Cybersecurity klinkt altijd alsof er ergens een team met hoodies in een donker datacenter zit. Lekker spannend allemaal. Maar bij gewone websites begint het meestal een stuk saaier. Een plugin die al maanden niet is bijgewerkt. Een oud beheeraccount dat nog bestaat omdat niemand durft te verwijderen wat “misschien nog nodig is”. Een contactformulier dat persoonsgegevens opslaat, terwijl niemand precies weet waar. Of een hostingpakket dat ooit prima was, maar waar al jaren niet meer echt naar is gekeken.
En eerlijk: dát is precies waarom ik de Cybersecuritymonitor 2025 van het CBS interessant vind. Niet omdat daar ineens een totaal nieuw cybermonster uit kruipt, maar omdat je tussen de cijfers door iets heel herkenbaars ziet. Veel bedrijven doen inmiddels meer aan beveiliging, maar beheer blijft vaak het rommelhok. Iedereen weet dat het belangrijk is, maar niemand voelt zich echt eigenaar.
Een slotje in de browser is geen beheer
Veel ondernemers denken bij een veilige website nog steeds: hij doet het, er staat https voor het adres en ik krijg geen rare meldingen. Dan zal het wel goed zijn. Maar een website is geen foldertje aan de muur. Er draait software achter, er zijn accounts, formulieren, databases, mailinstellingen, back-ups, redirects, plugins, thema’s, certificaten en soms nog koppelingen met andere systemen.
Dat is dus gewoon een klein digitaal ecosysteem. Niet overdreven bedoeld, maar technisch is het wel zo.
De Cybersecuritymonitor laat zien dat grote bedrijven veel vaker een brede set beveiligingsmaatregelen nemen dan kleine bedrijven. In 2025 nam 86 procent van de grote bedrijven 10 of meer van de 12 onderzochte maatregelen. Bij microbedrijven was dat 13 procent en bij zzp’ers 5 procent. Bron: CBS Cybersecuritymonitor 2025, onderdeel Cybersecuritymaatregelen.
Dat verschil snap ik wel. Een groot bedrijf heeft mensen, budget, beleid en meestal ook iemand die vervelend genoeg blijft vragen of de risicoanalyse al is bijgewerkt. Een klein bedrijf heeft vaak gewoon een website, een hostingpartij, een paar mailboxen en iemand die “ook iets met computers kan”. Dat is niet altijd slecht, maar het is wel kwetsbaar. Want als niemand eigenaar is, gebeurt er vaak alleen iets als er iets kapot is. En dat is bij security dus net te laat.
MFA is niet hip, het is gewoon normaal
Een cijfer dat eruit springt: multifactorauthenticatie is enorm gegroeid. Bij kleine bedrijven steeg het gebruik van MFA van 29 procent in 2017 naar 79 procent in 2025. Bij grote bedrijven zit het zelfs op 97 procent. Bron: CBS Cybersecuritymonitor 2025, onderdeel Cybersecuritymaatregelen.
Dat betekent eigenlijk iets heel simpels. MFA is geen extraatje meer voor bedrijven die heel serieus met security bezig zijn. Het is gewoon de ondergrens aan het worden. Dus als je WordPress-beheer, hosting, domeinbeheer, Microsoft 365, Google Workspace of je boekhoudpakket nog alleen met een wachtwoord beschermt, dan is dat niet “een keuze”. Dan mist er gewoon iets.
Je kan bijvoorbeeld een prachtig wachtwoordbeleid hebben, maar als één wachtwoord via phishing wordt buitgemaakt en er zit geen tweede factor achter, dan is de deur alsnog open. En natuurlijk, MFA is soms irritant. Je telefoon pakken, code invullen, app bevestigen. Maar het is een stuk minder irritant dan een gehackte mailbox of een website die malware uitserveert.
