De 3-2-1-regel voor back-ups: hoe je dit als MKB praktisch regelt

Iedereen heeft het over back-ups, weinigen testen ze. Zo richt je de 3-2-1-regel in zonder dat het een IT-project wordt — met een check die je vandaag nog doet.

Als we bij een nieuwe klant binnenkomen en vragen "hoe staat het met de back-ups?", krijgen we meestal een van deze drie antwoorden: "dat doet onze leverancier", "dat staat in de cloud, dus dat is geregeld" of een ongemakkelijke stilte. Geen van die drie is een back-upstrategie.

De 3-2-1-regel is al decennia oud en doet het nog steeds prima. Hij is simpel genoeg om uit te leggen tijdens een lunch, en concreet genoeg om er morgen mee te beginnen. In deze post leggen we uit wat hij betekent, hoe je hem zonder IT-afdeling toepast, en welke stap bijna iedereen overslaat.

Wat zegt de 3-2-1-regel?

Drie cijfers, drie afspraken:

• 3 kopieën van je belangrijke data. Het origineel telt mee, dus dat is het origineel plus twee back-ups.
• 2 verschillende media of opslagtypes. Niet alles op dezelfde schijf of bij dezelfde provider.
• 1 kopie off-site. Fysiek of logisch op een andere locatie dan het origineel.

De gedachte erachter: één defect, één foutje of één gerichte aanval mag nooit alle kopieën tegelijk raken. Brand in het kantoor? Off-site kopie redt je. Ransomware op de fileserver? Het andere medium redt je. Provider gaat failliet? Je tweede kopie ergens anders redt je.

Hoe zit het met "het staat toch in de cloud"?

Microsoft 365, Google Workspace en de meeste boekhoudpakketten hebben uitstekende uptime. Maar uptime is geen back-up. Als een medewerker per ongeluk een SharePoint-bibliotheek leeggooit, als ransomware via een gedeelde map versleutelt, of als een account wordt gehackt en mailmappen worden verwijderd — dan synchroniseert die schade vrolijk mee naar "de cloud".

Microsoft zegt zelf in de servicevoorwaarden dat klanten verantwoordelijk zijn voor hun eigen data. De prullenbak en versiegeschiedenis zijn handig, maar geen vervanging voor een echte back-up met retentie van weken of maanden.

De 3-2-1-regel in de praktijk: vier scenario's

1. Microsoft 365 of Google Workspace

Origineel staat in de cloud. Voor je tweede en derde kopie kies je een gespecialiseerde back-up-dienst (denk aan partijen als Afi, Synology Active Backup, Veeam of Keepit). Die haalt dagelijks je mail, OneDrive, SharePoint en Teams op en bewaart die op eigen infrastructuur — dat is meteen je andere medium én off-site.

2. Boekhouding

Veel boekhoudpakketten bieden een exportfunctie. Plan maandelijks een export van je administratie (XML- of Auditfile) naar een aparte locatie. Bij twijfel: vraag je accountant of hij een kopie meeneemt in zijn eigen archief. Twee vliegen in één klap.

3. Je website

Hier zien we het vaakst dat het misgaat. De hosting heeft "back-ups", maar die staan op dezelfde server, of worden 14 dagen bewaard, of zijn alleen door de hoster te herstellen tegen een uurtarief. Zorg dat je naast de hoster-back-up een eigen kopie hebt — bijvoorbeeld via een plug-in die wekelijks naar externe opslag schrijft (S3, Backblaze, een eigen NAS).

4. Lokale bestanden en NAS

Als je nog bestanden lokaal of op een NAS hebt staan: kopie naar de cloud (off-site) plus eventueel een tweede externe schijf die je 's avonds losneemt. Een schijf die altijd aangesloten zit, is geen back-up — die wordt mee-versleuteld bij ransomware.

De stap die iedereen overslaat: een hersteltest

Een back-up die nooit is teruggezet, is een aanname. We hebben meegemaakt dat een klant trouw drie jaar back-ups maakte van een database, maar dat het exportscript de tabel met klantgegevens oversloeg. Drie jaar lang. Pas toen ze écht moesten herstellen, kwamen ze erachter.

Plan minstens één keer per kwartaal een mini-hersteltest:

• Zet één bestand terug uit je M365-back-up. Werkt het? Klopt de inhoud?
• Zet je website-back-up op een staging-omgeving. Komt hij op?
• Open je laatste boekhoud-export. Zit alles erin?

Schrijf de uitkomst op. Datum, wie het deed, of het lukte. Twee A4'tjes per jaar zijn genoeg om bij een audit of incident te kunnen aantonen dat je het echt controleert.

Wat documenteer je?

Voor elke systeem in je MKB wil je weten:

1. Wat wordt er gebackupt (welke mappen, welke postvakken, welke databases)?
2. Hoe vaak (dagelijks, wekelijks)?
3. Hoe lang wordt het bewaard (retentie)?
4. Waar staat de back-up (provider, locatie)?
5. Wie kan herstellen en hoe?
6. Wanneer is het laatst getest?

Een simpele tabel in een gedeeld document is voldoende. Belangrijker dan de vorm is dat het bestaat en dat iemand er verantwoordelijk voor is.

Begin klein, begin vandaag

Je hoeft niet alles tegelijk te regelen. Begin met de twee systemen waar je bedrijf het meest van afhankelijk is — vaak is dat je mailomgeving en je website. Bouw daarna verder uit. Een halve 3-2-1 op je belangrijkste systemen is oneindig veel beter dan een perfect plan dat in een la blijft liggen.

Wil je hulp bij het inrichten of testen van je website-back-ups? Kijk eens naar onze dienst website-back-up en herstel, of laat ons meekijken bij een algemene website-beveiligingscheck. Liever eerst zelf testen of je site überhaupt nog snel reageert? Doe dan eerst onze speedtest — een trage site die je niet kunt herstellen is dubbel pijnlijk.