Auteur: VIOMS

  • Microsoft Teams als telefonieoplossing: hoe werkt dat?

    Microsoft Teams als telefonieoplossing: hoe werkt dat?

    Microsoft Teams is voor veel organisaties al het centrale platform voor videovergaderen en samenwerken. Maar Teams biedt meer dan chat en videocalls: met Microsoft Teams Phone (voorheen Teams Calling) kun je het platform ook gebruiken als volledige vervanging van je traditionele telefoonsysteem. Je belt dan gewoon via Teams — zowel intern als naar externe nummers.

    In dit artikel leggen we uit hoe Teams als telefonieoplossing werkt, welke opties je hebt, voor wie het geschikt is en wat de voor- en nadelen zijn.

    Wat is Microsoft Teams Phone?

    Microsoft Teams Phone is de telefoniemodule binnen Microsoft Teams waarmee je:

    • Externe telefoongesprekken kunt voeren en ontvangen via het PSTN (het reguliere telefoonnetwerk)
    • Een zakelijk telefoonnummer kunt koppelen aan je Teams-account
    • Functionaliteit krijgt zoals doorschakelen, wachtrijen, automatische beantwoording en voicemail
    • Kunt bellen via de Teams-app op laptop, smartphone of een gecertificeerde VoIP-telefoon

    De functionaliteit vereist een Microsoft Teams Phone-licentie (als add-on of onderdeel van Microsoft 365 Business Voice) en een koppeling met het telefoonnetwerk.

    Calling Plans

    Microsoft levert de PSTN-verbinding rechtstreeks. Eenvoudig, maar minder flexibel en duurder dan Operator Connect.

    Operator Connect

    Een gecertificeerde telecomprovider levert de verbinding via een directe koppeling met Teams. Meer controle en doorgaans lagere kosten.

    Direct Routing

    Verbind Teams via een eigen SBC (Session Border Controller) met elke gewenste telefonieprovider. Maximale flexibiliteit voor complexe omgevingen.

    De drie connectie-opties uitgelegd

    1. Microsoft Calling Plans

    Bij Calling Plans koopt je telefooncapaciteit direct bij Microsoft. Dit is de eenvoudigste optie: alles is in één hand en wordt beheerd via het Microsoft 365-beheercentrum. Het nadeel is dat Calling Plans duurder zijn dan marktpartijen en dat je afhankelijk bent van Microsoft voor nummers en tarieven.

    2. Operator Connect

    Operator Connect koppelt een gecertificeerde telecomprovider rechtstreeks aan je Teams-omgeving via een door Microsoft goedgekeurd platform. Nummerbeheer en verbindingsbeheer verloopt via de Teamsbeheerconsole. Voordelen: doorgaans lagere gesprekskosten dan Calling Plans, behoud van bestaande nummers en meer flexibiliteit in tarieven.

    3. Direct Routing

    Direct Routing verbindt Teams via een Session Border Controller (SBC) — een soort slimme gateway — met het telefoonnetwerk van jouw keuze. Dit geeft maximale flexibiliteit: je kunt elke telecomprovider gebruiken, bestaande SIP-trunken behouden en complexe routeringsregels instellen. Direct Routing vereist meer technische expertise en is vooral geschikt voor grotere of complexere omgevingen.

    Voordelen van Teams als telefonieoplossing

    • Één platform voor alles: chat, video, samenwerken én bellen in één applicatie — minder app-wissel, minder beheerslast.
    • Overal bereikbaar: medewerkers bellen via hun laptop of smartphone, op kantoor of thuis, zonder verschil.
    • Rijke functionaliteit: wachtrijen, IVR, doorschakelen, voicemail naar e-mail, gespreksdelegatie.
    • Integraties: naadloze integratie met Microsoft 365-applicaties zoals Outlook, SharePoint en Dynamics.
    • Centrale beheerconsole: nummers, belrouting en rapportages beheer je vanuit het Microsoft 365-beheercentrum.
    • Schaalbaar: nieuwe gebruikers toevoegen is een kwestie van licentie toewijzen.

    Nadelen en aandachtspunten

    • Internetafhankelijkheid: zonder werkende internetverbinding werkt ook de telefonie niet.
    • Licentiekosten: Teams Phone vereist een aparte add-on licentie bovenop Microsoft 365.
    • Noodoproepen: bij het gebruik van softphones is de locatiebepaling voor noodoproepen minder precies dan bij traditionele lijnen.
    • Implementatiecomplexiteit: Direct Routing en geavanceerde belplannen vereisen IT-expertise.
    • Niet voor iedereen: organisaties zonder Microsoft 365-omgeving hebben minder voordeel van de integratie.

    Voor wie is Teams Phone geschikt?

    Teams Phone is een uitstekende keuze als:

    • Je al Microsoft 365 gebruikt en wilt consolideren naar één platform
    • Medewerkers hybride of volledig op afstand werken
    • Je een moderne vervanging zoekt voor een verouderde telefooncentrale
    • Je kosten wilt besparen door meerdere communicatietools samen te voegen

    Teams Phone is minder geschikt voor organisaties die geen Microsoft 365-gebruikers zijn, omgevingen met zeer complexe telefonievereisten die beter worden bediend door gespecialiseerde telefoniesoftware, of locaties met een onbetrouwbare internetverbinding.

    Praktisch: hoe verloopt de overstap?

    • Inventariseer de huidige situatie: hoeveel lijnen, nummers, functies gebruik je nu?
    • Kies een connectiemethode: Calling Plans, Operator Connect of Direct Routing — afhankelijk van grootte en complexiteit.
    • Porteer bestaande nummers: bestaande telefoonnummers kun je in de meeste gevallen meenemen.
    • Configureer belplannen: stel wachtrijen, IVR en doorschakeling in via de Teams-beheersconsole.
    • Train medewerkers: de overstap naar een softphone vraagt wennen — plan een korte training.

    Conclusie

    Microsoft Teams als telefonieoplossing is voor veel Microsoft 365-organisaties een logische en kostenefficiënte keuze. Het consolideert communicatie in één platform, maakt hybride werken eenvoudiger en biedt professionele telefooniefunctionaliteit zonder de beheerslast van een traditionele telefooncentrale.

    1. Teams Phone maakt van Teams een volwaardig telefoonsysteem voor extern bellen.
    2. Drie connectie-opties: Calling Plans (eenvoudig), Operator Connect (flexibel) of Direct Routing (maximale controle).
    3. Grote voordelen bij organisaties die al Microsoft 365 gebruiken.
    4. Internetafhankelijkheid is het voornaamste aandachtspunt.
    5. Overstap vereist planning: nummers porteren, belplannen configureren en medewerkers trainen.
  • VoIP vs. traditionele telefonie: de voor- en nadelen

    VoIP vs. traditionele telefonie: de voor- en nadelen

    Telefonie is voor veel bedrijven een onmisbaar communicatiemiddel. Toch is de manier waarop we bellen de afgelopen decennia fundamenteel veranderd. Traditionele telefoonlijnen — gebaseerd op het analoge PSTN-netwerk of ISDN — maken steeds meer plaats voor VoIP (Voice over IP): telefoneren via het internet. Maar wat zijn de daadwerkelijke verschillen, en welke oplossing past het beste bij jouw bedrijf?

    In dit artikel vergelijken we VoIP en traditionele telefonie op de belangrijkste criteria: kosten, betrouwbaarheid, functies, schaalbaarheid en beheer.

    Wat is traditionele telefonie?

    Traditionele telefonie maakt gebruik van het PSTN (Public Switched Telephone Network): een analoog of digitaal netwerk van vaste telefoonlijnen. In Nederland was ISDN (Integrated Services Digital Network) lange tijd de standaard voor zakelijke verbindingen. KPN heeft ISDN inmiddels afgebouwd; organisaties die nog gebruikmaken van traditionele lijnen moeten overstappen.

    Wat is VoIP?

    VoIP staat voor Voice over Internet Protocol. Gesprekken worden omgezet naar digitale datapakketjes die via het internet worden verstuurd, net zoals e-mail of een videostream. VoIP kan werken via een softwareapplicatie op een computer of smartphone, via een speciale VoIP-telefoon of via een cloudgebaseerde telefooncentrale (hosted PBX).

    Lagere kosten

    VoIP-gesprekken zijn vrijwel altijd goedkoper dan traditionele telefonie, met name voor nationale en internationale gesprekken.

    Flexibele schaalbaarheid

    Lijnen toevoegen of verwijderen doe je met een paar klikken, zonder fysieke aanpassingen aan de infrastructuur.

    Rijkere functies

    Voicemail naar e-mail, videobellen, wachtrijbeheer, CRM-integraties — VoIP biedt standaard functionaliteit die bij traditionele systemen duur of onmogelijk was.

    VoIP vs. traditionele telefonie: de vergelijking

    Kosten

    Traditionele telefonie heeft relatief hoge vaste kosten: lijnaansluitingen, hardware (telefooncentrale, toestellen) en gesprekskosten per minuut. VoIP werkt doorgaans op abonnementsbasis met lage of geen belkosten, zeker voor binnenlandse gesprekken. De initiële investering in VoIP is lager omdat hardware vaak vervangen wordt door software.

