Back-upstrategie: hoe u een strategie opstelt die uw bedrijf daadwerkelijk beschermt

April 25, 2026
George Rouse
Back-up en Recovery, Back-upstrategieën

Volgens het Kaseya State of the MSP-rapport van 2026 meldde 50% van de MSP’s een omzetgroei op jaarbasis in BCDR-diensten, waarmee dit het op één na snelst groeiende segment is, na cyberbeveiliging. Download hier het volledige rapport.

Het installeren van back-upsoftware is niet hetzelfde als het hebben van een back-upstrategie. Dit verschil is van enorm belang als er iets misgaat.

Een back-upstrategie is een vastgelegde, gedocumenteerde aanpak voor het beveiligen van gegevens: wat er wordt geback-upt, hoe vaak, waar de kopieën worden opgeslagen, hoe lang ze worden bewaard en hoe snel het herstel moet plaatsvinden. Zonder een dergelijke strategie verwordt back-up tot een reeks ad-hocbeslissingen die onafhankelijk van elkaar worden genomen, waarbij sommige systemen wel en andere niet worden gedekt, aan sommige maar niet aan alle hersteleisen wordt voldaan, en een vals gevoel van zekerheid wordt gecreëerd dat pas aan het licht komt wanneer onder druk een herstelpoging wordt ondernomen.

In deze handleiding wordt uitgelegd hoe u een back-upstrategie kunt opstellen die volledig is, aansluit bij de vereisten voor bedrijfsherstel en bestand is tegen de specifieke bedreigingen die gericht zijn op de back-upinfrastructuur.

Ontwikkel een back-upstrategie die is afgestemd op het tijdperk van ransomware

Datto BCDR ondersteunt de 3-2-1-1-0-architectuur, lokale back-upapparatuur, een onveranderlijke kopie in de cloud en geautomatiseerde verificatie, waardoor MSP’s en IT-teams kunnen beschikken over een veerkrachtig hersteltraject dat bestand is tegen ransomware.

Ontdek Datto BCDR

Begin bij de herstelvereisten, niet bij de back-uptechnologie

De meeste organisaties beginnen gesprekken over back-ups met de technologie: welke software, welk apparaat, welke clouddienst. Het juiste uitgangspunt is echter de zakelijke vraag: hoe moet het herstel eruitzien?

Er zijn twee maatstaven die bepalen wat er nodig is voor herstel:

Recovery Time Objective (RTO), de maximale tijd dat een systeem of dienst uit de lucht mag zijn voordat de impact onaanvaardbaar wordt. Een RTO van vier uur betekent dat IT vier uur de tijd heeft vanaf het moment van de storing om de dienst te herstellen. RTO's moeten per systeem worden gedefinieerd op basis van de zakelijke impact van downtime, en niet als één enkel cijfer voor de hele omgeving.

Recovery Point Objective (RPO), de maximale hoeveelheid gegevensverlies die acceptabel is, gemeten in tijd. Een RPO van 24 uur betekent dat de organisatie het verlies van maximaal 24 uur aan gegevens accepteert. Een RPO van één uur betekent dat er voor de betreffende systemen minstens elk uur een back-up moet worden gemaakt.

Zodra de RTO en RPO voor elk systeemniveau zijn vastgesteld, komt het bij de keuze van back-uptechnologie neer op de vraag welke oplossingen aan die eisen kunnen voldoen. Een systeem met een RTO van vier uur vereist de mogelijkheid tot onmiddellijk of vrijwel onmiddellijk herstel, image-gebaseerde back-up met virtualisatieherstel, of een BCDR-apparaat dat het beveiligde systeem binnen enkele minuten in de cloud kan opstarten. Een systeem met een RTO van 24 uur kan volstaan met conventionele bestandsback-up met dagelijkse volledige back-ups.

Door deze volgorde te hanteren, voorkomt u de veelgemaakte fout dat back-uptools worden gekozen op basis van kosten of bekendheid, om vervolgens bij een incident te ontdekken dat het herstel veel langer duurt dan het bedrijf zich kan veroorloven.

Gegevens en systemen indelen op basis van herstelprioriteit

Niet alle systemen vereisen dezelfde investering op het gebied van back-upsnelheid, -frequentie en -bewaartermijn. Door systemen in te delen op basis van herstelprioriteit kunnen back-upinvesteringen op de juiste manier worden ingezet:

Niveau 1, bedrijfskritisch. Systemen waarvan een storing de bedrijfsvoering onmiddellijk stillegt: kernapplicaties, databases, domeincontrollers, ERP-systemen, betalingsverwerking. Niveau 1 vereist de laagste RTO en RPO, doorgaans minder dan een uur. Technologie: image-gebaseerde back-up met lokale virtualisatie, BCDR-apparaat met cloudcontinuïteit en CDP voor databases met de hoogste kriticiteit.

