Out-of-office instellen: wat je beter niet in dat berichtje zet

Je out-of-office-bericht lekt vaak meer informatie dan je denkt: wie er weg is, hoe lang, en wie de vervanger is. Zo stel je het bericht zo in dat collega's geholpen zijn en fraudeurs niet.

De zomer komt eraan en daarmee de jaarlijkse stortvloed aan "out of office"-mails. Op het eerste gezicht onschuldig: even laten weten dat je er niet bent en wie de honneurs waarneemt. Maar die paar regels tekst zijn een goudmijn voor fraudeurs — en de meeste MKB's denken er nooit over na.

In deze post leggen we uit waarom je out-of-office-bericht meer prijsgeeft dan je denkt, en hoe je het zo opstelt dat het je collega's helpt en kwaadwillenden niet.

Waarom dat berichtje een risico is

Een typisch out-of-office-bericht ziet er ongeveer zo uit:

"Beste relatie, ik ben van 7 juli tot en met 28 juli afwezig wegens vakantie. Voor urgente zaken kunt u contact opnemen met mijn collega Mark Jansen via mark.jansen@bedrijf.nl of 06-12345678. Hartelijke groet, Sandra de Vries — Financieel directeur."

Wat staat hier feitelijk in? Een fraudeur leest dit en weet binnen tien seconden:

• De financieel directeur is drie weken weg.
• Haar vervanger heet Mark, met directe contactgegevens.
• De mailstructuur is voornaam.achternaam@bedrijf.nl.
• Er is een venster van precies drie weken waarin Sandra niet snel reageert.

Voor een CEO-fraude of factuurfraude is dit precies de informatie die nodig is. Een mailtje "namens Sandra" naar Mark, met spoed en een nieuw rekeningnummer — en de kans dat het lukt is significant groter dan in een normale werkweek.

De drie soorten ontvangers

Het probleem met out-of-office is dat hetzelfde bericht naar drie heel verschillende groepen gaat:

1. Interne collega's — die hoeven helemaal geen out-of-office te krijgen, die zien je vakantie al in de agenda.
2. Bekende externe contacten — leveranciers, klanten, accountant. Die mogen weten dat je weg bent en wie ze kunnen bereiken.
3. Onbekenden en spammers — iedereen die je adres ergens vandaan heeft. Die hoeven niets te weten.

De meeste mailservers (Microsoft 365, Google Workspace) kunnen onderscheid maken tussen interne en externe afzenders. Gebruik dat. Stel twee verschillende berichten in.

Zo schrijf je een veilig out-of-office-bericht

Voor externe afzenders: minimaal en vaag

Houd het kort en vermijd specifieke informatie:

"Bedankt voor uw bericht. Ik ben momenteel afwezig en lees mijn mail beperkt. Voor dringende zaken kunt u contact opnemen via info@bedrijf.nl. Uw bericht beantwoord ik bij terugkomst."

Wat we hier niet doen:

• Exacte data noemen (geeft het aanvalsvenster weg).
• De naam van een persoonlijke vervanger noemen.
• Directe doorkiesnummers delen.
• Je functietitel herhalen (staat vaak al in je handtekening — laat dat sowieso weg uit het auto-reply).

Wel: een algemeen mailadres of telefoonnummer dat door meerdere mensen wordt bemand. Niemand individueel komt in de schijnwerpers.

Voor interne afzenders: gewoon praktisch

Hier mag het bericht wél specifiek zijn, want collega's kennen de structuur al:

"Hoi, ik ben tot 28 juli op vakantie. Mark neemt mijn lopende dossiers waar, Linda regelt de betalingen. Bij echte spoed: bel mijn 06."

Vier extra regels die het verschil maken

1. Geen betalingsbevoegdheid over de mail. Spreek met je team af dat tijdens vakanties van sleutelpersonen (directie, finance) nooit een nieuw IBAN of een spoedbetaling wordt geaccepteerd op basis van alleen een mailtje. Altijd terugbellen op een bekend nummer. Dit is sowieso een goede regel, maar in de zomer extra belangrijk.

2. Zet je handtekening uit in je auto-reply. Die handtekening met functietitel, mobiel nummer en LinkedIn-link gaat standaard mee. Maak een aparte signature aan voor je out-of-office, of zet 'm helemaal uit.

3. Beperk wie het bericht krijgt. In Microsoft 365 kun je instellen dat het externe bericht alleen naar je contactpersonenlijst gaat. Onbekende afzenders krijgen dan helemaal niets. Voor de meeste MKB-functies werkt dat prima.

4. Zet 2FA aan, ook op de mail van je vervanger. Als de vervanger zelf nog niet met tweestapsverificatie werkt, is dat het moment om dat te regelen — voor jullie de vakantie ingaan. Een gecompromitteerd mailaccount van de waarnemer is het laatste wat je wilt.

Een woord over je agenda en LinkedIn

Out-of-office is niet de enige plek waar je vakantie lekt. Een "Op vakantie tot 28/7"-melding op LinkedIn doet exact hetzelfde werk voor een fraudeur. En als je gedeelde agenda openbaar staat ("Bezet" prima, maar "Vakantie Italië 7-28 juli" iets minder). Loop voor de zomer even na wie wat kan zien.

Korte checklist voor je vertrekt

• Twee auto-replies ingesteld: kort voor extern, normaal voor intern.
• Geen exacte data, geen persoonlijke vervangernamen, geen telefoonnummers in het externe bericht.
• Handtekening uit in de auto-reply.
• Team weet: geen IBAN-wijzigingen of spoedbetalingen op alleen mail.
• 2FA op de mailbox van de waarnemer gecontroleerd.
• LinkedIn en publieke agenda gecheckt op te veel detail.

Het kost tien minuten om dit goed in te stellen — en het scheelt mogelijk een vervelend telefoontje vanaf het strand.

Twijfel je of je mail-beveiliging op orde is voor de vakantieperiode? Bekijk onze dienst mail-beveiliging (SPF/DKIM/DMARC) of zet eerst 2FA op de juiste accounts.