Heb ik als ZZP'er een VPN nodig?

Op je eigen thuisnetwerk: nee. Op openbare WiFi (hotel, trein, café) met klantgegevens: ja. Een VPN versleutelt je verkeer zodat anderen op hetzelfde netwerk niet mee kunnen kijken. Maar het is een aanvulling op encryptie en 2FA, geen vervanging.

Hoe vaak moet ik mijn wachtwoorden veranderen?

Het oude advies van "elke 90 dagen" is achterhaald. Gebruik unieke wachtwoorden via een wachtwoordmanager, schakel 2FA in, en wijzig alleen bij aanleiding: een lek, een verdachte login, of een dienst die je niet meer vertrouwt.

Is mijn thuisnetwerk veilig genoeg voor zakelijk gebruik?

Meestal wel, mits je WPA2 of WPA3 gebruikt, je router-wachtwoord hebt gewijzigd van de standaard, en de firmware up-to-date is. Het echte risico zit in je accounts en apparaten, niet in je netwerk.

Moet ik antivirussoftware installeren?

Windows Defender is ingebouwd en voldoende voor de meeste ZZP'ers. De maatregelen in dit artikel (encryptie, 2FA, updates, wachtwoordmanager) beschermen je tegen meer dreigingen dan een extra virusscanner.

Ben ik aansprakelijk als mijn klantdata lekt door een hack?

Ja. Als verwerkingsverantwoordelijke ben je verantwoordelijk voor de beveiliging van de persoonsgegevens die je verwerkt, ook als het lek wordt veroorzaakt door een cyberaanval. De AVG (artikel 32) vereist passende technische maatregelen. Meer over meldprocedures lees je in het artikel over datalek melden.

Heb ik een cyberverzekering nodig?

Voor de meeste ZZP'ers is het niet de eerste prioriteit. De basismaatregelen uit dit artikel voorkomen het overgrote deel van incidenten. Een cyberverzekering is het overwegen waard als je regelmatig werkt met gevoelige gegevens (medisch, financieel) of als je veel klanten hebt waarvan een datalek grote financiële gevolgen kan hebben.

Digitale beveiliging voor ZZP'ers

Je ontwikkelt websites voor klanten. Of je doet de boekhouding voor tien ZZP'ers. Of je runt een marketingbureau van twee man. In alle gevallen: klantgegevens staan op je laptop, in je cloudopslag, in je boekhoudpakket. De beveiliging daarvan is jouw verantwoordelijkheid. Niet die van je hosting, niet die van je boekhoudpakket. Jouw verantwoordelijkheid.

Dit is wat je moet regelen. Geen theorie, alleen de stappen.

In het kort

5 maatregelen: encryptie, 2FA, wachtwoordmanager, updates, backups
Kost minder dan een uur en is grotendeels gratis
De AVG verplicht "passende technische maatregelen" — dit is het minimum

De 5 maatregelen die je nu moet nemen

1. Schijfencryptie aan. FileVault (Mac), BitLocker (Windows Pro), Apparaatversleuteling (Windows Home), LUKS (Linux). Dit is de maatregel met de meeste impact: bij een gestolen laptop zonder encryptie heb je een meldplichtig datalek. Met encryptie waarschijnlijk niet. Duurt 2 minuten om in te schakelen. Meer over wat er gebeurt als je laptop weg is lees je in het artikel over laptop-diefstal.

2. 2FA overal. Tweefactorauthenticatie op je e-mail (prioriteit 1, want wachtwoord-resets lopen via e-mail), je bank, je boekhoudpakket, je cloudopslag, GitHub, je hostingpaneel. Gebruik een authenticator-app (Authy, Google Authenticator, of de ingebouwde functie van 1Password). Geen SMS-codes: die zijn onderschepbaar via SIM-swapping.

3. Wachtwoordmanager. Het probleem is niet zwakke wachtwoorden. Het probleem is hergebruik. Als één dienst lekt, zijn alle accounts met hetzelfde wachtwoord kwetsbaar. Een wachtwoordmanager genereert en onthoudt unieke wachtwoorden voor je. Bitwarden is gratis en open source. 1Password kost rond de 3 euro per maand. KeePass is gratis en draait lokaal. Setup: 10 minuten. Prijzen: stand van zaken maart 2026, kunnen wijzigen.

4. Software updaten. De meeste aanvallen misbruiken bekende kwetsbaarheden waar al een patch voor beschikbaar is. Automatische updates aan voor je OS, browser en apps. Niet uitstellen. Een verouderd systeem is een open uitnodiging.

