Je krijgt een mail van je boekhouder. Onderwerp: ‘Actie vereist: openstaande factuur’. Je klikt, logt in, en een paar seconden later merk je dat er iets niet klopt. De link ging niet naar Exact Online, maar naar een neppagina die eruitzag als de echte. Je wachtwoord is nu in verkeerde handen. Je boekhouding, je klantgegevens, je offertes: allemaal bereikbaar. Dit is geen filmscenario. Het overkomt zzp’ers elke week, en de meesten dachten van tevoren: ik ben toch te klein om interessant te zijn voor hackers?

De mythe van ‘ik ben te klein om gehackt te worden’

Veel zelfstandigen denken dat cybercriminelen hun pijlen richten op grote bedrijven met diepe zakken. In werkelijkheid zijn zzp’ers juist een aantrekkelijk doelwit, precies omdat ze klein zijn. Je hebt zelden een IT-afdeling, geen beveiligingsprotocollen en waarschijnlijk dezelfde wachtwoorden op meerdere plekken. Dat maakt je gemakkelijker te kraken dan een multinational met een volledig beveiligingsteam.

Uit onderzoek van het Digital Trust Center blijkt dat meer dan de helft van de cyberincidenten bij Nederlandse mkb’ers en zelfstandigen begint met een simpele phishingmail. Geen geraffineerde aanval, gewoon een nep-e-mail die je op het verkeerde moment op het verkeerde linkje laat klikken. Criminelen automatiseren die aanvallen massaal. Ze hoeven jou niet persoonlijk te kennen; ze schieten met hagel en raken genoeg mensen om winst te maken.

De drie dreigingen die bij zzp’ers echt schade aanrichten

Niet elke cyberdreiging is even relevant voor jouw situatie. Als eenmanszaak zijn er drie aanvalsvormen die bovengemiddeld vaak schade veroorzaken.

Phishing via nepfacturen en valse opdrachtbevestigingen

Phishing is veruit de meest voorkomende aanval. Criminelen sturen e-mails die eruitzien als berichten van UWV, de Belastingdienst, je bank of zelfs een vaste opdrachtgever. Ze gebruiken logo’s, een professionele toon en een dringende boodschap. ‘Betaal deze factuur voor vrijdag, anders gaan we incasseren.’ Of: ‘Bevestig je opdracht via de bijgevoegde link.’ Je klikt, je vult iets in, en je gegevens zijn weg.

Ransomware die je projectmap vergrendelt

Ransomware is kwaadaardige software die je bestanden versleutelt. Je opent een bijlage, het programma draait op de achtergrond, en een paar minuten later zie je een melding: ‘Betaal 500 euro in bitcoin of je bestanden zijn weg.’ Voor een grafisch ontwerper die zijn hele portfolio kwijt is, of een tekstschrijver wiens klantprojecten geblokkeerd zijn, kan dit betekenen dat je lopende opdrachten niet kunt afmaken. Dat kost je niet alleen bestanden, maar ook klanten en omzet.

Datalekken die je AVG-meldplicht activeren

Als zzp’er verwerk je waarschijnlijk persoonsgegevens: namen en e-mailadressen van klanten, misschien BSN-nummers als je in de zorg of HR werkt, of financiële gegevens via offertes en contracten. De AVG geldt ook voor jou, net als andere wettelijke verplichtingen die zzp’ers hebben zoals inkomstenbelasting. Word je gehackt en komen die gegevens op straat, dan ben je wettelijk verplicht om dat binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Doe je dat niet, dan riskeer je een boete. Dat is iets wat de meeste zzp’ers niet weten tot het te laat is.

Stap 1 – Breng je digitale oppervlak in kaart

Voordat je iets beveiligt, moet je weten wat je hebt. Pak een leeg vel papier of open een notitiedocument en schrijf op: welke apparaten gebruik je voor klantwerk? Denk aan je laptop, je telefoon, misschien een tablet. Welke accounts zijn zakelijk? E-mail, boekhoudprogramma, cloudopslag, projectmanagementtool, social media voor je bedrijf. Welke van die accounts hebben toegang tot klantgegevens of financiën?

De zwakste schakels zijn bijna altijd dezelfde: een oud e-mailadres dat je nog gebruikt maar nooit hebt beveiligd met tweestapsverificatie, cloudopslag waar je jaren aan klantcontracten in staan maar waar je wachtwoord ‘zomervakantie2019’ is, of een telefoon zonder schermvergrendeling die je in de trein zou kunnen verliezen. Dit overzicht maken kost je een kwartier en is de basis van alles wat daarna komt.

Stap 2 – Dicht de meest voorkomende gaten binnen één middag

Je hoeft geen IT-expert te zijn om de grootste risico’s weg te nemen. Begin met een passwordmanager. Een programma zoals Bitwarden (gratis) of 1Password (een paar euro per maand) maakt voor elk account een uniek, sterk wachtwoord aan en onthoudt dat voor je. Je hoeft zelf alleen nog je hoofdwachtwoord te kennen. Dat klinkt simpel, maar het is een van de meest effectieve beveiligingsstappen die je kunt zetten.