Niveau 2, Bedrijfsmatig belangrijk. Systemen waarvan een storing de bedrijfsvoering aanzienlijk belemmert, maar niet onmiddellijk tot stilstand brengt: e-mailservers, bestandsservers, secundaire bedrijfsapplicaties. Voor niveau 2 zijn iets langere RTO’s (meestal enkele uren) en RPO’s (meestal enkele uren tot één dag) aanvaardbaar.

Niveau 3, Standaard. Eindpunten, ontwikkelomgevingen, niet-kritieke applicaties. Niveau 3 is geschikt voor dagelijkse back-ups met een hersteltijd van meerdere dagen. Technologie: dagelijkse bestands-/imageback-ups, uitsluitend kopieën in de cloud, standaardbewaartermijn.

Dit tiering-raamwerk draait niet alleen om kostenbeheersing, maar ook om ervoor te zorgen dat de meest kritieke systemen beschikken over de herstelcapaciteit die het bedrijf daadwerkelijk nodig heeft, en dat investeringen in duurdere hersteltechnologie worden geconcentreerd op die gebieden waar ze de meeste waarde opleveren.

De juiste back-uparchitectuur kiezen

Een combinatie van een appliance op locatie en de cloud vormt de meest veerkrachtige architectuur voor organisaties met een omvangrijke infrastructuur op locatie. De appliance biedt lokale back-ups voor snel herstel bij veelvoorkomende storingsscenario’s; de kopie in de cloud zorgt voor een externe, geïsoleerde back-up die bestand is tegen incidenten op locatieniveau en tegen ransomware die zich richt op lokale opslag. Datto SIRIS deze architectuur: een robuuste Linux-appliance met lokale virtualisatiemogelijkheden voor snel herstel ter plaatse en geautomatiseerde cloudreplicatie voor bescherming op afstand.

Back-ups met een cloud-first-benadering zijn geschikt voor organisaties met voornamelijk een cloud- of SaaS-infrastructuur, of voor organisaties zonder datacenters op locatie. Back-ups worden rechtstreeks naar de cloudopslag verzonden, waarbij onveranderlijke objectopslag bescherming biedt tegen ransomware. Herstel vindt plaats van cloud naar cloud of van cloud naar locatie.

Hybride back-up is geschikt voor organisaties met meerdere omgevingen, die zowel on-premises als cloud-workloads hebben. Voor verschillende omgevingen zijn doorgaans verschillende tools nodig: een appliance-gebaseerde oplossing voor on-premises, cloud-native back-up voor cloudinfrastructuur en SaaS-back-up voor SaaS-toepassingen. De belangrijkste vereiste is gecentraliseerd beheer dat vanuit één console inzicht biedt in alle back-upomgevingen.

Bij een op BCDR gerichte architectuur krijgt de snelheid van het herstel voorrang boven de kostenefficiëntie van de back-up. BCDR-apparaten kunnen beschermde systemen binnen enkele minuten na een storing lokaal virtualiseren, waardoor de bedrijfsvoering in stand blijft terwijl het herstel naar de primaire hardware op de achtergrond plaatsvindt. Deze architectuur is geschikt voor Tier 1-systemen met RTO-eisen van minder dan vier uur.

Bewaartermijnen: hoe lang moet wat worden bewaard?

Het bewaarbeleid is een van de strategisch belangrijkste beslissingen op het gebied van back-ups, maar wordt vaak onvoldoende doordacht. Twee tegenstrijdige factoren bepalen de bewaartermijn:

De verblijftijd van ransomware pleit voor een langere bewaartermijn. Bij moderne ransomware-aanvallen gaat er vaak weken of maanden van verkenning aan vooraf voordat de destructieve payload wordt ingezet. Als de bewaartermijn voor back-ups bij een organisatie 30 dagen bedraagt en de aanvaller al 45 dagen vóór het inzetten van de ransomware toegang heeft verkregen, vallen alle back-upkopieën mogelijk binnen de periode waarin de organisatie is gecompromitteerd, waardoor ze mogelijk versleutelde of geïnfecteerde bestanden bevatten. Organisaties moeten hun bewaartermijn aanzienlijk verlengen tot ver voorbij de verwachte maximale verblijftijd om ervoor te zorgen dat er schone herstelpunten beschikbaar zijn.

De opslagkosten pleiten voor een kortere bewaartermijn. Een langere bewaartermijn betekent meer opslagruimte.

