Cybersecurity voor MKB
Het stappenplan voor het MKB · bijgewerkt april 2026 · leestijd 8 min

De kans dat jouw bedrijfsgegevens érgens op straat liggen is groot en wordt elk jaar groter. Chipsoft, Basic‑Fit, Odido (6 miljoen adressen in 2026), KPN. Het rijtje blijft groeien. Toch gaat het niet om of het gebeurt, maar om wat jij doet als het gebeurt. Dit artikel geeft je een concreet stappenplan: de eerste 24 uur, de meldplicht binnen 72 uur, en hoe je volgende lekken voor blijft.

17 mld
Gelekte accountgegevens staan inmiddels publiek in datalek-indexen. Have I Been Pwned aggregeert ruim 17 miljard compromised records over 970+ datalekken. Voor de meeste e-mailadressen is de kans dus reëel dat ze érgens in die stapel staan.

Inhoud

  1. Wat is een datalek eigenlijk?
  2. Check zelf: zijn jouw gegevens gelekt?
  3. De eerste 24 uur: vijf stappen
  4. De 72-uur meldplicht (en hoe je die redt)
  5. Voorkomen voor de volgende keer
  6. Wanneer bel je je IT-partner?

Wat is een datalek eigenlijk?

Een datalek is elke situatie waarin persoonsgegevens uit je bedrijf per ongeluk of met opzet bij iemand terechtkomen die ze niet mag hebben. Dat klinkt breder dan de meeste ondernemers denken, en dat is het ook. Een datalek is niet alleen een dramatische hack met ransomware en losgeld.

Dagelijkse voorbeelden die je waarschijnlijk niet als datalek herkent

  • Een mailing naar klanten waarbij je per ongeluk de adressen in CC zet in plaats van BCC.
  • Een USB-stick met klantbestanden die je kwijtraakt in de trein.
  • Een laptop die gestolen wordt uit de auto, zonder schijfversleuteling.
  • Een oud-medewerker die nog toegang heeft tot de gedeelde Dropbox.
  • Een leverancier (denk aan je loonadministratie of CRM) die gehackt wordt en waarbij jouw klantdata wegloopt.

Volgens de Autoriteit Persoonsgegevens is elk van deze scenario's een datalek. En ja, voor allemaal geldt in principe een meldplicht.

Check zelf: zijn jouw gegevens gelekt?

Voor je in paniek raakt: je kunt binnen een minuut zelf checken of jouw e-mailadres in bekende datalekken voorkomt. Er zijn twee gratis, betrouwbare tools:

  • Check je hack (politie.nl): je vult je e-mailadres in en krijgt binnen een paar minuten een bericht als het voorkomt in datasets die de politie uit criminele netwerken heeft gehaald.
  • Have I Been Pwned: internationale database, gekoppeld aan talloze datalekken. Toont direct bij welke bedrijven jouw adres is gelekt.

Zo werkt zo'n scan in de praktijk (deze demo simuleert wat er gebeurt, we sturen níks op):

Demo · scan je e-mailadres

> Typ een e-mailadres, klik Scan. Niets wordt verstuurd.

Dit is een illustratieve simulatie in jouw browser. Voor een écht antwoord: gebruik de links hierboven.

En als mijn adres er echt bij staat?

Geen paniek, het is niet hetzelfde als gehackt zijn. Wel betekent het: dit wachtwoord is mogelijk bekend bij criminelen, en als je 'm ergens anders ook gebruikt, zijn die accounts in gevaar. Wat je direct doet:

  1. Verander het wachtwoord op het gelekte account.
  2. Gebruikte je hetzelfde wachtwoord ergens anders? Verander het ook dáár.
  3. Zet MFA aan waar dat nog niet stond.
  4. Als je identiteitsfraude vermoedt: meld bij het Centraal Meldpunt Identiteitsfraude (CMI), onderdeel van de RvIG.