5. Backups. Cloudopslag met versiebeheer (Google Drive, OneDrive) voor werkbestanden. Time Machine of Windows Backup voor je hele systeem. Automatisch, want een backup die je handmatig moet starten ga je niet starten. Een backup beschermt niet tegen diefstal, maar tegen verlies: ransomware, kapotte schijf, per ongeluk verwijderd.

Deze vijf maatregelen kosten samen minder dan een uur. Ze zijn grotendeels gratis. En ze zijn wat de AVG bedoelt met "passende technische maatregelen" (artikel 32) voor een kleine ondernemer.

Wil je weten hoe je scoort op beveiliging en andere AVG-basics? De Privacy Scan checkt het in 2 minuten.

"Ik ben te klein om gehackt te worden"

De gevaarlijkste aanname in cybersecurity. Onderzoek van Vodafone Business laat zien dat driekwart van het MKB al te maken heeft gehad met cybercriminaliteit. Geautomatiseerde aanvallen discrimineren niet op bedrijfsgrootte. Bots scannen het internet continu op kwetsbaarheden, zwakke wachtwoorden en open poorten. Ze weten niet of je een eenmanszaak bent of een multinational.

Sterker nog: als freelancer ben je een aantrekkelijker doelwit dan je denkt. Niet omdat je data zo waardevol is, maar omdat je beveiliging zwakker is dan bij je klanten. Als je werkt voor grotere bedrijven, ben jij de zwakke schakel in hun keten. Een gehackt e-mailaccount bij jou geeft toegang tot correspondentie met al je klanten. Je boekhouder met toegang tot financiële gegevens van tien klanten? Eén gecompromitteerd account is tien datalekken.

Het NCSC registreerde in 2023 meer dan 10.000 meldingen van business email compromise (BEC), een stijging van 40% ten opzichte van het jaar daarvoor. De gemiddelde schade bij het MKB: 270.000 euro per incident. De aanval is simpel: iemand hackt jouw e-mail, stuurt namens jou een factuur met een ander rekeningnummer naar je klant, en incasseert het bedrag. Geen technisch hoogstandje. Gewoon een gestolen wachtwoord en een overtuigende e-mail.

Developer? Beveilig ook je workflow

De standaard vijf maatregelen zijn de basis. Als developer heb je extra aanvalsvlakken.

SSH-keys met passphrase. Beveilig elke SSH-key met een sterke passphrase. Gebruik ssh-agent zodat je niet elke keer hoeft te typen. Overweeg hardware security keys (YubiKey) voor je belangrijkste diensten. Maak een lijst van waar je keys staan, zodat je ze snel kunt revoken als je laptop verdwijnt.

Secrets uit je code. Geen credentials in code. Gebruik .env bestanden en zorg dat .gitignore klopt. Draai git-secrets of truffleHog om te scannen op gelekte secrets. GitHub Secret Scanning vangt veel op, maar niet alles. Een gelekte API-key op een publieke repo wordt binnen minuten gevonden door bots.

Dependencies updaten. npm audit, Dependabot, Snyk. Verouderde packages zijn een van de meest voorkomende ingangen voor supply chain attacks. Automatiseer waar mogelijk. Een kwetsbaarheid in een dependency is jouw probleem als het jouw applicatie draait.

Geen productiedata lokaal. Geen database-dumps met klantrecords op je laptop. Gebruik seed-data of geanonimiseerde datasets voor development. Als je een productie-dump nodig hebt om een bug te debuggen, verwijder hem daarna.

Container security. Docker images met default credentials, exposed ports in docker-compose die per ongeluk naar productie gaan. Review je Dockerfiles en compose-configuratie. Draai geen containers als root tenzij het echt moet.

Meer over waar je klantdata veilig opslaat lees je in het artikel over klantgegevens opslaan.

Phishing: de aanval die iedereen treft

Phishing is de meestgebruikte ingang voor cyberaanvallen bij kleine bedrijven. Niet ransomware, niet hackers die je firewall doorbreken. Een e-mail die er uitziet als je bank, je hostingprovider, of je opdrachtgever.

Herkennen:

Urgentie ("je account wordt geblokkeerd binnen 24 uur")
Onverwachte bijlagen of links
Subtiel verkeerd e-mailadres (support@m1crosoft.com)
Verzoek om in te loggen via een link in de mail

Voorkomen:

Klik nooit op links in e-mails om in te loggen. Ga zelf naar de website.
Twijfel? Bel de afzender via een nummer dat je zelf opzoekt, niet het nummer in de mail.
Check het daadwerkelijke e-mailadres van de afzender, niet alleen de weergavenaam.
Wees extra alert bij facturen, betaalverzoeken en "dringende" berichten van leveranciers.

