Zomerchecklist voor het MKB: zo ga je veilig de vakantieperiode in

Zomervakantie is hét moment dat fraudeurs hopen op een halfleeg kantoor. Met deze praktische checklist gaat jouw MKB veilig de vakantieperiode in.

Zomer is vakantietijd, en juist dan gaat het mis. Niet omdat hackers extra hard werken (al doen ze dat ook), maar omdat de mensen die normaal op de rem trappen er even niet zijn. De boekhouder is op Kreta, de directeur op een berg in Oostenrijk, en de stagiair mag "een beetje meekijken in de mail". Voor je het weet ligt er een spoedfactuur klaar met een nieuw IBAN, en is er niemand om "even te bellen of het klopt".

Een paar simpele afspraken voor je het kantoor in juli en augustus halfleeg achterlaat, schelen je een hoop ellende. Hieronder een praktische lijst — geen dik draaiboek, gewoon de dingen die écht het verschil maken.

1. Spreek vooraf af wie waarvoor mag tekenen

De klassieker: de penningmeester is met vakantie, er komt een factuur binnen die "echt vandaag" moet, en iemand anders maakt het over "want het kan toch niet wachten". Negen van de tien keer is dat prima. De tiende keer is het fraude.

Leg vóór de vakantieperiode vast:

• Wie mag tot welk bedrag goedkeuren als de vaste persoon weg is?
• Wie is tweede paar ogen bij betalingen boven een bepaald bedrag?
• Welke betalingen wachten gewoon tot na de vakantie? (Spoiler: meer dan je denkt.)

Bij elke nieuwe of gewijzigde IBAN: bellen met een nummer uit je eigen administratie, niet uit de mail. Altijd. Ook in augustus.

2. Zet out-of-office aan — maar verklap niets

Een out-of-office is handig voor klanten, en een goudmijntje voor oplichters. "Ik ben tot 14 augustus afwezig, neem in dringende gevallen contact op met Jan (jan@bedrijf.nl, 06-12345678)" vertelt een fraudeur precies hoe lang hij de tijd heeft en wie hij namens jou kan mailen.

Houd het kort: "Ik ben tot half augustus beperkt bereikbaar. Voor dringende zaken: info@bedrijf.nl." Geen datums tot op de dag, geen privé-mobielnummers, geen namen van vervangers die makkelijk te imiteren zijn.

3. Doe een mini-toegangscheck vóór de vakantie

Het laatste wat je wilt is dat een ex-medewerker — of een vergeten stagiair-account — nog ergens binnenkomt terwijl niemand het ziet. Een halfuur werk voorkomt veel:

• Loop de gebruikers in je mailomgeving (bijvoorbeeld Microsoft 365) langs. Staat er iemand tussen die er niet meer zou moeten zijn?
• Controleer wie admin-rechten heeft. Hoort dat lijstje nog te kloppen?
• Kijk welke externe partijen (boekhouder, marketingbureau, freelancer) toegang hebben tot welke systemen.

Vind je iets dat niet meer klopt? Zet het uit. Een account dat je in september weer aanzet kost vijf minuten; een gehackt account kost een week.

4. Zet tweestapsverificatie aan op álle belangrijke accounts

Dit had je natuurlijk allang gedaan. Maar check het even. Mail, boekhoudpakket, bank, domeinregistrar, je website-CMS. Eén account zonder 2FA is genoeg om de hele zomer te verpesten.

Vergeet de back-upcodes niet. Als de telefoon van de directeur in zee valt op Ibiza, wil je niet ontdekken dat de codes om opnieuw in te loggen óók op die telefoon stonden. Print ze of zet ze in je wachtwoordmanager onder een aparte categorie.

5. Wie houdt de mail in de gaten?

Niet om alles te beantwoorden — wel om te zien of er iets gebeurt dat niet pluis is. Een vreemde inlogpoging, een verzoek om wachtwoorden te resetten, een leverancier die "even snel" een ander rekeningnummer doorgeeft. Spreek af dat één persoon per week de hoofd-mailbox(en) scant op vreemde dingen.

En check ook je SPF/DKIM/DMARC-rapporten als je die ontvangt. Zomer is een populaire periode om namens jouw domein te phishen, simpelweg omdat de pakkans lager is.

6. Back-ups: niet alleen draaien, ook controleren

Een back-up die elke nacht netjes draait maar nog nooit is teruggezet, is geen back-up — dat is een bestand. Test vóór de vakantie of je écht een bestand kunt terughalen. Vijf minuten werk, en je weet zeker dat je niet in week één van augustus met een ransomware-incident én een onbruikbare back-up zit.

7. Maak een "wie bel je"-lijst op papier

Klinkt ouderwets, is het ook. Maar als alles plat ligt — mail, telefoonsysteem, laptop — is een geprint A4-tje met de telefoonnummers van je IT-leverancier, je hostingpartij, je boekhouder en je bank goud waard. Hang 'm op kantoor, geef er één mee aan wie in augustus achterblijft.

Kort samengevat

De zomer is geen security-event op zich, maar wel een periode waarin de standaard-rem ontbreekt. Vier punten die het meeste verschil maken:

1. Tweede paar ogen bij betalingen, vooral bij nieuwe IBAN's.
2. Een out-of-office die niets verklapt.
3. Een snelle check op wie toegang heeft tot wat.
4. 2FA én back-upcodes voor de belangrijke accounts.

Wil je vóór de vakantieperiode laten controleren of jullie toegangsoverzicht klopt — wie heeft waar nog rechten, en hoort dat eigenlijk wel? Onze toegang-check doet precies dat. En als er een nieuwe leverancier opduikt met een ander rekeningnummer: even langs de IBAN-check voor je iets overmaakt.