Hoe vaak raken zzp’ers en kleine kantoren in Haaglanden gehackt? Mini-onderzoek en 7 fouten

Hoe vaak raken zzp’ers en kleine kantoren in Haaglanden gehackt?

Praat je met ondernemers, dan hoor je grofweg twee kampen:

• wij zijn te klein, hackers gaan achter de grote jongens aan
• ja, er is wel eens iets gebeurd, maar dat hebben we zelf opgelost

De waarheid ligt ertussenin.

Met InstantIT komen we dagelijks bij zzp’ers en kleine kantoren over de vloer in Den Haag, Rijswijk, Delft, Zoetermeer, Voorburg-Leidschendam en Westland. Vanuit die praktijk hebben we een klein mini-onderzoek gedaan in ons eigen netwerk.

In deze blog lees je:

• hoe we dat mini-onderzoek hebben gedaan
• wat ons het meest opviel
• 7 terugkerende fouten die we overal zien
• wat je vandaag al kunt rechtzetten
• wat je moet doen als je bedrijf nu (misschien) gehackt is

Dit is geen academische studie, maar een eerlijke blik vanaf de werkvloer in Haaglanden. Precies het niveau waarop jij keuzes maakt.

---

In 30 seconden: wat zagen we in Haaglanden?

Uit ons mini-onderzoek onder een kleine groep zzp’ers en kleine kantoren in Haaglanden zagen we vier dingen terugkomen:

1. Veel meer bijna-hacks dan echte hacks
   Verdachte inlogpogingen, vreemde mails van zogenaamd de bank, rare WhatsApp-berichten van collega of klant.
   Vaak wordt dat weg-gewoven als: het zal wel phishing zijn.

2. Meer serieuze incidenten dan ondernemers zelf denken
   Denk aan: mailbox overgenomen, boekhouding gegijzeld door ransomware, WhatsApp-nummer misbruikt, website of webwinkel plat door malware.

3. De meeste ondernemers proberen het eerst zelf op te lossen
   Via Google, een handige neef, of iemand op kantoor die iets met IT doet. Pas als het echt vastloopt, wordt er hulp ingeschakeld.

4. Basismaatregelen zijn vaak half geregeld of nooit getest
   2FA, back-ups, wachtwoordmanager, scheiding privé/zakelijk: het is er soms wel, maar niemand weet zeker of het goed staat.

De rode draad: ondernemers voelen zich te klein om doelwit te zijn, maar hebben wél genoeg te verliezen.

---

Hoe hebben we dit mini-onderzoek gedaan?

We hebben het bewust klein en praktisch gehouden.

• Korte vragenlijst uitgezet onder:
  • bestaande zakelijke klanten van InstantIT
  • ondernemers in ons netwerk in Haaglanden
  • een paar lokale ondernemersgroepen / LinkedIn-contacten

We vroegen onder andere:

• heb je de afgelopen 2 jaar een hack of poging tot hack meegemaakt?
• wat voor soort incident was dat?
• wat deed je als eerste toen je het ontdekte?
• gebruik je 2FA, back-ups en een wachtwoordmanager?
• heb je een vast aanspreekpunt voor IT en security?

Belangrijk:

Dit is een mini-steekproef, geen officieel landelijk onderzoek.
De uitkomst sluit wel 1-op-1 aan bij wat wij aan keukentafels en in kleine kantoren zien.

Daarom zijn de 7 fouten hieronder vooral: herkenningsmateriaal en een checklist voor jouw eigen bedrijf.

