De manier waarop kleine en middelgrote bedrijven werken is voorgoed veranderd, maar dat geldt ook voor de manier waarop ze worden aangevallen. Teams zijn verspreid, SaaS-tools verwerken alles, van salarisadministratie tot projectmanagement, en aannemers en leveranciers wisselen regelmatig binnen de systemen. Met elke nieuwe tool of werknemer met toegang neemt het aantal mogelijke toegangspunten toe.
Dat groeiende aanvalsoppervlak is belangrijk, omdat op inloggegevens gebaseerde aanvallen, waaronder phishing, accountovernames en wachtwoorddiefstal, een van de meest voorkomende manieren zijn geworden waarop bedrijven te maken krijgen met schendingen. Ze werken juist omdat de toegang is verspreid, wat het moeilijk maakt om te volgen. Het enige wat een aanvaller nu hoeft te doen, is één geldige set inloggegevens te vinden om de verdediging van uw bedrijf te omzeilen.
In deze context zou het bemoedigend moeten zijn dat meer dan de helft van de kleine bedrijven nu een zakelijke wachtwoordbeheerder gebruikt. Maar Proton’s SMB Cybersecurity Report 2026 — een wereldwijd onderzoek onder 3.000 mkb-besluitvormers — toonde aan dat een op de vier vorig jaar nog steeds met een schending te maken had.
Dit alles wijst op een kloof tussen hoe tools worden geadopteerd en hoe ze daadwerkelijk worden gebruikt.
Hoe mkb’s tegenwoordig wachtwoordbeheerders gebruiken
De meeste wachtwoordbeheerders zijn ontworpen om één ding goed te doen: u helpen uw wachtwoord te onthouden. In de praktijk betekent dit het creëren van complexe en unieke wachtwoorden en het beheren ervan in een versleutelde kluis. Dat is aanzienlijk beter dan de norm van het hergebruiken van dezelfde inloggegevens op verschillende accounts en platforms.
Maar omdat wachtwoorden het gemakkelijkste toegangspunt voor een aanvaller zijn, hebben mkb’s wachtwoordbeheerders nodig die veel meer doen dan alleen geheugen- en gemaksproblemen oplossen. Ze hebben het nodig om de toegang te beveiligen.
Toegang is een veel bredere kwestie. Beschikken de juiste mensen over de juiste inloggegevens — en zou u weten wat ze ontgrendelen of of ze in de verkeerde handen zijn gevallen? En naarmate teams groeien, abonnementen zich opstapelen en aannemers in en uit stromen, moeten de overwegingen van uw organisatie verschuiven van het louter versterken van wachtwoorden naar het verantwoorden van beveiligingsbedreigingen in de echte wereld.
Dat is de verandering die de meeste bedrijven pas doorvoeren als er iets misgaat.
Waar implementaties van de wachtwoordbeheerder fout gaan
Het belangrijkste inzicht van ons rapport was dat bedrijven die wachtwoordbeheerders adopteren, deze niet consequent gebruiken.
Het onveilig delen van inloggegevens komt nog steeds in verrassend hoge mate voor:
- 33% deelt ze in gedeelde documenten of spreadsheets
- 30% deelt inloggegevens via e-mail
- 27% deelt ze via messaging-apps
- 25% schrijft ze op
- 24% deelt ze mondeling
Dat is een beeld van drukke mensen die op dat moment de snelste route nemen. In plaats van over te schakelen naar de app van de wachtwoordbeheerder en nieuwe inloggegevens te delen in de juiste kluis, plakken ze deze misschien in Slack of een e-mail.
Workarounds voelen op zichzelf onschuldig aan. Maar na verloop van tijd raken inloggegevens verspreid over inboxen, chatgeschiedenissen en gedeelde documenten op manieren die moeilijk te ontwarren zijn. Wanneer een werknemer vertrekt, kunt u de toegang later niet intrekken. En het updaten van wachtwoorden in een mum van tijd na een datalek wordt onmogelijk, tenzij deze op een gecentraliseerde veilige locatie zijn opgeslagen.
Training om veiligheidsbeleid af te dwingen kan helpen, maar ons onderzoek wees uit dat zelfs dat niet helemaal voldoende is…
Waarom training in beveiligingsbewustzijn niet genoeg is
Uit ons rapport bleek dat 39% van de mkb’s een beveiligingsincident heeft meegemaakt dat werd veroorzaakt door een menselijke fout. Die statistiek is gemakkelijk verkeerd te lezen; de natuurlijke reactie is om aan te nemen dat zorgvuldiger personeel betekent dat er minder incidenten zijn.
