Stel je voor: je bedrijf draait grotendeels op Instagram. Klanten vinden je daar, bestellingen komen via DM binnen en je bouwt al jaren aan een trouwe community. Dan, op een gewone werkdag, kom je erachter dat je niet meer in je eigen account kunt. Iemand anders heeft de controle overgenomen. Jouw naam, jouw foto's, jouw volgers. Allemaal weg. Herken je dit gevoel van machteloosheid?

Dit is precies wat de zussen Florine en Paulette Stijger overkwam. Hun modelabel STYGR werd getroffen door een Instagram-hack. Wekenlang hadden ze geen toegang tot hun account, met directe omzetderving en reputatieschade als gevolg. Het Nationaal Cyber Security Centrum (NCSC) publiceerde hun verhaal als waarschuwing voor andere ondernemers. En terecht, want dit is geen uitzondering. Het overkomt MKB-bedrijven in Brabant en heel Nederland elke dag.

Waarom het MKB een aantrekkelijk doelwit is

Grote bedrijven hebben beveiligingsteams, protocollen en budgetten. Het MKB heeft dat zelden. Cybercriminelen weten dit. Slachtoffers van cyberaanvallen komen juist vaak uit het mkb, niet omdat kleine ondernemers onvoorzichtig zijn, maar omdat ze simpelweg minder beschermd zijn. Een gehackt Instagram-account is voor een modelabel als STYGR niet een klein ongemak. Het is een aanslag op de levensader van het bedrijf.

Voor veel MKB-ondernemers is sociale media het primaire verkoopkanaal, het visitekaartje en de klantenservice tegelijk. Als dat wegvalt, valt er veel weg. En het herstel, zoals de STYGR-zussen ervoeren, verloopt zelden soepel. De doorbraak in hun geval kwam niet via officiële Instagram-ondersteuning, maar via een tip uit de community. Iemand had hetzelfde meegemaakt en legde uit dat een selfievideo uploaden kon helpen. Zo informeel en onzeker is het herstelpad bij de grote platforms.

De Ratho-driehoek: Mens, Proces en Techniek

Bij Ratho kijken wij naar beveiliging via drie lagen: Mens, Proces en Techniek. Dit is geen theorie. Het is de praktijk die wij dagelijks zien bij onze klanten in het Brabantse MKB en onderwijs. En bij de zaak van STYGR zie je precies waarom alle drie de lagen nodig zijn.

Mens: de eerste verdedigingslinie

De meeste hacks beginnen niet met een geavanceerde technische aanval. Ze beginnen met een mens die op een link klikt, een wachtwoord deelt of een nep-inlogpagina niet herkent. Phishing is de meest voorkomende ingang. Een e-mail die lijkt te komen van Instagram zelf, met het verzoek je gegevens te bevestigen. Je klikt. Je vult in. En de hacker heeft je inloggegevens.

Training is hier de sleutel. Bij Ratho bieden wij IT-trainingen aan die medewerkers leren phishing te herkennen, veilig om te gaan met wachtwoorden en bewust te handelen online. Want technische maatregelen zijn waardeloos als de mens eromheen niet meedoet.

Proces: afspraken die standhouden

Wie heeft toegang tot je sociale media-accounts? Zijn dat persoonlijke of zakelijke accounts? Wat gebeurt er als een medewerker het bedrijf verlaat? Worden wachtwoorden gedeeld via WhatsApp? Dit zijn procesvragen die de meeste kleine bedrijven nooit formeel hebben beantwoord.

Een klant van ons, een retailbedrijf in Tilburg met acht medewerkers, ontdekte na een security-scan dat vijf mensen het Instagram-wachtwoord kenden, waaronder twee oud-medewerkers. Niet uit kwade wil, maar gewoon omdat er nooit een procedure was. We hebben samen een toegangsbeleid opgesteld, wachtwoorden aangepast en afgesproken wie beheerder is en hoe toegang wordt ingetrokken bij vertrek. Eenvoudig, maar cruciaal.

Techniek: het slot op de deur

Dan de technische kant. Hier zijn twee maatregelen die je vandaag nog kunt nemen en die het verschil maken.

De eerste is tweefactorauthenticatie (2FA). Activeer dit op elk zakelijk account: Instagram, Facebook, LinkedIn, maar ook je e-mail, boekhoudsoftware en cloudopslag. Met 2FA heeft een hacker niet genoeg aan alleen jouw wachtwoord. Hij heeft ook je telefoon nodig. Dat is een extra drempel die veel aanvallen al stopt.

De tweede is het veilig opslaan van herstelcodes. Elke dienst met 2FA geeft bij activatie herstelcodes mee. Print ze uit of sla ze op in een offline, beveiligde kluis. Niet in je inbox, niet in een Google Doc. Als je ooit je telefoon kwijtraakt of gehackt wordt, zijn dit de sleutels waarmee je terug naar binnen kunt.

Wat als het toch misgaat?

Preventie is het beste, maar geen enkel systeem is waterdicht. Wat doe je als je account toch gehackt is? Hier zijn de stappen die wij bij Ratho aanraden.

