Vraag de meeste IT-teams waar hun back-upstrategie zich op richt, en het antwoord is: servers – bestandsservers, databaseservers, applicatieservers. Servers bevatten cruciale gedeelde gegevens en centrale systemen, dus dat is logisch. Wat daarbij echter over het hoofd wordt gezien, wordt steeds belangrijker.
Laptops en werkstations bevatten een groot en steeds groter wordend deel van de bedrijfskritische gegevens. Denk hierbij aan lokaal gedownloade bestanden, conceptdocumenten, projectbestanden, e-mailarchieven, applicatiegegevens en de verzamelde werkbestanden van medewerkers die hun bestanden lokaal opslaan in plaats van op gedeelde schijven. In hybride werkomgevingen geldt dit meer dan ooit: medewerkers op afstand werken vaak aan lokaal opgeslagen bestanden die mogelijk nooit met een centrale locatie worden gesynchroniseerd.
Als er een laptop wordt gestolen, een harde schijf defect raakt of ransomware een eindpunt versleutelt, wordt de vraag „Is er een back-up van deze gegevens?“ beantwoord door een goed functionerend back-upbeleid voor eindpunten – of door het besef dat dat niet het geval is.
Volgens het Kaseya State of the MSP-rapport uit 2026 biedt 79% van de MSP’s back-up en herstel aan als beheerde dienst, maar blijven eindapparaten, waaronder laptops en externe werkstations, de omgeving die het vaakst onvoldoende wordt beveiligd. Datto, onderdeel van de Kaseya-groep, beschermt de gegevens op eindapparaten voor MSP’s die wereldwijd apparaatparken beheren voor duizenden MKB-klanten. Download het volledige rapport.
Beveilig elk eindpunt, ook die buiten het netwerk
Datto Endpoint Backup continue bescherming voor laptops en apparaten op afstand, met back-ups die rechtstreeks naar de cloud worden verzonden, ongeacht of de apparaten op het bedrijfsnetwerk zijn aangesloten.
Wat valt er onder een back-up van eindpunten?
Een back-up van eindapparaten, ook wel laptopback-up, pc-back-up of apparaatback-up genoemd, maakt kopieën van de gegevens op de individuele apparaten van gebruikers, waardoor die gegevens kunnen worden hersteld als het apparaat zoekraakt, defect raakt of gecompromitteerd wordt.
De dekking omvat doorgaans gebruikersbestanden en -documenten, applicatiegegevens, browserprofielen en lokaal opgeslagen e-mailgegevens (Outlook PST-bestanden), waarbij specifieke mappen en bestandstypen naar keuze kunnen worden meegenomen of uitgesloten.
Een volledige systeemimage-back-up van eindapparaten legt het besturingssysteem, de applicaties en de gegevens vast in een herstelbare image, waardoor het apparaat volledig kan worden hersteld: niet alleen het terugzetten van gegevens, maar ook de mogelijkheid om een complete werkomgeving op vervangende hardware te herstellen. Dit is van belang wanneer een apparaat defect raakt of wordt vervangen, omdat hierdoor de tijd die nodig is om applicaties opnieuw te installeren en gebruikersomgevingen helemaal opnieuw op te bouwen, wordt bespaard.
Datto Endpoint Backup Windows- en Mac-eindapparaten, waaronder desktops, laptops, virtuele machines en cloudinstanties, ongeacht of deze apparaten zich op het bedrijfsnetwerk bevinden of op afstand worden gebruikt. De back-upfrequentie kan worden ingesteld op maximaal elke twee uur, en de oplossing ondersteunt zowel zelfherstel door eindgebruikers als door beheerders beheerde herstelworkflows.
Waarom er vaak geen back-up van eindpunten wordt gemaakt
Er zijn een aantal veelvoorkomende aannames die verklaren waarom er in anderszins geavanceerde back-upprogramma’s geen back-up van eindpunten is opgenomen.
