Jouw cloudapp is geen backup: wat mkb'ers fout doen met gegevensbescherming

Gepubliceerd: 2 april 2026

Een gesprek dat in IT-support regelmatig voorkomt: een bedrijf verliest belangrijke bestanden, e-mails of een hele database. Als je vraagt naar backups, is het antwoord: "Ja, dat staat allemaal in de cloud." Dan volgt het lastige gedeelte: uitleggen dat "in de cloud staan" en "een backup hebben" niet hetzelfde zijn.

Dit misverstand kost bedrijven elke week gegevens. Het loont om precies te begrijpen waarom, en hoe een goede backupstrategie eruitziet voor een klein of middelgroot bedrijf.

De cloud bewaart je data. Hij beschermt hem niet

Microsoft 365, Google Workspace en de meeste SaaS-platforms zijn ontworpen om je gegevens beschikbaar en gesynchroniseerd te houden op al je apparaten. Dat doen ze uitstekend. Wat ze niet doen, is je beschermen tegen:

• Per ongeluk verwijderde bestanden — Microsoft 365 bewaart verwijderde items 30 tot 93 dagen, afhankelijk van je licentie en instellingen. Daarna zijn de gegevens weg.
• Ransomware die je bestanden versleutelt — Ransomware-aanvallen zijn regelmatig gericht op gesynchroniseerde cloudschijven. Omdat je synchronisatieclient de versleutelde bestanden keurig naar de cloud kopieert, vervangen die versies de originelen. Het resultaat: een perfect gesynchroniseerde versleutelde kopie van alles.
• Opzettelijk verwijderen door een vertrekkende medewerker — Als iemand met toegang data bewust verwijdert, repliceert het synchronisatieplatform die verwijdering even efficiënt.
• Toepassingsfouten of mislukte migraties — Een mislukte CRM-migratie of een falende update kan gegevens beschadigen of overschrijven. De applicatie heeft geen begrip van "vóór dit moment."

De platforms zijn niet de schuldige. Ze doen precies wat ze beloven. De vergissing is om beschikbaarheid te zien als bescherming.

De 3-2-1-regel, praktisch toegepast

De 3-2-1-regel is de standaard basisregel voor gegevensbescherming:

• 3 kopieën van de data
• 2 op verschillende opslagmedia of systemen
• 1 offsite (of los van de primaire omgeving)

Voor een gemiddeld mkb-bedrijf ziet dat er zo uit:

1. Live data in je primaire systeem (Microsoft 365, je bestandsserver, je database)
2. Een dagelijkse backup naar lokale NAS of on-premise opslag
3. Een gerepliceerde kopie naar offsite of cloud-backupopslag met onveranderlijke bewaartermijn

De onveranderlijkheid van die derde kopie is cruciaal. Als je backupdoel bereikbaar is via dezelfde inloggegevens of systemen als je door ransomware geïnfecteerde machine, is het geen veilige kopie. Het is een tweede slachtoffer.

Bewaartermijn is belangrijker dan frequentie

Veel bedrijven ontdekken dat hun backup nutteloos is, niet omdat hij niet is uitgevoerd, maar omdat het probleem al eerder begon dan het bewaartermijn teruggaat. Als je 7 dagen aan backups bewaart en je ransomware-infectie sluimerde 10 dagen voordat hij zich activeerde, zijn alle 7 backups gecompromitteerd.

Een verstandige bewaartermijn voor een mkb-bedrijf:

• Dagelijkse backups bewaard gedurende 30 dagen
• Wekelijkse snapshots bewaard gedurende 3 maanden
• Maandelijkse snapshots bewaard gedurende 1 jaar

Dat is met moderne backuptooling niet duur. De opslagkosten zijn bescheiden, maar de herstelmogelijkheden zijn enorm.

Hersteltijd is de helft van de vergelijking

Een backup waar je niet snel van kunt herstellen is aanzienlijk minder waard dan een die dat wel biedt. De kernbegrippen zijn RPO (Recovery Point Objective: hoeveel data kun je veroorloven te verliezen?) en RTO (Recovery Time Objective: hoe lang mag je offline zijn terwijl je herstelt?).

Een bestandsserverbackup op een NAS in de hoek heeft een goede RPO. De RTO bij uitgevallen serverhardware kan twee tot vier dagen zijn, terwijl vervangende hardware wordt geleverd en de herstelbewerking loopt. Voor een bedrijf dat bestellingen of facturen verwerkt, is dat een serieus probleem.

Moderne beheerde backupoplossingen bieden:

• Herstel op bestandsniveau — herstel één verwijderd document in minuten, zonder het hele systeem terug te zetten
• Bare-metal restore — bouw een complete server op nieuwe hardware op vanuit één hersteltaak
• Snapshots van virtuele machines — start een kopie van je server in de cloud terwijl fysieke hardware wordt vervangen

Testen is ook essentieel. Een backup die nooit is getest, is een backup die mogelijk niet werkt. Kwartaalmatige herstelproeven bevestigen dat alles bruikbaar is voordat je het nodig hebt.

Hoe beheerde backup er in de praktijk uitziet

Het grootste voordeel van beheerde backup is monitoring. Backuptaken mislukken vaker geruisloos dan mensen beseffen. Een schijf loopt vol, een wachtwoord verloopt, een nieuwe databron wordt toegevoegd maar niemand werkt de backuptaak bij. Met beheerde backup controleert iemand elke dag of alles correct is gelopen, en wordt bij fouten ingegrepen voordat jij erachter komt op de moeilijke manier.

Voor de meeste mkb-bedrijven ziet de praktische aanpak er als volgt uit:

Microsoft 365 of Google Workspace backup — een speciaal derdepartijprogramma maakt dagelijks snapshots van e-mail, SharePoint, OneDrive en Teams in een aparte kluis, buiten het eigen bewaarsysteem van Microsoft.

Server- en NAS-backup — gerepliceerd naar offsite of cloud-objectopslag met onveranderlijke write-once-bewaring, zodat ransomware de backupkopieën niet kan wijzigen of verwijderen, ook niet met beheerderstoegang.

Point-in-time herstel voor databases — voor kritieke transactionele data maakt logverzending herstel mogelijk tot op de minuut, niet alleen naar de laatste nachtelijke snapshot.

Een praktisch startpunt

Als je niet zeker weet hoe het er bij jou voorstaat, beantwoord dan drie vragen:

1. Als je vandaag alle e-mail van de afgelopen 6 maanden zou kwijtraken, kun je die herstellen? Waarvan, en hoe lang duurt dat?
2. Als ransomware vannacht je bestandsserver zou versleutelen, hoe ziet je herstelproces er dan uit?
3. Wanneer heb je voor het laatst een hersteltest uitgevoerd?

Als een van die antwoorden onzeker is, heeft je backupstrategie aandacht nodig. Een goede oplossing voor een bedrijf van 10 tot 50 medewerkers is niet ingewikkeld, en zeker niet duur in vergelijking met de kosten van onherstelbaar verlies van gegevens.