Wat moet ik als eerste doen als mijn bedrijf gehackt is?

Bewaar kalm en documenteer alles: noteer tijdstip, wie het ontdekte en welke systemen geraakt zijn. Isoleer getroffen systemen door de netwerkkabel eruit te trekken (niet uitzetten, dat vernietigt forensisch bewijs). Activeer je incident response team via telefoon, niet via bedrijfsmail. Wijzig alle wachtwoorden vanaf een schoon apparaat.

Moet ik een hack melden bij de Autoriteit Persoonsgegevens?

Ja, als bij het incident persoonsgegevens betrokken zijn en er een risico is voor betrokkenen. De AVG schrijft een meldtermijn voor van 72 uur na ontdekking. Bij twijfel: meld altijd. Een onterechte melding heeft geen gevolgen, maar een gemiste melding kan een boete opleveren tot 10 miljoen euro of 2% van de jaaromzet.

Wat kost een incident response plan voor een MKB-bedrijf?

Het opstellen en oefenen van een incident response plan kost tussen de 2.000 en 5.000 euro. Dat is een fractie van de gemiddelde schade bij een onvoorbereide respons (120.000+ euro). De investering omvat het samenstellen van het plan, het trainen van het team en het uitvoeren van een eerste tabletop exercise.

Moet ik losgeld betalen bij ransomware?

Het advies van het NCSC en de politie is: betaal niet. Betalen garandeert niet dat je je data terugkrijgt. Volgens het NCSC krijgt 20% van de betalers hun data niet terug en worden betalende bedrijven vaker opnieuw aangevallen. Investeer liever in goede back-ups (3-2-1 regel) zodat je kunt herstellen zonder losgeld.

Hoe vaak moet ik een incident response plan oefenen?

Minimaal twee keer per jaar met tabletop exercises. Wissel scenarios af: ransomware, datalek, website-hack en insider threat. Gooi tijdens de oefening complicaties in, zoals een onbereikbare IT-verantwoordelijke of een verouderde back-up, om het plan realistisch te testen. Werk het plan bij na elke oefening en na elk daadwerkelijk incident.

Wat is het verschil tussen een incident response plan en een disaster recovery plan?

Een incident response plan richt zich op het detecteren, inperken en verwijderen van een beveiligingsincident zoals een hack of datalek. Een disaster recovery plan richt zich op het herstellen van IT-systemen en data na een verstoring, inclusief de volgorde van herstel, backupstrategie en communicatie. Beide plannen vullen elkaar aan: het incident response plan beschrijft wat je doet tijdens het incident, het disaster recovery plan beschrijft hoe je daarna je systemen weer operationeel krijgt.

Gehackt? Incident Response Plan MKB [2026]

§01 Artikel

Je opent maandagochtend je laptop en niets werkt meer. Of je ontvangt een melding dat klantgegevens op het dark web staan. Of je website toont ineens een boodschap in een taal die je niet verstaat. Het overkomt jaarlijks duizenden MKB-bedrijven in Nederland en het eerste uur na ontdekking bepaalt vaak het verschil tussen beperkte schade en een bedrijfscatastrofe.

Een gestructureerde eerste respons loont: volgens IBM's Cost of a Data Breach Report 2025 liggen de gemiddelde wereldwijde kosten van een datalek op USD 4,44 miljoen, en organisaties met een getest incident response plan beperken die schade substantieel. Toch heeft slechts een minderheid van de Nederlandse MKB-bedrijven een actueel incident response plan klaarliggen — meld een incident direct bij het Nationaal Cyber Security Centrum (NCSC-NL) en het Digital Trust Center als je bij de rijksoverheid of MKB hoort.

De Eerste 24 Uur Na een Hack: DO en DON'T

De eerste reactie na het ontdekken van een hack is vaak paniek. Begrijpelijk, maar paniek leidt tot fouten die de schade verergeren. Hier is wat je wel en niet moet doen.

DO: Direct uitvoeren

Bewaar kalm en documenteer alles. Noteer het exacte tijdstip van ontdekking, wie het ontdekte, welke systemen geraakt lijken en wat je ziet. Deze informatie is cruciaal voor forensisch onderzoek en de eventuele melding bij de Autoriteit Persoonsgegevens.

Isoleer getroffen systemen. Koppel gehackte computers los van het netwerk, maar zet ze niet uit. Uitschakelen vernietigt vluchtig geheugen dat waardevolle forensische sporen bevat. Trek de netwerkkabel eruit of schakel WiFi uit, maar laat het systeem draaien.

Activeer je incident response team. Bel de vooraf aangewezen contactpersonen: IT-verantwoordelijke, directie, juridisch adviseur en je externe cybersecurity-partner. Gebruik telefoon of een apart communicatiekanaal, niet je bedrijfsmail die mogelijk gecompromitteerd is.

