digitaalgezag
Cybersecurity

Back-upstrategie voor het MKB: de 3-2-1 regel in de praktijk

RDRedactie Digitaalgezag Laatst bijgewerkt: juni 2026

Van alle beveiligingsmaatregelen is een goede back-up misschien wel de belangrijkste, want het is je laatste verdedigingslinie. Als alle andere bescherming faalt en je wordt getroffen door ransomware, een storing of een menselijke fout, dan bepaalt je back-up of je binnen een dag weer draait of weken kwijt bent, of erger, gegevens definitief verliest. Toch is de back-up bij veel bedrijven precies datgene wat niemand goed heeft geregeld, totdat het te laat is.

In dit artikel lees je hoe je een back-upstrategie opzet die werkt, aan de hand van de beproefde 3-2-1 regel. Je leert wat een goede back-up onderscheidt van een schijnzekerheid, welke fouten bedrijven het vaakst maken, en waarom het belangrijkste onderdeel van een back-up niet het maken ervan is, maar het testen.

Waarom een back-up je belangrijkste vangnet is

De waarde van een back-up wordt pas zichtbaar op het slechtste moment. Bij ransomware (zie Ransomware) is een goede, gescheiden back-up vaak het verschil tussen losgeld betalen en simpelweg je gegevens terugzetten. Bij een storing of een per ongeluk verwijderd bestand bepaalt de back-up of je het terugkrijgt. En bij een datalek of incident beperkt een goede back-up de stilstand en daarmee de grootste kostenpost.

Een veelgemaakte denkfout is dat je cloudopslag zoals Microsoft 365 al een back-up is. Dat is niet zo. Die diensten zorgen voor beschikbaarheid, maar als gegevens worden verwijderd of versleuteld, ben je ze na verloop van tijd kwijt. Een echte back-up is een aparte, gescheiden kopie die je terug kunt zetten, ook als het origineel verloren of besmet is.

De 3-2-1 regel uitgelegd

De 3-2-1 regel is de internationaal beproefde vuistregel voor een betrouwbare back-up. Hij is simpel te onthouden en dekt de belangrijkste risico's af.

3 kopieën van je gegevens. Het origineel plus minstens twee back-ups. Eén back-up is kwetsbaar: als die faalt op het moment dat je hem nodig hebt, sta je alsnog met lege handen. Twee back-ups geven je een reserve.

2 verschillende dragers of soorten opslag. Bewaar de kopieën niet allemaal op hetzelfde type opslag. Bijvoorbeeld een kopie op een lokaal systeem en een in de cloud. Zo voorkom je dat één type probleem al je kopieën tegelijk treft.

1 kopie op een andere locatie of afgescheiden. Minstens één back-up moet buiten je eigen pand of volledig afgescheiden van je netwerk staan. Dit beschermt tegen rampen die je hele locatie treffen (brand, diefstal) én tegen ransomware, die zich anders ook over je aangesloten back-ups kan verspreiden.

Die laatste, de afgescheiden of offline kopie, is in het tijdperk van ransomware extra belangrijk geworden. Een back-up die continu verbonden is met je netwerk, kan door dezelfde aanval worden versleuteld als je hoofdsysteem. Een afgescheiden kopie blijft buiten bereik.

De fouten die een back-up waardeloos maken

Een back-up hebben is niet hetzelfde als beschermd zijn. Dit zijn de fouten die bedrijven duur komen te staan.

Fout 1: nooit testen of de back-up werkt. Dit is veruit de belangrijkste. Talloze bedrijven ontdekken pas op het moment dat ze de back-up nodig hebben, dat hij onvolledig, beschadigd of onbruikbaar is. Een back-up die je nooit hebt teruggezet, is een aanname, geen zekerheid.

Fout 2: alle kopieën verbonden houden. Als al je back-ups continu aan het netwerk hangen, kan ransomware ze allemaal tegelijk versleutelen. Daarom de afgescheiden kopie uit de 3-2-1 regel.

Fout 3: niet alles back-uppen wat nodig is. Soms wordt alleen een deel van de gegevens geback-upt, en blijkt achteraf dat cruciale systemen of cloudgegevens (zoals Microsoft 365) ontbreken.

Fout 4: te weinig frequent. Een back-up van een week oud betekent dat je bij een incident een week aan werk kwijt bent. Hoe vaak je back-upt, bepaalt hoeveel je in het ergste geval verliest.