    Gesprekskwaliteit

    Vroeger was VoIP berucht om slechte geluidskwaliteit. Modern VoIP — zeker op een stabiele, voldoende breedbandverbinding — biedt echter HD-geluidskwaliteit die traditionele telefonie overtreft. De kwaliteit is wel afhankelijk van de internetverbinding; bij een slecht netwerk kunnen vertragingen en onderbrekingen optreden.

    Betrouwbaarheid

    Traditionele telefonie werkt onafhankelijk van het internet — ook bij een stroomstoring (via POTS) of netwerkstoring. VoIP is afhankelijk van een werkende internetverbinding en stroom. Bij cloudgebaseerde VoIP-oplossingen biedt de provider echter zelf hoge beschikbaarheid via redundante datacenters.

    Schaalbaarheid

    Traditionele telefooninstallaties zijn lastig en duur op te schalen: elke nieuwe lijn vereist fysieke bekabeling en hardware-aanpassingen. Met VoIP voeg je in minuten nieuwe gebruikers of locaties toe via een beheerpanel — ideaal voor groeiende organisaties of bedrijven met meerdere vestigingen.

    Functies

    VoIP biedt standaard uitgebreide functionaliteit:

    • Voicemail naar e-mail of app
    • Gespreksdoorschakeling naar mobiel of thuiswerker
    • Automatische wachtrijen en IVR (keuzemenu’s)
    • Videobellen en scherm delen
    • Integratie met CRM- en helpdesksoftware
    • Gespreksopnames en rapportages

    Deze functionaliteit is bij traditionele systemen doorgaans alleen beschikbaar via dure PBX-hardware of add-ons.

    Beheer en onderhoud

    Traditionele telefonie vereist een fysieke telefooncentrale die op locatie wordt onderhouden. Updates, storingen en uitbreidingen vragen een monteur ter plaatse. Cloudgebaseerde VoIP wordt beheerd via een webbeheeromgeving; onderhoud en updates worden door de provider uitgevoerd.

    Wanneer kies je voor welke oplossing?

    Kies traditionele telefonie als:

    • Jouw internetverbinding onbetrouwbaar of traag is
    • Je al een recente investering hebt gedaan in telefoonhardware
    • Internetonafhankelijkheid absoluut vereist is (denk aan bepaalde hulpdienstlocaties)

    Kies VoIP als:

    • Je wilt besparen op telefonie- en beheerkosten
    • Medewerkers op meerdere locaties of thuis werken
    • Je wilt kunnen schalen zonder fysieke infrastructuuraanpassingen
    • Je integratiegmogelijkheden wilt met andere zakelijke software
    • Je toe wilt naar een moderne, uniforme communicatieoplossing

    Veelgemaakte fouten bij de overstap naar VoIP

    • Onvoldoende internetbandbreedte: VoIP vereist een stabiele verbinding — meet van tevoren of je netwerk toereikend is.
    • Geen QoS ingesteld: zonder Quality of Service-instellingen op je netwerk concurreert telefonie met ander dataverkeer.
    • Nummers niet overgezet: vergeet je bestaande nummers te porteren naar de nieuwe VoIP-aanbieder.
    • Geen noodplan: zorg voor een alternatief (doorschakeling naar mobiel) bij een internetstoring.

    Conclusie

    De overstap van traditionele telefonie naar VoIP is voor de meeste organisaties niet langer een kwestie van of, maar van wanneer. Met de afbouw van ISDN in Nederland is VoIP de toekomst van zakelijke telefonie. Voor het MKB biedt het lagere kosten, meer flexibiliteit en rijkere functionaliteit.

    1. VoIP is goedkoper in gebruik en beheer dan traditionele telefonie.
    2. De gesprekskwaliteit van modern VoIP is uitstekend bij een goede internetverbinding.
    3. Schaalbaarheid is een groot voordeel: meer lijnen toevoegen is kinderspel.
    4. Rijke functies zoals voicemail-naar-e-mail en CRM-integratie zijn standaard.
    5. Afhankelijkheid van internet is het voornaamste aandachtspunt — zorg voor een noodplan.
  • BYOD beleid: risico’s en best practices

    BYOD beleid: risico’s en best practices

    Medewerkers die hun eigen smartphone, laptop of tablet gebruiken voor werkdoeleinden — het klinkt praktisch en kostenbesparend. Maar Bring Your Own Device (BYOD) brengt ook serieuze beveiligingsrisico’s met zich mee die je als organisatie niet kunt negeren. Zonder een duidelijk beleid loop je het risico op datalekken, infecties met malware en compliance-problemen.

    Toch hoeft BYOD geen probleem te zijn. Met de juiste aanpak combineer je de flexibiliteit die medewerkers willen met de beveiliging die jouw bedrijf nodig heeft. In dit artikel lees je wat BYOD precies inhoudt, welke risico’s er kleven aan een ongecontroleerde BYOD-omgeving en hoe je een effectief beleid opstelt.

    Wat is BYOD?

    BYOD staat voor Bring Your Own Device: medewerkers gebruiken hun persoonlijke apparaten — smartphones, laptops, tablets — voor werkgerelateerde taken. Ze lezen e-mail, werken in bedrijfssystemen of slaan documenten op via hun eigen hardware.

    BYOD is populair omdat het medewerkers flexibiliteit geeft en organisaties hardware-kosten bespaart. Maar het creëert ook een grijs gebied tussen privé en zakelijk gebruik, met alle beveiligingsuitdagingen van dien.

    Beveiligingsrisico’s

    Onbeheerde apparaten zijn een open deur voor malware, datalekken en ongeautoriseerde toegang tot bedrijfsdata.

    Compliance-uitdagingen

    AVG, NIS2 en sectorspecifieke regelgeving stellen eisen aan de beveiliging van data, ook op privéapparaten.

    Beheersbaarheid

    Zonder Mobile Device Management (MDM) heb je als IT-afdeling geen zicht op wat er op die apparaten gebeurt.

    De belangrijkste risico’s van BYOD

    1. Datalekken bij apparaatverlies of -diefstal

    Een gestolen smartphone zonder schermbeveiliging of encryptie geeft directe toegang tot zakelijke e-mail, bestanden en applicaties. Dit is niet alleen een beveiligingsprobleem — het kan ook een meldingsplichtig datalek zijn onder de AVG.

    2. Onbeveiligde netwerken

    Medewerkers verbinden hun apparaten vaak met openbare wifi-netwerken: in cafés, hotels of op luchthavens. Zonder VPN of Zero Trust-beveiliging kunnen aanvallers meelezen met het dataverkeer en inloggegevens onderscheppen.

    3. Verouderde software en ontbrekende updates

    Zakelijke apparaten worden centraal beheerd en voorzien van patches. Privéapparaten niet. Een medewerker die maanden achterloopt met updates draagt een apparaat met bekende kwetsbaarheden het bedrijfsnetwerk in.

    4. Schaduw-IT en ongeautoriseerde apps

    Op privéapparaten installeren medewerkers apps die niet door de IT-afdeling zijn goed- of afgekeurd. Zo belandt bedrijfsdata in consumentendiensten zonder zakelijke privacywaarborgen, of worden gevoelige bestanden gedeeld via niet-goedgekeurde kanalen.

    5. Problemen bij uitdiensttreding

    Wanneer een medewerker het bedrijf verlaat, moet je er zeker van zijn dat alle bedrijfsdata van zijn of haar persoonlijk apparaat is verwijderd. Zonder MDM is dat nauwelijks afdwingbaar — en kan data lang na vertrek nog toegankelijk zijn.

    Best practices voor een effectief BYOD-beleid

    Stel een duidelijk BYOD-beleid op

    De basis is een schriftelijk beleid dat medewerkers ondertekenen. Dit document beschrijft welke apparaten zijn toegestaan, welke apps verboden zijn, welke data beschikbaar is via privéapparaten en wat de consequenties zijn bij misbruik of verlies.

    Implementeer Mobile Device Management (MDM)

    MDM-oplossingen zoals Microsoft Intune stellen je in staat om zakelijke data op privéapparaten te beheren en te scheiden van persoonlijke inhoud. Via een MDM kun je op afstand de zakelijke container wissen, beleid afdwingen en apps centraal beheren — zonder toegang tot persoonlijke foto’s of berichten van de medewerker.

    Verplicht multi-factor authenticatie (MFA)

    Zelfs als een inlogcombinatie wordt gestolen via phishing of via een onbeveiligd netwerk, voorkomt MFA dat aanvallers daadwerkelijk toegang krijgen. MFA is een minimumvereiste voor elk apparaat dat toegang heeft tot bedrijfssystemen.

    Gebruik een Zero Trust-benadering

    Zero Trust gaat uit van het principe “vertrouw nooit, verifieer altijd”. Elk apparaat — ook een bekende laptop — moet zich bij iedere sessie opnieuw authenticeren en bewijzen dat het voldoet aan de beveiligingseisen. Dit beperkt de schade als een apparaat gecompromitteerd raakt.

    Vereis encryptie en schermbeveiliging

    Apparaten die toegang hebben tot bedrijfsdata moeten versleuteld zijn en beveiligd zijn met een pincode, wachtwoord of biometrie. Dit is de minimale drempel bij diefstal of verlies.

    Train medewerkers regelmatig

    Technische maatregelen helpen, maar medewerkers zijn de eerste verdedigingslinie. Zorg voor periodieke bewustwordingstraining over phishing, veilig wifi-gebruik, het herkennen van verdachte apps en de juiste omgang met zakelijke data op privéapparaten.

