Wat kost een datalek het MKB werkelijk? Cijfers en voorbeelden

Als het over de kosten van een datalek gaat, denken de meeste ondernemers aan het herstel: de IT-rekening om de boel weer werkend te krijgen. Maar dat is vaak het kleinste deel van de schade. De werkelijke kosten van een datalek zitten in de stilstand, het verlies van gegevens, de schade aan je reputatie en de juridische nasleep. Bij elkaar opgeteld is een datalek voor het MKB een van de duurste dingen die je kan overkomen, en juist daarom is voorkomen zo lonend.

In dit artikel reken je de werkelijke kosten van een datalek door. Je krijgt de vijf kostenposten die samen de rekening vormen, rekenvoorbeelden per bedrijfsgrootte, en een nuchtere conclusie over waarom de preventie ervan vrijwel altijd goedkoper is dan het incident. Zo weet je niet alleen dát een datalek duur is, maar precies waar die kosten zitten.

De vijf kostenposten van een datalek

Een datalek kost op vijf manieren tegelijk geld. De fout die de meeste mensen maken is alleen naar de eerste kijken.

1. Direct herstel

De meest zichtbare kosten: het opsporen van het lek, het dichten ervan, het herstellen van systemen en gegevens, en de IT-uren of externe specialisten die daarvoor nodig zijn. Bij een serieus incident komt hier al snel een fors bedrag bij kijken, zeker als je externe hulp moet inschakelen onder tijdsdruk.

2. Stilstand

Dit is vaak de grootste en meest onderschatte post. Terwijl je systemen plat liggen of onbetrouwbaar zijn, kan (een deel van) je bedrijf niet werken. Iedereen die stilstaat kost gewoon zijn werkelijke uurkosten door, terwijl er geen omzet tegenover staat. Bij een incident dat dagen duurt, loopt dit hard op. Dit is dezelfde logica als bij de verborgen kosten: stilstaande mensen zijn een directe kostenpost.

3. Gegevensverlies

Als gegevens niet of slechts deels te herstellen zijn, kost dat op twee manieren: het opnieuw opbouwen of reconstrueren van wat verloren is, en de schade van wat je definitief kwijt bent. Zonder goede back-up (zie Back-upstrategie) kan deze post catastrofaal zijn.

4. Reputatieschade

Een datalek waarbij klantgegevens betrokken zijn, schaadt het vertrouwen. Klanten die weglopen, opdrachten die je misloopt, en de moeite om het vertrouwen te herwinnen, zijn reële kosten, ook al staan ze op geen enkele factuur. Voor een bedrijf dat op vertrouwen draait, kan dit de duurste post van allemaal zijn.

5. Juridische gevolgen en meldplicht

Bij een datalek met persoonsgegevens gelden wettelijke verplichtingen. Je moet het mogelijk melden bij de Autoriteit Persoonsgegevens en soms bij de betrokkenen. Er kan onderzoek volgen, er kunnen boetes worden opgelegd, en getroffen partijen kunnen schade claimen. De juridische begeleiding hierbij kost ook geld.

Rekenvoorbeeld per bedrijfsgrootte

Onderstaande voorbeelden zijn indicatief en gaan uit van een serieus maar niet extreem incident: enkele dagen verstoring plus herstel en nasleep. De werkelijke kosten variëren sterk per situatie, maar de orde van grootte maakt het punt duidelijk. We rekenen met een werkelijke uurkost van 42 euro.

Bedrijf met 40 werkplekken

Stel, drie dagen waarin gemiddeld de helft van de mensen niet of nauwelijks kan werken:

• Stilstand: 20 mensen × 3 dagen × 8 uur × € 42 = circa € 20.000
• Direct herstel (intern en extern): € 8.000 tot € 15.000
• Juridische nasleep en melding: € 3.000 tot € 8.000
• Reputatie en gegevensverlies: sterk variabel, vaak het grootst

Alleen de eerste drie posten samen: al snel € 30.000 tot € 40.000, nog zonder de reputatieschade.