Dat is een beetje het gekke aan goed beheer. Als het werkt, merk je er weinig van. Als het ontbreekt, merk je het ineens heel erg.
| Signaal uit de Cybersecuritymonitor 2025 | Praktische vertaling voor website-eigenaren |
|---|---|
| Grote bedrijven nemen veel meer cybersecuritymaatregelen dan kleine bedrijven | Kleine organisaties missen vaak geen wil, maar structuur, eigenaar en routine |
| MFA is sterk gegroeid | Inloggen met alleen een wachtwoord is bij belangrijke accounts niet meer normaal |
| Websites scoren beter op internetstandaarden | Websitebeveiliging is steeds beter meetbaar, dus ook beter beheerbaar |
| Weinig bedrijven oefenen cyberincidenten | Veel organisaties weten pas wat ze moeten doen als het al misgaat |
| Phishing en spoofing komen vaak voor | De mens blijft een belangrijk risico, dus techniek moet menselijke fouten opvangen |
Websites worden beter, maar iemand moet blijven kijken
Het CBS keek ook naar websites via Internet.nl. Daarmee wordt getest of websites moderne internetstandaarden goed ondersteunen. Niet alleen of er een slotje staat, maar ook dingen als mailbeveiliging, DNSSEC, IPv6 en veilige verbindingen. De gemiddelde score van bedrijfswebsites steeg van 60,4 procent in 2020 naar 74,7 procent in 2026.
Bron: CBS Cybersecuritymonitor 2025, onderdeel Cybersecuritymaatregelen.
Dat vind ik dus echt een nuttige ontwikkeling. Websitekwaliteit wordt minder een gevoel en meer een meting. Je hoeft niet meer te zeggen: “volgens mij zit het wel goed”. Je kan gewoon testen. En dan komt er soms uit dat het best netjes staat, maar soms ook dat de basis eigenlijk gammel is.
Dat zie je in de praktijk vaker dan je wilt. Een site draait op zich prima, maar de mailauthenticatie is half ingericht. Of er staan oude redirects. Of het certificaat wordt wel automatisch vernieuwd, behalve net bij dat ene subdomein. Of de back-up draait, maar niemand heeft ooit getest of die teruggezet kan worden. Dan heb je dus wel vinkjes, maar nog geen zekerheid. En ja, dat klinkt als beheerwerk. Omdat het beheerwerk is.
Het incident begint meestal op een onhandig moment
Nog zo’n cijfer uit de monitor: maar 4 procent van alle bedrijven met 2 of meer werknemers oefende in 2024 één of meer cyberincidenten door een aanval van buitenaf. Bij microbedrijven was dat 2 procent. Bron: CBS Cybersecuritymonitor 2025, onderdeel Cybersecuritymaatregelen.
Dat is niet verrassend, maar wel pijnlijk herkenbaar. Want bijna niemand heeft zin om een incident te oefenen. Je hebt vandaag werk, klanten, offertes, personeel, administratie en dan moet je ook nog doen alsof je website gehackt is. Dus dat schuift naar later. En later wordt nooit. Tot het echt gebeurt.
Dan wordt ineens alles tegelijk urgent. Wie kan inloggen bij de hosting? Waar staat de laatste back-up? Wie mag de site offline zetten? Moeten we klanten informeren? Is er een datalek? Wie weet eigenlijk welke formulieren persoonsgegevens opslaan? Staat er nog een oud admin-account van een vorige bouwer? En waarom heeft niemand de inlog van de domeinregistrar?
Dat zijn geen theoretische vragen. Dat zijn de vragen die op tafel komen als er iets misgaat. En dan wil je niet eerst een speurtocht door oude mails, verlopen wachtwoordkluizen en “volgens mij regelde Jeroen dat altijd” moeten doen.
Hoewel, ik heet toevallig Jeroen. Dus laten we dat vooral netjes vastleggen.
Phishing is gewoon dagelijkse rommel
Bijna een kwart van de bedrijven met 2 of meer werknemers kreeg in 2024 te maken met phishing- of spoofing-aanvallen. Bij grote bedrijven was dat 59 procent. Bron: CBS Cybersecuritymonitor 2025, onderdeel Cybersecurityincidenten.
En dit is dus precies het soort risico dat niet indrukwekkend oogt, maar wel continu langskomt. Een nepbericht van je hostingprovider. Een mail over een verlopen domeinnaam. Een zogenaamde Microsoft-melding. Een WordPress-waarschuwing die net echt genoeg lijkt. Een factuur die zogenaamd nog openstaat. Eén drukke ochtend, één medewerker die snel klikt, één beheerder die denkt “ik regel dit even” en je hebt gedoe.