Een concreet scenario: je krijgt een e-mail die lijkt van je opdrachtgever, met het verzoek om de volgende factuur naar een ander bankrekeningnummer over te maken. Dit is business email compromise. Een telefoontje naar je opdrachtgever voorkomt duizenden euro's schade.

De contra-intuïtieve waarheid: phishing wordt steeds beter. AI-gegenereerde phishing is grammaticaal perfect en gepersonaliseerd. Je kunt het niet meer herkennen aan spelfouten. 2FA is je beste bescherming: zelfs als je je wachtwoord invult op een phishing-site, komt de aanvaller niet binnen zonder je tweede factor.

Openbaar WiFi en onderweg werken

De risico's van openbare WiFi worden overschat door sommigen en genegeerd door anderen.

De realiteit: vrijwel al je verkeer is al versleuteld via HTTPS. Een aanvaller op hetzelfde WiFi-netwerk kan zien welke websites je bezoekt, maar niet wat je doet op die websites. Voor normaal internetgebruik is openbare WiFi prima.

Maar als je werkt met klantgegevens op een onbeveiligd netwerk, is een VPN verstandig. Het versleutelt al je verkeer. NordVPN, Mullvad, of ProtonVPN zijn gangbare opties. Kosten: rond de 3-5 euro per maand. Prijzen maart 2026.

Het grotere risico: shoulder surfing. Iemand die meekijkt op je scherm in de trein of het café. Een privacy screen filter (rond de 30 euro) is voor mensen die regelmatig op openbare plekken werken een betere investering dan een VPN.

Beveiliging en de AVG: wat je wettelijk moet regelen

Beveiliging is niet alleen verstandig. Het is een wettelijke verplichting. Artikel 32 AVG vereist "passende technische en organisatorische maatregelen" om persoonsgegevens te beschermen. Wat "passend" is hangt af van de aard en omvang van je verwerkingen.

Voor een ZZP'er is de lat niet hoog. De vijf maatregelen uit dit artikel dekken de basis ruimschoots. Maar als je helemaal niets doet en er gaat iets mis, dan kun je daar op aangesproken worden. Niet alleen door de AP, maar ook door je klanten.

Concreet scenario: je bent grafisch ontwerper, je bewaart klantbriefings in een Google Drive-map, en je account wordt gehackt omdat je geen 2FA had. De klantgegevens zijn gelekt. Je moet dit melden bij de AP binnen 72 uur. De AP kan beoordelen dat je onvoldoende beveiligingsmaatregelen had getroffen. In de praktijk richt de AP zich op structurele overtredingen bij grotere organisaties, maar het risico is er. En los van de AP: je klant kan je aanspreken op nalatigheid.

De les: beveilig je spullen niet voor de AP. Beveilig ze voor je klanten. En voor jezelf.

Wat het kost en wat het oplevert

De basismaatregelen zijn gratis of goedkoop:

Encryptie: gratis (ingebouwd in je OS)
2FA: gratis (authenticator-app)
Wachtwoordmanager: gratis (Bitwarden) tot rond de €3/maand (1Password)
Updates: gratis
Backup: gratis (als je al cloudopslag hebt) tot rond de €10/maand
VPN (optioneel, voor onderweg): rond de €3-5/maand
Privacy screen filter (optioneel): eenmalig rond de €30

Totaal: 0 tot 100 euro per jaar. Setup-tijd: een uurtje. Vergelijk dat met de kosten van een cyberincident: gemiddeld 270.000 euro schade bij het MKB, volgens onderzoek van Vodafone Business. Of de uren aan stress: melden bij de AP, klanten informeren, wachtwoorden overal resetten, reputatieschade.

De contra-intuïtieve waarheid over beveiliging: het duurste is niets doen. De maatregelen die het meeste verschil maken (encryptie, 2FA, wachtwoordmanager) zijn gratis. De tools die geld kosten (VPN, premium wachtwoordmanager) zijn nice-to-haves, geen must-haves. Je hoeft geen budget vrij te maken. Je hoeft alleen een uurtje vrij te maken.

Doe het. Vanmiddag. Het is het verschil tussen een professionele ondernemer en iemand die wacht tot het misgaat.

Alle prijzen in dit artikel: stand van zaken maart 2026. Prijzen kunnen wijzigen.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.