijk en zonder binding aan softwarepartijen, zodat ons advies altijd in jouw belang is.

Wat we concreet voor je kunnen doen:

• Vulnerability scans en pentests: We brengen kwetsbaarheden in kaart en testen hoe ver een aanvaller kan komen in jouw netwerk, inclusief phishing-simulaties.
• Incident response begeleiding: Bij een actieve aanval of na een incident helpen we snel met analyse, isolatie en herstel.
• Beleid en procedures: We schrijven een incident response plan, back-upbeleid en toegangsbeheerbeleid op maat voor jouw organisatie.
• NIS2-compliance: We begeleiden je door de verplichtingen rondom meldplicht, zorgplicht en bestuurlijke verantwoordelijkheid.
• Virtuele CISO via Continuous-Q: Voor organisaties zonder eigen CISO bieden we een team van specialisten dat continu meekijkt en adviseert.
• Bewustzijnstraining: We verzorgen trainingen voor medewerkers en bestuurders zodat de menselijke schakel sterker wordt.

Wacht niet tot een aanval de urgentie aantoont. Neem contact op en ontdek hoe we jouw organisatie weerbaarder maken tegen ransomware.

Lees meer

Hoe schrijf je een verwerkersovereenkomst?

Geplaatst op: 4 juni 2026

Een verwerkersovereenkomst opstellen doe je door schriftelijk vast te leggen welke persoonsgegevens een verwerker namens jouw organisatie verwerkt, voor welk doel, hoe lang, en welke beveiligingsmaatregelen daarbij gelden. De AVG verplicht iedere verwerkingsverantwoordelijke om zo’n overeenkomst te sluiten met elke externe partij die persoonsgegevens voor hem verwerkt. In dit artikel beantwoorden we de meest gestelde vragen over de verwerkersovereenkomst, van de verplichte inhoud tot de gevolgen van ontbrekende afspraken.

Wat moet er verplicht in een verwerkersovereenkomst staan?

Een AVG-verwerkersovereenkomst moet minimaal de volgende elementen bevatten: het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het type persoonsgegevens en de categorieën betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke. Zonder deze elementen voldoet de overeenkomst niet aan artikel 28 van de AVG.

Naast deze basisinformatie schrijft de AVG een aantal concrete verplichtingen voor die in de overeenkomst moeten worden opgenomen. De verwerker mag persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke. Verder moet worden vastgelegd dat de verwerker:

• passende technische en organisatorische beveiligingsmaatregelen treft;
• medewerkers die toegang hebben tot de gegevens tot geheimhouding verplicht;
• de verwerkingsverantwoordelijke bijstaat bij het nakomen van zijn verplichtingen jegens betrokkenen (zoals het recht op inzage of verwijdering);
• na afloop van de dienstverlening alle persoonsgegevens verwijdert of teruggeeft;
• de verwerkingsverantwoordelijke informeert als een instructie naar zijn mening in strijd is met de AVG;
• alleen met toestemming van de verwerkingsverantwoordelijke subverwerkers inschakelt.

Het is verstandig ook afspraken op te nemen over hoe en wanneer de verwerker een datalek meldt, en binnen welke termijn. De AVG vereist dat een verwerkingsverantwoordelijke een datalek binnen 72 uur meldt bij de Autoriteit Persoonsgegevens. Om die termijn te halen, moet de verwerker een incident zo snel mogelijk doorgeven. Leg die verplichting expliciet vast in de privacywetgeving en contractuele afspraken.

Wanneer ben je verplicht een verwerkersovereenkomst te sluiten?

Je bent verplicht een verwerkersovereenkomst te sluiten zodra een externe partij persoonsgegevens verwerkt namens jouw organisatie, en daarbij zelf geen doel en middelen bepaalt. Dit is het geval bij vrijwel elke uitbestede dienst waarbij persoonsgegevens betrokken zijn, zoals clouddiensten, salarisadministratie, e-mailmarketing of IT-beheer.

Het onderscheid zit in de rol van de externe partij. Een verwerker verwerkt persoonsgegevens uitsluitend op instructie van jou en heeft geen zeggenschap over het doel van de verwerking. Een verwerkingsverantwoordelijke bepaalt zelf het doel en de middelen. Wanneer je een softwareleverancier inschakelt die klantdata opslaat in jouw naam, is die leverancier een verwerker. Wanneer een accountantskantoor jouw jaarrekening opstelt en daarbij ook persoonsgegevens verwerkt voor eigen doeleinden, is er sprake van twee verwerkingsverantwoordelijken en heb je een andere overeenkomst nodig.