    BYOD vs. COPE vs. CYOD: wat past bij jouw organisatie?

    BYOD is niet de enige optie. Er zijn meerdere modellen voor apparaatbeheer, elk met een andere verhouding tussen vrijheid en controle:

    • BYOD (Bring Your Own Device): medewerker is eigenaar, organisatie stelt beveiligingseisen.
    • COPE (Corporate-Owned, Personally Enabled): bedrijf is eigenaar, medewerker mag het apparaat ook privé gebruiken.
    • CYOD (Choose Your Own Device): medewerker kiest uit een goedgekeurde lijst, bedrijf koopt en beheert het apparaat.
    • COBO (Corporate-Owned, Business Only): zakelijk apparaat, uitsluitend voor werkdoeleinden.

    Voor kleinere organisaties met beperkt IT-budget is BYOD met MDM vaak de meest pragmatische keuze. Grotere of meer risicovolle omgevingen kiezen vaker voor COPE of CYOD.

    Veelgemaakte fouten bij BYOD-beleid

    • Geen schriftelijk beleid: mondeling afspraken maken werkt niet als er iets misgaat.
    • MDM overgeslagen: zonder technisch beheer heb je geen grip op wat er op apparaten gebeurt.
    • MFA niet verplicht: één wachtwoord is onvoldoende bescherming voor zakelijke systemen.
    • Uitdiensttreding niet geregeld: zorg voor een vast offboarding-proces waarbij zakelijke data altijd wordt gewist.
    • Medewerkers niet getraind: beleid zonder bewustwording werkt niet.

    Hoe begin je met een BYOD-beleid?

    Stel jezelf eerst de volgende vragen:

    • Welke medewerkers gebruiken al privéapparaten voor werk — met of zonder officieel beleid?
    • Welke bedrijfsdata is bereikbaar via deze apparaten?
    • Hebben wij een MDM-oplossing of is dat nog niet geïmplementeerd?
    • Is er een offboarding-procedure die ook apparaatbeheer omvat?
    • Voldoen wij aan de AVG-vereisten voor de verwerking van data op privéapparaten?

    Op basis van de antwoorden kun je prioriteren: start met een beleidsdocument, implementeer MFA en MDM, en zorg daarna voor bewustwordingstraining.

    Conclusie

    BYOD is een realiteit in de moderne werkomgeving. Medewerkers gebruiken hun eigen apparaten — of je nu een beleid hebt of niet. De vraag is dus niet of je BYOD toestaat, maar hoe je het veilig inricht.

    1. Stel een schriftelijk BYOD-beleid op dat medewerkers ondertekenen.
    2. Implementeer MDM om zakelijke data te scheiden en te beheren.
    3. Verplicht MFA voor toegang tot alle bedrijfssystemen.
    4. Pas Zero Trust toe als beveiligingsfilosofie voor apparaat- en netwerktoegang.
    5. Vereis encryptie en schermbeveiliging op alle toegestane apparaten.
    6. Train medewerkers regelmatig over veilig gebruik van privéapparaten.
    7. Regel uitdiensttreding zodat zakelijke data altijd wordt gewist bij vertrek.
  • On-premise vs. cloud vs. hybride: wat past bij jouw bedrijf?

    On-premise vs. cloud vs. hybride: wat past bij jouw bedrijf?

    Wanneer organisaties nadenken over hun IT-infrastructuur, staan ze vroeg of laat voor een fundamentele keuze: zetten we onze systemen on-premise neer, migreren we naar de cloud, of kiezen we voor een hybride combinatie? Het antwoord is niet voor iedereen hetzelfde — en hangt af van factoren als budget, veiligheid, schaalbaarheid en de aard van je bedrijfsprocessen.

    In dit artikel leggen we de drie modellen naast elkaar, bespreken we de voor- en nadelen van elk en helpen we je bepalen welke aanpak het beste past bij jouw organisatie.

    De drie modellen uitgelegd

    On-Premise

    Servers en systemen staan fysiek bij jou op locatie. Volledige controle, maar ook volledige verantwoordelijkheid voor beheer en beveiliging.

    Cloud

    Systemen draaien bij een externe cloudprovider. Flexibel, schaalbaar en weinig eigen hardware — maar afhankelijk van internet en derde partijen.

    Hybride

    Een combinatie van on-premise en cloud. Kritieke systemen blijven lokaal, terwijl andere workloads naar de cloud worden gebracht.

    On-Premise: volledige controle, hoge verantwoordelijkheid

    Bij een on-premise infrastructuur staan de servers fysiek op jouw locatie of in een eigen datacenter. Jij beheert de hardware, software, beveiliging en updates. Dit model bood decennialang de standaard voor zakelijke IT.

    Voordelen van on-premise

    • Volledige controle: je bepaalt zelf welke software draait, wanneer updates worden doorgevoerd en wie toegang heeft.
    • Geen internetafhankelijkheid: systemen draaien ook bij internetstoringen.
    • Geschikt voor strenge compliance: sommige sectoren (zorg, finance, overheid) vereisen dat data fysiek op eigen locatie blijft.
    • Vaste kosten: na aanschaf zijn de lopende kosten voorspelbaar.

    Nadelen van on-premise

    • Hoge initiële investering: servers, licenties en infrastructuur vergen een forse kapitaaluitgave.
    • Beperkte schaalbaarheid: uitbreiding betekent nieuwe hardware aanschaffen.
    • Eigen beheer en expertise nodig: patching, monitoring en beveiliging zijn volledig jouw verantwoordelijkheid.
    • Verouderde hardware: hardware moet periodiek worden vervangen — een onzichtbare kostenpost.

    Cloud: flexibiliteit en schaalbaarheid op aanvraag

    Bij cloud-computing draaien applicaties en data op servers van een externe provider, zoals Microsoft Azure, Amazon Web Services (AWS) of Google Cloud. Je betaalt voor wat je gebruikt, en de provider beheert de onderliggende infrastructuur.

    Voordelen van cloud

    • Schaalbaar op aanvraag: meer rekenkracht of opslag activeer je in minuten.
    • Lage startskosten: geen hardware-investering, je betaalt per gebruik (OpEx in plaats van CapEx).
    • Toegankelijk overal: medewerkers werken vanaf elke locatie met een internetverbinding.
    • Automatische updates: de provider zorgt voor patches en onderhoud.
    • Hoge beschikbaarheid: grote cloudproviders garanderen 99,9%+ uptime via geografisch verspreide datacenters.

    Nadelen van cloud

    • Internetafhankelijkheid: bij een storing in de verbinding ligt de toegang plat.
    • Vendor lock-in: overstappen naar een andere provider kan complex en kostbaar zijn.
    • Lopende kosten: op de lange termijn kunnen cloudkosten oplopen, zeker bij ongecontroleerd gebruik.
    • Minder directe controle: je bent afhankelijk van de beveiliging en het beleid van de provider.

    Hybride: het beste van twee werelden

    Een hybride infrastructuur combineert on-premise systemen met cloudoplossingen. Kritieke of gevoelige data blijft on-premise, terwijl minder gevoelige workloads, samenwerking en schaalbaarheid worden afgenomen vanuit de cloud.

    Een typisch voorbeeld: een organisatie bewaart patiëntgegevens op eigen servers voor compliance, maar gebruikt Microsoft 365 voor e-mail en samenwerking, en Azure voor back-ups en uitwijkscenario’s.

    Voordelen van hybride

    • Flexibiliteit: kies per workload de meest geschikte omgeving.
    • Gefaseerde migratie: je hoeft niet alles tegelijk te migreren.
    • Compliance en controle: gevoelige data blijft lokaal, overige diensten profiteren van cloudvoordelen.
    • Uitwijkoptie: de cloud fungeert als back-uplocatie bij on-premise storingen.

    Nadelen van hybride

    • Complexer beheer: twee omgevingen vereisen integratie, monitoring en expertise in beide.
    • Hogere beheerskosten: je betaalt zowel voor on-premise hardware als cloudabonnementen.
    • Beveiligingsuitdagingen: meer koppelingen betekent meer aanvalsoppervlak.

    Vergelijking op een rij

    CriteriumOn-PremiseCloudHybride
    Initiële kostenHoogLaagGemiddeld
    SchaalbaarheidBeperktHoogHoog
    ControleVolledigBeperktGedeeld
    BeheerslastHoogLaagGemiddeld
    InternetafhankelijkheidGeenHoogGedeeltelijk
    Compliance-geschiktheidHoogAfhankelijk van providerHoog

    Welk model past bij jouw organisatie?

    • Kies on-premise als je in een zwaar gereguleerde sector werkt, internetonafhankelijkheid essentieel is of als je al een grote hardware-investering hebt gedaan die nog niet is afgeschreven.
    • Kies cloud als je snel wil schalen, een klein IT-team hebt, medewerkers flexibel werken en je geen grote kapitaalinvestering wil doen.
    • Kies hybride als je gevoelige data lokaal wil houden maar toch wil profiteren van clouddiensten voor samenwerking, schaalbaarheid of back-up.

    Veelgemaakte fouten bij de keuze

    • Alles tegelijk migreren: een gefaseerde aanpak reduceert risico’s aanzienlijk.
    • Cloudkosten onderschatten: zonder kostenbeleid lopen cloudabonnementen snel op.
    • Beveiliging als afterthought: elk model vereist een eigen beveiligingsstrategie.
    • Geen exitstrategie: denk vooraf na over hoe je overstapt als de gekozen oplossing niet meer voldoet.