---

De 7 fouten die we steeds terugzien vóórdat het misgaat

1. Denken dat je te klein bent om doelwit te zijn

Veel ondernemers vertellen een variant van:

• wij zijn maar 3 man, dat is toch niet interessant
• hackers gaan achter grote webshops en zorginstellingen aan

In de praktijk werken de meeste aanvallen anders:

• ze zijn geautomatiseerd, met bots die miljoenen adressen scannen
• phishing wordt massaal verstuurd, niet handmatig per bedrijf
• vooral makkelijk bereikbare doelen worden geraakt, niet per se de grootste

Gevolg:

• wachtwoorden worden hergebruikt
• 2FA blijft uit, want dat voelt onhandig
• iedereen logt overal in vanaf dezelfde telefoon en laptop

Eerste stap om dit te fixen

Spreek intern uit: wij zijn wél interessant genoeg om geraakt te worden.
Alleen al dat uitgangspunt verandert hoe serieus je met wachtwoorden, 2FA en back-ups omgaat.

---

2. Eén mailbox als single point of failure

Bij veel kleine bedrijven draait bijna alles om één mailbox:

• facturen en offertes
• Belastingdienst en bank
• klantcontact
• reset-mails voor andere accounts

Als die mailbox wordt overgenomen:

• kunnen criminelen onder jouw naam facturen sturen
• kunnen wachtwoorden van andere systemen worden gereset
• kan je bedrijf feitelijk stilvallen

In het mini-onderzoek zagen we meerdere ondernemers die:

• verdachte inlogpogingen op hun hoofdmail zagen
• verzonden mails vonden die ze zelf nooit hadden geschreven

Eerste stap om dit te fixen

• maak een aparte mailbox voor administratie (bijv. administratie@)
• laat niet alle resets op één privé-adres binnenkomen
• zet 2FA aan op de belangrijkste mailboxen

---

3. Geen 2FA op e-mail en Microsoft 365

Bij de vraag naar 2FA hoorden we vaak:

• ja, op mijn bank heb ik dat
• op mail en Microsoft 365 komt nog wel

Terwijl:

• je zakelijke mailbox vaak belangrijker is dan je bankapp
• veel bedrijven volledig leunen op Microsoft 365 of Google Workspace

Zonder 2FA is één gelekt wachtwoord genoeg.

Eerste stap om dit te fixen

Zet 2FA aan op:

• zakelijke e-mail (Microsoft 365 of Google Workspace)
• accounts met geld- of klantdata (boekhouding, betaalproviders, CRM, webwinkel)

Het is even werk, maar je verlaagt in één klap een groot deel van je risico.

---

4. Geen duidelijke scheiding tussen privé en zakelijk

Veel zzp’ers:

• gebruiken één toestel voor alles
• hebben één browserprofiel voor zowel privé als werk
• gebruiken vergelijkbare of zelfs dezelfde wachtwoorden

Gevolgen die we terugkregen:

• via een privé-account lekte er iets, waarna ook zakelijke accounts risico liepen
• bij een overgenomen WhatsApp-nummer raakte zowel privé als klantcontact in paniek

Eerste stap om dit te fixen

• gebruik een aparte zakelijke mailbox
• overweeg WhatsApp Business voor klantcontact
• scheid wachtwoorden voor privé en zakelijk met een wachtwoordmanager

---

5. Back-ups die nooit getest zijn

Veel ondernemers antwoorden keurig:

• ja hoor, we maken back-ups

Maar bij doorvragen bleek:

• de back-up staat op dezelfde laptop
• niemand heeft ooit geprobeerd om iets terug te zetten
• niemand weet hoeveel data er verloren gaat bij terugzetten

Bij incidenten zien we dan:

• back-upsoftware die al maanden niet draait
• wachtwoorden van back-ups die niemand meer kent
• een back-up die óók versleuteld blijkt door ransomware

Eerste stap om dit te fixen

• zorg dat de back-up buiten het apparaat zelf staat (cloud of extern)
• plan elk kwartaal een test: haal één map of bestand terug uit de back-up
• noteer hoelang dat duurt en of het echt werkt

---

6. Geen simpel incidentplan

Een terugkerende quote uit het mini-onderzoek was:

• toen we vermoedden dat we gehackt waren, hebben we eerst drie dagen zelf lopen rommelen