Praktische situaties waarin een gegevensverwerkingsovereenkomst verplicht is:

• Gebruik van cloudopslag waarbij persoonsgegevens worden bewaard (zoals Microsoft 365 of Google Workspace);
• Uitbesteding van HR-administratie of loonadministratie;
• Inschakelen van een marketingbureau dat mailinglijsten beheert;
• Gebruik van een ticketsysteem of CRM-pakket beheerd door een derde partij;
• Inzet van een externe helpdesk die klantgegevens inziet.

De verplichting geldt ongeacht de omvang van je organisatie. Ook kleine bedrijven moeten een verwerkersovereenkomst sluiten zodra zij persoonsgegevens uitbesteden aan een derde partij.

Wat is het verschil tussen een verwerkersovereenkomst en een bewerkersovereenkomst?

Een verwerkersovereenkomst en een bewerkersovereenkomst zijn inhoudelijk hetzelfde document. Het enige verschil is de naam: “bewerkersovereenkomst” is de verouderde term uit de Wet bescherming persoonsgegevens (Wbp), die in 2018 werd vervangen door de AVG. Sindsdien is de officiële term “verwerkersovereenkomst”.

Veel organisaties gebruiken beide termen nog door elkaar, maar juridisch gezien is alleen de term “verwerkersovereenkomst” correct onder de huidige Europese privacywetgeving. Een overeenkomst die nog de term “bewerkersovereenkomst” gebruikt, is niet per definitie ongeldig, maar het is aan te raden de terminologie te actualiseren zodat de overeenkomst aansluit op de huidige wet- en regelgeving en geen onduidelijkheid schept over de toepasselijke normen.

Inhoudelijk zijn de eisen ook verzwaard ten opzichte van de Wbp. De AVG stelt meer specifieke eisen aan wat er in de overeenkomst moet staan en legt meer verantwoordelijkheid bij zowel de verwerkingsverantwoordelijke als de verwerker. Een bewerkersovereenkomst die vóór 2018 werd opgesteld, voldoet daardoor vrijwel zeker niet meer aan de huidige GDPR-verwerkereisen.

Hoe stel je een verwerkersovereenkomst stap voor stap op?

Een verwerkersovereenkomst opstellen verloopt in vijf stappen: breng in kaart welke partij welke gegevens verwerkt, bepaal de rollen, beschrijf de verwerkingsactiviteiten, stel de verplichtingen vast, en laat beide partijen tekenen. Hieronder werken we elke stap uit.

1. Identificeer de verwerker en de verwerkingsverantwoordelijke. Bepaal wie de persoonsgegevens verwerkt en in wiens opdracht. Dit vormt de basis voor de overeenkomst.
2. Breng de verwerkingsactiviteiten in kaart. Beschrijf welke categorieën persoonsgegevens worden verwerkt, van welke betrokkenen, voor welk doel en hoe lang de gegevens worden bewaard.
3. Formuleer de instructies. Leg vast dat de verwerker uitsluitend handelt op basis van jouw schriftelijke instructies en geen eigen doeleinden mag nastreven.
4. Neem de verplichte bepalingen op. Voeg alle wettelijk verplichte onderdelen toe: beveiligingsmaatregelen, geheimhoudingsplicht, bijstandsverplichtingen, subverwerkers, datalekprocedure en teruggave of verwijdering van gegevens na afloop.
5. Onderteken de overeenkomst. Zorg voor een schriftelijke of elektronische ondertekening door beide partijen. Bewaar de overeenkomst zodat je kunt aantonen dat je aan de AVG-verantwoordingsplicht voldoet.

Vergeet bij stap vier ook de subverwerkers niet. Als de verwerker andere partijen inschakelt die ook persoonsgegevens verwerken, moet de verwerker met hen een gelijkwaardige verwerkersovereenkomst sluiten. Als verwerkingsverantwoordelijke heb je het recht om hierover geïnformeerd te worden en in sommige gevallen toestemming te verlenen.

Mag je een standaard template gebruiken voor een verwerkersovereenkomst?

Ja, je mag een standaard template gebruiken als startpunt voor een verwerkersovereenkomst, maar een generiek template is zelden voldoende op zichzelf. De overeenkomst moet altijd worden aangevuld met de specifieke verwerkingsactiviteiten, de concrete beveiligingsmaatregelen en de specifieke afspraken die gelden voor jouw situatie.

Veel leveranciers bieden hun eigen standaard verwerkersovereenkomst aan, met name grote cloudleveranciers zoals Microsoft en Google. Dit is toegestaan, maar als verwerkingsverantwoordelijke blijf je verantwoordelijk voor de naleving van de AVG. Controleer daarom altijd of de aangeboden overeenkomst voldoet aan alle wettelijke eisen en of de afspraken aansluiten op jouw specifieke verwerkingssituatie.