Ten onrechte vertrouwen in cloudsynchronisatie. De synchronisatie van OneDrive en Google Drive is geen back-up. Ze synchroniseren de huidige status van bestanden naar de cloudopslag. Als bestanden op het eindapparaat worden verwijderd of versleuteld, wordt deze verwijdering of versleuteling doorgevoerd in de gesynchroniseerde kopie in de cloud. Synchronisatie is een hulpmiddel om bestanden toegankelijk te houden, geen hulpmiddel om ze te herstellen. Deze twee worden vaak door elkaar gehaald, en het verschil wordt pas duidelijk wanneer er daadwerkelijk herstel nodig is.
“Gebruikers moeten hun bestanden op de server opslaan.” Theorie en praktijk lopen uiteen. Ongeacht wat gebruikers wordt opgedragen, belanden de gegevens uiteindelijk toch op lokale schijven. Een back-upprogramma dat voor zijn dekking afhankelijk is van de medewerking van gebruikers, biedt onvoorspelbare dekking. De laptops waarop de meest waardevolle lokaal opgeslagen gegevens staan, zijn vaak juist die van de medewerkers die het beleid voor het opslaan van bestanden het minst consequent naleven.
Complexiteit op grote schaal. Voor het maken van back-ups van tientallen of honderden eindpunten is een centraal beheerde oplossing nodig met geautomatiseerde implementatie, handhaving van beleid en toezicht op naleving. Handmatige back-ups van eindpunten zijn niet schaalbaar. Hetzelfde IT-team dat de back-ups van servers betrouwbaar laat verlopen, stelt back-ups van eindpunten vaak uit omdat de tools om dit op grote schaal te beheren ontbreken.
Zorgen over bandbreedte en datavolume. Een volledige back-up van eindpunten levert aanzienlijke hoeveelheden data op, met name bij de eerste back-up. Back-upbeleidsregels waarbij na de eerste volledige back-up incrementele back-ups worden gemaakt, in combinatie met deduplicatie en bandbreedtebeperking tijdens kantooruren, zorgen ervoor dat deze beperkingen worden opgevangen zonder dat dit noemenswaardige gevolgen heeft voor de netwerkprestaties of de gebruikerservaring. Moderne back-upoplossingen voor eindpunten zijn juist ontworpen met het oog op deze beperkingen, en niet ondanks deze beperkingen.
Back-up van eindpunten in de praktijk
Een effectieve back-up van eindpunten is gebaseerd op agents en wordt centraal beheerd. Een back-upagent die via een RMM-beleid of een scriptinstallatie op de eindpunten wordt geïnstalleerd, maakt verbinding met een centraal back-upbeheersysteem, voert de back-up uit volgens het vastgestelde beleid en rapporteert de status terug naar de beheerconsole.
Het operationele ideaal is integratie met het RMM-platform: de back-upstatus van eindpunten is zichtbaar naast de status van de eindpunten, de naleving van patch-updates en de monitoring, waardoor vanuit één console een totaaloverzicht ontstaat van de beveiliging van apparaten. Datto Endpoint Backup vooraf geïntegreerd met de oplossingen voor eindpuntbeheer en RMM van Kaseya, wat betekent dat de implementatie, het handhaven van beleid en het monitoren van de back-upstatus allemaal plaatsvinden binnen dezelfde beheeromgeving waarin technici al werken.
Een typisch back-upbeleid voor eindpunten omvat:
1. Dagelijkse incrementele back-up van mappen met gebruikersgegevens (Documenten, Bureaublad, Downloads, AppData voor applicatie-instellingen)
2. Regelmatige volledige back-up of image-back-up voor systemen waarvoor een image-back-up vereist is
3. Bewaartermijn van 30 tot 90 dagen voor standaard naleving en gevallen van onopzettelijke verwijdering
4. Langere bewaartermijn voor eindpuntomgevingen met een hoog risico of waar naleving van regelgeving van groot belang is
De ingebouwde malwarescan en ransomware-detectie voegen een extra beveiligingslaag toe aan het back-upproces: beveiligde back-upkopieën dienen niet alleen als herstelmiddel, maar worden ook gecontroleerd op wijzigingen op bestandsniveau die wijzen op een actieve ransomware-aanval.
