Stel je voor: op een maandagochtend komen je medewerkers op kantoor en niets werkt. Servers zijn onbereikbaar, e-mail is down, klantdata is versleuteld. Ransomware. De vraag is niet of dit scenario zich voordoet, maar wanneer. Uit onderzoek blijkt dat 60% van de MKB-bedrijven die een ernstig cyberincident meemaken, binnen zes maanden de deuren sluit.
Een disaster recovery plan (DR-plan) is geen luxe — het is een noodzaak. In dit artikel leggen we uit wat een DR-plan is, waarom je er een nodig hebt en hoe je er in 5 concrete stappen een opstelt.
Wat is disaster recovery?
Disaster recovery (DR) is het geheel aan procedures, beleid en technologie dat ervoor zorgt dat je bedrijf kan herstellen na een ernstige verstoring. Dat kan een cyberaanval zijn, maar ook een brand, waterschade, stroomuitval of een menselijke fout.
Het doel van disaster recovery is:
- Minimale downtime — je bedrijf zo snel mogelijk weer operationeel krijgen
- Minimaal dataverlies — zo weinig mogelijk data kwijtraken
- Gestructureerd herstel — geen paniek, maar een helder plan dat iedereen kent
Disaster recovery vs. bedrijfscontinuiteit
Disaster recovery is een onderdeel van het bredere bedrijfscontinuiteitsplan (BCP). Het BCP beschrijft hoe je bedrijf als geheel doordraait bij een verstoring — inclusief alternatieve werkplekken, communicatie en processen. Het DR-plan focust specifiek op het technisch herstel van je IT-systemen en data.
Waarom is een DR-plan onmisbaar?
De cijfers spreken voor zich
- Ransomware: het gemiddelde losgeld dat MKB-bedrijven betalen is meer dan €150.000, maar de totale schade (downtime, herstel, reputatie) is vaak een veelvoud daarvan.
- Downtime: de gemiddelde kosten van IT-downtime voor een MKB-bedrijf liggen tussen €1.000 en €5.000 per uur, afhankelijk van de sector.
- Hersteltijd: zonder DR-plan duurt het gemiddeld 23 dagen om volledig te herstellen van een ransomware-aanval. Met een goed plan kan dit terug naar uren.
- Dataverlies: 93% van de bedrijven die langer dan 10 dagen hun data kwijt zijn, gaan binnen een jaar failliet.
Compliance-eisen
Diverse wet- en regelgeving vereist dat organisaties een DR-plan hebben:
- NIS2 — stelt eisen aan bedrijfscontinuiteit en crisisbeheer
- AVG — vereist passende maatregelen om persoonsgegevens te beschermen, inclusief herstelmogelijkheden
- ISO 27001 — bevat specifieke controls voor bedrijfscontinuiteit (A.5.29, A.5.30)
- NEN 7510 — extra eisen voor zorgorganisaties
De 5 stappen
Stap 1: Inventariseer je kritieke systemen
Voordat je een herstelplan kunt maken, moet je weten wat je hebt. Maak een inventarisatie van:
- Welke servers draaien er? (fysiek en virtueel)
- Welke applicaties worden gebruikt?
- Welke clouddiensten zijn er? (Microsoft 365, online werkplek, etc.)
- Welke databases bevatten kritieke data?
- Welke systemen zijn afhankelijk van elkaar?
- Welke externe diensten zijn nodig? (internet, DNS, cloud)
- Welke koppelingen bestaan er tussen systemen?
Prioritering: Niet elk systeem is even belangrijk. Classificeer je systemen:
| Prioriteit | Omschrijving | Voorbeelden |
|---|---|---|
| Kritiek | Bedrijf kan niet functioneren zonder | ERP, e-mail, online werkplek, betaalsysteem |
| Hoog | Ernstige impact op bedrijfsvoering | CRM, telefonie, website |
| Medium | Beperkte impact, workaround mogelijk | Projectmanagement, intranet |
| Laag | Minimale impact | Archieven, testomgevingen |
Tip: betrek de business bij deze classificatie. IT kan niet zelf bepalen welke systemen het belangrijkst zijn voor de bedrijfsvoering.
Stap 2: Bepaal je RPO en RTO
Twee cruciale parameters vormen de basis van je DR-plan:
RPO (Recovery Point Objective) — Hoeveel data mag je maximaal kwijtraken?
Dit bepaalt hoe vaak je backups moet maken. Een RPO van 4 uur betekent dat je maximaal 4 uur aan data kunt verliezen. De backup moet dus minimaal elke 4 uur draaien.
RTO (Recovery Time Objective) — Hoe snel moet een systeem weer beschikbaar zijn?
Dit bepaalt welke herstelmethode je nodig hebt. Een RTO van 1 uur vereist een heel ander mechanisme dan een RTO van 24 uur.