Let bij het gebruik van een template in ieder geval op de volgende punten:

• Is de verwerkingsomschrijving specifiek genoeg voor jouw situatie?
• Zijn de beveiligingsmaatregelen concreet beschreven of worden ze vaag omschreven?
• Is de procedure voor datalekmelding duidelijk en haalbaar binnen de wettelijke termijnen?
• Zijn de regels rondom subverwerkers en doorgifte buiten de EU opgenomen?
• Sluit de bewaartermijn aan op jouw eigen bewaarbeleid?

Een template biedt een nuttige structuur, maar maatwerk is nodig om daadwerkelijk aan de AVG te voldoen en om de overeenkomst juridisch afdwingbaar te maken.

Wat zijn de gevolgen van een ontbrekende of onvolledige verwerkersovereenkomst?

Het ontbreken van een verwerkersovereenkomst is een directe overtreding van de AVG en kan leiden tot een boete van de Autoriteit Persoonsgegevens van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet. Bovendien loop je als organisatie een aanzienlijk juridisch en reputatierisico als er een datalek optreedt zonder dat de verantwoordelijkheden contractueel zijn vastgelegd.

Een onvolledige overeenkomst is bijna even risicovol als een ontbrekende. Als cruciale afspraken ontbreken, zoals de procedure bij datalekken of de instructies voor verwijdering van gegevens, kan dit bij een incident leiden tot onduidelijkheid over wie verantwoordelijk is, vertraging in de melding en mogelijk hogere boetes.

Naast de financiële gevolgen zijn er ook operationele risico’s. Zonder duidelijke contractuele afspraken heb je als verwerkingsverantwoordelijke minder grip op wat er met de persoonsgegevens van jouw klanten, medewerkers of relaties gebeurt. Je kunt een verwerker dan moeilijker aanspreken op naleving van beveiligingsmaatregelen of op het tijdig melden van incidenten.

De Autoriteit Persoonsgegevens controleert actief op de aanwezigheid van verwerkersovereenkomsten, zeker bij sectoren die veel persoonsgegevens verwerken. Organisaties die onder de NIS2-richtlijn vallen, lopen een dubbel risico: zowel de AVG als de NIS2 stellen eisen aan de beveiliging van de toeleveringsketen en de contractuele borging daarvan. Een ontbrekende verwerkersovereenkomst kan dus op meerdere fronten tot handhaving leiden.

Hoe Q-Cyber helpt met privacycompliance en verwerkersovereenkomsten

Een correcte verwerkersovereenkomst is onderdeel van een breder privacybeleid en cybersecuritystrategie. Wij helpen organisaties om niet alleen de juiste documenten op te stellen, maar ook om de onderliggende processen en beveiligingsmaatregelen op orde te brengen. Onze aanpak is pragmatisch en onafhankelijk: wij zijn niet gebonden aan softwarepartijen of andere leveranciers, waardoor we altijd adviseren wat het beste past bij jouw situatie.

Wat wij concreet voor je kunnen doen:

• In kaart brengen welke verwerkersovereenkomsten ontbreken of verouderd zijn;
• Opstellen of beoordelen van verwerkersovereenkomsten die voldoen aan de AVG;
• Adviseren over de relatie tussen AVG-verplichtingen en NIS2-eisen, zoals supply chain security;
• Schrijven van privacybeleid en bijbehorende procedures, inclusief datalekprocedures;
• Begeleiden van bestuurders en medewerkers via trainingen over privacywetgeving en cybersecurity;
• Uitvoeren van een gap-analyse om te bepalen waar je organisatie staat ten opzichte van de AVG en andere relevante regelgeving.

Wil je weten hoe jouw organisatie ervoor staat? Neem contact met ons op en we kijken samen wat er nodig is.

Lees meer

Wat is een DPIA en wanneer is het verplicht?

Geplaatst op: 4 juni 2026

Een DPIA, of Data Protection Impact Assessment, is een verplichte privacy-risicoanalyse die organisaties moeten uitvoeren voordat ze starten met een gegevensverwerking die waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. De verplichting is vastgelegd in artikel 35 van de AVG en geldt voor zowel bedrijven als overheidsinstanties. In dit artikel beantwoorden we de meest gestelde vragen over de DPIA: wanneer het verplicht is, wie het moet uitvoeren, wat erin moet staan en wat de gevolgen zijn als je het nalaat.

Wanneer is een DPIA wettelijk verplicht?

