Browser-extensies in je MKB: het risico dat niemand bijhoudt

PDF-converters, screenshot-tools, AI-assistenten: browser-extensies sluipen je organisatie binnen. Hoe je in een uurtje weet wat er staat en wat eruit moet.

Vraag eens aan vijf collega's welke browser-extensies ze hebben geïnstalleerd. Grote kans dat je antwoorden krijgt als "ehm… die PDF-ding?" en "iets van AI, geloof ik". Dat is geen verwijt — het is precies hoe extensies werken. Ze sluipen erin via een handige tip van een collega, een suggestie van ChatGPT of een knop op een website. En vervolgens leven ze jarenlang door, met toegang tot alles wat je in je browser doet.

Voor een MKB zonder eigen IT-afdeling is dit een blinde vlek die je in een rustig uurtje grotendeels kunt dichten. Hieronder hoe.

Waarom extensies een serieus risico zijn

Een browser-extensie heeft, afhankelijk van de rechten, toegang tot:

• de inhoud van élke pagina die je bezoekt (inclusief je boekhouding, je mail, je klantsysteem);
• wat je typt (inclusief wachtwoorden die je niet in een wachtwoordmanager hebt);
• cookies — dus ook je ingelogde sessies;
• in sommige gevallen je downloads, bladwijzers en geschiedenis.

Dat is niet per se erg als de ontwikkelaar te vertrouwen is. Het probleem: een populaire extensie kan worden verkocht aan een nieuwe eigenaar, en die kan in een update advertenties, tracking of regelrechte malware toevoegen. Dat is geen theoretisch scenario; het is de afgelopen jaren tientallen keren gebeurd. Je hebt vandaag een nette tool geïnstalleerd en morgen een datalek, zonder dat je iets hebt aangeklikt.

Drie soorten extensies die je in je MKB tegenkomt

1. De handigheidjes

PDF-mergers, screenshot-tools, kleurkiezers, tab-managers. Vaak gratis, vaak met agressieve rechten ("alle gegevens op alle websites lezen en wijzigen"). Veel mensen installeren deze eenmaal en gebruiken ze daarna nooit meer.

2. De AI-assistenten

De afgelopen anderhalf jaar is dit de snelst groeiende groep. Samenvatters, schrijfhulpen, "AI overal". Sommige sturen letterlijk de inhoud van elke pagina die je opent naar een externe server. Voor een advocatenkantoor of accountant is dat een AVG-probleem van formaat.

3. De legitieme werktools

Wachtwoordmanagers, je videoconferencing-tool, je CRM-plugin. Die wíl je juist hebben, maar ook hier geldt: alleen via de officiële store, alleen van de echte leverancier (er zijn nepversies in omloop).

De opschoonronde: een uur werk

Plan een korte sessie met je team — bijvoorbeeld in de eerstvolgende werkoverleg-vrijdag. Aanpak:

1. Iedereen opent zijn extensie-overzicht. In Chrome/Edge: chrome://extensions of edge://extensions. In Firefox: about:addons.
2. Maak een lijstje per persoon van wat er staat, inclusief de rechten ("kan alle gegevens lezen…").
3. Verwijder alles wat je niet herkent of het laatste half jaar niet hebt gebruikt. Twijfel = weg. Je kunt het altijd opnieuw installeren.
4. Controleer de overgebleven extensies: klopt de uitgever, klopt het aantal gebruikers, wanneer was de laatste update? Een extensie die twee jaar niet is bijgewerkt is een rode vlag.
5. Leg vast wat je toestaat. Een simpel lijstje "deze extensies zijn akkoord voor werkbrowsers" werkt beter dan een dik beleidsdocument dat niemand leest.

Voorkom dat het binnen drie maanden weer een rommeltje is

Een eenmalige schoonmaak helpt, maar zonder afspraken loopt het weer vol. Wat in de praktijk werkt voor kleine teams:

• Twee browsers-aanpak. Eén browser voor werk, één voor privé/experimenteren. Klinkt suf, werkt verrassend goed. Edge voor werk, Firefox voor de rest, of andersom.
• "Vraag het even"-regel. Voordat iemand een nieuwe extensie installeert, één berichtje in de teamchat. Geen formeel goedkeuringsproces — gewoon zichtbaar maken.
• Twee keer per jaar herhalen. Bij voorkeur tegelijk met je toegang-check. Zelfde moment, zelfde reflex: wat hebben we eigenlijk lopen?
• Managed browser overwegen. Werk je in Microsoft 365? Dan kun je via Edge for Business centraal afdwingen welke extensies wel en niet mogen. Dat scheelt discipline.

Specifiek voor wie met klantgegevens werkt

Werk je met persoonsgegevens, financiële data of medische informatie? Behandel browser-extensies dan als een verwerker. Een AI-samenvatter die de inhoud van een patiëntendossier of jaarrekening naar een externe server stuurt, is een verwerking die je moet kunnen verantwoorden. Voor de meeste gratis extensies is dat onmogelijk — niet doen dus.

Hetzelfde geldt voor extensies die met je e-mail meekijken (denk aan "tracking pixels", "schrijfassistent in Gmail", "e-mail templates"). Zodra zo'n tool je inbox kan lezen, lift hij mee op de gegevens die je klanten je in vertrouwen sturen.

Wat doe je als je iets verdachts vindt?

Tref je tijdens de opschoning een extensie aan die je niet kunt thuisbrengen, of die plotseling advertenties injecteert? Verwijder hem direct, log uit van belangrijke diensten en log opnieuw in (dat vernieuwt je sessies). Verander wachtwoorden van diensten die je in die browser veel gebruikt, en zet — als je dat nog niet had — 2FA aan. Daarmee is een eventueel gelekte sessie waardeloos.

Tot slot

Browser-extensies zijn geen ramp, maar ze zijn wel de softste plek in je verder netjes geregelde MKB. Eén schoonmaakronde per half jaar en een paar simpele afspraken houden het beheersbaar. Geen extra software nodig, geen IT-afdeling, geen budget.

Wil je dit aanpakken samen met een bredere check op wie er allemaal toegang heeft tot wat? Kijk dan eens naar onze toegang-check — daar nemen we extensies standaard in mee. En als je gewoon zelf aan de slag wilt: begin vandaag, open chrome://extensions, en kijk wat er staat. Je schrikt waarschijnlijk een beetje. Dat is precies de bedoeling.