Een faillissement kondigt zich zelden aan met één klap. Meestal is er een lange periode van financiële druk vooraf: betalingstermijnen die oprekken, klanten die later betalen, kosten die voor worden geschoven. In die periode zijn ondernemers begrijpelijkerwijs met andere dingen bezig dan hun wachtwoorden. En dat is precies het moment waarop cybercriminelen hun kansen grijpen.
Dat is geen hypothetisch risico. Volgens het Centraal Bureau voor de Statistiek (CBS) waren in 2024 maar liefst 2,4 miljoen Nederlanders slachtoffer van online criminaliteit — een stijging ten opzichte van de vorige meting. En dan gaat het uitsluitend om mensen die het zelf hebben aangegeven. Het werkelijke aantal ligt aanzienlijk hoger.
Voor een ondernemer die al financieel onder druk staat, kan een digitaal incident het verschil maken tussen een moeizame maar beheersbare situatie en een onherstelbare terugval. Juist daarom verdient dit onderwerp een plek in de gesprekken die worden gevoerd rondom faillissementen, schuldsaneringen en herstructureringen.
2,4 miljoen slachtoffers in één jaar — en de helft meldt het niet eens
De CBS-cijfers zijn helder maar het meldingsgedrag is verontrustend. Van de slachtoffers van online criminaliteit in 2024 deed slechts 18 procent aangifte bij de politie. De meest genoemde redenen: men dacht dat het niet zou helpen, of had er simpelweg niet aan gedacht. Dat betekent dat het zicht op de werkelijke schade vrijwel altijd onvolledig is.
Bij ondernemers in financieel moeilijk vaarwater speelt nog een extra drempel: angst voor reputatieschade. Een beveiligingsincident meldbaar maken terwijl de onderneming al onder vergrootglas ligt, voelt dubbel kwetsbaar. Toch verplicht de Algemene Verordening Gegevensbescherming (AVG) organisaties tot melding van datalekken bij de Autoriteit Persoonsgegevens (AP). In de eerste helft van 2024 registreerde de AP ruim 9.800 datalekmeldingen — en ook dat is slechts een fractie van wat er werkelijk voorvalt.
De cijfers zijn afkomstig uit onderzoek dat wordt uitgevoerd onder ruim 33.000 deelnemers van 15 jaar of ouder. Het gaat om representatief bevolkingsonderzoek, geen steekproef uit een specifieke doelgroep. Dat maakt de omvang des te opmerkelijker: 16 procent van alle 15-plussers werd in 2024 slachtoffer. Bij jongeren lag dit percentage significant hoger.
Kerncijfers online criminaliteit Nederland 2024 (CBS):
2,4 miljoen Nederlanders (16% van 15-plussers) slachtoffer van online criminaliteit.
9% slachtoffer van online oplichting en fraude — waarvan 7% via aankoopfraude.
Slechts 18% deed aangifte bij de politie.
Ruim 9.800 datalekmeldingen bij de AP in de eerste helft van 2024.
Cybercrime raakt drie op de vier Nederlanders, aldus Alert Online 2025 (Rijksoverheid).
Waarom financieel kwetsbare bedrijven een aantrekkelijk doelwit zijn
Cybercriminelen werken niet willekeurig. Ze richten zich op organisaties waarvan de kans op succes het grootst is. Een bedrijf dat al financieel onder druk staat, vertoont doorgaans een reeks kenmerken die het aantrekkelijk maken als doelwit: minder budget voor IT-beveiliging, minder capaciteit om incidenten snel op te merken, en medewerkers die overbelast zijn en minder alert op verdachte mails of verzoeken.
Het NCSC benadrukte in het Cybersecuritybeeld Nederland 2024 dat de meeste slachtoffers van ransomware-aanvallen hun basisbeveiliging niet op orde hadden. In 2023 vonden in Nederland meer dan 170 ransomware-aanvallen plaats, gericht op met name middelgrote bedrijven. Bij zulke aanvallen worden systemen gegijzeld totdat een losgeld wordt betaald — maar ook als het losgeld wordt betaald, zijn de gegevens vaak al gecompromitteerd of doorverkocht.
Daar komt bij dat de omgeving rondom een faillissement extra risico's met zich meebrengt. Er zijn meerdere partijen die toegang (hebben gehad) tot systemen: medewerkers die al zijn ontslagen, leveranciers die toegangscodes kennen, en soms curatoren of bewindvoerders die op korte termijn inzicht moeten krijgen in de bedrijfsadministratie. Al die toegangspunten vormen potentiële zwakke plekken als de toegangsbeheer niet actief wordt bijgehouden.
De gevaarlijkste periode: tussen aanvraag en uitspraak
De periode tussen het indienen van een faillissementsaanvraag en de daadwerkelijke uitspraak is voor een ondernemer ronduit chaotisch. Communicatie met crediteuren, gesprekken met advocaten, pogingen om liquiditeit te vinden — de aandacht is overal behalve bij de inloggegevens van de boekhoudsoftware of het e-mailaccount.