Fout 5: geen idee hoe lang herstel duurt. Weten dat je een back-up hebt is iets anders dan weten hoe snel je weer draait. Als terugzetten dagen kost, heb je alsnog lange stilstand.

Het belangrijkste: testen, testen, testen

Als je één ding onthoudt uit dit artikel: een back-up die je nooit hebt getest, is geen back-up maar een hoop. De enige manier om zeker te weten dat je beschermd bent, is regelmatig een herstel uitvoeren en controleren of de teruggezette gegevens compleet en bruikbaar zijn.

Maak van dat testen een vaste gewoonte, bijvoorbeeld een paar keer per jaar. Test niet alleen of de bestanden er zijn, maar of je daadwerkelijk een werkende situatie kunt herstellen binnen een acceptabele tijd. Pas als je een geslaagde testherstel achter de rug hebt, weet je dat je back-up zijn werk zal doen wanneer het erop aankomt.

Een werkbare aanpak voor het MKB

Je hoeft dit niet ingewikkeld te maken. Een praktische opzet voor een MKB-bedrijf:

Stap 1: breng in kaart welke gegevens en systemen cruciaal zijn. Wat zou je echt niet kunnen missen? Vergeet je cloudgegevens zoals Microsoft 365 niet.

Stap 2: richt de 3-2-1 structuur in: meerdere kopieën, verschillende opslag, minstens één afgescheiden of buiten de deur.

Stap 3: bepaal hoe vaak je back-upt op basis van hoeveel werk je maximaal wilt kunnen verliezen.

Stap 4: test het herstel een paar keer per jaar, en leg vast hoe lang het duurt.

Stap 5: maak iemand verantwoordelijk, zodat het niet iets is wat "vanzelf goed gaat" maar wat iemand actief bewaakt.

Voor de inrichting kan een IT-partij helpen, maar de regie, weten wat cruciaal is en eisen dat het herstel getest wordt, houd je zelf.

Veelgestelde vragen

Is Microsoft 365 of de cloud al een back-up?

Nee, dat is een veelgemaakt en gevaarlijk misverstand. Clouddiensten zorgen voor de beschikbaarheid van de dienst, maar als gegevens worden verwijderd of door ransomware versleuteld, ben je ze na verloop van tijd kwijt. Een echte back-up is een aparte, gescheiden kopie die je kunt terugzetten, ook als het origineel besmet of verloren is. Voor Microsoft 365-gegevens heb je dus een aparte back-upoplossing nodig.

Wat houdt de 3-2-1 regel precies in?

Drie kopieën van je gegevens (het origineel plus twee back-ups), op twee verschillende soorten opslag, waarvan één kopie op een andere locatie of volledig afgescheiden van je netwerk. Die afgescheiden kopie is cruciaal tegen ransomware, want een back-up die continu aan je netwerk hangt, kan door dezelfde aanval worden versleuteld.

Hoe vaak moet ik een back-up maken?

Dat hangt af van hoeveel werk je maximaal kunt missen. Werk je met gegevens die continu veranderen, dan wil je vaak, mogelijk dagelijks of vaker, back-uppen. De vuistregel: de tijd tussen twee back-ups is de hoeveelheid werk die je in het ergste geval kwijtraakt. Bepaal wat voor jouw bedrijf acceptabel is en stem de frequentie daarop af.

Waarom is het testen van een back-up zo belangrijk?

Omdat een back-up die je nooit hebt teruggezet een aanname is, geen zekerheid. Veel bedrijven ontdekken pas op het moment dat ze hem nodig hebben dat de back-up onvolledig, beschadigd of onbruikbaar is. Door regelmatig een herstel te testen, weet je zeker dat je beschermd bent én hoe lang herstel duurt. Testen is het verschil tussen denken dat je veilig bent en het werkelijk zijn.

Wat moet er allemaal in de back-up?

Alles wat cruciaal is voor je bedrijf en wat je niet makkelijk opnieuw kunt maken: je bedrijfsgegevens, klantgegevens, administratie, en je cloudgegevens zoals Microsoft 365. Een veelgemaakte fout is dat alleen een deel wordt geback-upt en dat achteraf blijkt dat belangrijke systemen ontbraken. Breng daarom vooraf in kaart wat je echt niet kunt missen.

---