Stel RPO en RTO per systeem vast, op basis van de prioritering uit stap 1:
| Prioriteit | RPO | RTO |
|---|---|---|
| Kritiek | 1 – 4 uur | 1 – 4 uur |
| Hoog | 4 – 8 uur | 4 – 8 uur |
| Medium | 24 uur | 24 – 48 uur |
| Laag | 24 – 72 uur | 72 uur – 1 week |
Belangrijk: ambitieuzere RPO's en RTO's kosten meer. Een RPO van 0 (geen dataverlies) vereist real-time replicatie, wat aanzienlijk duurder is dan een dagelijkse backup. Maak een bewuste afweging tussen kosten en risico.
Stap 3: Ontwerp je backup-strategie (3-2-1)
De 3-2-1 backup-regel is de gouden standaard:
- 3 kopieën van je data (het origineel + 2 backups)
- 2 verschillende opslagmedia (bijvoorbeeld lokale storage + cloud)
- 1 kopie op een externe locatie (offsite)
Tegenwoordig wordt dit steeds vaker uitgebreid naar de 3-2-1-1-0 regel:
- 3 kopieën
- 2 verschillende media
- 1 offsite kopie
- 1 immutable (onwijzigbare) kopie — cruciaal tegen ransomware
- 0 fouten — elke backup wordt automatisch geverifieerd
#### Cloud backup vs. on-premise
| Aspect | On-premise backup | Cloud backup |
|---|---|---|
| Snelheid herstel | Snel (lokaal netwerk) | Afhankelijk van internetsnelheid |
| Bescherming tegen brand/diefstal | Kwetsbaar | Beschermd |
| Bescherming tegen ransomware | Risico als aangesloten op netwerk | Beter beschermd, zeker met immutable storage |
| Kosten | Hardware + onderhoud | Maandelijks abonnement |
| Schaalbaarheid | Beperkt door hardware | Vrijwel onbeperkt |
Advies: gebruik altijd een combinatie. Een lokale backup voor snel herstel en een cloud backup voor bescherming tegen fysieke rampen en ransomware.
#### Microsoft 365 backup
Een veelgemaakte fout: denken dat Microsoft je data automatisch backupt. Microsoft biedt wel enige bescherming (versiebeheer, prullenbak), maar geen volwaardige backup. Als een medewerker per ongeluk een volledig SharePoint-site verwijdert, of als ransomware je OneDrive-bestanden versleutelt, heb je een probleem.
Investeer in een aparte Microsoft 365 backup-oplossing die je e-mail, SharePoint, OneDrive en Teams-data onafhankelijk backupt. Lees ook ons artikel over veilig werken in de cloud met Microsoft 365.
Stap 4: Stel je herstelplan en procedures op
Nu je weet wat je moet beschermen (stap 1), hoe snel (stap 2) en waarmee (stap 3), is het tijd om het daadwerkelijke herstelplan te schrijven. Dit plan beschrijft stap voor stap wat er moet gebeuren als het misgaat.
Essentieel elementen:
- Wie moet er gealarmeerd worden? (intern en extern)
- Wie heeft welke rol bij het herstel?
- Contactgegevens van je MSP, hostingprovider, internetprovider
- Contactgegevens van je verzekeraar en juridisch adviseur
Herstelprocedures per scenario:
Werk de procedures uit voor de meest waarschijnlijke scenario's:
- Ransomware-aanval — isoleren, beoordelen, herstellen vanuit backup, melding bij autoriteiten
- Serveruitval — failover naar secundaire server of cloud, herstel primaire server
- Dataverlies — bepalen welke data verloren is, herstellen vanuit backup
- Stroomuitval — UPS, generator, uitwijken naar cloud
- Brand of waterschade — uitwijklocatie, herstel vanuit offsite backup
- Wie informeert de medewerkers?
- Wie informeert de klanten?
- Wie communiceert met de pers (indien nodig)?
- Via welk kanaal als e-mail niet werkt?
Prioriteitenvolgorde: Herstel systemen in de volgorde die je in stap 1 hebt bepaald. Begin met de kritieke systemen.
Uitwijklocatie: Heb je een plan B als je kantoor niet bereikbaar is? Een online werkplek biedt hier een groot voordeel: medewerkers kunnen vanaf elke locatie met elk apparaat doorwerken. Overweeg ook cloud migratie als je nog veel lokale systemen hebt.