Een DPIA is wettelijk verplicht wanneer een verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Dit is geregeld in artikel 35 van de AVG. De Autoriteit Persoonsgegevens heeft daarnaast een lijst gepubliceerd met verwerkingen waarvoor een DPIA altijd verplicht is, ongeacht de specifieke omstandigheden.

In de praktijk is een DPIA in ieder geval vereist bij:

• Grootschalige verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens, biometrische gegevens of gegevens over ras of religie
• Systematische en uitgebreide profilering op basis van persoonsgegevens, inclusief geautomatiseerde besluitvorming met rechtsgevolgen
• Grootschalige en stelselmatige monitoring van openbaar toegankelijke ruimten, bijvoorbeeld via camerabewaking
• Verwerking van persoonsgegevens van kwetsbare groepen, zoals kinderen, patiënten of medewerkers
• Gebruik van nieuwe technologieën waarbij de privacyrisico’s nog niet volledig in kaart zijn gebracht

De AVG schrijft voor dat je de DPIA uitvoert voordat je begint met de verwerking. Een DPIA achteraf uitvoeren is in strijd met de wet en biedt geen bescherming als er iets misgaat.

Welke organisaties moeten een DPIA uitvoeren?

Alle organisaties die persoonsgegevens verwerken en daarbij een hoog risico creëren voor de rechten en vrijheden van betrokkenen, zijn verplicht een DPIA uit te voeren. Dit geldt voor zowel private bedrijven als publieke instellingen, ongeacht hun omvang. De AVG maakt geen uitzondering voor kleine organisaties als de verwerking zelf risicovol is.

Concreet betekent dit dat de DPIA-plicht van toepassing kan zijn op uiteenlopende organisaties:

• Ziekenhuizen en zorginstellingen die medische dossiers verwerken
• HR-afdelingen die personeelsmonitoring of profilering toepassen
• Gemeenten en overheidsinstanties die burgergegevens koppelen of uitwisselen
• Webshops en platformen die op grote schaal gebruikersgedrag analyseren
• Bedrijven die slimme apparaten of sensoren inzetten die continu gegevens verzamelen

Verwerkingsverantwoordelijken zijn primair verplicht de DPIA uit te voeren. Als je als verwerker optreedt voor een andere organisatie, dan rust de plicht op de verwerkingsverantwoordelijke, maar je bent als verwerker wel gehouden alle benodigde informatie te verstrekken. Voor organisaties die actief zijn in sterk gereguleerde sectoren, zoals de overheid of de zorg, gelden bovendien aanvullende kaders. Meer informatie over relevante wet- en regelgeving helpt organisaties inzicht te krijgen in welke verplichtingen op hen van toepassing zijn.

Wat zijn de verplichte onderdelen van een DPIA?

Een DPIA moet minimaal een systematische beschrijving van de verwerking bevatten, een beoordeling van de noodzaak en proportionaliteit, een risicobeoordeling voor de rechten en vrijheden van betrokkenen, en een beschrijving van de maatregelen om die risico’s te beheersen. Dit zijn de vier kernelementen die de AVG voorschrijft in artikel 35, lid 7.

In de praktijk werkt een volledige DPIA dit als volgt uit:

1. Beschrijving van de verwerking: Wat wordt verwerkt, met welk doel, door wie, hoe lang en op welke technische wijze?
2. Noodzakelijkheid en proportionaliteit: Is de verwerking noodzakelijk voor het beoogde doel? Zijn er minder ingrijpende alternatieven?
3. Risicobeoordeling: Welke risico’s brengt de verwerking mee voor betrokkenen, en hoe groot is de kans dat deze risico’s zich voordoen?
4. Beheersmaatregelen: Welke technische en organisatorische maatregelen worden genomen om de geïdentificeerde risico’s te verminderen?
5. Raadpleging van betrokkenen: Zijn de belangen van betrokkenen meegewogen, en is er indien nodig overleg geweest?
6. Advies van de Functionaris Gegevensbescherming (FG): Als de organisatie een FG heeft, is diens advies een verplicht onderdeel van het proces.

Als na de DPIA blijkt dat de risico’s niet voldoende beheersbaar zijn, moet de verwerkingsverantwoordelijke voorafgaand overleg voeren met de Autoriteit Persoonsgegevens. Dit heet een voorafgaande raadpleging en is eveneens wettelijk vastgelegd in de AVG.

Wat is het verschil tussen een DPIA en een PIA?

