Cybersecurity voor MKB: Simpele checklist tegen datalekken

Stel je voor: je kassa weigert dienst, klantgegevens liggen op straat, of je webshop is plotseling onbereikbaar. Voor veel ondernemers voelt cybersecurity als een ver-van-mijn-bed-show – totdat het misgaat. Vanaf september gelden er nieuwe EU-regels die jou verplichten om sneller te handelen bij beveiligingsproblemen. Geen zorgen: met deze praktische checklist bescherm je jouw bedrijf, of je nu een bakkerij, webshop of fysiotherapiepraktijk runt.

Waarom cybersecurity plotseling jouw probleem is

Vanaf 11 september 2026 gelden er strenge EU-regels voor digitale producten. Dit gaat niet alleen over grote techbedrijven, maar ook over de software en apparaten die jij gebruikt. Denk aan:

• Je kassasysteem
• De thermostaat in je winkel
• Je online boekhoudprogramma
• De beveiligingscamera’s

Als er een ernstig beveiligingslek wordt ontdekt, moet de leverancier dit binnen 24 uur melden. Binnen drie dagen moet er een volledig rapport volgen. Voor veel ondernemers komt dit als een verrassing: “Ik dacht dat dit alleen voor grote bedrijven gold.”

Wat betekent dit voor jouw bedrijf?

1. Snellere meldingen = minder risico

Vroeger duurde het soms maanden voordat een beveiligingslek werd opgelost. Nu moeten leveranciers direct handelen. Dat betekent dat jij sneller weet of er een probleem is met bijvoorbeeld je webwinkelsoftware of betaalterminal. Maar: als jouw leverancier niet op tijd rapporteert, loop jij risico.

Voorbeeld: Een restaurantketen in Nederland kreeg vorig jaar te maken met een datalek via hun reserveringssysteem. Klantgegevens werden gestolen omdat de leverancier een bekend lek niet tijdig had gepatcht. Met de nieuwe regels had dit sneller opgelost kunnen worden.

2. Je bent medeverantwoordelijk voor je leveranciers

De nieuwe regels dwingen bedrijven om niet alleen naar hun eigen systemen te kijken, maar ook naar die van hun leveranciers. Dit heet “supply chain security” – een duur woord voor: “Als jouw leverancier een zwakke schakel heeft, ben jij ook kwetsbaar.”

Concreet betekent dit:

• Vraag je leveranciers om een SBOM (Software Bill of Materials). Dit is een soort ingrediëntenlijst van alle onderdelen in een programma of apparaat. Zo weet je precies welke risico’s er zijn.
• Check of je leveranciers voldoen aan de nieuwe regels. Als zij niet rapporteren, loop jij risico.

Weetje: Slechts 25% van de bedrijven genereert automatisch een SBOM. De rest doet het handmatig – of helemaal niet.

3. Het gaat niet alleen om techniek

Veel ondernemers denken: “Mijn IT’er regelt dit wel.” Maar de nieuwe regels gaan verder dan alleen technische oplossingen. Het gaat om hoe digitale producten worden ontworpen en onderhouden. Bijvoorbeeld:

• Wordt er regelmatig gecontroleerd op nieuwe beveiligingslekken?
• Zijn er duidelijke afspraken over wie wat doet bij een incident?
• Is er een noodplan voor als er iets misgaat?

Voorbeeld: Een tandartspraktijk in Utrecht verloor vorig jaar al haar patiëntgegevens omdat hun cloudleverancier geen back-up had. Met een simpel noodplan had dit voorkomen kunnen worden.

Jouw cybersecurity-checklist: 5 stappen om veilig te blijven

1. Weet welke systemen je gebruikt

Maak een lijst van alle digitale producten die je gebruikt:

• Kassasystemen
• Boekhoudsoftware
• Webshopplatform
• Beveiligingscamera’s
• Slimme apparaten (thermostaat, verlichting, etc.)

Tip: Gebruik je apparaten van een leverancier? Vraag hen om een overzicht van alle softwareonderdelen (SBOM).

2. Vraag je leveranciers om transparantie

Stel deze vragen aan je leveranciers:

• “Hoe zorgen jullie ervoor dat mijn gegevens veilig zijn?”
• “Hoe snel rapporteren jullie beveiligingslekken?”
• “Kunnen jullie een SBOM leveren?” (Dit is nu verplicht voor hen, maar niet allemaal zijn er klaar voor.)