Zet daarna tweestapsverificatie aan op je e-mail en je boekhoudprogramma. Dat betekent dat je bij het inloggen naast je wachtwoord ook een code invoert die naar je telefoon wordt gestuurd. Zelfs als iemand je wachtwoord heeft, kunnen ze er zonder die code niet in. Dit instellen kost je per account vijf minuten. Tot slot: zorg dat je apparaten automatisch updates installeren. Veel aanvallen maken misbruik van bekende beveiligingslekken in verouderde software. Updates dichten die lekken. Zet automatische updates aan en vergeet het daarna.

Stap 3 – Richt een betrouwbare back-upstructuur in

De 3-2-1-regel is de standaard in back-upland en werkt ook prima voor een eenmanszaak zonder serverruimte. Het idee: bewaar drie kopieën van je belangrijke bestanden, op twee verschillende soorten media, waarvan één kopie op een andere locatie staat. In de praktijk voor een zzp’er: je werkt op je laptop (kopie 1), je synchroniseert automatisch naar een clouddienst zoals Google Drive of iCloud (kopie 2, andere locatie), en je maakt maandelijks een kopie op een externe harde schijf die je thuis laat liggen als je normaal ergens anders werkt (kopie 3, ander medium).

Die externe schijf is cruciaal bij ransomware. Als je enkel in de cloud back-upt en je cloudaccount wordt ook getroffen, heb je niets. Een offline kopie is je vangnet. Een harde schijf van 1 TB kost tegenwoordig minder dan 60 euro en is klaar na één keer instellen.

Stap 4 – Leer phishing herkennen aan de hand van echte voorbeelden

Phishingmails worden steeds geloofwaardiger. Toch zijn er altijd signalen. Een valse UWV-mail vraagt je om je DigiD-gegevens te bevestigen via een link. Maar UWV vraagt nooit via e-mail om inloggegevens. Een nep-incasso van ‘je boekhouder’ heeft een afzenderadres dat net iets afwijkt: niet info@jouweboekhoudkantoor.nl maar info@jouweboekhoudkantoor-nl.com. Een spoofed opdrachtmail lijkt van een vaste klant te komen, maar vraagt je een nieuw rekeningnummer te gebruiken voor je factuur.

Controleer altijd het afzenderadres, niet alleen de naam. Klik nooit op een link in een mail als er ook maar enige twijfel is: ga rechtstreeks naar de website via je browser. En bel even terug als een opdrachtgever plotseling iets ongewoons vraagt. Die twee minuten kunnen je honderden of duizenden euro’s schelen.

Stap 5 – Beveilig je werkplek buiten kantoor

Veel zzp’ers werken regelmatig op een andere locatie: een bibliotheek, een café, een coworkingspace. Openbare wifi is handig maar gevaarlijk. Iemand op hetzelfde netwerk kan in theorie meekijken met onbeveiligde verbindingen. Werk je met gevoelige klantgegevens, dan is een VPN (Virtual Private Network) een slimme keuze. Een VPN versleutelt je internetverbinding. Betaalbare opties zoals Mullvad of ProtonVPN kosten vijf tot tien euro per maand.

Zorg ook dat je laptop en telefoon automatisch vergrendelen na een minuut of twee inactiviteit. Stel in dat apparaten op afstand gewist kunnen worden als ze gestolen worden: op iPhones heet dat ‘Zoek mijn’, op Android ‘Zoek mijn apparaat’, op Windows kun je dit instellen via je Microsoft-account. Als je laptop met klantgegevens gestolen wordt in de trein, wil je die bestanden op afstand kunnen wissen.

Wanneer een cyberverzekering zinvol is

Een cyberverzekering is niet voor iedereen nodig, maar kan de moeite waard zijn als je met gevoelige klantdata werkt, zoals in de zorg, juridische dienstverlening of financiële sector. Zo’n polis dekt doorgaans kosten voor crisismanagement na een hack, juridische bijstand als je aansprakelijk wordt gesteld voor een datalek, en soms ook omzetverlies door bedrijfsstilstand. Prijzen beginnen bij ongeveer 15 tot 30 euro per maand voor een eenvoudige polis voor zzp’ers. Vergelijk aanbieders en kijk goed wat er wel en niet onder valt, want uitsluitingen verschillen sterk per aanbieder.

Wat je morgen als eerste doet

Je hoeft dit niet allemaal tegelijk aan te pakken. Begin met een eerlijke vijf-minutencheck. Schrijf op: gebruik ik overal verschillende wachtwoorden? Heb ik tweestapsverificatie aan op mijn e-mail? Heb ik ergens een back-up van mijn klantbestanden? Weet ik wat ik moet doen als ik een datalek ontdek?

Als je op een van die vragen ‘nee’ of ‘ik weet het niet’ antwoordt, begin dan daar. Niet alles tegelijk, maar wel vandaag het eerste stapje. Cyberbeveiliging voor zzp’ers hoeft niet duur of ingewikkeld te zijn. De basis is toegankelijk, grotendeels gratis, en beschermt je tegen de aanvallen die in de praktijk het meest voorkomen.

Als zzp’er ben je geen anoniem doelwit dat vanzelf onder de radar blijft. Je bent juist kwetsbaar omdat je alles alleen regelt, zonder IT-afdeling die meekijkt. De basisstappen zijn geen groot project: een passwordmanager installeren, tweestapsverificatie inschakelen, een back-up inrichten en voortaan even nadenken voordat je ergens op klikt. Dat is werk van een middag, geen specialisme. Aanvallers kiezen de weg van de minste weerstand. Als jij die weg afsluit, schuiven ze door naar iemand die dat nog niet heeft gedaan.