Wijzig direct alle wachtwoorden. Begin met admin-accounts, email en financiele systemen. Doe dit vanaf een schoon apparaat dat niet verbonden is met het getroffen netwerk.

DON'T: Vermijd deze fouten

Betaal geen losgeld. Bij ransomware is de verleiding groot, maar betalen garandeert niets. Het NCSC-NL adviseert expliciet om geen losgeld te betalen en verwijst slachtoffers naar het internationale initiatief No More Ransom voor gratis decryptietools. Volgens de Verizon Data Breach Investigations Report 2025 blijft ransomware een dominante aanvalsvorm bij MKB, en krijgen betalers geen garantie op dataherstel.

Communiceer niet overhaast naar buiten. Een paniekbericht aan klanten zonder volledig beeld van de situatie richt meer schade aan dan een doordachte communicatie 24 uur later.

Vernietig geen bewijsmateriaal. Formatteer geen schijven, verwijder geen logbestanden en installeer geen systemen opnieuw voordat forensisch onderzoek is afgerond. Je hebt dit bewijs nodig voor de politie, je verzekering en de Autoriteit Persoonsgegevens.

Ga niet zelf op onderzoek uit als je geen expert bent. Goedbedoelde pogingen om de aanvaller te traceren of systemen te herstellen kunnen sporen uitwissen en de situatie verergeren.

Het 6-Fasen Incident Response Plan

Een professioneel incident response plan volgt zes fasen, gebaseerd op het NIST SP 800-61r2 Computer Security Incident Handling Guide aangevuld met NIST SP 800-184 Guide for Cybersecurity Event Recovery. Ook ISO/IEC 27035 en de CIS Controls v8 (Incident Response IR.1–IR.11) hanteren dezelfde kernfasen. Elk MKB-bedrijf kan dit framework toepassen, ongeacht omvang of technische kennis.

Fase 1: Voorbereiding

Voorbereiding is de belangrijkste fase en de enige die je uitvoert voordat er iets misgaat. Zonder voorbereiding sta je bij een incident met lege handen.

Stel een incident response team samen. Voor een MKB-bedrijf bestaat dit minimaal uit:

Incident Manager (vaak de directeur-eigenaar): neemt beslissingen en coordineert
IT-verantwoordelijke (intern of extern): technische analyse en herstel
Communicatieverantwoordelijke: informeert klanten, medewerkers en pers
Juridisch adviseur: AVG-meldplicht, aangifte, verzekeringsclaim

Documenteer je IT-omgeving. Maak een actueel overzicht van alle systemen, software, netwerktopologie, back-up locaties en externe dienstverleners. Bij een incident heb je geen tijd om dit uit te zoeken.

Leg contactgegevens vast. Maak een fysieke (geprinte) contactlijst met telefoonnummers van alle teamleden, je IT-partner, je internetprovider, je hostingpartij, de politie (cybercrime meldpunt) en de Autoriteit Persoonsgegevens. Digitale lijsten zijn nutteloos als je systemen platliggen.

Sluit contracten af met specialisten. Maak vooraf afspraken met een cybersecurity-specialist voor forensisch onderzoek. Bij een incident wil je niet eerst drie offertes vergelijken. Lees meer in onze complete cybersecurity gids voor MKB.

Fase 2: Detectie en Analyse

Hoe sneller je een incident detecteert, hoe kleiner de schade. Volgens IBM's Cost of a Data Breach Report 2025 bedraagt de gemiddelde dwell time — de periode tussen inbraak en identificatie — wereldwijd honderden dagen. Een langere detectietijd correleert direct met hogere schadekosten; organisaties die een datalek binnen 200 dagen identificeren en bevatten, besparen miljoenen ten opzichte van organisaties met langere cycli.

Herken de signalen. Veelvoorkomende indicatoren zijn:

Onverklaarbare vertraging van systemen
Onbekende bestanden of processen op servers
Medewerkers die ineens uit hun accounts zijn vergrendeld
Ongebruikelijke uitgaande datastromen (met name buiten kantooruren)
Meldingen van klanten over verdachte emails die van jouw domein lijken te komen
Versleutelde bestanden met een losgeldboodschap

Beoordeel de ernst. Niet elk incident is een crisis. Gebruik een eenvoudige classificatie:

Laag: Phishing-email ontvangen maar niet geopend, mislukte inlogpoging
Midden: Malware gedetecteerd op een werkstation, verdachte inlogactiviteit
Hoog: Ransomware actief, data-exfiltratie bevestigd, meerdere systemen getroffen
Kritiek: Bedrijfsbrede uitval, klantdata gelekt, financiele systemen gecompromitteerd

Fase 3: Inperking (Containment)

Het doel van inperking is simpel: voorkom dat de schade zich uitbreidt. Dit is het moment waarop snelheid telt.