Daarom vind ik het ook te makkelijk om cybersecurity alleen als technisch probleem te zien. Mensen blijven klikken. Mensen hebben haast. Mensen vertrouwen dingen die er vertrouwd uitzien. Dat los je niet op door boos te worden op mensen. Je lost het op door de schade kleiner te maken als het gebeurt.
Dus: niet iedereen adminrechten. Wel MFA. Wel back-ups. Wel logging. Wel weten wie waar toegang toe heeft. Wel oude accounts opruimen. Wel updates bijhouden. Niet omdat het zo gezellig is, maar omdat het werkt.
Een datalek is niet alleen iets voor grote organisaties
In 2024 kreeg de Autoriteit Persoonsgegevens 37,8 duizend datalekmeldingen. In 2016 waren dat er 5,8 duizend. Bij ongeveer 6,8 duizend meldingen in 2024 was sprake van cybercrime, zoals hacking, malware of phishing. Bron: CBS Cybersecuritymonitor 2025, onderdeel Cybersecurityincidenten.
Bij datalekken denken veel kleine organisaties nog steeds aan ziekenhuizen, gemeenten en grote webshops. Maar een gewone website kan al genoeg zijn. Contactformulier. Offerteaanvraag. Inschrijving voor een training. Sollicitatieformulier. Nieuwsbrief. Klantomgeving. Webshop. Zodra je persoonsgegevens verwerkt, moet je weten wat ermee gebeurt.
En als er dan iets misgaat, is “we vragen het even aan de webbouwer” niet altijd genoeg. Want misschien is die webbouwer niet meer betrokken. Misschien zit de hosting ergens anders. Misschien is de plugin die het formulier opslaat al drie jaar niet meer bekeken. Misschien worden inzendingen ook nog doorgestuurd naar drie mailboxen waarvan er één niet meer actief gebruikt wordt.
Dat klinkt rommelig, maar dit soort rommel is precies waar beheer over gaat. Niet alleen mooie pagina’s maken, maar ook zorgen dat de onderkant klopt.
| Risico | Wat je praktisch moet regelen |
|---|---|
| Gestolen wachtwoord | MFA aanzetten op WordPress, hosting, domeinbeheer, mail en cloudaccounts |
| Verouderde software | Updates periodiek uitvoeren, maar niet blind op productie |
| Onbekende toegang | Oude accounts opruimen en rechten beperken |
| Onbruikbare back-up | Niet alleen back-ups maken, maar ook terugzetten testen |
| Phishingmail | Duidelijk maken wie officiële meldingen van hosting, domeinen en software behandelt |
| Mogelijk datalek | Weten welke formulieren persoonsgegevens verwerken en waar die data terechtkomt |
Dus ja, cybersecurity is gewoon beheer geworden
Wat ik uit de Cybersecuritymonitor 2025 haal, is niet: paniek, alles wordt enger. Dat vind ik te makkelijk. Het beeld is eigenlijk nuchterder. Bedrijven nemen meer maatregelen. MFA groeit hard. Websites scoren beter op standaarden. Dat is allemaal prima nieuws.
Maar ondertussen blijft er een gat tussen “we hebben iets geregeld” en “we beheren dit goed”. En dat gat is belangrijk. Want een website blijft niet vanzelf veilig omdat hij ooit goed is opgeleverd. Software veroudert. Accounts blijven hangen. Rechten worden rommelig. Plugins veranderen. Hostinginstellingen worden aangepast. Mensen komen en gaan. En ondertussen blijven phishingmails gewoon binnenkomen.
Dus de vraag is niet alleen of je website vandaag werkt. De vraag is of iemand er structureel naar kijkt. Of je digitale basis meetbaar op orde is. Of duidelijk is wie wat doet als er iets misgaat. Of back-ups niet alleen bestaan, maar ook bruikbaar zijn. Of oude toegang wordt opgeruimd. Of updates niet blind worden gedaan, maar wel gewoon gebeuren.
Dat is misschien minder spannend dan praten over hackers. Maar eerlijk gezegd vind ik dit juist het mooie aan goed websitebeheer. Het is praktisch. Het is controleerbaar. En als je het goed doet, voorkom je vaak precies die ellende waar iedereen pas over nadenkt als het te laat is.
Cybersecurity begint dus niet altijd met een groot plan. Soms begint het gewoon met iemand die zegt: wacht even, wie houdt dit eigenlijk bij?