Juist in deze periode zijn phishingaanvallen bijzonder effectief. Een nep-mail van de 'rechtbank' of van een 'bewindvoerder' die om inloggegevens vraagt is makkelijker te geloven als men zelf midden in een juridische procedure zit. Hetzelfde geldt voor ceo-fraude, waarbij criminelen zich voordoen als directie of raad van bestuur om betalingen los te krijgen.
Mkb loopt het meeste risico — en doet het minste
Alert Online 2025, het jaarlijkse onderzoek van het ministerie van Economische Zaken naar cyberbewustzijn, stelde vast dat 20 procent van de kleinste mkb-bedrijven geen enkele beveiligingsmaatregel neemt. Dat is een daling ten opzichte van vorige jaren, maar nog altijd een zorgwekkend hoog aandeel. Ter vergelijking: bij bedrijven met 10 tot 50 medewerkers is het gebruik van tweefactorauthenticatie gestegen van 29 procent in 2017 naar 76 procent in 2024 — een verbetering die laat zien dat het wél mogelijk is als er prioriteit aan wordt gegeven.
Het probleem is niet dat ondernemers onverschillig zijn. Het is dat beveiliging wordt gezien als iets voor IT-mensen, voor grote bedrijven, voor later. In de praktijk zijn de meest impactvolle maatregelen juist laagdrempelig: software up-to-date houden, tweefactorauthenticatie inschakelen, medewerkers bewust maken van phishing, en toegangsbeheer regelmatig doorlichten.
Wachtwoordbeheer is daarin een onderschat aandachtspunt. Bij mkb-bedrijven worden inloggegevens regelmatig gedeeld via e-mail of bewaard in een gedeeld spreadsheet. Een wachtwoordmanager biedt een gestructureerde manier om toegangen centraal en versleuteld te beheren — zodat ook bij personeelswisselingen of een overname snel en veilig kan worden gehandeld. Juist in een faillissementssituatie, waarbij de curator snel overzicht moet krijgen, is een geordend toegangsbeheer goud waard.
Wat curatoren en bewindvoerders tegenkomen in de praktijk
Curatoren die een faillissement overnemen, treffen de digitale administratie van een bedrijf regelmatig aan in een staat die het werk ernstig bemoeilijkt. Inloggegevens voor boekhoudprogramma's zijn alleen bij de voormalige directeur bekend, e-mailaccounts zijn niet bereikbaar, en cloudopslag is gekoppeld aan privé-abonnementen die met de onderneming zijn meegestorven.
Dit levert niet alleen praktische obstakels op voor de afwikkeling van het faillissement, maar kan ook de belangen van crediteuren schaden. Als financiële gegevens niet tijdig toegankelijk zijn, kunnen vorderingen niet worden gereconstrueerd en kan de faillissementsboedel niet correct worden vastgesteld. Digitale chaos heeft een directe juridische en financiële prijs.
De les voor ondernemers — ook degenen die niet (of nog niet) in zwaar weer verkeren — is dat digitale orde onderdeel is van bedrijfsvoering. Niet als technische luxe, maar als basisvereiste voor een ordelijke overdracht, bij verkoop, fusie, of in het ergste geval bij faillissement.
Digitale weerbaarheid is geen IT-kwestie — het is een ondernemerskwestie
De framing van cybersecurity als 'IT-probleem' heeft lange tijd bijgedragen aan het gevoel dat het de verantwoordelijkheid is van iemand anders. Maar de schade van een beveiligingsincident is niet IT-schade. Het is bedrijfsschade: omzetderving, reputatieverlies, juridische aansprakelijkheid, en soms de directe aanleiding voor het omvallen van een toch al wankele onderneming.
De Autoriteit Persoonsgegevens en het Digital Trust Center van het ministerie van Economische Zaken bieden praktische handvatten voor ondernemers die hun beveiliging willen verbeteren. Het begint met inzicht: weten welke systemen er zijn, wie toegang heeft, en wat er moet gebeuren als iemand uit dienst gaat of een samenwerking eindigt.
In een omgeving waarin 2,4 miljoen Nederlanders jaarlijks slachtoffer worden van online criminaliteit, en waarin financieel kwetsbare bedrijven een aantrekkelijker doelwit zijn dan gemiddeld, is dat inzicht geen optie. Het is een basisverantwoordelijkheid.
Conclusie:
Digitale beveiliging en financiële kwetsbaarheid zijn nauw met elkaar verbonden. Juist wanneer een ondernemer minder ruimte heeft voor fouten, is het risico op een digitaal incident het grootst — en de impact het zwaarst. Basismaatregelen als tweefactorauthenticatie, geordend toegangsbeheer en bewust wachtwoordbeleid zijn geen luxe maar noodzaak, ook voor het kleinste bedrijf.