Kortetermijn-inperking (eerste uren):

Isoleer getroffen systemen van het netwerk
Blokkeer gecompromitteerde accounts
Schakel verdachte services en poorten uit op de firewall
Activeer extra monitoring op niet-getroffen systemen

Langetermijn-inperking (eerste dagen):

Zet schone vervangende systemen op zodat medewerkers kunnen doorwerken
Implementeer extra beveiligingsmaatregelen (verscherpte firewall-regels, extra MFA)
Monitor al het netwerkverkeer op verdachte activiteit

Maak forensische kopieeen. Voordat je iets herstelt, maak je exacte kopieeen (images) van getroffen systemen. Deze zijn nodig voor onderzoek, politie en je verzekering.

Fase 4: Eradicatie

Nu de schade is ingeperkt, verwijder je de oorzaak van het incident volledig uit je omgeving.

Identificeer de aanvalsvector. Hoe is de aanvaller binnengekomen? Was het een phishing-email, een kwetsbare applicatie, een gestolen wachtwoord of een onbeveiligde poort? Zonder deze kennis loop je het risico dat de aanvaller via dezelfde weg terugkeert.

Verwijder alle kwaadaardige software. Scan alle systemen, niet alleen de direct getroffen. Aanvallers plaatsen vaak backdoors op meerdere systemen om opnieuw toegang te krijgen.

Dicht de kwetsbaarheid. Patch de software die misbruikt is, wijzig alle wachtwoorden (niet alleen de gecompromitteerde) en pas firewall-regels aan.

Fase 5: Herstel

Herstel is het moment waarop je systemen weer in productie brengt. Doe dit gefaseerd en gecontroleerd.

Herstel vanuit schone back-ups. Gebruik back-ups waarvan je zeker weet dat ze niet gecompromitteerd zijn. Een solide backup en disaster recovery plan is hierbij essentieel. Controleer de back-up datum: als de aanvaller al maanden in je systeem zat, kunnen recente back-ups ook besmet zijn.

Breng systemen stap voor stap terug. Begin met de meest kritieke systemen (email, boekhouding, klantensystemen) en monitor elk systeem intensief na herstel. Zoek naar signalen dat de aanvaller nog steeds aanwezig is.

Test alles voordat je live gaat. Controleer of alle systemen correct functioneren, of data-integriteit intact is en of beveiligingsmaatregelen actief zijn.

Communiceer naar medewerkers. Informeer je team wanneer ze welke systemen weer kunnen gebruiken en welke extra voorzorgsmaatregelen gelden (bijvoorbeeld verplichte wachtwoordwijziging).

Fase 6: Evaluatie (Lessons Learned)

De evaluatiefase wordt het vaakst overgeslagen, maar is essentieel om herhaling te voorkomen.

Organiseer een evaluatiesessie. Plan binnen twee weken na het incident een sessie met alle betrokkenen. Bespreek zonder schuldvraag:

Wat is er precies gebeurd? (tijdlijn)
Wat ging goed in onze respons?
Wat ging fout of te langzaam?
Welke informatie misten we?
Wat moeten we anders doen?

Werk je incident response plan bij. Verwerk de lessen in een bijgewerkt plan. Pas procedures, contactlijsten en technische maatregelen aan op basis van wat je geleerd hebt.

Meldplicht AVG: Je Hebt 72 Uur

Als bij een cyberincident persoonsgegevens betrokken zijn, ben je wettelijk verplicht dit te melden bij de Autoriteit Persoonsgegevens (AP). Artikel 33 AVG schrijft een meldtermijn voor van 72 uur nadat je van het datalek kennis hebt genomen; de AP hanteert deze termijn via het Meldloket Datalekken. Voor bedrijven die onder de NIS2-richtlijn (in NL geïmplementeerd via de Cyberbeveiligingswet) vallen, gelden daarbovenop aparte termijnen voor melding aan de sectorale toezichthouder (vroegtijdige waarschuwing binnen 24 uur, formele melding binnen 72 uur en eindrapportage binnen 1 maand).

Wanneer moet je melden? Bij elk datalek dat een risico vormt voor de rechten en vrijheden van betrokkenen. Concreet: als namen, emailadressen, financiele gegevens, medische informatie of andere persoonsgegevens mogelijk ingezien, gestolen of verwijderd zijn.

Wat moet je melden?