De eerste 24 uur: vijf stappen

Ontdek je dat er binnen je bedrijf een datalek is, dan begint de klok te lopen. Letterlijk: de AVG geeft je 72 uur om bij de Autoriteit Persoonsgegevens te melden. Maar ruim daarvoor moet je al in actie komen om de schade te beperken. Dit is de volgorde.

1

Isoleer: wat is er precies weggelopen?

Voordat je iets anders doet, zorg je dat het lek niet groter wordt. Verwijder toegang, trek credentials in, isoleer het systeem dat gecompromitteerd is. Inventariseer tegelijk zo specifiek mogelijk om welke gegevens het gaat: namen, e-mailadressen, telefoonnummers, BSN's, financiële data?

Tijd: eerste uur
2

Documenteer: datum, tijd, bron, impact

Leg direct vast wanneer het lek is ontdekt, wie het ontdekte, wat de vermoedelijke oorzaak is en welke gegevens betrokken zijn. Dit document heb je nodig voor je interne register én voor de melding aan de AP. Hoe specifieker hoe beter; niet alles hoeft direct compleet te zijn.

Tijd: eerste 4 uur
3

Reset wachtwoorden en tokens

Alle credentials die in de buurt van het lek komen, worden nu gewijzigd. Dat gaat om wachtwoorden, API-tokens, sessie-cookies. Als je een password-manager gebruikt, is dit een zaak van minuten. Gebruik je die niet, dan is dit meteen een goede reden om er een te beginnen.

Tijd: eerste 8 uur
4

Beslis: moet de AP dit weten?

Bij elke datalek geldt: documenteren verplicht. Melden bij de AP alléén als er een risico is voor de betrokken personen. Denk: financiële schade, identiteitsfraude, discriminatie. Twijfel je? Meld voor de zekerheid binnen 72 uur. Beter één keer teveel dan te laat.

Tijd: binnen 24 uur
5

Bel je IT-partner

Lees dit niet als een sales-pitch, lees het als een werkwijze: als dit vanuit de techniek moet worden opgelost (forensisch onderzoek, systeem opnieuw uitrollen, malware verwijderen) dan kom je er zelden alleen uit. Hoe eerder een partner meekijkt, hoe minder herstelwerk later.

Tijd: zo snel mogelijk

De 72-uur meldplicht (en hoe je die redt)

Onder de AVG moet elk datalek waarbij een risico voor de betrokkenen bestaat, binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Die 72 uur gaat lopen vanaf het moment dat jouw organisatie het lek ontdekt, niet vanaf het moment dat het gebeurd is. En zodra een medewerker het ontdekt, geldt dat als ontdekking voor de hele organisatie.

Stel: je ontdekt het lek nu. Dit is je deadline.
72:00:00

Niet halen? Boetes onder de AVG lopen maximaal op tot € 20 miljoen of 4% van de wereldwijde jaaromzet (art. 83 AVG). Voor het MKB landen ze in de praktijk veel lager, maar de AP kan ook bij kleinere bedrijven forse bedragen opleggen.
Red je 't wel niet binnen 72u? Meld alsnog, mét uitleg waarom het langer duurde. Dat is expliciet toegestaan.

Wat zet ik in die melding?

Het meldformulier van de AP vraagt om:

  • Datum en tijd van ontdekking en (voor zover bekend) van het incident zelf.
  • Aard van het datalek: verlies, diefstal, hack, onbedoelde verstrekking.
  • Om welke categorieën persoonsgegevens het gaat.
  • Aantal mensen van wie gegevens betrokken zijn (schatting mag).
  • Wat je al hebt gedaan om de schade te beperken.
  • Contactpersoon binnen je organisatie voor de AP.

Ook de betrokkenen moeten weten wat er speelt

Bij een hoog risico voor de betrokkenen ben je verplicht om ook hén te informeren. In begrijpelijke taal: wat is er weggelekt, wat kunnen ze daar zelf tegen doen, en bij wie kunnen ze aankloppen. Een korte, nuchtere mail met drie bullets werkt beter dan een formele brief vol juridische termen.