Bedrijf met 80 werkplekken

• Stilstand: 40 mensen × 3 dagen × 8 uur × € 42 = circa € 40.000
• Direct herstel: € 15.000 tot € 30.000
• Juridische nasleep: € 5.000 tot € 12.000

Samen: richting € 60.000 tot € 80.000, plus reputatieschade en eventueel gegevensverlies.

Dit zijn geen schrikgetallen om je bang te maken, het is een nuchtere optelsom van wat er gebeurt als een bedrijf een paar dagen ontregeld is en daarna de nasleep moet afhandelen.

Waarom preventie vrijwel altijd goedkoper is

Zet die bedragen nu naast de kosten van preventie. De belangrijkste beveiligingsmaatregelen, tweefactorauthenticatie, een goede back-up, phishingbewustzijn en systemen up-to-date houden, kosten weinig tot niets. Het zijn vooral kwesties van inrichten en discipline, niet van grote investeringen.

De rekensom is daarmee bijna oneerlijk gunstig. Voor een fractie van wat één incident kost, kun je de kans op dat incident drastisch verkleinen. Het is een van de weinige uitgaven waar de verhouding tussen wat je betaalt en wat je voorkomt zo scheef ligt in jouw voordeel. Dat is precies waarom cybersecurity geen kostenpost is maar een investering met een uitzonderlijk rendement: het rendement is alle ellende die je niet krijgt.

De andere kant: niet alles is te voorkomen

Een eerlijk artikel erkent dat geen enkele beveiliging honderd procent garandeert. Zelfs goed beveiligde bedrijven kunnen getroffen worden. Maar dat is geen reden om niets te doen, integendeel. Goede basismaatregelen halen je uit de groep van makkelijke doelwitten en verkleinen zowel de kans als de schade. En voor het restrisico bestaat aanvullende bescherming zoals een goede back-up (die de schade van ransomware enorm beperkt) en een cyberverzekering (die de financiële klap opvangt). De juiste vraag is niet of je alles kunt voorkomen, maar of je de kans en de schade zo klein mogelijk hebt gemaakt.

Veelgestelde vragen

Wat kost een datalek gemiddeld voor een MKB-bedrijf?

De totale kosten lopen al snel in de tienduizenden euro's en kunnen bij een serieus incident richting de zestig- tot tachtigduizend euro of meer gaan voor een middelgroot bedrijf. Dat komt doordat naast het herstel ook de stilstand, mogelijk gegevensverlies, reputatieschade en juridische nasleep meetellen. De stilstand is vaak de grootste en meest onderschatte post.

Welke kostenpost van een datalek wordt het meest onderschat?

De stilstand. Mensen denken aan de herstelrekening, maar terwijl systemen plat liggen kan een groot deel van het bedrijf niet werken, en die uren lopen gewoon door zonder dat er omzet tegenover staat. Bij een incident van enkele dagen is dit vaak de grootste enkele kostenpost, nog voor het technische herstel.

Moet ik een datalek melden?

Bij een datalek waarbij persoonsgegevens betrokken zijn, geldt in veel gevallen een wettelijke meldplicht bij de Autoriteit Persoonsgegevens, en soms ook bij de betrokken personen. De precieze verplichting hangt af van de aard en ernst van het lek. Het is verstandig om vooraf te weten hoe dit werkt, want onder tijdsdruk een datalek correct afhandelen is lastig.

Is preventie echt goedkoper dan herstel?

Vrijwel altijd, en met grote marge. De belangrijkste beveiligingsmaatregelen kosten weinig tot niets, terwijl één incident in de tienduizenden euro's loopt. Voor een fractie van de kosten van een aanval verklein je de kans erop drastisch. Het is een van de weinige investeringen waar de verhouding tussen kosten en voorkomen risico zo gunstig uitvalt.

Kan een datalek een bedrijf failliet doen gaan?

In het ergste geval wel. Een combinatie van langdurige stilstand, definitief gegevensverlies, zware reputatieschade en juridische claims kan voor een MKB-bedrijf existentieel zijn, zeker zonder goede back-up of verzekering. Dat is geen reden voor paniek, maar wel om de basis op orde te hebben: die haalt het overgrote deel van dit risico weg.

---