    Conclusie

    De keuze tussen on-premise, cloud en hybride is strategisch en heeft gevolgen voor kosten, beveiliging en wendbaarheid op de lange termijn.

    1. On-premise biedt maximale controle, maar vraagt hoge investeringen en eigen beheerscapaciteit.
    2. Cloud is flexibel en schaalbaar, maar vraagt vertrouwen in externe partijen en bewust kostenbeheer.
    3. Hybride combineert beide, maar vereist meer beheerscomplexiteit.
    4. Compliance-eisen bepalen mede welke data waar mag staan.
    5. Een gefaseerde aanpak is bijna altijd beter dan een big bang-migratie.
  • AVG en IT: wat moet je als MKB geregeld hebben?

    AVG en IT: wat moet je als MKB geregeld hebben?

    De Algemene Verordening Gegevensbescherming (AVG) is al jaren van kracht, maar nog steeds worstelen veel MKB-bedrijven met de vraag: wat moet ik nu precies geregeld hebben? De AVG is van toepassing op iedere organisatie die persoonsgegevens verwerkt van personen in de EU — en dat is vrijwel elk bedrijf, van ZZP’er tot multinational.

    In dit artikel richten we ons specifiek op de IT-kant van de AVG: welke technische en organisatorische maatregelen zijn vereist, wat zijn de meest voorkomende fouten en hoe begin je met een gestructureerde aanpak?

    Wat is de AVG en waarom is IT zo belangrijk?

    De AVG (in het Engels: GDPR) legt vast hoe organisaties persoonsgegevens mogen verzamelen, opslaan, gebruiken en beveiligen. IT speelt hierin een centrale rol: de meeste persoonsgegevens worden digitaal verwerkt, opgeslagen in databases, verstuurd via e-mail of bewaard in cloudomgevingen.

    Bij een datalek — zoals een hack, een verloren laptop of een verkeerd verstuurde e-mail — ben je als organisatie verplicht dit te melden bij de Autoriteit Persoonsgegevens (AP) en mogelijk ook aan de betrokkenen zelf. De gevolgen kunnen variëren van reputatieschade tot boetes van maximaal €20 miljoen of 4% van de wereldwijde jaaromzet.

    Verwerkingsregister

    Een overzicht van alle persoonsgegevens die je verwerkt, met welk doel, op welke basis en hoe lang je ze bewaart.

    Technische beveiliging

    Encryptie, toegangsbeheer, MFA en regelmatige back-ups zijn verplichte technische maatregelen onder de AVG.

    Verwerkersovereenkomst

    Met elke externe partij die persoonsgegevens voor jou verwerkt (zoals een cloudprovider of HR-systeem) moet je een verwerkersovereenkomst afsluiten.

    De 7 belangrijkste IT-verplichtingen onder de AVG

    1. Verwerkingsregister bijhouden

    Je moet documenteren welke persoonsgegevens je verwerkt, voor welk doel, op welke rechtmatige grondslag (toestemming, contract, wettelijke verplichting, etc.), hoe lang je ze bewaart en wie er toegang toe heeft. Dit is de basis van AVG-compliance en tegelijkertijd het vertrekpunt voor een goed IT-beleid.

    2. Passende technische beveiliging

    De AVG vereist “passende technische maatregelen” — wat dat precies betekent hangt af van de aard van de gegevens. Voor een gemiddeld MKB-bedrijf omvat dit minimaal:

    • Encryptie van gevoelige data, zowel in opslag als tijdens transport (HTTPS, versleutelde e-mail)
    • Toegangsbeheer op basis van het least privilege-principe: medewerkers krijgen alleen toegang tot de data die ze nodig hebben
    • Multi-factor authenticatie (MFA) voor alle systemen met persoonsgegevens
    • Regelmatige back-ups en een herstelstrategie bij dataverlies
    • Patchbeheer: systemen up-to-date houden om bekende kwetsbaarheden te dichten

    3. Verwerkersovereenkomsten afsluiten

    Elke externe partij die persoonsgegevens namens jou verwerkt — een cloudprovider, een HR-softwareleverancier, een IT-beheerder — is een “verwerker”. Met elke verwerker moet je een verwerkersovereenkomst (DPA) afsluiten. Deze overeenkomst legt vast hoe de verwerker met de gegevens omgaat en welke beveiligingsmaatregelen hij treft.

    4. Datalekken melden

    Bij een datalek — onbedoelde of onrechtmatige toegang tot, vernietiging, verlies of openbaarmaking van persoonsgegevens — moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als het lek hoog risico oplevert voor de betrokkenen, moet je ook hen informeren. Een intern meldingsprotocol is essentieel om deze termijn te kunnen halen.

    5. Rechten van betrokkenen faciliteren

    Mensen hebben het recht om te weten welke gegevens je van hen hebt, om die te laten corrigeren of verwijderen (het “recht op vergetelheid”) en om bezwaar te maken tegen bepaalde verwerkingen. Je IT-systemen moeten zo zijn ingericht dat je aan deze verzoeken kunt voldoen — inclusief het daadwerkelijk verwijderen van data uit back-ups en archiven.

    6. Privacy by Design en Privacy by Default

    Bij de ontwikkeling of aanschaf van nieuwe systemen moet privacy standaard zijn ingebouwd. Dit betekent: verzamel niet meer gegevens dan noodzakelijk (dataminimalisatie), sla ze niet langer op dan nodig en maak de meest privacyvriendelijke instelling de standaard.

    7. Bewustwording en training

    De meeste datalekken ontstaan door menselijke fouten: een phishingmail, een verkeerd verstuurde e-mail of een verloren USB-stick. Periodieke training van medewerkers over gegevensbescherming is niet alleen verstandig — het is ook een AVG-vereiste.

    Veelgemaakte IT-fouten onder de AVG

    • Geen verwerkersovereenkomst met cloudproviders: veel organisaties gebruiken cloudtools zonder een DPA af te sluiten.
    • Data onbeperkt bewaren: gegevens worden standaard nooit verwijderd, terwijl de AVG verplicht tot een bewaartermijn.
    • Geen MFA op e-mail en bedrijfssystemen: e-mail is de grootste bron van datalekken bij MKB.
    • Geen back-up van persoonsgegevens: verlies van persoonsgegevens door systeemuitval is ook een datalek.
    • Geen meldingsprotocol: zonder vooraf nagedacht proces mis je de 72-uurstermijn bij een incident.

    Hoe begin je met AVG-compliance in IT?

    Een pragmatische aanpak voor het MKB:

    • Start met een verwerkingsregister: breng in kaart welke systemen persoonsgegevens verwerken.
    • Controleer je verwerkersovereenkomsten: heb je er een met elke externe dienst die data verwerkt?
    • Implementeer MFA en toegangsbeheer: dit is zowel een AVG-vereiste als goede beveiligingspraktijk.
    • Stel een intern meldingsprotocol op: wie beslist of iets een datalek is, en wie meldt het bij de AP?
    • Train je medewerkers: minimaal eenmaal per jaar over herkennen en melden van datalekken.

    Conclusie

    AVG-compliance in IT hoeft niet overweldigend te zijn. Door systematisch te werken — van verwerkingsregister tot technische beveiliging en bewustwording — bouw je een solide basis die zowel juridisch houdbaar is als jouw bedrijf en klanten beschermt.

    1. Verwerkingsregister — documenteer welke gegevens je verwerkt, waarom en hoe lang.
    2. Technische beveiliging — encryptie, MFA, toegangsbeheer en patchbeheer zijn verplicht.
    3. Verwerkersovereenkomsten — sluit DPA’s af met alle externe verwerkers.
    4. Datalekprotocol — zorg dat je de 72-uurstermijn kunt halen.
    5. Rechten van betrokkenen — systemen moeten verwijdering en export van data ondersteunen.
    6. Training — menselijke fouten zijn de voornaamste oorzaak van datalekken.
  • Wat betekent de NIS2-richtlijn voor jouw bedrijf?

    Wat betekent de NIS2-richtlijn voor jouw bedrijf?

    De NIS2-richtlijn is de meest ingrijpende Europese cybersecuritywetgeving van de afgelopen jaren. Waar de oorspronkelijke NIS-richtlijn uit 2016 nog beperkt was in reikwijdte, verplicht NIS2 een veel grotere groep organisaties tot concrete maatregelen op het gebied van cyberbeveiliging en incidentrapportage. Veel MKB-bedrijven weten nog niet of — en in hoeverre — zij onder de richtlijn vallen.

    In dit artikel leggen we uit wat NIS2 inhoudt, voor wie het geldt, wat de verplichtingen zijn en hoe je als organisatie aan de slag kunt.

    Wat is de NIS2-richtlijn?

    NIS2 staat voor Network and Information Security Directive 2. Het is een Europese richtlijn die lidstaten verplicht om wetgeving in te voeren die essentiële en belangrijke organisaties dwingt tot een minimumniveau van cyberbeveiliging. In Nederland wordt NIS2 omgezet via de Cyberbeveiligingswet (Cbw).

    Risicomaatregelen

    Organisaties moeten passende technische en organisatorische maatregelen treffen om cyberrisico’s te beheersen.