De resolutie betreft een gedifferentieerd bewaarbeleid:

  • Recente back-ups (afgelopen 7–30 dagen): regelmatige intervallen, hoge granulariteit, snelle toegang
  • Maandelijkse back-ups: worden 12 maanden bewaard
  • Jaarlijkse back-ups: worden 3 tot 7 jaar bewaard (afhankelijk van de nalevingsvereisten)

Nalevingsverplichtingen bepalen ook de minimale bewaartermijnen. De HIPAA schrijft voor dat er back-ups van relevante gegevens moeten worden gemaakt en dat deze gedurende een passende periode moeten worden bewaard. AVG beperkingen AVG de bewaartermijn van gegevens, die moeten worden afgewogen tegen de vereisten voor het bewaren van back-ups. Sectorspecifieke regelgeving (financiële dienstverlening, gezondheidszorg, overheid) schrijft vaak minimale bewaartermijnen voor met het oog op audits en juridische bewaarplichten.

Onwijzigbare back-ups die gedurende de vastgestelde bewaartermijn niet kunnen worden gewijzigd of verwijderd, bieden bescherming tegen zowel ransomware als onbedoelde verwijdering, waardoor historische herstelpunten beschikbaar blijven, ongeacht wat er in de primaire omgeving gebeurt.

Back-upbeveiliging: het herstelproces beveiligen

Back-upinfrastructuur is een belangrijk doelwit van aanvallen geworden. Meer dan 90% van de ransomware-aanvallen is gericht op back-ups; aanvallers beseffen dat een organisatie met intacte back-ups geen losgeld hoeft te betalen, dus het uitschakelen van herstelmogelijkheden maakt deel uit van de aanvalsstrategie.

Voor de beveiliging van back-ups is het volgende vereist:

Afscherming van het productienetwerk. Back-upsystemen die toegankelijk zijn via standaard SMB-bestandsshares of domein-inloggegevens, zijn kwetsbaar voor ransomware die domeinaccounts heeft gehackt. Voor de back-upinfrastructuur moeten aparte inloggegevens en aparte netwerksegmenten worden gebruikt, en idealiter opslag op basis van apparaten of uitsluitend in de cloud, die geen standaard aanvalsoppervlak voor het Windows-bestandssysteem biedt.

Onveranderlijke opslag. Objectopslag met een WORM-configuratie (Write Once Read Many) of door de leverancier geboden onveranderlijkheid zorgt ervoor dat back-upkopieën niet kunnen worden gewijzigd of verwijderd, zelfs niet door ransomware die over beheerdersrechten beschikt.

Versleuteling. Back-upgegevens moeten zowel tijdens de overdracht als in rust worden versleuteld. Dit biedt bescherming tegen gegevensdiefstal uit back-upopslagplaatsen, wat steeds vaker een secundair doelwit van aanvallen vormt naast het inzetten van ransomware.

Toegangscontrole en MFA. Consoles voor back-upbeheer moeten MFA en op rollen gebaseerde toegang vereisen. De inloggegevens voor het beheer van back-ups moeten los staan van de inloggegevens die in de productieomgeving worden gebruikt.

Scannen op ransomware. Back-upplatforms die back-ups op malware scannen voordat ze worden opgeslagen, bieden de zekerheid dat herstelpunten virusvrij zijn, waardoor wordt voorkomen dat bij het herstellen vanuit een back-up de ransomware samen met de gegevens wordt teruggezet.

Testen en controleren: het belangrijkste onderdeel dat niemand doet

Een back-up die nog nooit is getest, is een gok. Hardware kan defect raken. Configuraties kunnen veranderen. Software-updates kunnen de compatibiliteit verstoren. De back-uptaak die vorige maand nog succesvol werd uitgevoerd, levert vandaag misschien geen herstelbare kopie meer op.

Bij het testen van back-ups moet het volgende worden meegenomen:

Regelmatige hersteltests. Herstel specifieke bestanden, databases of volledige systemen vanuit een back-up volgens een vast schema: maandelijks voor kritieke systemen, driemaandelijks voor andere systemen. Leg vast wat er is hersteld, uit welke back-up en hoe lang dit heeft geduurd.

Volledige DR-tests. Simuleer minstens één keer per jaar een scenario waarin het systeem volledig uitvalt: herstel de productieomgeving vanuit de back-up in een testomgeving, controleer of de applicaties correct functioneren en vergelijk de werkelijke RTO met de streefwaarde. Dit is de enige test waarmee kan worden gecontroleerd of de back-upstrategie de herstelprestaties levert die het bedrijf nodig heeft.

Geautomatiseerde back-upcontrole. Moderne back-upplatforms kunnen na elke back-uptaak automatisch controleren of het systeem kan worden hersteld, door een gevirtualiseerde instantie van het geback-upte systeem op te starten en te controleren of deze correct opstart. Dit zorgt voor continu vertrouwen zonder de overhead van handmatige tests. De functie ‘Screenshot Verification’ van Datto doet precies dit: na elke back-up wordt automatisch een screenshot gemaakt van elk geback-upte systeem om te controleren of het systeem foutloos opstart.