Maar deze framing mist iets belangrijks: Beveiligingssystemen die afhankelijk zijn van perfect gedrag onder alledaagse druk, zullen altijd worden teleurgesteld door de realiteit. Fouten gebeuren niet omdat het mensen niets kan schelen — ze gebeuren omdat de veilige optie vaak meer tijd en moeite kost dan de gemiddelde mkb’er zich kan veroorloven. Zelfs goedbedoelende teams zullen workarounds vinden wanneer ze over onvoldoende middelen beschikken.
De blijvende oplossing is niet meer training. Het is het ontwerpen van systemen waarbij de veilige optie ook de gemakkelijke is.
Als het veilig delen van toegang niet meer moeite kost dan het droppen van een wachtwoord in een chatbericht, zullen mensen het gebruiken.
Wanneer het toegangsprobleem uit de hand loopt
Het probleem met de inloggegevens verergert naarmate de teams groeien.
Zesentachtig procent van de mkb’s vertrouwt nu op cloudgebaseerde diensten voor de dagelijkse gang van zaken. Dat betekent meestal dat inloggegevens zich verspreiden over tools voor projectmanagement, financiële platforms, marketingsoftware, bestandsopslag en klantsystemen, elk met zijn eigen machtigingen en toegangsgeschiedenis.
Toegang verspreidt zich niet alleen over systemen; het verspreidt zich over de organisatie en stroomt tussen teams, externe partners, aannemers en voormalige werknemers die mogelijk nog steeds een weg naar binnen behouden.
Dit betekent dat in werkelijkheid inloggegevens zich ophopen, oude toegang blijft hangen en het aantal mensen dat de sleutels tot uw meest gevoelige systemen heeft — of heeft gehad — schaalt buiten het bereik van een eenvoudige tracering.
Tools hebben is niet hetzelfde als beschermd zijn
De mkb’s die vorig jaar met schendingen te maken kregen, namen geen kortere weg: 92% investeerde actief in beveiligingstools. Ze hadden wachtwoordbeheerders, versleutelde e-mail, trainingsprogramma’s en schriftelijk beleid. Met andere woorden, hun setups zagen er op papier solide uit.
Wat velen misten, was een consistente handhaving. Multi-factor authenticatie (MFA) werd ingeschakeld maar niet vereist, wachtwoordbeheerders werden geïmplementeerd maar niet ingesloten in de dagelijkse gewoonten, en onboarding- en offboardingprocessen werden eerder informeel dan systematisch afgehandeld. Wij vermoeden, gezien de populariteit van wachtwoordbeheerders voor browsers, dat velen niet eens een gecentraliseerd teamplatform gebruikten, maar in plaats daarvan op individuele basis vertrouwden op een lappendeken van minder veilige opties.
Elk van deze is een kleine kloof die onzichtbaar blijft totdat dit niet meer het geval is.
De echte maatstaf voor een beveiligingssetup is niet welke tools er op de lijst staan, maar of die tools standhouden onder de alledaagse druk van hoe mensen daadwerkelijk werken.
Hier zijn enkele werkwijzen om deze realiteit voor uw bedrijf dichterbij te brengen:
- Gebruik een wachtwoordbeheerder die gebouwd is voor teams. Browser-wachtwoordbeheerders zijn niet alleen minder veilig, ze missen ook de beheerdershulpmiddelen die beheerders nodig hebben om volledige controle over uw accounts te behouden. Tenzij u een zakelijke wachtwoordbeheerder heeft die eenvoudig in gebruik is, zal het niet voldoen.
- Controleer wie momenteel toegang heeft tot wat. Bekijk de gebruikerslijsten op uw meest gevoelige tools en kijk of er namen op staan die een verrassing zijn.
- Vervang gedeelde inloggegevens door individuele accounts. Hoewel het eenvoudig is om inloggegevens te delen in een wachtwoordbeheerder, is het geen aanbevolen werkwijze: gedeelde inloggegevens verminderen de zichtbaarheid op accountniveau, waardoor het moeilijker wordt om een schending te identificeren en erop te reageren.
- Maak meervoudige verificatie een vereiste. MFA is een van de meest effectieve beschikbare beveiligingen — maar alleen wanneer deze standaard wordt afgedwongen en niet als een optionele instelling wordt gelaten.
- Maak offboarding systematisch. Elk vertrek, of het nu een werknemer, aannemer of leverancier is, zou onmiddellijk een toegangsbeoordeling moeten activeren in plaats van als een bijgedachte.
Wilt u weten wat u nog meer kunt leren van onze enquête onder 3.000 zakelijke leiders in zes belangrijke markten? Lees meer in ons SMB Cybersecurity Report 2026. U leert wat schendingen veroorzaakt en wat ze daadwerkelijk kosten, waar menselijke fouten het vaakst worden getoond, en hoe de adoptie van cloud en AI nieuwe blinde vlekken creëren. Het bevat ook praktische stappen om de bescherming te versterken die standhouden in reële omstandigheden.
