Inloggen
Registreren

Backup voor het MKB: complete gids voor 2026

INHOUD

    Een backup is de goedkoopste verzekering die je bedrijf heeft, tot het moment dat je hem nodig hebt. Dan is het verschil tussen een vervelende ochtend en een faillissement. Toch behandelen veel MKB-ondernemers backups als iets dat “wel goed zit”, zeker sinds vrijwel alles in de cloud staat. Dat vertrouwen is precies het risico.

    In deze gids lees je hoe een backup er in 2026 uit hoort te zien: welke regel je volgt, welke data je beschermt, wat de wet van je vraagt en waarom de meeste backups falen op het moment dat het erop aankomt.

    Waarom je niet op de cloud alleen kunt vertrouwen

    Microsoft 365, Google Workspace en je hostingpartner draaien op robuuste infrastructuur, maar dat is geen backup. Een clouddienst beschermt tegen hardwarefalen aan hun kant. Hij beschermt je niet tegen een medewerker die de verkeerde map verwijdert, een ransomware-aanval die je bestanden versleutelt, of een account dat gekaapt wordt. Microsoft hanteert voor 365 zelfs een expliciet gedeeld verantwoordelijkheidsmodel: zij houden de dienst draaiende, jij blijft verantwoordelijk voor je eigen data.

    De cijfers onderstrepen het belang. Ongeveer 1 op de 5 MKB-organisaties wordt slachtoffer van cybercriminaliteit. Voor een klein bedrijf zonder werkende backup is dataverlies vaak niet te overleven.

    De 3-2-1-1-0-regel: de standaard voor 2026

    De klassieke 3-2-1-regel was jarenlang de norm. Door ransomware is die uitgebreid tot 3-2-1-1-0. Zo ziet die eruit:

    • 3 kopieën van je data: het origineel plus twee backups.
    • 2 verschillende opslagmedia, zodat één type storing nooit alles raakt.
    • 1 kopie offsite, op een fysiek andere locatie (bijvoorbeeld een Europees datacenter).
    • 1 kopie immutable: niet te wijzigen of te verwijderen, ook niet door ransomware of een gekaapt beheerdersaccount.
    • 0 fouten bij het terugzetten: elke backup is getest en zet aantoonbaar terug.

    Die laatste twee zijn de echte vernieuwing. Een immutable kopie is de enige harde garantie dat ransomware je backups niet meeneemt. En de nul betekent dat je succes meet aan hoe goed je terugzet, niet aan hoe netjes de backup ’s nachts draaide.

    Draai je je eigen server? Dan lees je in onze gids over de 3-2-1-1-0 backupstrategie voor een VPS hoe je dit van snapshot tot immutable off-site replica inricht.

    Welke data je echt moet beschermen

    Een backup is pas compleet als alle kritische data erin zit. Voor de meeste MKB-bedrijven gaat het om vier categorieën:

    • Je website: bestanden én database. Voor WordPress betekent dat plugins, thema, uploads en de volledige database.
    • E-mail en samenwerking: Microsoft 365 of Google Workspace, inclusief mailboxen, agenda’s, OneDrive en SharePoint.
    • Servers en applicaties: een VPS of dedicated server met je eigen software en configuratie.
    • Lokale bestanden: alles wat nog op laptops, een NAS of een netwerkschijf staat.

    Voor Microsoft 365 lees je in onze complete uitleg over implementatie, kosten en backup waarom een aparte 365-backup geen luxe is. En gaat het mis met je site, dan vind je in WordPress backup terugzetten: 4 methodes zonder downtime stap voor stap hoe je herstelt.

    RTO en RPO: hoe snel en hoe vers

    Twee begrippen bepalen of je backup bij je bedrijf past:

    • RPO (Recovery Point Objective): hoeveel data je je kunt veroorloven te verliezen, uitgedrukt in tijd. Een dagelijkse backup betekent maximaal 24 uur verlies. Voor een webshop is dat vaak te veel.
    • RTO (Recovery Time Objective): hoe lang je het zonder je systemen uithoudt. Een paar uur of een paar dagen maakt voor je omzet een wereld van verschil.