Waarom back-ups van eindpunten een wettelijke verplichting zijn
Afgezien van de operationele aspecten is het maken van back-ups van eindpunten inmiddels een wettelijke verplichting geworden binnen diverse regelgevingskaders, en de reikwijdte daarvan is vaak groter dan IT-teams denken.
De HIPAA verplicht betrokken entiteiten om back-ups te bewaren van elektronische beschermde gezondheidsinformatie (ePHI). Voor zorginstellingen waarvan het personeel met laptops werkt – zoals zorgverleners, administratief medewerkers en telewerkers – valt het maken van back-ups van eindapparaten rechtstreeks onder de technische beveiligingsvereisten van de HIPAA-beveiligingsregel. Een serverback-upprogramma dat geen dekking biedt voor klinische laptops leidt tot een gedocumenteerde lacune in de naleving.
AVG vereist dat persoonsgegevens worden beschermd tegen onopzettelijk verlies, vernietiging of beschadiging (artikel 32). Eindapparaten die persoonsgegevens van EU-inwoners bevatten, moeten hieronder vallen. Een laptop van een medewerker met klantgegevens, patiëntendossiers of HR-informatie valt hier duidelijk onder.
De voorwaarden van cyberverzekeringen zijn aangescherpt naar aanleiding van schadeclaims in verband met ransomware, waarbij gegevens op eindapparaten onherstelbaar waren omdat back-ups van laptops van de dekking waren uitgesloten. Verzekeraars eisen steeds vaker gedocumenteerd bewijs van back-updekking voor eindapparaten, en niet alleen voor servers, als voorwaarde voor dekking.
De SOC 2-criteria voor beschikbaarheid beoordelen of een organisatie over de processen en hulpmiddelen beschikt om gegevens na een storing tijdig te herstellen. Het maken van back-ups van eindpunten maakt deel uit van het systematisch, in plaats van selectief, aantonen van die capaciteit.
Voor IT-teams en MSP’s biedt het argument van naleving een duidelijke, aantoonbare rechtvaardiging voor investeringen in back-ups van eindpunten, iets wat op basis van operationele overwegingen alleen soms niet voldoende is om de beslissing te nemen.
Back-up van eindpunten voor MSP’s: een kans voor dienstverlening
Voor MSP’s die back-ups als beheerde dienst aanbieden, vormt de back-up van eindapparaten zowel een beveiligingslek dat moet worden gedicht als een nieuwe inkomstenbron. De klanten die het meest kans lopen op dit beveiligingslek, zijn dezelfde klanten die werken met hybride teams waarvan de laptops gedurende langere tijd buiten het netwerk zijn.
Het gesprek met de klant verloopt vrij eenvoudig: de meeste klanten gaan ervan uit dat hun back-upprogramma uitgebreider is dan het in werkelijkheid is. Een eenvoudige inventarisatie van wat er momenteel wordt beschermd en wat er op eindapparaten gevaar loopt, maakt deze kloof duidelijk zichtbaar. Het verschil tussen „alleen serverback-up“ en „server plus back-up van eindapparaten“ is doorgaans aanzienlijk; vaak gaat het daarbij om de meest bedrijfskritische lopende projecten die op de laptop van een verkoopdirecteur of het werkstation van een projectmanager staan.
Dankzij de multi-tenant-architectuur Endpoint BackupDatto Endpoint Backupen de vooraf geïntegreerde koppeling met Datto RMM en het platform van Kaseya is het operationeel haalbaar om endpoint-back-ups voor het gehele klantenbestand in te voeren zonder dat dit gepaard gaat met een evenredige toename van de beheerkosten. Gecentraliseerd beleidsbeheer, geautomatiseerde implementatie en geconsolideerde rapportage voor alle klanten zijn de operationele elementen die endpoint-back-ups op grote schaal tot een haalbare managed service maken.