Een DPIA en een PIA zijn in de kern hetzelfde instrument: beide zijn methoden om privacyrisico’s van een verwerking in kaart te brengen voordat die verwerking start. Het verschil zit in de terminologie en de juridische status. Een PIA (Privacy Impact Assessment) is de informele, internationale benaming die al bestond vóór de AVG. Een DPIA is de officiële term uit de AVG en heeft een wettelijk verplicht karakter.

In de praktijk wordt de term PIA nog veel gebruikt, met name in Angelsaksische landen en in oudere beleidsdocumenten. Wanneer een Nederlandse organisatie spreekt over een privacy impact assessment, bedoelt men doorgaans dezelfde analyse als een DPIA. Het onderscheid is dus vooral terminologisch, niet inhoudelijk.

Wel is het belangrijk om te beseffen dat een PIA die vóór de invoering van de AVG is uitgevoerd, niet automatisch voldoet aan de huidige DPIA-eisen. De AVG stelt specifieke eisen aan de inhoud, het proces en de documentatie die oudere PIA-methodieken mogelijk niet volledig dekken. Als je beschikt over een bestaande PIA, is het verstandig te toetsen of deze nog voldoet aan de huidige wettelijke vereisten.

Hoe lang is een DPIA geldig en wanneer moet je hem herhalen?

Een DPIA heeft geen vaste geldigheidsduur. De AVG schrijft voor dat een DPIA periodiek wordt herzien en in ieder geval opnieuw wordt uitgevoerd wanneer er een wijziging optreedt in de verwerking die nieuwe of hogere risico’s kan meebrengen. In de praktijk hanteren veel organisaties een herziening elke twee tot drie jaar als uitgangspunt, maar de concrete aanleiding is leidend.

Een DPIA moet in ieder geval worden herhaald of herzien bij:

• Wijzigingen in het doel of de reikwijdte van de verwerking
• Introductie van nieuwe technologie of systemen die betrokken zijn bij de verwerking
• Veranderingen in de categorie of het volume van verwerkte persoonsgegevens
• Nieuwe inzichten over risico’s, bijvoorbeeld door een datalek of incident
• Wijzigingen in wet- en regelgeving die de beoordeling beïnvloeden
• Feedback van de Functionaris Gegevensbescherming of de toezichthouder

Een DPIA is daarmee geen eenmalig document, maar een levend instrument dat meegroeit met de organisatie en haar verwerkingen. Het is verstandig om de DPIA op te nemen in de reguliere beleidscyclus, zodat herziening structureel geborgd is en niet afhankelijk is van ad-hocmomenten.

Wat zijn de gevolgen als je geen DPIA uitvoert?

Als een organisatie nalaat een verplichte DPIA uit te voeren, kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Naast de financiële sanctie loopt de organisatie ook reputatieschade en operationele risico’s, omdat de onderliggende privacyrisico’s onbeheerst blijven.

De gevolgen zijn niet alleen financieel van aard. Wanneer een organisatie geen DPIA heeft uitgevoerd terwijl dat verplicht was, en er vervolgens een datalek of privacyincident optreedt, kan dit de aansprakelijkheid van de organisatie aanzienlijk vergroten. Betrokkenen kunnen schadevergoeding eisen als zij aantonen dat hun rechten zijn geschonden door een onzorgvuldige verwerking.

Voor overheidsorganisaties en organisaties die onder aanvullende regelgeving vallen, zoals NIS2, zijn de risico’s nog groter. NIS2 vereist dat organisaties aantoonbaar cybersecurityrisico’s beheersen en incidenten melden. Een ontbrekende DPIA kan bij een toezichtonderzoek als bewijs dienen dat de organisatie haar verplichtingen niet serieus neemt, wat kan leiden tot aanvullende handhavingsmaatregelen.

Tot slot is er het risico van reputatieschade. Klanten, partners en burgers verwachten dat organisaties zorgvuldig omgaan met persoonsgegevens. Een publiekelijk bekende overtreding van de DPIA-plicht kan het vertrouwen ernstig beschadigen, met langdurige gevolgen voor de relatie met stakeholders.

Hoe Q-Cyber helpt met DPIA en privacy compliance

Een DPIA uitvoeren vergt meer dan het invullen van een checklist. Het vraagt om inzicht in de technische architectuur van een verwerking, kennis van de toepasselijke wet- en regelgeving én het vermogen om risico’s concreet te vertalen naar beheersmaatregelen. Precies daar onderscheiden wij ons.

