Datalek voorkomen in het MKB: AVG-checklist 2026
Een datalek kost een MKB-bedrijf gemiddeld zeventigduizend euro. De zes stappen om het risico naar een fractie te brengen, in concrete actie.
Een datalek bij een MKB-bedrijf kost gemiddeld zeventigduizend euro. AVG-boete, juridische kosten, klantverlies, intern werk om de schade in kaart te brengen. Voor sommige bedrijven betekent één lek het einde.
De goede nieuws: het risico op een lek is met enkele basismaatregelen flink terug te brengen. Hieronder de zes-stappen-checklist die elk MKB in 2026 zou moeten hebben afgevinkt.
Stap 1: weet welke data u heeft
U kunt geen data beschermen die u niet kent. Maak een lijst: welke persoonsgegevens slaat u op, waarom, waar, en hoe lang? Klantnamen, telefoonnummers, e-mails, BTW-nummers, eventueel medische gegevens of financiële data. Per categorie noteren waar het staat.
Tijdsinvestering: één tot twee dagen. Verplicht onder de AVG (verwerkingsregister). Veel MKB's slaan deze stap over tot er een lek is.
Stap 2: 2FA op alles wat data bevat
Two-factor authentication op uw e-mail, CRM, boekhouding, klantportaal, hosting, gedeelde drives. Niet onderhandelbaar in 2026. Een gestolen wachtwoord is dan nog steeds nutteloos.
Stap 3: weet wie toegang heeft tot wat
Mag iedereen bij uw klantenlijst? Mag iedereen bij uw financiële data? Werknemers die met andere zaken bezig zijn hoeven geen toegang tot persoonsgegevens te hebben. Beperk toegang tot wat nodig is voor de functie.
Implementatie: rolgebaseerde toegang in uw systemen, niet 'iedereen-admin'. Kost een halve dag bij setup. Bespaart u uren bij audits en incidents.
Stap 4: een back-up die ook werkt
Geen back-up? Dan bent u één ransomware-aanval verwijderd van faillissement. Met back-up maar zonder testen? U denkt dat u veilig bent en komt er bij een crisis achter dat de back-up onbruikbaar is.
Goede back-up-praktijk: dagelijks automatisch, op een aparte locatie, en minimaal eens per kwartaal getest op restore. Kost circa vijftig tot tweehonderd euro per maand voor een MKB.
Stap 5: phishing-bewustwording bij uw team
Tachtig procent van datalekken begint met een werknemer die op een verkeerde link klikt. Geen wachtwoordbeleid ter wereld helpt daartegen, alleen bewustwording.
Eens per jaar een korte training (maximaal een uur). Eenmaal per kwartaal een test-phishing-mail die uw IT-partner stuurt. Wie erin trapt krijgt nog een korte herhalingsuitleg. Geen straf, wel oefening.
Stap 6: een protocol voor als het mis gaat
Datalek vermoed? U heeft 72 uur om te melden bij de Autoriteit Persoonsgegevens. In die 72 uur moet u weten wat er gelekt is, voor wie, en hoe. Zonder vooraf voorbereid protocol redt u dat niet.
Maak een eenvoudig protocol: wie wordt direct gebeld (uw IT-partner, uw advocaat), welke data moet u verzamelen, wie communiceert naar buiten. Eén A4'tje is genoeg.
Hoeveel van deze zes heeft uw bedrijf op orde?
De Quick Scan stelt enkele vragen over uw security-basis. Vijf minuten, direct een eerste indicatie van uw risico's.
Doe de ScanVeelgestelde vragen
Moet ik een Functionaris Gegevensbescherming aanstellen?
Voor de meeste MKB-bedrijven niet verplicht. Wel verplicht als kernactiviteit grootschalige verwerking van bijzondere persoonsgegevens betreft (medisch, juridisch).
Wat als het toch mis gaat?
Direct uw IT-partner bellen, niet zelf gaan rommelen. Bewijslast bewaren. Binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Communicatie naar getroffen klanten zorgvuldig opzetten.
Helpen jullie hiermee?
Wij bouwen security-basis standaard mee in al onze projecten (2FA, rolgebaseerde toegang, audit-logs, back-ups). Voor breder securitybeleid verwijzen wij naar gespecialiseerde MKB-MSP's.