    Meldplicht

    Significante incidenten moeten binnen 24 uur gemeld worden, gevolgd door een volledig rapport binnen 72 uur.

    Bestuurlijke aansprakelijkheid

    Directie en bestuur zijn persoonlijk verantwoordelijk voor naleving. Bij ernstige overtredingen kunnen bestuurders tijdelijk worden geschorst.

    Voor wie geldt NIS2?

    NIS2 maakt onderscheid tussen twee categorieën organisaties:

    Essentiële entiteiten

    Grote organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur en financiën. Deze organisaties vallen onder het strengste toezicht.

    Belangrijke entiteiten

    Middelgrote organisaties in een bredere groep sectoren, waaronder post en koeriersdiensten, afvalverwerking, voedselproductie, chemische industrie, onderzoek en digitale aanbieders.

    Geldt NIS2 ook voor het MKB?

    In principe richt NIS2 zich op middelgrote en grote organisaties (meer dan 50 medewerkers of meer dan €10 miljoen omzet). Kleine bedrijven vallen normaal gesproken buiten de directe scope. Maar als jij leverancier bent van een essentiële of belangrijke entiteit, kun je indirect verplicht worden om aan NIS2-eisen te voldoen via contractuele afspraken in de toeleveringsketen.

    Wat zijn de verplichtingen onder NIS2?

    1. Risicobeheer en beveiligingsmaatregelen

    Organisaties moeten een risicogebaseerde aanpak hanteren en passende maatregelen treffen, waaronder:

    • Beleid voor risicoanalyse en beveiliging van informatiesystemen
    • Incidentbeheer en -respons
    • Bedrijfscontinuïteit en crisismanagement
    • Beveiliging van de toeleveringsketen
    • Beheer van toegangsrechten en authenticatie (inclusief MFA)
    • Gebruik van encryptie en cryptografie
    • Personeelsbeveiliging en bewustwording

    2. Meldplicht bij incidenten

    • Binnen 24 uur: eerste melding (early warning) bij de toezichthouder.
    • Binnen 72 uur: een volledig incidentrapport met eerste analyse.
    • Binnen een maand: een eindrapport met oorzaak, impact en genomen maatregelen.

    3. Bestuurlijke verantwoordelijkheid

    Directie en bestuur zijn persoonlijk aansprakelijk voor het cybersecurity-beleid. Zij kunnen bij nalatigheid persoonlijk worden aangesproken en tijdelijk worden geschorst als de organisatie structureel in gebreke blijft.

    4. Toezicht en sancties

    Bij overtredingen kunnen boetes worden opgelegd van maximaal €10 miljoen of 2% van de wereldwijde jaaromzet (essentieel) of €7 miljoen of 1,4% omzet (belangrijk).

    Hoe bereid je jouw organisatie voor op NIS2?

    Stap 1: Bepaal of je onder NIS2 valt

    Controleer of jouw organisatie in een van de aangewezen sectoren actief is en voldoet aan de drempelwaarden. Kijk ook of jij leverancier bent van organisaties die onder NIS2 vallen.

    Stap 2: Voer een nulmeting uit

    Breng in kaart wat je huidige beveiligingsniveau is ten opzichte van de NIS2-vereisten. Welke maatregelen zijn al getroffen? Waar zitten de grootste lacunes?

    Stap 3: Stel een verbeterplan op

    Prioriteer de maatregelen op basis van risico en implementeerbaarheid. Denk aan: MFA invoeren, back-upbeleid aanscherpen, een incidentresponsplan opstellen en medewerkers trainen.

    Stap 4: Betrek het bestuur

    NIS2 vereist dat het bestuur actief betrokken is bij cybersecurity. Zorg dat directie de risico’s begrijpt, het beleid goedkeurt en periodiek wordt geïnformeerd over de status.

    Stap 5: Documenteer alles

    Toezichthouders verwachten aantoonbare naleving. Leg beleid, risicoanalyses, maatregelen en trainingen schriftelijk vast zodat je bij controle kunt aantonen wat je gedaan hebt.

    Veelgemaakte fouten bij NIS2-voorbereiding

    • Wachten tot de wet van kracht is: de vereiste maatregelen kosten tijd — begin nu.
    • Alleen technische maatregelen nemen: NIS2 vraagt ook om processen, beleid en bewustwording.
    • Bestuur niet betrekken: cybersecurity is een bestuursvraagstuk geworden.
    • Toeleveranciers vergeten: beveiliging van de supply chain is een expliciete vereiste.
    • Geen incidentresponsplan: zonder plan verlies je kostbare uren bij een incident.

    Conclusie

    NIS2 is geen administratieve formaliteit. Het is een fundamentele verschuiving in hoe Europa cybersecurity reguleert, met directe gevolgen voor bestuurders die de verantwoordelijkheid niet langer kunnen delegeren.

    1. Bepaal je scope — val je onder NIS2 als essentiële of belangrijke entiteit?
    2. Voer een nulmeting uit — waar sta je nu ten opzichte van de vereisten?
    3. Stel een verbeterplan op met prioriteit voor de grootste risico’s.
    4. Betrek het bestuur — zij zijn persoonlijk aansprakelijk.
    5. Documenteer alles om bij toezicht aantoonbaar compliant te zijn.
    6. Oefen je incidentrespons zodat je de meldtermijnen kunt halen.
  • Microsoft 365 Ransomware Recovery: wat te doen na een aanval

    Microsoft 365 Ransomware Recovery: wat te doen na een aanval

    Een ransomware-aanval op je Microsoft 365-omgeving is geen IT-incident dat je “even oplost”. Het raakt e-mail, bestanden, Teams, identiteiten, endpoints, compliance en vaak ook het vertrouwen van klanten en medewerkers. De belangrijkste vraag is niet alleen: hoe krijgen we onze data terug? Maar vooral: hoe herstellen we veilig zonder de aanvaller opnieuw binnen te laten?

    In deze blog lees je welke stappen je moet nemen na een ransomware-aanval op Microsoft 365, van eerste containment tot herstel, validatie en structurele verbetering.

    1. Begin niet met herstellen, maar met isoleren

    De grootste fout na een ransomware-aanval is te snel terugzetten. Als de aanvaller nog toegang heeft tot accounts, apparaten of applicaties, herstel je mogelijk naar een omgeving die direct opnieuw wordt versleuteld.

    Start daarom met containment:

    • Stop OneDrive-synchronisatie op getroffen apparaten.
    • Koppel gemapte SharePoint-drives los.
    • Blokkeer of reset verdachte gebruikersaccounts.
    • Trek actieve sessies en refresh tokens in.
    • Isoleer geïnfecteerde endpoints.
    • Beperk tijdelijk toegang tot kritieke SharePoint-sites, Teams en mailboxen.

    Microsoft adviseert bij ransomware in SharePoint Online onder meer om direct OneDrive sync te stoppen of de gemapte drive naar een SharePoint-bibliotheek los te koppelen. Daarna kan een beheerder of gebruiker proberen bestanden te herstellen via SharePoint, OneDrive of Microsoft 365 Backup.

    2. Bepaal de omvang van de aanval

    Een goed herstel begint met scope. Je moet weten wat is geraakt, wanneer het is begonnen en hoe de aanval binnenkwam.

    Breng minimaal in kaart:

    • Welke gebruikersaccounts zijn gecompromitteerd?
    • Welke apparaten zijn geraakt?
    • Welke SharePoint-sites, OneDrive-accounts, Teams-kanalen en mailboxen zijn beïnvloed?
    • Zijn bestanden versleuteld, verwijderd of overschreven?
    • Is er sprake van datadiefstal naast versleuteling?
    • Welke beheerdersrechten of app-consents zijn mogelijk misbruikt?

    Microsoft Incident Response benadrukt dat containment pas effectief kan plaatsvinden wanneer duidelijk is wat er precies moet worden ingesloten. Daarbij horen onder andere vragen over gecompromitteerde gebruikersaccounts, getroffen apparaten en getroffen applicaties.

    3. Vind het laatste schone herstelpunt

    Bij ransomware draait herstel om timing. Je zoekt het laatste moment waarop bestanden, mailboxen en sites nog schoon waren. Dat punt ligt vaak vóór de zichtbare versleuteling, omdat aanvallers al eerder toegang hadden.

    Gebruik signalen zoals:

    • Ongebruikelijke massale bestandswijzigingen.
    • Grote aantallen hernoemde bestanden.
    • Nieuwe extensies achter bestandsnamen.
    • Ransom notes zoals “HELP_DECRYPT” of “RECOVER”.
    • Veel bestanden met dezelfde “Modified By”-tijdstempel.
    • Alerts uit Microsoft Defender, Entra ID en audit logs.

    Microsoft noemt dit soort kenmerken expliciet als indicatoren van ransomware in SharePoint Online, waaronder corrupte bestanden, ransom notes, gewijzigde extensies en grote aantallen bestanden met dezelfde wijzigingstijd.

    4. Herstel Microsoft 365-data gecontroleerd

    Microsoft 365 biedt meerdere herstelmogelijkheden, afhankelijk van wat er is geraakt.

    SharePoint en OneDrive

    SharePoint en OneDrive beschikken over ingebouwde herstelmechanismen zoals versiegeschiedenis, prullenbak en file restore. Versioning bewaart standaard minimaal 500 versies van een bestand, waardoor een eerdere versie kan worden teruggezet als ransomware een bestand heeft aangepast of versleuteld. Verwijderde bestanden kunnen in veel gevallen tot 93 dagen uit de prullenbak worden hersteld.