Wij ondersteunen organisaties bij het volledige DPIA-traject:

• Inventarisatie en scope: We brengen in kaart welke verwerkingen een DPIA vereisen en stellen prioriteiten op basis van risico
• Uitvoering van de DPIA: We begeleiden het proces van beschrijving tot risicobeoordeling en maatregeladvies, volledig in lijn met de AVG
• Beleidsvorming: We schrijven of herzien privacybeleid zodat het aansluit op de uitkomsten van de DPIA en voldoet aan geldende normen
• Koppeling met NIS2: We verbinden de DPIA-uitkomsten aan de bredere cybersecurity- en complianceverplichtingen van uw organisatie, waaronder NIS2
• Trainingen: We verzorgen trainingen voor bestuurders en medewerkers zodat privacy en beveiliging structureel zijn ingebed in de organisatie

Wij werken onafhankelijk, zonder binding aan softwarepartijen of andere toeleveranciers, zodat ons advies altijd in uw belang is. Wil je weten hoe we uw organisatie kunnen helpen? Neem contact met ons op voor een vrijblijvend gesprek.

Lees meer

Hoe voer je een risicoanalyse uit voor informatiebeveiliging?

Geplaatst op: 3 juni 2026

Een risicoanalyse voor informatiebeveiliging voer je uit door systematisch te inventariseren welke informatieassets je organisatie heeft, welke dreigingen daarop van toepassing zijn, hoe groot de kans en impact van die dreigingen zijn, en welke beheersmaatregelen nodig zijn om de risico’s tot een aanvaardbaar niveau te reduceren. Dit proces vormt de basis van elke serieuze beveiligingsstrategie. In dit artikel beantwoorden we de meest gestelde vragen over het uitvoeren van een cybersecurity-risicoanalyse, van de concrete stappen tot de wettelijke verplichtingen onder NIS2.

Welke stappen doorloop je bij een risicoanalyse voor informatiebeveiliging?

Een risicoanalyse voor informatiebeveiliging bestaat uit vijf opeenvolgende stappen: het inventariseren van informatieassets, het identificeren van dreigingen en kwetsbaarheden, het beoordelen van kans en impact, het bepalen van beheersmaatregelen, en het documenteren en monitoren van de resultaten. Samen vormen deze stappen een gestructureerde risicobeoordeling die herhaalbaar en auditeerbaar is.

Stap 1: Inventariseer je informatieassets

Begin met een volledig overzicht van alle informatieassets binnen je organisatie. Denk aan systemen, applicaties, databases, netwerken, maar ook aan processen en mensen die toegang hebben tot gevoelige informatie. Zonder dit overzicht is het onmogelijk om te bepalen wat je precies moet beschermen.

Stap 2: Identificeer dreigingen en kwetsbaarheden

Breng per asset in kaart welke dreigingen relevant zijn, zoals ransomware, phishing, ongeautoriseerde toegang of menselijke fouten. Koppel hieraan de kwetsbaarheden die deze dreigingen mogelijk maken, bijvoorbeeld verouderde software, zwak wachtwoordbeleid of ontbrekende netwerkscheiding.

Stap 3: Beoordeel kans en impact

Wijs aan elk geïdentificeerd risico een score toe op basis van de kans dat het zich voordoet en de impact als het daadwerkelijk gebeurt. Dit levert een risicorangschikking op waarmee je prioriteiten kunt stellen.

Stap 4: Bepaal beheersmaatregelen

Kies voor elk significant risico passende maatregelen: technisch, organisatorisch of procedureel. Denk aan toegangsbeveiliging, encryptie, back-upbeleid, bewustzijnstrainingen of contractuele afspraken met leveranciers. Zorg dat de maatregel in verhouding staat tot het risico.

Stap 5: Documenteer en monitor

Leg alle bevindingen, beslissingen en maatregelen vast in een risicoregister. Dit document is niet alleen intern waardevol, maar ook essentieel bij audits en toezicht. Plan vervolgmomenten in om de analyse actueel te houden.

Wat zijn de meest voorkomende informatiebeveiligingsrisico’s voor organisaties?

De meest voorkomende informatiebeveiligingsrisico’s voor organisaties zijn ransomware-aanvallen, phishing en social engineering, onveilige toegang door zwak identiteitsbeheer, kwetsbaarheden in de toeleveringsketen en menselijke fouten door gebrek aan bewustzijn. Deze risico’s gelden voor vrijwel elke sector en organisatieomvang.

Ransomware blijft een van de meest destructieve dreigingen. Aanvallers versleutelen bedrijfsdata en eisen losgeld, waarbij de schade niet alleen financieel is, maar ook de continuïteit van dienstverlening direct raakt. Phishing is vaak het toegangsmiddel: medewerkers worden misleid om inloggegevens te delen of schadelijke bijlagen te openen.