Stap één: meld het direct bij het platform. Voor Instagram gebruik je de officiële herstelflow via de app of website. Houd er rekening mee dat dit traag kan verlopen, zoals STYGR ondervond.

Stap twee: informeer je volgers via andere kanalen. Stuur een e-mail, post op LinkedIn of stuur een bericht via WhatsApp aan je vaste klanten. Leg uit wat er is gebeurd zodat zij niet in de val lopen van een hacker die jouw identiteit gebruikt.

Stap drie: doe aangifte. Bij de politie en bij het NCSC. Dit helpt niet altijd je account terug te krijgen, maar het draagt bij aan het grotere beeld en kan leiden tot opsporing.

Stap vier: neem contact op met je IT-partner. Zij kunnen nagaan of de hack verder heeft gereikt dan alleen je Instagram-account, of er malware op apparaten staat en welke aanvullende maatregelen nodig zijn.

De NIS2-richtlijn: ook voor jou relevant

Sinds oktober 2024 is de NIS2-richtlijn van kracht in de EU. Deze Europese cyberveiligheidswetgeving verplicht meer sectoren en organisaties tot concrete beveiligingsmaatregelen. Niet elk MKB-bedrijf valt direct onder NIS2, maar de trend is duidelijk: de lat voor cyberveiligheid wordt hoger gelegd. En de keten werkt door. Als je toeleverancier bent van een groter bedrijf dat wél onder NIS2 valt, kun je worden gevraagd je beveiliging aan te tonen.

Dat is geen reden tot paniek, maar wel een aanleiding om nu serieus aan de slag te gaan. Niet pas als het mis is gegaan.

Praktisch aan de slag: een checklist

Wil je vandaag al stappen zetten? Begin hier. Activeer 2FA op alle zakelijke accounts. Sla herstelcodes op, offline en veilig. Inventariseer wie toegang heeft tot welke accounts. Trek toegang in van oud-medewerkers. Plan een phishing-training voor je team. Zorg dat je IT-partner weet waar je digitale kroonjuwelen liggen.

Een klant van ons in de zorg, een kleine tandartspraktijk in Breda, dacht dat dit soort maatregelen alleen voor grote bedrijven was. Na een korte inventarisatie bleek dat hun agenda-software, patiëntenportaal en zakelijke e-mail allemaal toegankelijk waren met hetzelfde wachtwoord, zonder 2FA. We hebben in één middag de basisbeveiliging op orde gebracht. De investering was minimaal. De gemoedsrust daarna was groot.

Wat Ratho voor jou kan doen

Bij Ratho helpen wij MKB-bedrijven in Brabant met de volledige driehoek van beveiliging. Geen eigen IT-afdeling? Dan regelen wij alles, van monitoring tot training tot beleid. Wél een IT-team? Dan versterken wij je slagkracht waar het nodig is.

Via het Ratho Portaal houden wij je IT-omgeving in de gaten, ook buiten kantooruren. Onze IT-trainingen zorgen dat je medewerkers de eerste verdedigingslinie zijn in plaats van de zwakste schakel. En als er toch iets misgaat, staan wij klaar.

Beveiliging hoeft niet ingewikkeld te zijn. Het begint met eerlijk kijken naar waar je nu staat, en dan één stap tegelijk zetten. Wij helpen je daar graag bij.

Veelgestelde vragen

Hoe weet ik of mijn Instagram-account gehackt is?

Signalen zijn onder andere: je ontvangt een e-mail dat je e-mailadres of wachtwoord is gewijzigd, je kunt niet meer inloggen, of je ziet berichten en posts die je niet zelf hebt geplaatst. Controleer ook regelmatig bij welke apparaten en locaties je bent ingelogd. Dit vind je in de instellingen van Instagram onder 'Beveiliging' en 'Aanmeldactiviteit'.

Is tweefactorauthenticatie echt voldoende bescherming?

2FA verhoogt de drempel voor hackers aanzienlijk, maar is geen garantie. Het is een essentiële basislaag, maar dient gecombineerd te worden met sterke wachtwoorden, een wachtwoordmanager, bewuste medewerkers en goede processen rondom toegangsbeheer. Beveiliging is altijd een combinatie van maatregelen, nooit één wondermiddel.

Wat moet ik doen als ik vermoed dat een medewerker op een phishing-link heeft geklikt?

Handel snel. Verander direct alle wachtwoorden van accounts die de medewerker toegang tot had. Schakel 2FA in als dat nog niet actief was. Informeer je IT-partner zodat zij de apparaten kunnen controleren op malware. Informeer indien nodig klanten of partners als er kans is op datalekken. Schroom niet om dit te melden, hoe eerder je handelt, hoe minder schade.

Heeft mijn kleine bedrijf echt een IT-partner nodig voor dit soort zaken?

Niet elk bedrijf heeft een fulltime IT-afdeling nodig. Maar een betrouwbare IT-partner die meedenkt over beveiliging, trainingen verzorgt en beschikbaar is als er iets misgaat, is voor bijna elk MKB-bedrijf waardevol. De kosten van preventie zijn altijd lager dan de kosten van herstel na een incident. En jouw gemoedsrust heeft ook een waarde.

Instagram gehackt? Zo bescherm je je bedrijf