    Belangrijk: herstel niet blind alles. Test eerst een beperkte set bestanden of sites, controleer of het herstelpunt schoon is en schaal daarna pas op.

    Exchange Online

    Voor mailboxen moet je bepalen of e-mails, agenda-items, contacten of taken zijn verwijderd, gewijzigd of misbruikt voor verdere aanvalspogingen. Microsoft 365 Backup ondersteunt herstel van Exchange mailbox-content vanaf specifieke eerdere punten in de tijd.

    Teams

    Teams-data is verspreid over Microsoft 365-services. Teams-bestanden staan in SharePoint of OneDrive, terwijl Teams-chats worden opgeslagen in Exchange Online-mailboxen. Dat betekent dat herstel van Teams meestal via SharePoint, OneDrive en Exchange Online loopt.

    5. Gebruik Microsoft 365 Backup of een passende backup-oplossing

    Ingebouwde Microsoft 365-herstelmogelijkheden zijn waardevol, maar bij grootschalige ransomware wil je vooral snel, consistent en op tenant-niveau kunnen herstellen.

    Microsoft 365 Backup is ontworpen voor herstel van SharePoint-sites, OneDrive-accounts en Exchange-mailboxen. Het ondersteunt herstel naar de oorspronkelijke locatie of naar een nieuwe locatie, en beheerders kunnen herstellen vanaf specifieke herstelpunten.

    Microsoft beschrijft Microsoft 365 Backup bovendien als een oplossing die organisaties sneller terug kan brengen naar een gezonde staat na ransomware of kwaadwillige verwijdering. De dienst werkt binnen de Microsoft 365 data trust boundary en gebruikt append-only backup storage om bestaande herstelpuntdata te beschermen tegen overschrijven.

    Heb je nog geen Microsoft 365 Backup of externe backup-oplossing? Dan is dit hét moment om je backupstrategie opnieuw te beoordelen.

    6. Valideer voordat je de organisatie weer openzet

    Herstel is pas klaar wanneer je zeker weet dat:

    • De aanvaller geen actieve toegang meer heeft.
    • Alle verdachte accounts zijn gereset of geblokkeerd.
    • Beheerdersrollen zijn gecontroleerd.
    • Kwaadaardige inboxregels, OAuth-apps en forwardingregels zijn verwijderd.
    • Endpoints schoon zijn verklaard.
    • Herstelde bestanden veilig en bruikbaar zijn.
    • Business owners akkoord geven op kritieke data.

    Een veilige recovery is dus geen puur technische restore. Het is een gecontroleerd besluit waarbij IT, security, management, legal en communicatie samenwerken.

    7. Communiceer helder met medewerkers

    Tijdens ransomware ontstaat snel verwarring. Medewerkers moeten weten wat ze wel en niet mogen doen.

    Communiceer bijvoorbeeld:

    • Open geen verdachte bestanden of ransom notes.
    • Sluit apparaten niet zomaar opnieuw aan op het netwerk.
    • Meld versleutelde of ontbrekende bestanden direct.
    • Gebruik tijdelijk alleen goedgekeurde communicatiekanalen.
    • Wacht met synchroniseren totdat IT bevestigt dat dit veilig is.

    Goede communicatie voorkomt dat de aanval zich verder verspreidt en helpt IT om sneller de volledige impact te bepalen.

    8. Leg alles vast voor onderzoek, verzekering en compliance

    Documenteer vanaf het eerste moment:

    • Tijdlijn van detectie, containment en herstel.
    • Betrokken accounts, apparaten en workloads.
    • Genomen maatregelen.
    • Herstelpunten en restore-acties.
    • Beslissingen van management.
    • Bewijs van mogelijke datadiefstal.
    • Communicatie met leveranciers, verzekeraar of toezichthouders.

    Microsoft Incident Response adviseert om tijdens incidentrespons werkitems, eigenaren, status, bevindingen, datum en tijd zorgvuldig vast te leggen.

    9. Voorkom herhaling: bouw ransomware-resilience in

    Na herstel begint het belangrijkste werk: zorgen dat dit niet opnieuw gebeurt. Versterk minimaal deze onderdelen:

    Identity Security

    • MFA voor alle gebruikers
    • Conditional Access policies
    • Privileged Identity Management
    • Sterke admin-segregatie

    Endpoint & E-mailbeveiliging

    • Microsoft Defender for Endpoint
    • Attack surface reduction rules
    • Patchmanagement
    • Defender for Office 365 / Safe Links

    Backup, Monitoring & Awareness

    • Retentiebeleid en versiebeheer
    • Backup en kwartaallijkse restore-tests
    • Audit logging en Defender XDR alerts
    • User awareness training op phishing

    Microsoft 365 bevat al meerdere verdedigingslagen tegen ransomware, waaronder Exchange Online Protection voor e-mail en bijlagen, en herstelmechanismen in SharePoint en OneDrive zoals versioning, prullenbak en retentiefunctionaliteit. Maar technologie werkt alleen goed als processen, verantwoordelijkheden en tests op orde zijn.

    Conclusie

    Microsoft 365 ransomware recovery draait niet alleen om bestanden terugzetten. Het gaat om gecontroleerd herstellen naar een betrouwbare staat. De juiste volgorde is cruciaal:

    1. Isoleer de aanval.
    2. Bepaal de scope.
    3. Vind het laatste schone herstelpunt.
    4. Herstel gecontroleerd.
    5. Valideer de omgeving.
    6. Documenteer alles.
    7. Versterk je beveiliging en backupstrategie.

    Ransomware is geen eenmalig IT-probleem, maar een test van je digitale weerbaarheid. Organisaties die vooraf nadenken over herstel, backup, identiteiten en incidentrespons staan na een aanval niet stil, maar kunnen sneller, veiliger en met meer vertrouwen terug naar normaal.

  • Hoe maak je een back-up van je hostingomgeving?

    Hoe maak je een back-up van je hostingomgeving?

    Een back-up van je website of hostingomgeving is je vangnet bij calamiteiten. Of het nu gaat om een mislukte update, een gehackte website, een per ongeluk verwijderd bestand of een servertechnisch probleem — met een recente back-up kun je snel herstellen en schade beperken.

    In dit artikel leggen we stap voor stap uit hoe je een back-up maakt via het hostingbeheer van VIOMS, gebaseerd op het Plesk-beheerpanel.

    Wat wordt er geback-upt?

    Via de Backup Manager in je hostingpanel kun je een volledige back-up maken van je domein. Dit omvat standaard:

    • Configuratie — domeininstellingen en hosting-configuratie.
    • E-mailberichten — alle e-mails in je mailboxen.
    • Gebruikersbestanden — alle bestanden van je website (www-map, uploads, etc.).
    • Databases — alle gekoppelde MySQL-databases (altijd volledig geback-upt).

    Stap 1 — Log in en ga naar Websites & Domains

    Log in op je hostingpanel via hosting.vioms.com. Na het inloggen land je op de pagina Websites & Domains. Hier zie je een overzicht van alle domeinen die aan jouw account zijn gekoppeld.

    stap1-websites-domains
    Stap 1 — Overzicht van Websites & Domains in het Plesk hostingpanel.

    Stap 2 — Open het Dashboard van je domein

    Klik op je domeinnaam of op het tabblad Dashboard bij het gewenste domein. Je ziet nu een overzicht van alle beschikbare tools. Onder de sectie Files & Databases vind je de optie Backup & Restore.

    stap2-dashboard-backup-restore
    Stap 2 — Klik op “Backup & Restore” in het domein-dashboard.

    Stap 3 — De Backup Manager

    Je bent nu in de Backup Manager voor jouw domein. Hier zie je een overzicht van alle bestaande back-ups, inclusief aanmaakdatum, type (volledig of incrementeel) en grootte. Vanuit dit scherm kun je:

    • Back Up — een nieuwe handmatige back-up aanmaken.
    • Upload — een eerder gedownloade back-up terugzetten.
    • Schedule — automatische geplande back-ups instellen.
    • Remote Storage Settings — back-ups opslaan op externe opslag.
    Stap 3 — Backup Manager overzicht
    Stap 3 — De Backup Manager toont alle bestaande back-ups en opties.

    Stap 4 — Een handmatige back-up aanmaken

    Klik op de knop Back Up. Je ziet nu het scherm “Back Up the Subscription”. Hier stel je de back-up in:

    • Back up — selecteer wat je wilt back-uppen: Configuratie, E-mail, Gebruikersbestanden en/of Databases.
    • Store in — kies waar de back-up wordt opgeslagen. Standaard is dit de server storage.
    • Type — kies tussen Full (volledige back-up) of Incremental (alleen wijzigingen since de laatste back-up).
    • Comments — voeg een optionele omschrijving toe voor je eigen herkenning.
    • Exclude log files — schakel in als je logbestanden wilt uitsluiten om ruimte te besparen.
    • Notificatie — laat een e-mail sturen wanneer de back-up klaar is.

    Klik op OK om de back-up te starten. Afhankelijk van de grootte van je website duurt dit enkele seconden tot minuten.

    Stap 4 — Back-up aanmaken formulier
    Stap 4 — Stel je back-up in en klik op OK om te starten.