Aard van het datalek (wat is er gebeurd?)
Categorieen en geschat aantal betrokkenen
Categorieen en geschat aantal persoonsgegevensrecords
Contactgegevens van je functionaris gegevensbescherming of contactpersoon
Waarschijnlijke gevolgen van het datalek
Genomen en voorgestelde maatregelen

Wanneer moet je ook betrokkenen informeren? Als het datalek een hoog risico vormt voor betrokkenen. Denk aan: gelekte wachtwoorden, financiele gegevens, BSN-nummers of medische data. Informeer betrokkenen dan direct, in begrijpelijke taal, over wat er is gebeurd en wat zij zelf kunnen doen.

Boetes bij niet-melden: Op grond van Artikel 83 AVG kan de Autoriteit Persoonsgegevens boetes opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet bij het niet of te laat melden van een datalek (eerste boetecategorie). Voor ernstigere overtredingen — bijvoorbeeld verwerking zonder grondslag — loopt dit op tot 20 miljoen euro of 4%. In de praktijk legt de AP regelmatig boetes op aan bedrijven die een datalek niet, te laat of onvolledig melden. Financiële instellingen met meldplicht onder DORA Verordening 2022/2554 hebben daarnaast een aparte meldroute richting DNB/AFM.

Communicatieplan: Klanten, Medewerkers en Pers

Communicatie tijdens een cyberincident is minstens zo belangrijk als de technische respons. Slechte communicatie vernietigt vertrouwen, goede communicatie kan het versterken.

Intern (medewerkers):

Informeer medewerkers snel via een apart kanaal (niet via de gecompromitteerde systemen)
Wees eerlijk over wat je wel en niet weet
Geef duidelijke instructies: welke systemen mogen ze gebruiken, wat moeten ze vermijden?
Wijs medewerkers erop dat ze geen informatie delen op social media of met de pers

Extern (klanten):

Communiceer proactief zodra je een helder beeld hebt, wacht niet tot klanten zelf ontdekken dat er iets mis is
Beschrijf wat er is gebeurd, welke gegevens mogelijk geraakt zijn en wat je doet om de situatie te verhelpen
Geef klanten concrete stappen die zij zelf kunnen nemen (wachtwoord wijzigen, bankafschriften controleren)
Bied een aanspreekpunt voor vragen

Pers:

Bereid een persverklaring voor, ook als je niet verwacht dat de pers belt
Wijs een woordvoerder aan, laat niet iedereen met de pers praten
Wees feitelijk en transparant, geen loze beloftes of ontkenningen

Veelvoorkomende Incidenten en Specifieke Aanpak

Ransomware

Bij ransomware versleutelt een aanvaller je bestanden en eist losgeld voor de decryptiesleutel. Dit is het meest voorkomende type aanval op MKB-bedrijven.

Specifieke stappen:

Isoleer getroffen systemen onmiddellijk om verspreiding te voorkomen
Identificeer het type ransomware (screenshot van de losgeldboodschap helpt)
Check No More Ransom (initiatief van Europol en NCSC-partners) voor beschikbare decryptietools
Doe online aangifte bij de Politie cybercrime-meldpunt — verplicht voor verzekering en forensisch traject
Herstel vanuit offline back-ups conform de 3-2-1 back-up strategie

Data-exfiltratie

Bij data-exfiltratie steelt een aanvaller gegevens uit je systemen, vaak zonder dat je het direct merkt.

Specifieke stappen:

Analyseer welke data precies is buitgemaakt (logbestanden, netwerkmonitoring)
Beoordeel of het om persoonsgegevens gaat (AVG-meldplicht)
Controleer of de aanvaller nog steeds toegang heeft
Monitor het dark web op verschijning van je bedrijfsdata

Website Defacement

Bij defacement wijzigt een aanvaller de inhoud van je website, vaak met een politieke of provocerende boodschap.

Specifieke stappen:

Haal de website offline (maintenance-pagina)
Analyseer hoe de aanvaller toegang kreeg (CMS-kwetsbaarheid, gestolen FTP-wachtwoord, plugin-exploit)
Herstel de website vanuit een schone back-up
Patch de kwetsbaarheid voordat je weer live gaat

Forensisch Onderzoek: Wat en Waarom

Forensisch onderzoek na een cyberincident is geen luxe maar een noodzaak. Het beantwoordt drie kritieke vragen: hoe is de aanvaller binnengekomen, wat heeft de aanvaller precies gedaan en is de aanvaller volledig verwijderd?