Zwak identiteits- en toegangsbeheer vergroot de aanvalsoppervlakte aanzienlijk. Wanneer medewerkers meer rechten hebben dan nodig, of wanneer multi-factorauthenticatie ontbreekt, kunnen aanvallers eenvoudig lateraal door een netwerk bewegen. Dat is precies waarom NIS2 het gebruik van multi-factorauthenticatie als minimumvereiste stelt.

Supply chain-risico’s worden steeds relevanter. Een kwetsbaarheid bij een leverancier kan directe gevolgen hebben voor jouw organisatie, zelfs als je eigen systemen goed beveiligd zijn. Organisaties dienen daarom niet alleen hun eigen beveiligingsmaatregelen te beoordelen, maar ook die van hun toeleveranciers in kaart te brengen.

Hoe bepaal je de kans en impact van een beveiligingsrisico?

De kans en impact van een beveiligingsrisico bepaal je door elk risico te scoren op twee assen: hoe waarschijnlijk is het dat de dreiging zich voordoet, en hoe ernstig zijn de gevolgen als dat gebeurt? De combinatie van beide scores levert een risiconiveau op dat je gebruikt om prioriteiten te stellen.

Voor de kansschatting kijk je naar factoren zoals de aanwezigheid van kwetsbaarheden, de motivatie en het vermogen van potentiële aanvallers, en de effectiviteit van bestaande beveiligingsmaatregelen. Een systeem dat aan het internet is blootgesteld en bekende kwetsbaarheden bevat, heeft een hogere kans op misbruik dan een geïsoleerd intern systeem.

De impactbeoordeling richt zich op de gevolgen voor vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Denk aan operationele schade zoals uitval van dienstverlening, financiële schade door herstelkosten of boetes, reputatieschade en mogelijke juridische consequenties. Voor organisaties die onder de Cyberbeveiligingswet vallen, is het ook relevant om te beoordelen of een incident meldingsplichtig zou zijn.

In de praktijk werken organisaties vaak met een risicomatrix van drie bij drie of vijf bij vijf, waarbij kans en impact elk worden gescoord op een schaal van laag naar hoog. Risico’s in het hoogste kwadrant vragen om directe actie; risico’s in het laagste kwadrant kunnen worden geaccepteerd of periodiek worden gemonitord.

Wat is het verschil tussen een risicoanalyse en een vulnerability scan?

Een risicoanalyse is een breed, strategisch proces waarbij je alle informatiebeveiligingsrisico’s voor een organisatie in kaart brengt en prioriteert. Een vulnerability scan is een technisch instrument dat specifiek zoekt naar bekende kwetsbaarheden in systemen, applicaties of netwerken. De scan is een input voor de risicoanalyse, niet een vervanging ervan.

Een vulnerability scan levert een lijst van technische zwaktes op, zoals verouderde softwareversies, verkeerde configuraties of ontbrekende patches. Het is een objectieve meting van de technische staat van je omgeving op een bepaald moment. Wat de scan niet doet, is beoordelen hoe groot de kans is dat een kwetsbaarheid wordt uitgebuit, wat de impact zou zijn, of welke organisatorische en procedurele risico’s er naast de technische risico’s bestaan.

De risicoanalyse plaatst de uitkomsten van een scan in een bredere context. Een kwetsbaarheid in een intern systeem zonder internetverbinding heeft een ander risiconiveau dan dezelfde kwetsbaarheid in een publiek toegankelijke applicatie. Bovendien omvat een volledige risicobeoordeling ook niet-technische risico’s, zoals onvoldoende beleid, ongetraind personeel of zwakke leveranciersafspraken.

Voor een betrouwbaar beeld van je beveiligingspositie zijn beide instrumenten nodig. Een penetratietest of vulnerability scan geeft technische diepgang, terwijl de risicoanalyse het strategische kader biedt om bevindingen te wegen en te vertalen naar concrete maatregelen.

Wanneer is een risicoanalyse verplicht onder NIS2?

Een risicoanalyse is verplicht onder NIS2 voor alle organisaties die onder de Cyberbeveiligingswet vallen. De zorgplicht die deze wet oplegt, vereist uitdrukkelijk dat organisaties een risicobeoordeling uitvoeren als basis voor de te nemen beveiligingsmaatregelen. Zonder gedocumenteerde risicoanalyse is het onmogelijk om aan de zorgplicht te voldoen.

De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet verplicht organisaties om passende en evenredige technische en organisatorische maatregelen te nemen om de continuïteit van hun dienstverlening te waarborgen en informatie te beschermen. Het startpunt van die maatregelen is altijd een risicobeoordeling: je kunt immers geen passende maatregel kiezen zonder eerst te weten wat de risico’s zijn.