    Stap 5 — Een back-up herstellen of downloaden

    Terug in de Backup Manager zie je de back-ups in de lijst. Per back-up heb je twee opties:

    • Klik op de datum om het herstelscherm te openen en de back-up terug te zetten.
    • Klik op het downloadpijltje rechts in de lijst om de back-up als bestand te downloaden naar je eigen computer.

    In het herstelscherm kies je wat je wilt herstellen:

    • Selected objects — herstel alleen specifieke onderdelen (Sites, Databases, Mail, etc.).
    • All objects — herstel alles in één keer.

    Selecteer de gewenste objecten aan de linkerkant en verplaats ze naar “Selected”. Klik daarna op Restore om te starten.

    Stap 5 — Back-up herstellen scherm
    Stap 5 — Kies wat je wilt herstellen en klik op Restore.

    Stap 6 — Automatische geplande back-ups instellen

    Voor optimale bescherming raden we aan om automatische back-ups in te stellen. Klik hiervoor in de Backup Manager op Schedule.

    In de instellingen kun je het volgende configureren:

    • Activate this backup task — zet het vinkje aan om de geplande back-up te activeren.
    • Run this backup task — kies de frequentie: dagelijks, wekelijks of maandelijks, en stel het tijdstip in.
    • Use incremental backup — slaat alleen wijzigingen op om schijfruimte te besparen.
    • Perform full backup — hoe vaak een volledige back-up wordt gemaakt (bijv. wekelijks).
    • Maximum number of full backup files — het maximum aantal volledige back-ups dat bewaard blijft (afhankelijk van je hostingplan).

    Klik op OK om de geplande back-up op te slaan.

    Stap 6 — Geplande back-up instellingen
    Stap 6 — Stel een automatisch back-upschema in voor dagelijkse of wekelijkse back-ups.

    Tips voor een goede back-upstrategie

    Een back-up maken is stap één, maar een goede strategie gaat verder. Houd rekening met het volgende:

    • Maak ook handmatige back-ups vóór grote wijzigingen — zoals een WordPress-update, plugin-installatie of aanpassing aan je thema.
    • Sla een kopie extern op — download periodiek een back-up naar je eigen computer of cloudopslag, zodat je niet afhankelijk bent van de serveropslag.
    • Controleer je back-ups — open af en toe een back-up om te controleren of deze intact is.
    • Gebruik incrementele back-ups dagelijks — met een wekelijkse volledige back-up voor een balans tussen snelheid en volledigheid.
    • Bewaar meerdere versies — niet alleen de meest recente, maar ook oudere back-ups voor het geval een probleem al langer bestaat.

    Veelgestelde vragen

    Hoe lang worden back-ups bewaard?

    Het maximale aantal bewaard back-ups is afhankelijk van je hostingplan. Dit is in te stellen bij de Scheduled Backup Settings. Bij het bereiken van het maximum wordt de oudste back-up automatisch verwijderd.

    Kan ik ook een back-up herstellen van alleen mijn database?

    Ja. Kies in het herstelscherm bij “Type of object to restore” de optie Databases in het dropdownmenu. Zo herstel je alleen de database zonder de bestanden te overschrijven.

    Wat is het verschil tussen Full en Incremental?

    Een Full back-up is een volledige kopie van alles. Een Incremental back-up slaat alleen de wijzigingen op ten opzichte van de vorige back-up. Incrementeel is sneller en vraagt minder schijfruimte, maar heeft de eerdere back-ups nodig om volledig te kunnen herstellen.

    Kan ik ook een back-up herstellen op een ander domein?

    Dat is mogelijk via de Upload-functie in de Backup Manager. Download de back-up van het brondomein, ga naar het doeldomein en upload de back-up daar via de Upload-knop.

    Hulp nodig?

    Kom je er niet uit of heb je hulp nodig bij het herstellen van een back-up? Neem contact op met de VIOMS helpdesk. We helpen je snel en gericht verder.

  • De Tower of Hanoi Backup Strategy uitgelegd

    De Tower of Hanoi Backup Strategy uitgelegd

    Hoe bewaar je meerdere herstelpunten in de tijd zonder eindeloos veel opslagruimte nodig te hebben? Dat is het praktische probleem dat de Tower of Hanoi backup strategy oplost. Het is een slimme rotatiemethode die met een beperkt aantal back-upmedia toch dekking biedt over zowel korte als lange perioden.

    De strategie is vernoemd naar het klassieke wiskundige puzzelspel waarbij schijven worden verplaatst volgens vaste regels. Hetzelfde principe van gestructureerde rotatie wordt hier toegepast op back-uptapes of opslagmedia.

    Maar hoe werkt Tower of Hanoi precies, en is het nog relevant in moderne IT-omgevingen?

    Wat is de Tower of Hanoi backup strategy?

    De Tower of Hanoi backup strategy is een rotatieschema voor back-upmedia waarbij elke set media een andere overschrijffrequentie heeft. Recente media worden vaker overschreven, terwijl oudere media langer bewaard blijven.

    Set A — Elke back-up

    Wordt elke back-upcyclus overschreven. Altijd de meest recente kopie beschikbaar voor snel dagelijks herstel.

    Set B — Elke tweede back-up

    Wordt elke twee back-upcycli overschreven. Bewaart een iets ouder herstelpunt als tussenliggende buffer.

    Set C en verder — Steeds minder frequent

    Elke volgende set wordt minder frequent overschreven, waardoor steeds oudere herstelpunten beschikbaar blijven met minimaal mediaverbruik.

    Hoe werkt de Tower of Hanoi rotatie?

    Het basisprincipe is eenvoudig: je hebt meerdere sets back-upmedia (A, B, C, D…), en elke set heeft een vaste rotatiepositie. Elke cyclus gebruik je een andere set, op basis van een vast patroon:

    • Cyclus 1: gebruik set A.
    • Cyclus 2: gebruik set B.
    • Cyclus 3: gebruik set A (overschrijven).
    • Cyclus 4: gebruik set C.
    • Cyclus 5: gebruik set A (overschrijven).
    • Cyclus 6: gebruik set B (overschrijven).
    • Cyclus 7: gebruik set A (overschrijven).
    • Cyclus 8: gebruik set D.

    Het resultaat is dat set A altijd de meest recente back-up bevat, set B de op één na meest recente, set C een oudere, en set D nog oudere data. Met vier sets heb je altijd vier herstelpunten op exponentieel toenemende leeftijden beschikbaar.

    Het voordeel: maximale tijdsdekking met minimale media

    Het slimme aan Tower of Hanoi is de efficiëntie. Met slechts vijf sets media heb je herstelpunten beschikbaar die teruggaan tot 16 cycli geleden. Met zes sets ga je terug tot 32 cycli. Elke extra set verdubbelt de tijdsdekking.

    Dit was vooral waardevol in de tijd van dure tapemedia, waarbij het aantal beschikbare tapes beperkt was. In plaats van elke dag een nieuwe tape te gebruiken, roteer je slim tussen een vaste set.

    Tower of Hanoi in moderne IT-omgevingen

    In moderne IT-omgevingen wordt Tower of Hanoi minder letterlijk toegepast. Cloudopslag, deduplicatie en geautomatiseerde retentiebeheer hebben de praktische noodzaak van handmatige mediarotatie grotendeels weggenomen.

    Toch is het onderliggende principe nog steeds relevant:

    • Niet alle herstelpunten hoeven even lang bewaard te worden.
    • Recente back-ups zijn waardevoller dan oude, maar oude back-ups zijn soms onvervangbaar.
    • Slimme retentiepolicies in moderne back-upsoftware werken vaak op soortgelijke principes.
    • Het idee van “exponentieel toenemende bewaartermijnen” zit verwerkt in veel GFS-achtige schemas.

    Moderne back-uptools zoals Veeam, Commvault of cloudnative back-upoplossingen bieden retentiebeleid dat conceptueel overeenkomt met Tower of Hanoi, maar dan volledig geautomatiseerd.

    Vergelijking met GFS

    Tower of Hanoi en GFS (Grandfather-Father-Son) zijn beide retentiestrategieën, maar ze werken anders:

    • GFS werkt met vaste, eenvoudig te begrijpen perioden: dagelijks, wekelijks, maandelijks. Makkelijk te communiceren en te implementeren.
    • Tower of Hanoi werkt met een wiskundig rotatiepatroon dat efficiënter is met media, maar complexer te beheren is zonder automatisering.

    Voor de meeste moderne organisaties is GFS de praktischer keuze. Tower of Hanoi is interessant als historisch concept en als inspiratie voor efficiënte retentielogica in geautomatiseerde systemen.

    Wanneer is Tower of Hanoi nog relevant?

    Tower of Hanoi is nog relevant wanneer:

    • Je werkt in omgevingen met beperkte opslagcapaciteit.
    • Je tape-based back-upsystemen beheert waarbij mediakosten tellen.
    • Je back-upsoftware native Tower of Hanoi rotatie ondersteunt.
    • Je retentie wilt maximaliseren met een minimaal aantal media of snapshots.

    In cloudgebaseerde of moderne on-premises omgevingen is GFS gecombineerd met 3-2-1-1-0 doorgaans een effectievere en beter beheerbare aanpak.