Bewaar het volgende voor forensisch onderzoek:

Logbestanden van firewalls, servers en applicaties
Forensische images van getroffen systemen (bit-voor-bit kopie)
Netwerkverkeerlogs (met name uitgaand verkeer)
Email-headers van verdachte berichten
Screenshots van alles wat je ziet

Wanneer een externe forensisch specialist inschakelen? Bij elk incident van classificatie "hoog" of "kritiek". De kosten liggen tussen 5.000 en 25.000 euro, maar dit is een fractie van de potentiele schade als de aanvaller terugkeert via een niet-ontdekte backdoor.

Datalek Beoordelen: Het Stappenplan

Niet elk cyberincident is automatisch een datalek. Gebruik dit stappenplan om te beoordelen of je te maken hebt met een meldplichtig datalek:

Zijn er persoonsgegevens betrokken? Zo nee, dan geen meldplicht AVG (maar mogelijk wel andere verplichtingen)
Zijn de gegevens versleuteld? Als gestolen data goed versleuteld was, is er mogelijk geen risico voor betrokkenen
Welk type persoonsgegevens betreft het? Naam en emailadres zijn minder gevoelig dan financiele of medische gegevens
Hoeveel personen zijn getroffen? Hoe meer betrokkenen, hoe hoger het risico
Kunnen betrokkenen schade lijden? Denk aan identiteitsfraude, financieel verlies of reputatieschade

Bij twijfel: meld altijd. Een onterechte melding heeft geen gevolgen, een gemiste melding kan een boete opleveren.

Oefenen met Tabletop Exercises

Een incident response plan dat je nooit oefent, werkt niet onder druk. Tabletop exercises zijn gesimuleerde cyberincidenten waarbij je team het plan doorloopt zonder daadwerkelijke systemen aan te raken.

Hoe organiseer je een tabletop exercise?

Kies een scenario. Bijvoorbeeld: "Het is maandagochtend 08:30. De boekhouding meldt dat alle bestanden op de server versleuteld zijn en er een losgeldboodschap op het scherm staat."
Verdeel rollen. Elke deelnemer speelt zijn eigen rol uit het incident response plan
Loop het scenario stap voor stap door. Wie doet wat, in welke volgorde, met welke middelen?
Gooi complicaties in. De IT-verantwoordelijke is op vakantie. De back-up blijkt twee weken oud. Een journalist belt.
Evalueer. Wat ging goed, wat ging fout, waar zitten hiaten in het plan?

Frequentie: Minimaal twee keer per jaar. Wissel scenarios af: ransomware, datalekken, website-hack, insider threat.

Template: Incident Response Plan voor MKB

Gebruik dit sjabloon als startpunt voor je eigen incident response plan.

1. Incident Response Team

Rol	Naam	Telefoon	Backup
Incident Manager	[naam]	[nummer]	[naam]
IT-verantwoordelijke	[naam]	[nummer]	[naam]
Communicatie	[naam]	[nummer]	[naam]
Juridisch	[naam]	[nummer]	[naam]

2. Externe Contacten

Partij	Contactpersoon	Telefoon
IT-security partner	[bedrijf]	[nummer]
Hostingpartij	[bedrijf]	[nummer]
Internetprovider	[bedrijf]	[nummer]
Politie (cybercrime)	Meldpunt	0900-8844
Autoriteit Persoonsgegevens	Meldloket	070-8888 500
Cyberverzekering	[verzekeraar]	[nummer]

3. Eerste Respons Checklist

Tijdstip en ontdekker vastleggen
Getroffen systemen isoleren (netwerkkabel eruit, niet uitzetten)
Incident response team activeren via telefoon
Forensische screenshots maken
Wachtwoorden wijzigen vanaf een schoon apparaat
Ernst classificeren (laag/midden/hoog/kritiek)
Bij persoonsgegevens: 72-uurs meldplicht AVG activeren

4. Communicatie Templates

Bereid vooraf conceptteksten voor: een interne medewerkerscommunicatie, een klantnotificatie en een persverklaring. Bij een incident pas je de details aan in plaats van alles vanaf nul te schrijven.

De Kosten van Niet-Voorbereid Zijn

De investering in een incident response plan is minimaal vergeleken met de kosten van een onvoorbereide respons:

Kostenpost	Zonder plan	Met plan
Gemiddelde downtime	21 dagen	5 dagen
Forensisch onderzoek	15.000 - 30.000 euro	5.000 - 15.000 euro
Dataherstel	10.000 - 50.000 euro	2.000 - 10.000 euro
Boete AP (te laat melden)	50.000 - 500.000 euro	0 euro
Klantverloop	15-25%	3-5%
Totale gemiddelde schade	120.000+ euro	25.000 euro

De investering in het opstellen en oefenen van een incident response plan bedraagt 2.000 tot 5.000 euro. Dat is een fractie van het verschil in schade.