Door regelmatig te testen worden problemen vaak aan het licht gebracht voordat ze pas bij een incident aan het licht komen, zoals een onjuiste back-upomvang, hiaten in de bewaartermijnen of technologie die niet aan de vereiste RTO kan voldoen.

Back-upstrategie voor MSP’s

Voor MSP’s vormt de back-upstrategie het raakvlak tussen de bescherming van klanten en de dienstverlening:

Een gestandaardiseerde basis met aanpassingen per klant. Stel een standaard back-uparchitectuur en bewaarbeleid vast die standaard voor alle klanten gelden, met gedocumenteerde afwijkingen per klant wanneer de specifieke eisen van een klant afwijken. Dit is schaalbaarder en beter controleerbaar dan voor elke klant afzonderlijk een op maat gemaakte aanpak te ontwikkelen.

RTO/RPO-documentatie per klant. In klantovereenkomsten moeten de hersteldoelstellingen worden vastgelegd waaraan de MSP zich verbindt, en de back-upconfiguratie moet worden gecontroleerd om deze toezeggingen te ondersteunen. Een niet-gedocumenteerde RTO leidt tot aansprakelijkheid wanneer het herstel langer duurt dan de klant had verwacht.

Monitoring en rapportage van back-ups. De status van back-uptaken in alle klantomgevingen moet worden gemonitord, met automatische waarschuwingen bij storingen. Back-uprapporten voor klanten, waarin de dekking van de back-up en het slagingspercentage van de taken worden weergegeven, dienen zowel als instrument voor dienstverlening als voor het behoud van klanten.

Back-up als verkoopbare dienst. Veel MKB-klanten zijn onvoldoende beveiligd en zijn zich daar niet van bewust, of begrijpen niet wat uitgebreide beveiliging inhoudt. MSP’s die het verschil tussen wat een klant heeft en wat hij nodig heeft duidelijk kunnen uitleggen – in zakelijke termen, met behulp van RTO/RPO-terminologie en door de nadruk te leggen op de kosten van downtime – kunnen hun omzet uit back-updiensten uit bestaande klantrelaties vergroten.

Ontdek waarom MSP’s nu cyberweerbaarheid nodig hebben

Belangrijkste punten

  • Begin bij de herstelvereisten (RTO en RPO per systeemlaag), niet bij de technologie; de juiste back-upoplossing is degene die aan die vereisten kan voldoen tegen aanvaardbare kosten.
  • Door systemen in te delen op basis van herstelprioriteit worden investeringen gericht op de systemen waar snel herstel echt nodig is, in plaats van overal dezelfde aanpak toe te passen.
  • Door ransomware is de beveiliging van back-ups een topprioriteit geworden: onveranderlijke, geïsoleerde back-ups met aparte inloggegevens zijn nu fundamentele vereisten, en geen optionele beveiligingsmaatregel meer.
  • Het regelmatig testen van herstelprocedures is het meest verwaarloosde en meest cruciale onderdeel van elke back-upstrategie; niet-geteste back-ups wekken een vals gevoel van zekerheid dat op het slechtst mogelijke moment in de steek laat.

Eén compleet platform voor IT- en Security

Kaseya 365 de alles-in-één-oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya 365

Één platform. Alles omtrent IT.

Kaseya 365 profiteren van de voordelen van de beste tools voor IT-beheer en beveiliging in één enkele oplossing.

Ontdek Kaseya 365

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is dé bron om inzicht te krijgen in de richting waarin de sector zich ontwikkelt.

Nu downloaden

Ontdek categorieën

Houten blok met de tekst Business Continuity

Wat is BCDR? Uitleg over bedrijfscontinuïteit en noodherstel

Volgens het Kaseya State of the MSP-rapport van 2026 biedt 79% van de MSP’s back-up en herstel aan als een beheerdeMeer lezen

Lees blogbericht

Cyberweerbaarheid voor moderne IT heroverwegen

Ontdek waarom cyberweerbaarheid essentieel is voor moderne bedrijven om verstoringen te weerstaan en een snel en betrouwbaar herstel te garanderen.

Lees blogbericht

Een winstgevende strategie voor cyberweerbaarheid ontwikkelen: wat elke MSP moet weten

Ontdek hoe snelgroeiende MSP's verder gaan dan back-ups met geverifieerd recovery naleving van regelgeving om hun activiteiten op te schalen, marges te beschermen en het vertrouwen van klanten te vergroten.

Lees blogbericht