Zonder plan gebeurt er meestal:

• iedereen doet tegelijk iets anders
• waardevolle logbestanden verdwijnen
• bewijs voor bank, politie of verzekering raakt kwijt
• klanten worden te laat of juist veel te chaotisch geïnformeerd

Eerste stap om dit te fixen

Maak een incidentplan op maximaal één A4:

1. wie beslist bij een vermoed incident (naam eigenaar of verantwoordelijke)
2. welke eerste stappen zetten we altijd (netwerk loskoppelen, wachtwoorden resetten)
3. wie bellen we voor hulp (bijvoorbeeld een vast nummer bij een IT-partner)
4. hoe en wanneer informeren we klanten als er echt data geraakt is

Hang dit desnoods geprint op kantoor en sla het digitaal op.

---

7. Alles hangt aan één IT-vriend zonder documentatie

We zagen vaak:

• een externe IT’er of kennis die alles heeft ingericht
• maar niemand op kantoor weet precies wat waar draait

Als die persoon niet beschikbaar is tijdens een incident, zit je vast.

Eerste stap om dit te fixen

Leg op hoofdlijnen vast:

• welke systemen jullie gebruiken (mail, boekhouding, CRM, website, opslag)
• wie de leverancier is
• waar back-ups staan
• hoe er wordt ingelogd (accounts, methodes, 2FA)

Zet dit in een beveiligde map of wachtwoordmanager. Niet perfect is beter dan niets.

---

Wat betekent dit voor jou als zzp’er of klein kantoor in Haaglanden?

Herken je meerdere punten? Dan zit je precies in de risicogroep die we in de praktijk zien:

• te klein voor een eigen IT-afdeling
• te groot om dagen zonder mail, boekhouding of dossiers te kunnen
• veel vertrouwen in een paar sleutelaccounts en devices

Je hoeft geen groot budget te hebben om je risico fors te verlagen.
Met een paar gerichte acties (2FA, back-ups testen, simpel incidentplan) win je al veel.

---

Snelle zelftest: ben jij kwetsbaarder dan je denkt?

Loop deze checklist even eerlijk door:

• heb ik 2FA aan staan op mijn zakelijke e-mail en Microsoft 365 of Google Workspace?
• weet ik zeker dat mijn back-up buiten mijn laptop of pc om bestaat én terug te zetten is?
• weet ik wie ik morgen bel als ik vermoed dat we gehackt zijn?
• zijn privé-accounts en zakelijke accounts goed gescheiden?
• weet minstens één andere persoon globaal hoe onze IT in elkaar zit?
• hebben we ergens op papier staan wat we doen bij een hack of datalek?

Heb je twee of meer keer ‘nee’ geantwoord?
Dan is dit hét moment om dingen recht te trekken, niet na een incident.

---

Wat te doen als je bedrijf nu (misschien) gehackt is

Twijfel je nu al aan iets dat je ziet? Volg dan dit soort stappen, in plaats van zelf blijven proberen:

1. Blijf rustig en stop met rommelen
   Niet overal opnieuw inloggen en niet meteen alles opnieuw installeren.

2. Ontkoppel verdachte apparaten van het netwerk
   Vooral als je rare pop-ups, ransomware-meldingen of onverklaarbare activiteit ziet.

3. Noteer wat je ziet
   Schermfoto’s, foutmeldingen, verdachte mails, tijdstippen.
   Dit helpt bij bank, politie, verzekeraar en bij het technisch onderzoek.

4. Reset cruciale wachtwoorden vanaf een schoon apparaat
   Begin met:

   • e-mail
   • bank en betaalproviders
   • boekhouding
   • belangrijke cloud- en SaaS-diensten

5. Schakel hulp in
   Heb je geen vaste IT-partner? In Haaglanden kun je ons inschakelen via de pagina Bedrijf gehackt – directe hulp in Den Haag of de overzichtspag...