Samenvatting: Voorbereiding Is Alles

Een cyberincident is geen kwestie van of, maar van wanneer. Het verschil tussen een beheersbare verstoring en een bedrijfscatastrofe zit in voorbereiding. Stel vandaag nog je incident response team samen, schrijf je plan uit, oefen het en houd het actueel.

Begin met drie concrete stappen: (1) print de contactlijst van je incident response team en hang deze op een zichtbare plek, (2) plan je eerste tabletop exercise binnen 30 dagen en (3) controleer of je back-ups daadwerkelijk te herstellen zijn. Zorg daarnaast dat je de cybersecurity basismaatregelen op orde hebt om de kans op een incident te verkleinen.

Wil je hulp bij het opstellen van een incident response plan of een security-assessment van je huidige situatie? CleverTech helpt MKB-bedrijven met cybersecurity, AI-beveiligingsoplossingen en incidentvoorbereiding. Lees ook onze complete cybersecurity gids voor een uitgebreid stappenplan.

Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

§01 Artikel

De Eerste 24 Uur Na een Hack: DO en DON'T

De eerste reactie na het ontdekken van een hack is vaak paniek. Begrijpelijk, maar paniek leidt tot fouten die de schade verergeren. Hier is wat je wel en niet moet doen.

DO: Direct uitvoeren

Wijzig direct alle wachtwoorden. Begin met admin-accounts, email en financiele systemen. Doe dit vanaf een schoon apparaat dat niet verbonden is met het getroffen netwerk.

DON'T: Vermijd deze fouten

Communiceer niet overhaast naar buiten. Een paniekbericht aan klanten zonder volledig beeld van de situatie richt meer schade aan dan een doordachte communicatie 24 uur later.

Ga niet zelf op onderzoek uit als je geen expert bent. Goedbedoelde pogingen om de aanvaller te traceren of systemen te herstellen kunnen sporen uitwissen en de situatie verergeren.

Het 6-Fasen Incident Response Plan

Fase 1: Voorbereiding

Voorbereiding is de belangrijkste fase en de enige die je uitvoert voordat er iets misgaat. Zonder voorbereiding sta je bij een incident met lege handen.

Stel een incident response team samen. Voor een MKB-bedrijf bestaat dit minimaal uit:

Incident Manager (vaak de directeur-eigenaar): neemt beslissingen en coordineert
IT-verantwoordelijke (intern of extern): technische analyse en herstel
Communicatieverantwoordelijke: informeert klanten, medewerkers en pers
Juridisch adviseur: AVG-meldplicht, aangifte, verzekeringsclaim

Fase 2: Detectie en Analyse

Herken de signalen. Veelvoorkomende indicatoren zijn:

Onverklaarbare vertraging van systemen
Onbekende bestanden of processen op servers
Medewerkers die ineens uit hun accounts zijn vergrendeld
Ongebruikelijke uitgaande datastromen (met name buiten kantooruren)
Meldingen van klanten over verdachte emails die van jouw domein lijken te komen
Versleutelde bestanden met een losgeldboodschap

Beoordeel de ernst. Niet elk incident is een crisis. Gebruik een eenvoudige classificatie:

Laag: Phishing-email ontvangen maar niet geopend, mislukte inlogpoging
Midden: Malware gedetecteerd op een werkstation, verdachte inlogactiviteit
Hoog: Ransomware actief, data-exfiltratie bevestigd, meerdere systemen getroffen
Kritiek: Bedrijfsbrede uitval, klantdata gelekt, financiele systemen gecompromitteerd

Fase 3: Inperking (Containment)

Het doel van inperking is simpel: voorkom dat de schade zich uitbreidt. Dit is het moment waarop snelheid telt.

Kortetermijn-inperking (eerste uren):

Isoleer getroffen systemen van het netwerk
Blokkeer gecompromitteerde accounts
Schakel verdachte services en poorten uit op de firewall
Activeer extra monitoring op niet-getroffen systemen

Langetermijn-inperking (eerste dagen):

Zet schone vervangende systemen op zodat medewerkers kunnen doorwerken
Implementeer extra beveiligingsmaatregelen (verscherpte firewall-regels, extra MFA)
Monitor al het netwerkverkeer op verdachte activiteit

Maak forensische kopieeen. Voordat je iets herstelt, maak je exacte kopieeen (images) van getroffen systemen. Deze zijn nodig voor onderzoek, politie en je verzekering.

Fase 4: Eradicatie

Nu de schade is ingeperkt, verwijder je de oorzaak van het incident volledig uit je omgeving.

Verwijder alle kwaadaardige software. Scan alle systemen, niet alleen de direct getroffen. Aanvallers plaatsen vaak backdoors op meerdere systemen om opnieuw toegang te krijgen.