    Veelgemaakte fouten bij Tower of Hanoi

    De complexiteit van het rotatiepatroon maakt Tower of Hanoi gevoelig voor fouten:

    • Verkeerde media gebruiken in de rotatie, waardoor herstelpunten verloren gaan.
    • Geen documentatie van het rotatiepatroon — bij personeelswisselingen gaat kennis verloren.
    • Geen verificatie van de gemaakte back-ups op elk rotatiepunt.
    • Media die niet worden getest op herstelbaarheid.
    • Verwarring met GFS — de twee strategieën worden soms door elkaar gebruikt.

    Conclusie

    De Tower of Hanoi backup strategy is een slimme en wiskundig elegante aanpak voor het maximaliseren van tijdsdekking met minimale back-upmedia. Het principe — recente back-ups vaker overschrijven, oudere langer bewaren — is tijdloos en zit verweven in moderne retentiestrategieën.

    In de praktijk van vandaag is Tower of Hanoi echter grotendeels vervangen door toegankelijkere en geautomatiseerde alternatieven zoals GFS. Maar het begrijpen van het principe helpt om de logica achter retentiebeleid beter te doorgronden en slimmer in te richten.

    Voor een complete back-upstrategie combineer je een retentiestrategie (GFS of Tower of Hanoi) altijd met een architectuurstrategie zoals 3-2-1-1-0 voor spreiding, immutability en herstelvalidatie.

  • De 3-2-1-0 Backup Rule uitgelegd

    De 3-2-1-0 Backup Rule uitgelegd

    Een back-up die nooit getest wordt, is een aanname. En aannames zijn gevaarlijk op het moment dat je data kwijt bent en snel moet herstellen. Veel organisaties maken trouw back-ups, maar ontdekken pas tijdens een incident dat de bestanden corrupt zijn, de restore mislukt of het herstel veel langer duurt dan verwacht.

    De 3-2-1-0 Backup Rule lost dit probleem op. Door een expliciete eis van nul fouten na back-upverificatie toe te voegen aan de klassieke 3-2-1-strategie, dwing je jezelf om herstel actief te bewijzen in plaats van aan te nemen.

    Maar wat betekent 3-2-1-0 precies, en wanneer is het de juiste keuze?

    Wat is de 3-2-1-0 Backup Rule?

    De 3-2-1-0 Backup Rule is een uitbreiding op de klassieke 3-2-1-regel met de nadruk op aantoonbare herstelkwaliteit. Samen zorgen de vier onderdelen ervoor dat je niet alleen data bewaart, maar ook kunt bewijzen dat herstel werkt.

    3 kopieën van je data

    Minimaal drie kopieën: de originele productiedata, een eerste back-up en een tweede back-up op een andere locatie of platform.

    2 verschillende opslagmedia

    Minimaal twee verschillende media of opslagvormen voor spreiding en bescherming tegen platform-specifieke storingen.

    1 kopie offsite

    Eén back-up op een andere fysieke of logische locatie dan de primaire omgeving voor bescherming bij locatiegebonden incidenten.

    0 fouten na verificatie

    Regelmatige verificatie dat back-ups succesvol zijn, niet corrupt zijn en daadwerkelijk herstelbaar zijn. Geen aannames — bewijs.

    3 kopieën van je data

    Net als bij de klassieke 3-2-1-regel zorg je voor minimaal drie kopieën: de originele productiegegevens, een eerste back-up en een tweede back-up. Meerdere kopieën voorkomen dat één incident alle data tegelijk raakt.

    2 verschillende opslagmedia

    Gebruik minimaal twee verschillende media of opslagvormen voor spreiding. Denk aan combinaties zoals lokale opslag en cloudopslag, disk-based back-up en object storage, of twee verschillende cloudproviders. Zo voorkom je dat een storing op één platform alle back-ups raakt.

    1 kopie offsite

    Een offsite kopie staat buiten de primaire locatie en beschermt tegen locatiegebonden incidenten: brand, diefstal, overstroming of een datacenteruitval. Offsite kan een cloudomgeving zijn, een tweede datacenter of een managed backup-platform.

    0 fouten na verificatie

    Dit is de kern van de 3-2-1-0-regel: nul fouten na back-upcontrole en herstelvalidatie. Dat betekent dat je regelmatig controleert of:

    • Back-ups succesvol zijn afgerond zonder fouten.
    • Er geen corruptie is in de back-upbestanden.
    • Bestanden daadwerkelijk uit de back-up kunnen worden teruggezet.
    • Applicaties consistent en werkend worden teruggezet.
    • Recovery time objectives (RTO) haalbaar zijn binnen de afgesproken tijd.
    • Recovery point objectives (RPO) overeenkomen met de bedrijfsbehoefte.

    De nul staat niet voor perfectie, maar voor aantoonbaarheid. Je weet dat je back-ups werken omdat je het hebt getest, niet omdat je er vanuit gaat dat ze werken.

    Hoe verificeer je back-ups?

    Back-upverificatie kan op verschillende manieren worden ingericht, afhankelijk van de tools en omgeving die je gebruikt:

    • Automatische integriteitschecks: veel back-uptools controleren bij elke back-up of bestanden leesbaar en consistent zijn.
    • Periodieke restore-tests: herstel een selectie bestanden of systemen naar een geïsoleerde omgeving en controleer of ze werken.
    • Applicatieconsistentiecontroles: test niet alleen of bestanden terugkomen, maar ook of applicaties na herstel correct functioneren.
    • SLA-rapportage: leg herstelresultaten vast en controleer of RTO en RPO gehaald worden.

    Moderne back-upoplossingen bieden veelal ingebouwde verificatiefuncties die back-ups automatisch testen na elke run. Hierdoor hoef je niet handmatig te controleren, maar kun je vertrouwen op een geautomatiseerd signaal bij problemen.

    Wat is het verschil tussen 3-2-1-0 en 3-2-1-1-0?

    De 3-2-1-0-regel en de 3-2-1-1-0-regel lijken op elkaar, maar er is een belangrijk verschil:

    • 3-2-1-0 voegt herstelvalidatie toe aan 3-2-1, maar vereist geen expliciete offline, air-gapped of immutable kopie.
    • 3-2-1-1-0 combineert zowel de immutable/offline kopie als de herstelvalidatie — en biedt daarmee de meest volledige bescherming.

    De 3-2-1-0-regel is ideaal voor organisaties die al goede back-upinfrastructuur hebben en zich primair willen focussen op herstelzekerheid. Voor volledige ransomware-bescherming is de stap naar 3-2-1-1-0 aanbevolen.

    Een praktisch voorbeeld

    Stel: je organisatie maakt dagelijks back-ups, maar heeft nog nooit getest of de herstelstap ook daadwerkelijk werkt. Een 3-2-1-0-aanpak kan er zo uitzien:

    • Productiedata op lokale servers en in Microsoft 365.
    • Lokale back-up op een backup-appliance.
    • Cloudback-up als offsite kopie.
    • Elke week automatische integriteitscheck door de back-upsoftware.
    • Elke maand een handmatige restore-test van een kritiek systeem of dataset.
    • Rapportage van elke restore-test met resultaten en eventuele afwijkingen.

    Na elke test weet je zeker dat je kunt herstellen — en binnen welk tijdsbestek. Je gaat een incident in met vertrouwen in je back-upstrategie.

    Veelgemaakte fouten bij de 3-2-1-0-regel

    De nul toevoegen klinkt eenvoudig, maar in de praktijk gaat het nog vaak mis:

    • Back-uprapportages worden wel ontvangen, maar niet gelezen of geanalyseerd.
    • Restore-tests worden gepland maar steeds uitgesteld vanwege drukte.
    • Alleen bestanden worden getest, niet volledige systemen of applicaties.
    • Testen wordt gedaan in de productieomgeving in plaats van een geïsoleerde testomgeving.
    • RTO en RPO zijn nooit vastgesteld, waardoor er geen duidelijke toetsing is.
    • Testresultaten worden niet gedocumenteerd of gedeeld met management.

    Hoe begin je met de 3-2-1-0-regel?

    Als je al een 3-2-1-strategie hebt, is de stap naar 3-2-1-0 voornamelijk een processtap. Stel jezelf deze vragen:

    • Controleren we momenteel of back-ups succesvol zijn afgerond?
    • Wanneer hebben we voor het laatst een restore-test uitgevoerd?
    • Weten we wat onze RTO en RPO zijn?
    • Worden testresultaten gedocumenteerd?
    • Ondersteunt onze back-upsoftware geautomatiseerde verificatie?

    Begin klein: plan één restore-test per maand en documenteer de resultaten. Automatiseer integriteitschecks als je back-upsoftware dat ondersteunt. Bouw van daaruit naar een volledig herstelvalidatieproces.

    Conclusie

    De 3-2-1-0 Backup Rule voegt een essentiële dimensie toe aan de klassieke 3-2-1-strategie: de zekerheid dat herstel ook daadwerkelijk werkt. Door te eisen dat back-ups actief worden geverifieerd en getest, voorkom je dat je tijdens een incident voor verrassingen komt te staan.

    Samengevat:

    1. 3 kopieën van data.
    2. 2 verschillende opslagmedia.
    3. 1 kopie offsite.
    4. 0 fouten na verificatie.

    Voor volledige cyberweerbaarheid is de combinatie van 3-2-1-0 en een offline of immutable kopie — ofwel 3-2-1-1-0 — de aanbevolen standaard. Maar als je vandaag begint met actieve herstelvalidatie, heb je al een grote stap gezet naar een betrouwbare back-upstrategie.