Let op: Als een leverancier niet kan antwoorden, overweeg dan om over te stappen.

3. Zorg voor sterke basisbeveiliging

Dit zijn simpele stappen die iedere ondernemer kan nemen: ✅ Tweestapsverificatie (2FA): Een extra beveiligingsstap, zoals een code op je telefoon, naast je wachtwoord. ✅ Regelmatige updates: Zet automatische updates aan voor al je software en apparaten. ✅ Back-ups: Maak minimaal wekelijks een back-up van belangrijke gegevens. Bewaar deze op een andere locatie (bijvoorbeeld een externe harde schijf of clouddienst). ✅ Wachtwoordmanager: Gebruik een tool zoals Bitwarden of KeePass om sterke, unieke wachtwoorden te genereren en op te slaan.

4. Maak een noodplan

Wat doe je als er toch iets misgaat? Bijvoorbeeld:

• Je website wordt gehackt
• Je kassasysteem werkt niet meer
• Klantgegevens lekken uit

Stappen in je noodplan:

1. Isoleren: Koppel het getroffen systeem af van het netwerk.
2. Melden: Informeer je leverancier (en eventueel de Autoriteit Persoonsgegevens als er persoonsgegevens zijn gelekt).
3. Herstellen: Gebruik je back-up om gegevens terug te zetten.
4. Communiceren: Informeer klanten als hun gegevens zijn gelekt (dit is wettelijk verplicht).

Tip: Oefen dit plan één keer per jaar, net zoals een brandalarm.

5. Train jezelf en je medewerkers

De meeste datalekken ontstaan door menselijke fouten. Train jezelf en je team op:

• Phishing herkennen: Valse e-mails die je verleiden om op een link te klikken.
• Veilig internetten: Gebruik geen openbare wifi voor gevoelige zaken (zoals bankieren).
• Wachtwoordhygiëne: Gebruik nooit hetzelfde wachtwoord voor meerdere accounts.

Gratis hulpmiddel: De e-learning module van de Rijksoverheid voor veilig digitaal werken.

Veelgestelde vragen

”Ik ben maar een kleine ondernemer. Moet ik dit echt allemaal doen?”

Ja, maar het hoeft niet in één keer. Begin met de basis:

1. Maak een lijst van alle digitale systemen die je gebruikt.
2. Zet tweestapsverificatie aan.
3. Maak regelmatig back-ups.

De nieuwe regels gelden voor iedereen die digitale producten gebruikt – of je nu een webshop hebt of alleen een kassasysteem.

”Wat gebeurt er als ik niets doe?”

Als je leverancier een beveiligingslek niet tijdig meldt, loop je risico op:

• Boetes: De Autoriteit Persoonsgegevens kan boetes opleggen tot €10 miljoen of 2% van je jaaromzet.
• Imagoschade: Klanten vertrouwen je minder snel als hun gegevens zijn gelekt.
• Bedrijfsstilstand: Een hack kan ervoor zorgen dat je dagenlang niet kunt werken.

”Hoe weet ik of mijn leverancier betrouwbaar is?”

Stel deze vragen:

• “Hoe snel rapporteren jullie beveiligingslekken?” (Binnen 24 uur is de nieuwe standaard.)
• “Kunnen jullie een SBOM leveren?” (Dit is nu verplicht.)
• “Hoe vaak updaten jullie jullie software?” (Regelmatig updaten is essentieel.)

Als ze deze vragen niet kunnen beantwoorden, overweeg dan om over te stappen.

IT Move NL

Of je nu een IT-team aanstuurt of gewoon een eigen zaak runt: cybersecurity raakt iedereen die online actief is. De nieuwe regels lijken ingewikkeld, maar met kleine stappen kom je al een heel eind. Heb je vragen over hoe dit voor jouw bedrijf werkt? Praat met ons – we helpen zowel technische teams als ondernemers zonder IT-achtergrond. Geen verkooppraatje, gewoon praktische adviezen.

---

Bronnen:

• EU’s Cyber Resiliency Act will put IT leaders to the test - csoonline.com
• Verizon DBIR: Enterprises Face a Dangerous Vulnerability Glut - Dark Reading
• Critical 18-Year-Old NGINX Vulnerability Enables Remote Code Execution Attacks - CyberSecurityNews