Inhoud
Veel ondernemers zien cybersecurity als een technisch onderwerp dat ver van hun bedrijfsvoering staat. Tot er iets misgaat. Een datalek raakt namelijk geen techniek, maar je portemonnee, je tijd en je reputatie. In dit artikel zetten we op een rij wat een datalek een MKB-bedrijf kan kosten — en waarom de schade vaak veel groter is dan de kale herstelkosten.
1. Wat is een datalek?
Een datalek is elke situatie waarbij persoonsgegevens in verkeerde handen (kunnen) komen, verloren gaan of onbedoeld toegankelijk worden. Dat hoeft niet altijd een spectaculaire hack te zijn. Denk ook aan:
- Een gehackte of gegijzelde (ransomware) server
- Een gestolen of verloren laptop of telefoon
- Een verkeerd geadresseerde e-mail met klantgegevens
- Een verkeerd ingestelde database of cloudmap die openbaar staat
- Een gelekt wachtwoord waarmee iemand bij je mailbox komt
2. Waaruit bestaan de kosten?
De grootste misvatting is dat een datalek alleen "herstelkosten" oplevert. In werkelijkheid bestaat de rekening uit meerdere lagen, waarvan een groot deel indirect is:
| Kostenpost | Voorbeeld |
|---|---|
| Herstel & onderzoek | IT-specialisten, systemen opschonen, oorzaak achterhalen |
| Stilstand | Je kunt tijdelijk niet leveren, factureren of bestellen |
| Omzetverlies | Klanten die afhaken tijdens en na het incident |
| Reputatieschade | Verlies van vertrouwen, negatieve publiciteit |
| Juridische kosten | Advies, meldingen, eventuele claims |
| Boetes & aansprakelijkheid | AVG-boete, schadeclaims van getroffen personen |
| Losgeld (ransomware) | Betaling om systemen of data terug te krijgen |
3. Wat kost een datalek gemiddeld?
Er bestaat geen vast bedrag — de schade hangt af van het type gegevens, het aantal getroffen personen, hoelang je bedrijf platligt en of er boetes of claims volgen. Maar zelfs een "klein" incident loopt voor een MKB-bedrijf al snel op tot enkele duizenden tot tienduizenden euro's. Een ransomware-aanval met dagenlange stilstand kan veel verder oplopen.
Het venijn zit in de optelsom: de directe herstelkosten zijn vaak nog te overzien, maar de indirecte schade — omzetverlies, weglopende klanten, reputatie — vormt doorgaans het grootste deel van de rekening.
4. Voorbeeld: kostenopbouw bij een klein bedrijf
Onderstaand scenario is illustratief en bedoeld om een gevoel te geven bij de opbouw — geen echte cijfers van een klant. Stel: een webshop wordt getroffen door ransomware en ligt drie dagen plat.
- Herstel & IT-onderzoek: ± €7.500
- Omzetverlies door stilstand: ± €6.000
- Juridisch advies & melding: ± €2.000
- Boete / aansprakelijkheid (indicatief): ± €4.500
Totaal: circa €20.000 voor één incident bij een relatief klein bedrijf — nog los van de moeilijk te becijferen reputatieschade. Dit soort indicatieve berekeningen maken we bij Nembis op maat in onze financiële risicoanalyse.
5. AVG-boetes en aansprakelijkheid
Verwerk je persoonsgegevens — en dat doe je als je klanten, bestellingen of een mailinglijst hebt — dan val je onder de AVG. Bij een datalek met risico voor de betrokkenen geldt:
- Je moet het binnen 72 uur melden bij de Autoriteit Persoonsgegevens.
- In bepaalde gevallen moet je de getroffen personen zelf informeren.
- Onvoldoende beveiliging of te laat melden kan leiden tot een boete.
- Getroffen personen kunnen daarnaast schadevergoeding eisen.
Met andere woorden: naast de directe schade van het lek zelf, kan ook de nasleep je geld kosten als je beveiliging aantoonbaar tekortschoot.
6. Waarom juist het MKB kwetsbaar is
"Mijn bedrijf is te klein om interessant te zijn" is misschien wel de gevaarlijkste aanname. Juist kleine bedrijven zijn een geliefd doelwit, en wel hierom:
- Minder volwassen beveiliging — vaak geen eigen IT-securityafdeling.
- Geautomatiseerde aanvallen — veel aanvallen zoeken willekeurig naar zwakke plekken, ongeacht bedrijfsgrootte.
- Waardevolle data — ook een kleine klantenlijst is geld waard.
- Minder buffer — een groot bedrijf overleeft €20.000 schade; voor een eenmanszaak kan het bedrijfsbedreigend zijn.
7. Hoe voorkom je een datalek?
Het goede nieuws: het overgrote deel van de incidenten bij kleine bedrijven begint bij bekende, eenvoudig te dichten kwetsbaarheden — verouderde software, een vergeten subdomein, een zwak wachtwoord. Dat zijn precies de zaken die je vóór kunt zijn.
De meest praktische eerste stap is je digitale omgeving laten onderzoeken op die zwakke plekken voordat een aanvalter ze vindt. Een pre-pentest scan brengt je risico's in kaart tegen een fractie van de kosten van een datalek — en geeft je een concreet, geprioriteerd verbeterplan.
8. Veelgestelde vragen
Wat kost een datalek gemiddeld voor een MKB-bedrijf?
De kosten lopen sterk uiteen, maar voor een klein bedrijf gaat het al snel om enkele duizenden tot tienduizenden euro's. De totale schade hangt af van het type gegevens, het aantal getroffen personen, de duur van de stilstand en eventuele boetes en aansprakelijkheid.
Moet ik een datalek melden?
Een datalek met risico voor de betrokkenen moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens. In bepaalde gevallen moet je ook de getroffen personen zelf informeren. Niet of te laat melden kan een boete opleveren.
Is mijn kleine bedrijf wel een doelwit?
Ja. Juist het MKB is een aantrekkelijk doelwit, omdat de beveiliging er vaak minder volwassen is. Veel aanvallen zijn bovendien geautomatiseerd en niet specifiek op één bedrijf gericht — ze zoeken simpelweg naar zwakke plekken, waar dan ook.
Hoe voorkom ik een datalek?
De meeste datalekken bij kleine bedrijven beginnen bij bekende, eenvoudig te dichten kwetsbaarheden. Door je digitale omgeving regelmatig te laten scannen breng je die zwakke plekken in kaart voordat een aanvaller dat doet. Een pre-pentest scan is daarvoor een betaalbare eerste stap.