Concreet schrijft NIS2 voor dat organisaties beleid opstellen voor risicoanalyse en beveiliging van informatiesystemen. Dit beleid moet aantoonbaar zijn en periodiek worden herzien. Essentiële en belangrijke entiteiten, waaronder gemeenten, provincies, waterschappen en veel bedrijven in kritieke sectoren, zijn hier direct aan gebonden.

Naast de risicoanalyse als zodanig vereist NIS2 ook dat specifieke domeinen worden meegenomen in de beoordeling: bedrijfscontinuïteit, supply chain-beveiliging, cryptografie, toegangsbeheer en personeelsbeveiliging. Een risicoanalyse die alleen technische systemen omvat, is daarmee onvolledig. In Nederland vallen naar schatting meer dan 10.000 organisaties direct onder NIS2, en een veelvoud daarvan krijgt indirect met de eisen te maken via hun toeleveringsketens.

Hoe vaak moet je een risicoanalyse voor informatiebeveiliging herhalen?

Een risicoanalyse voor informatiebeveiliging moet minimaal jaarlijks worden herhaald en bovendien bij elke significante wijziging in de organisatie, de technische omgeving of het dreigingslandschap. Een eenmalige analyse is onvoldoende, omdat risico’s voortdurend veranderen door nieuwe dreigingen, nieuwe systemen en nieuwe werkwijzen.

De jaarlijkse herhaling zorgt ervoor dat de risicoanalyse actueel blijft en aansluit bij de werkelijke situatie van de organisatie. Dreigingen zoals ransomware en phishing evolueren snel, en kwetsbaarheden die vorig jaar niet bestonden, kunnen vandaag al actief worden uitgebuit. Wie zijn risicoanalyse niet bijhoudt, werkt met een verouderd beeld en neemt beslissingen op basis van onjuiste aannames.

Naast de periodieke herhaling zijn er specifieke aanleidingen die een tussentijdse herziening vereisen:

• Implementatie van nieuwe systemen of applicaties
• Wijzigingen in de organisatiestructuur of werkprocessen
• Uitbreiding of wijziging van de toeleveringsketen
• Een beveiligingsincident dat nieuwe kwetsbaarheden heeft blootgelegd
• Wijzigingen in wet- en regelgeving, zoals de inwerkingtreding van de Cyberbeveiligingswet
• Signalen van het NCSC over nieuwe actieve dreigingen in jouw sector

Voor organisaties die onder de Cyberbeveiligingswet vallen, is de regelmaat van de risicoanalyse ook een toezichtskwestie. Toezichthouders zoals de Rijksinspectie Digitale Infrastructuur (RDI) zullen bij controles verwachten dat een organisatie niet alleen een actuele risicoanalyse kan overleggen, maar ook kan aantonen hoe bevindingen zijn vertaald naar concrete maatregelen en hoe de analyse in de loop der tijd is bijgehouden.

Hoe Q-Cyber helpt met risicoanalyse en informatiebeveiliging

Een risicoanalyse uitvoeren klinkt overzichtelijk op papier, maar in de praktijk vraagt het om de juiste combinatie van technische kennis, beleidsexpertise en inzicht in het dreigingslandschap. Wij begeleiden organisaties door dit proces van begin tot eind, onafhankelijk en zonder binding aan softwarepartijen of andere toeleveranciers.

Wat wij bieden:

• Gap-analyse en risicobeoordeling: We brengen de huidige staat van je informatiebeveiliging in kaart en identificeren de belangrijkste risico’s op basis van jouw specifieke context en sector.
• NIS2-begeleiding: We beoordelen of jouw organisatie onder de Cyberbeveiligingswet valt, welke verplichtingen van toepassing zijn en hoe je risicoanalyse aansluit op de wettelijke zorgplicht.
• Beleid op maat: We schrijven het benodigde informatiebeveiligingsbeleid, inclusief het risicoanalysebeleid dat NIS2 vereist, afgestemd op jouw organisatie.
• Technische toetsing: Via vulnerability scans en penetratietests leveren we de technische input die een gedegen risicoanalyse onderbouwt.
• Virtuele CISO via Continuous-Q: Voor organisaties die structurele ondersteuning nodig hebben, bieden we een team van specialisten dat de risicoanalyse en het bredere beveiligingsprogramma doorlopend beheert.

Wacht niet tot de Cyberbeveiligingswet van kracht is. De risico’s zijn er nu al, en een tijdige risicoanalyse geeft je de voorsprong die je nodig hebt. Neem contact op en we kijken samen waar je organisatie staat.

Lees meer