Door back-ups van eindapparaten aan het programma van een klant toe te voegen, wordt ook voldaan aan de nalevingsvereisten die bij back-ups van alleen servers buiten beschouwing blijven, waardoor een met bewijsmateriaal onderbouwde rechtvaardiging voor deze aanvullende dienst ontstaat.
Ontdek Datto Endpoint Backup MSP’s en IT-teams.
Het Unified Cyber Resilience Portal
Het beheren van back-ups binnen on-premises infrastructuur, SaaS-toepassingen, eindapparaten en cloudomgevingen betekende tot nu toe dat er meerdere afzonderlijke tools moesten worden beheerd, elk met een eigen console, waarschuwingssysteem en herstelworkflow. Voor MSP’s die meerdere klanten in al deze omgevingen beheren, zorgt die versnippering voor aanzienlijke operationele overhead.
Het Unified Cyber Resilience Portal van Kaseya, dat tijdens Kaseya Connect 2026 werd aangekondigd, brengt het beheer van back-ups op locatie, in de cloud, voor eindpunten en via SaaS samen in één geïntegreerde interface. Hierdoor komt er een einde aan de wildgroei aan tools die technici dwingt om herstelprocessen bij verschillende, onderling niet-gekoppelde leveranciers te beheren. Aangedreven door Kaseya Intelligence biedt het AI-gestuurde screenshotverificatie met een nauwkeurigheid van meer dan 99,9%, gekoppelde herstelworkflows met intelligente prioritering en compliance-dekking, inclusief FIPS-mogelijkheden en FedRAMP-gereedheid.
Voor MSP’s die naast server- en SaaS-back-ups ook back-ups van eindpunten aanbieden, betekent dit in de praktijk één enkel bewijstraject voor naleving, een uniform waarschuwingssysteem en geautomatiseerde back-upcontrole voor alle beveiligde omgevingen, zonder dat er extra werk nodig is om resultaten van verschillende platforms met elkaar te vergelijken.
Belangrijkste punten
- Back-ups van eindapparaten pakken een belangrijke en steeds groter wordende kwetsbaarheid in de gegevensbeveiliging aan: laptops en werkstations bevatten bedrijfskritische gegevens die niet worden beschermd door back-ups die uitsluitend op servers worden gemaakt, en door het hybride werken is deze kloof nog groter geworden.
- Cloudsynchronisatie (OneDrive, Google Drive) is geen back-up. Naast de gebruikelijke bestandswijzigingen worden ook verwijderingen en versleuteling doorgevoerd. Deze twee worden vaak door elkaar gehaald, totdat er daadwerkelijk een herstel nodig is.
- HIPAA, AVG, vereisten voor cyberverzekeringen en SOC 2-beschikbaarheidscriteria breiden de back-upverplichtingen allemaal uit naar eindapparaten, en niet alleen naar servers. Een back-upprogramma dat zich uitsluitend op servers richt, vertoont aantoonbare tekortkomingen op het gebied van naleving in gereguleerde omgevingen.
- Agentgebaseerde, centraal beheerde endpoint-back-up met RMM-integratie is de schaalbare oplossing voor IT-teams en MSP’s die grote apparaatparken beheren. Dankzij de vooraf geïntegreerde koppeling Endpoint BackupDatto Endpoint Backupmet het platform van Kaseya vinden implementatie, beheer en monitoring plaats binnen één enkele omgeving.
- Voor MSP’s vormt de back-up van eindpunten zowel een beveiligingslacune die voor bestaande klanten moet worden gedicht als een duidelijke aanvullende dienst met een op compliance gebaseerde rechtvaardiging.