Dicht de kwetsbaarheid. Patch de software die misbruikt is, wijzig alle wachtwoorden (niet alleen de gecompromitteerde) en pas firewall-regels aan.

Fase 5: Herstel

Herstel is het moment waarop je systemen weer in productie brengt. Doe dit gefaseerd en gecontroleerd.

Test alles voordat je live gaat. Controleer of alle systemen correct functioneren, of data-integriteit intact is en of beveiligingsmaatregelen actief zijn.

Communiceer naar medewerkers. Informeer je team wanneer ze welke systemen weer kunnen gebruiken en welke extra voorzorgsmaatregelen gelden (bijvoorbeeld verplichte wachtwoordwijziging).

Fase 6: Evaluatie (Lessons Learned)

De evaluatiefase wordt het vaakst overgeslagen, maar is essentieel om herhaling te voorkomen.

Organiseer een evaluatiesessie. Plan binnen twee weken na het incident een sessie met alle betrokkenen. Bespreek zonder schuldvraag:

Wat is er precies gebeurd? (tijdlijn)
Wat ging goed in onze respons?
Wat ging fout of te langzaam?
Welke informatie misten we?
Wat moeten we anders doen?

Werk je incident response plan bij. Verwerk de lessen in een bijgewerkt plan. Pas procedures, contactlijsten en technische maatregelen aan op basis van wat je geleerd hebt.

Meldplicht AVG: Je Hebt 72 Uur

Wat moet je melden?

Aard van het datalek (wat is er gebeurd?)
Categorieen en geschat aantal betrokkenen
Categorieen en geschat aantal persoonsgegevensrecords
Contactgegevens van je functionaris gegevensbescherming of contactpersoon
Waarschijnlijke gevolgen van het datalek
Genomen en voorgestelde maatregelen

Communicatieplan: Klanten, Medewerkers en Pers

Communicatie tijdens een cyberincident is minstens zo belangrijk als de technische respons. Slechte communicatie vernietigt vertrouwen, goede communicatie kan het versterken.

Intern (medewerkers):

Informeer medewerkers snel via een apart kanaal (niet via de gecompromitteerde systemen)
Wees eerlijk over wat je wel en niet weet
Geef duidelijke instructies: welke systemen mogen ze gebruiken, wat moeten ze vermijden?
Wijs medewerkers erop dat ze geen informatie delen op social media of met de pers

Extern (klanten):

Communiceer proactief zodra je een helder beeld hebt, wacht niet tot klanten zelf ontdekken dat er iets mis is
Beschrijf wat er is gebeurd, welke gegevens mogelijk geraakt zijn en wat je doet om de situatie te verhelpen
Geef klanten concrete stappen die zij zelf kunnen nemen (wachtwoord wijzigen, bankafschriften controleren)
Bied een aanspreekpunt voor vragen

Pers:

Bereid een persverklaring voor, ook als je niet verwacht dat de pers belt
Wijs een woordvoerder aan, laat niet iedereen met de pers praten
Wees feitelijk en transparant, geen loze beloftes of ontkenningen

Veelvoorkomende Incidenten en Specifieke Aanpak

Ransomware

Bij ransomware versleutelt een aanvaller je bestanden en eist losgeld voor de decryptiesleutel. Dit is het meest voorkomende type aanval op MKB-bedrijven.

Specifieke stappen:

Isoleer getroffen systemen onmiddellijk om verspreiding te voorkomen
Identificeer het type ransomware (screenshot van de losgeldboodschap helpt)
Check No More Ransom (initiatief van Europol en NCSC-partners) voor beschikbare decryptietools
Doe online aangifte bij de Politie cybercrime-meldpunt — verplicht voor verzekering en forensisch traject
Herstel vanuit offline back-ups conform de 3-2-1 back-up strategie

Data-exfiltratie

Bij data-exfiltratie steelt een aanvaller gegevens uit je systemen, vaak zonder dat je het direct merkt.

Specifieke stappen:

Analyseer welke data precies is buitgemaakt (logbestanden, netwerkmonitoring)
Beoordeel of het om persoonsgegevens gaat (AVG-meldplicht)
Controleer of de aanvaller nog steeds toegang heeft
Monitor het dark web op verschijning van je bedrijfsdata

Website Defacement

Bij defacement wijzigt een aanvaller de inhoud van je website, vaak met een politieke of provocerende boodschap.