    Bepaal deze twee getallen vóór je een oplossing kiest. Ze vertellen je of een wekelijkse offsite-backup volstaat of dat je naar dagelijkse, of zelfs continue, replicatie moet.

    Ransomware: waarom immutable geen optie meer is

    Ransomware-aanvallers zoeken tegenwoordig actief naar je backups en versleutelen die als eerste. Een backup die in hetzelfde netwerk en met dezelfde inloggegevens bereikbaar is, biedt dan geen bescherming. Immutable opslag lost dit op: data die voor een vastgestelde periode door niemand gewijzigd of verwijderd kan worden, ook niet door een aanvaller met beheerdersrechten.

    Ben je al getroffen? Volg dan eerst het noodprotocol voor een gehackte WordPress-site voordat je een backup terugzet.

    Wat NIS2 en de AVG van je vragen

    Backups zijn niet langer alleen verstandig, ze worden ook wettelijk verwacht. De Nederlandse Cyberbeveiligingswet, de uitwerking van de Europese NIS2-richtlijn, treedt naar verwachting in de loop van 2026 in werking. De kern is een zorgplicht: je beoordeelt je risico’s en neemt passende maatregelen, en back-ups en een incidentresponsplan horen daar nadrukkelijk bij. Val je onder NIS2, dan is een 3-2-1-1-0-aanpak met een geteste herstelprocedure een logische invulling.

    De AVG stelt eigen eisen: persoonsgegevens horen veilig en binnen de EU bewaard te worden, ook in je backups. Een offsite-kopie in een Europees datacenter houdt je hier aan de goede kant. In onze AVG-checklist voor WordPress lees je hoe je dit voor je site concreet maakt.

    De grootste fout: een backup die je nooit test

    De nul in 3-2-1-1-0 is geen detail. Een backup die je nooit hebt teruggezet, is een aanname en geen zekerheid. Bestanden die stilletjes corrupt raken, een database die niet meekomt, een herstel dat dagen duurt terwijl je dacht in een uur klaar te zijn: dat ontdek je alleen door te testen. Plan periodieke testherstellen in en leg vast hoe lang ze duren. Dat getal is je echte RTO.

    Zelf doen of uitbesteden

    Je kunt backups zelf inrichten met plugins en scripts. Voor één eenvoudige site werkt dat soms, maar het valt of staat met discipline: draaien de backups echt, staan ze offsite, en heb je ze ooit getest? Zodra er meerdere systemen of klanten bij komen, wordt uitbesteden vaak goedkoper dan het lijkt.

    We zetten de afweging op een rij in WordPress backup uitbesteden: waarom een plugin niet meer genoeg is, en leggen in wat managed webhosting precies voor je doet uit wat je hostingpartner zou moeten regelen.

    Bij PC Patrol draait elke site en server op hosting met dagelijkse, offsite backups in een Europees datacenter, inclusief immutable kopieën en geteste herstelprocedures. Je hoeft er zelf niet aan te denken, en als het misgaat staan we klaar om terug te zetten. Wil je weten of je huidige backup de 3-2-1-1-0-toets doorstaat? Neem contact met ons op, dan kijken we met je mee.

    Tik je bedrijfsnaam in en check de extensies.

    Eén afrekening, drie domeinen, volledige bescherming.
    Domein zoeken

    Misschien ook interessant

    Blog

    Vulnerability disclosure policy voor je webapplicatie opzetten volgens de Cyber Resilience Act

    Waarom een vulnerability disclosure policy onmisbaar is Een vulnerability disclosure policy is de spelregelset waarmee je beveiligingsonderzoekers en...

    Chris 4 mrt 2026 4 min
    Blog

    Application performance monitoring voor WordPress en Laravel prestatieknelpunten

    Wat is application performance monitoring voor WordPress en Laravel? Application performance monitoring, vaak afgekort als APM, is een...

    Chris 8 feb 2026 3 min
    Blog

    Cyberverzekering voor je website en hosting kiezen: waar moet je op letten

    Cyberverzekering voor je website en hosting kiezen Een cyberverzekering voor je website en hosting lijkt misschien iets voor...

    Chris 17 apr 2026 4 min