Stap 5: Testen en bijwerken
Een DR-plan dat niet getest is, is geen plan — het is een document. Regelmatig testen is essentieel:
Soorten tests:
| Type test | Frequentie | Wat het test |
|---|---|---|
| Documentreview | Elk kwartaal | Is het plan nog actueel? Kloppen de contactgegevens? |
| Tabletop-oefening | Halfjaarlijks | Loop het plan door met alle betrokkenen, bespreek scenario's |
| Backup-hersteltest | Maandelijks | Herstel een willekeurige backup en controleer de integriteit |
| Volledige DR-test | Jaarlijks | Simuleer een volledige uitval en voer het herstelplan uit |
- Documenteer wat goed ging en wat niet
- Pas het plan aan op basis van de bevindingen
- Informeer alle betrokkenen over wijzigingen
- Nieuwe systemen of applicaties
- Nieuwe medewerkers in sleutelrollen
- Veranderingen in de IT-infrastructuur
- Na een daadwerkelijk incident
- Na een overname of reorganisatie
De rol van een MSP bij disaster recovery
Een Managed Service Provider (MSP) kan een cruciale rol spelen bij je disaster recovery:
- Ontwerpen van het DR-plan op basis van best practices
- Implementeren van backup- en hersteloplossingen
- Monitoren van backups en systemen (24/7)
- Testen van herstelprocessen en rapporteren van resultaten
- Uitvoeren van het herstel bij een daadwerkelijk incident
- Bijwerken van het plan bij veranderingen
Het grote voordeel: een MSP heeft ervaring met disaster recovery bij tientallen of honderden klanten. Die ervaring is onbetaalbaar als het echt misgaat.
Veelgestelde vragen
Hoe vaak moet ik mijn DR-plan testen?
Minimaal jaarlijks een volledige test en elk kwartaal een documentreview. Backup-hersteltests doe je bij voorkeur maandelijks. Na elke significante wijziging in je IT-omgeving is een extra test aan te raden.
Wat kost een disaster recovery plan?
Het opstellen van een DR-plan kost, afhankelijk van de complexiteit, tussen de €2.000 en €10.000 eenmalig. De doorlopende kosten (backup, monitoring, testen) variëren van €10 tot €50 per gebruiker per maand. Dit is een fractie van de kosten van een onvoorbereid incident.
Moet ik alles in de cloud hebben voor goed disaster recovery?
Nee, maar cloud maakt DR wel eenvoudiger en betaalbaarder. Een hybride aanpak — lokale backup voor snelheid en cloud voor bescherming — is voor de meeste MKB-bedrijven de beste oplossing.
Hoe snel kan ik herstellen van een ransomware-aanval?
Met een goed DR-plan en geteste backups: uren tot maximaal een dag. Zonder plan: gemiddeld 23 dagen. Het verschil is enorm — zowel in tijd als in kosten.
Is Microsoft 365 backup echt nodig?
Ja. Microsoft biedt geen volledige backup van je data. Verwijderde items worden na een beperkte periode definitief verwijderd. Ransomware kan je OneDrive en SharePoint versleutelen. Een aparte backup is essentieel.
Wat is het verschil tussen RPO en RTO?
RPO (Recovery Point Objective) bepaalt hoeveel data je maximaal mag verliezen — het gaat over de backup-frequentie. RTO (Recovery Time Objective) bepaalt hoe snel een systeem weer beschikbaar moet zijn — het gaat over de hersteltijd. Beide zijn cruciaal voor het ontwerp van je DR-strategie.
Moet ik medewerkers trainen voor disaster recovery?
Ja. Elke medewerker moet weten wat te doen bij een incident: wie te bellen, welke stappen te nemen, hoe te communiceren. Betrek sleutelmedewerkers bij tabletop-oefeningen.
Kan mijn MSP het hele DR-plan regelen?
Een MSP kan het plan ontwerpen, implementeren, testen en uitvoeren. Maar de input vanuit jouw organisatie is essentieel: alleen jij weet welke systemen het belangrijkst zijn voor je bedrijfsvoering. Het is een samenwerking.
Begin vandaag
Een disaster recovery plan opstellen kost tijd en aandacht, maar het is een investering die zich dubbel en dwars terugbetaalt als het erop aankomt. Virtual Computing helpt MKB-bedrijven met het ontwerpen en implementeren van disaster recovery oplossingen — van backup tot volledig herstelplan. Bekijk onze cloud security diensten, onze online werkplek of neem contact op voor een vrijblijvend adviesgesprek.
Gerelateerde diensten
Geschreven door
Gerelateerde artikelen
Een veilige cloud werkplek realiseren
Het realiseren van een veilige cloud werkplek vereist een gelaagde aanpak die begint met het fundament: identiteitsbeheer en toegangscontrole.
SecurityNetwerkbeveiliging bij online werken
Online werken is tegenwoordig de norm, maar daarmee komen ook risico's. Hackers en cybercriminelen loeren op onbeveiligde netwerken.
SecurityVeilig cloud werken met Microsoft 365
In 5 stappen veilig in de cloud werken voor MKB. Leer hoe je als MKB veilig en efficiënt kunt werken met Microsoft 365 in de cloud.