Specifieke stappen:

Haal de website offline (maintenance-pagina)
Analyseer hoe de aanvaller toegang kreeg (CMS-kwetsbaarheid, gestolen FTP-wachtwoord, plugin-exploit)
Herstel de website vanuit een schone back-up
Patch de kwetsbaarheid voordat je weer live gaat

Forensisch Onderzoek: Wat en Waarom

Bewaar het volgende voor forensisch onderzoek:

Logbestanden van firewalls, servers en applicaties
Forensische images van getroffen systemen (bit-voor-bit kopie)
Netwerkverkeerlogs (met name uitgaand verkeer)
Email-headers van verdachte berichten
Screenshots van alles wat je ziet

Datalek Beoordelen: Het Stappenplan

Niet elk cyberincident is automatisch een datalek. Gebruik dit stappenplan om te beoordelen of je te maken hebt met een meldplichtig datalek:

Zijn er persoonsgegevens betrokken? Zo nee, dan geen meldplicht AVG (maar mogelijk wel andere verplichtingen)
Zijn de gegevens versleuteld? Als gestolen data goed versleuteld was, is er mogelijk geen risico voor betrokkenen
Welk type persoonsgegevens betreft het? Naam en emailadres zijn minder gevoelig dan financiele of medische gegevens
Hoeveel personen zijn getroffen? Hoe meer betrokkenen, hoe hoger het risico
Kunnen betrokkenen schade lijden? Denk aan identiteitsfraude, financieel verlies of reputatieschade

Bij twijfel: meld altijd. Een onterechte melding heeft geen gevolgen, een gemiste melding kan een boete opleveren.

Oefenen met Tabletop Exercises

Hoe organiseer je een tabletop exercise?

Kies een scenario. Bijvoorbeeld: "Het is maandagochtend 08:30. De boekhouding meldt dat alle bestanden op de server versleuteld zijn en er een losgeldboodschap op het scherm staat."
Verdeel rollen. Elke deelnemer speelt zijn eigen rol uit het incident response plan
Loop het scenario stap voor stap door. Wie doet wat, in welke volgorde, met welke middelen?
Gooi complicaties in. De IT-verantwoordelijke is op vakantie. De back-up blijkt twee weken oud. Een journalist belt.
Evalueer. Wat ging goed, wat ging fout, waar zitten hiaten in het plan?

Frequentie: Minimaal twee keer per jaar. Wissel scenarios af: ransomware, datalekken, website-hack, insider threat.

Template: Incident Response Plan voor MKB

Gebruik dit sjabloon als startpunt voor je eigen incident response plan.

1. Incident Response Team

Rol	Naam	Telefoon	Backup
Incident Manager	[naam]	[nummer]	[naam]
IT-verantwoordelijke	[naam]	[nummer]	[naam]
Communicatie	[naam]	[nummer]	[naam]
Juridisch	[naam]	[nummer]	[naam]

2. Externe Contacten

Partij	Contactpersoon	Telefoon
IT-security partner	[bedrijf]	[nummer]
Hostingpartij	[bedrijf]	[nummer]
Internetprovider	[bedrijf]	[nummer]
Politie (cybercrime)	Meldpunt	0900-8844
Autoriteit Persoonsgegevens	Meldloket	070-8888 500
Cyberverzekering	[verzekeraar]	[nummer]

3. Eerste Respons Checklist

Tijdstip en ontdekker vastleggen
Getroffen systemen isoleren (netwerkkabel eruit, niet uitzetten)
Incident response team activeren via telefoon
Forensische screenshots maken
Wachtwoorden wijzigen vanaf een schoon apparaat
Ernst classificeren (laag/midden/hoog/kritiek)
Bij persoonsgegevens: 72-uurs meldplicht AVG activeren

4. Communicatie Templates

Bereid vooraf conceptteksten voor: een interne medewerkerscommunicatie, een klantnotificatie en een persverklaring. Bij een incident pas je de details aan in plaats van alles vanaf nul te schrijven.

De Kosten van Niet-Voorbereid Zijn

De investering in een incident response plan is minimaal vergeleken met de kosten van een onvoorbereide respons:

Kostenpost	Zonder plan	Met plan
Gemiddelde downtime	21 dagen	5 dagen
Forensisch onderzoek	15.000 - 30.000 euro	5.000 - 15.000 euro
Dataherstel	10.000 - 50.000 euro	2.000 - 10.000 euro
Boete AP (te laat melden)	50.000 - 500.000 euro	0 euro
Klantverloop	15-25%	3-5%
Totale gemiddelde schade	120.000+ euro	25.000 euro

De investering in het opstellen en oefenen van een incident response plan bedraagt 2.000 tot 5.000 euro. Dat is een fractie van het verschil in schade.

Samenvatting: Voorbereiding Is Alles

Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

Incident Response Plan: Gehackt, Wat Nu?

Benieuwd hoe dit werkt bij jou?

Incident Response Plan: Gehackt, Wat Nu?

Benieuwd hoe dit werkt bij jou?