Voorkomen voor de volgende keer: drie lagen

Volgende lekken volledig uitsluiten kan niemand. Niet jij, niet wij, niet Microsoft, niet Odido. Wat je wél kan, is het effect klein houden. Daarvoor gebruiken wij bij onze klanten een simpel drie-lagen-model.

Laag 1 · Eigen sleutel per deur

Één gelekt wachtwoord mag nooit toegang geven tot meer dan één account. Dat lukt alleen als je een password-manager gebruikt: die genereert voor elk account een uniek, sterk wachtwoord en vult het automatisch in. Jij onthoudt alleen nog één hoofdsleutel.

Probeer de slider om te zien hoe sterk een wachtwoord wordt naarmate 't langer en gevarieerder wordt. Let op: dit is puur ter illustratie, lees de waarschuwing hieronder.

Gebruik deze wachtwoorden niet. Dit is een educatieve demo. De random-functie in je browser is niet cryptografisch veilig, en een wachtwoord dat op een webpagina is getoond kan in browser-history, screenshots of caches terechtkomen. Voor echte wachtwoorden: gebruik een password-manager zoals Bitwarden, 1Password, KeePass of de ingebouwde manager van Apple/Google/Microsoft. Die genereren lokaal, versleuteld, en onthouden 't voor je.

Educatieve demo
klik op Genereer voor een voorbeeld
Theoretische kraak-tijd (snelle hash, schatting): ...

Laag 2 · Een tweede slot op die deur

Zet twee-factor authenticatie (2FA/MFA) aan op alles wat belangrijk is: mail, bank, M365, cloud-diensten. Zelfs als iemand je wachtwoord tóch te pakken krijgt, komt-ie er niet in zonder de tweede code uit je app. Meer over hoe 2FA werkt lees je in ons artikel over twee-factor authenticatie.

Laag 3 · Leer phishing herkennen

De meeste bedrijfs-datalekken beginnen niet met een slimme hack, maar met een medewerker die op een link klikt. Drie snelle checks doen voordat je klikt:

  1. Waar komt 't vandaan? Klopt het domein? facturen@kvk-nl.cn is niet de Kamer van Koophandel.
  2. Verwacht je dit bericht? Stuurt de KvK jou zomaar een rekening? Appt de Belastingdienst? Zelden.
  3. Wordt er druk gezet? "Zo snel mogelijk!" is het favoriete trucje van oplichters.

Bonus: proactieve domein-monitoring

Voor bedrijven die écht niet gespooft willen worden via hun eigen domein (jouwbedrijf.nl) bestaat proactieve monitoring met DMARC, SPF en DKIM. Klinkt technisch, is het ook, maar het voorkomt dat oplichters mail versturen die eruitzien alsof 't van jullie komt. We hebben er een apart artikel over.

Wanneer bel je je IT-partner?

Niet elk datalek vraagt direct om forensisch onderzoek. Maar er zijn momenten waarop een telefoontje naar je IT-partner jou tijd, geld en reputatie bespaart:

  • Je ziet ongewone inlogactiviteit op werknemers-accounts.
  • Een medewerker klikte op een link die achteraf phishing bleek.
  • Je kreeg melding dat een leverancier gehackt is en jouw data erin zat.
  • Je twijfelt of iets een datalek is, of niet.
  • Je moet binnen 72 uur melden en weet niet precies hoe.

Bij Teleservice ICT bellen onze klanten gewoon. Een mens neemt op. Vaak kunnen we binnen een half uur meekijken op afstand en samen bepalen wat de volgende stap is. Geen tickets in een wachtrij, geen keuzemenu, geen "we komen er op terug".

Twijfel je of je een datalek hebt?

Bel ons. Vandaag checken, morgen een oplossing.

088-8330080 info@teleserviceict.nl

Verder lezen

Volgende laag Twee-factor authenticatie: hoe het werkt en waarom je 't aanzet Breder beeld 5 cybersecurity-risico's voor het MKB in 2026 Preventief Proactieve domein-monitoring: DMARC, SPF, DKIM uitgelegd