Atlas Academy · MFA · Stappenplan · Security
Multi-factor authenticatie verplicht stellen klinkt simpel. De uitrol staakt vaak niet op de techniek — die zit ingebouwd in Microsoft 365 en Google Workspace — maar op de helpdesk-piek in week 1, de uitzonderingen die niet worden vastgelegd, en de medewerker die zijn telefoon vergeet en niet meer kan inloggen. Hieronder een 7-stappenplan om dat te voorkomen.
Voordat je begint met uitrollen, weet welke accounts erbij horen. Een typische MKB-inventaris bestaat uit:
— Mailboxen (Microsoft 365 / Google Workspace) — verplicht, geen uitzondering.
— ERP-systeem (Odoo, Microsoft Dynamics) — verplicht.
— Boekhoudpakket (Exact Online, Yuki, Snelstart) — verplicht.
— Externe toegang (VPN, RDP, Tailscale, AnyDesk) — verplicht.
— Cloud-applicaties met klantdata (CRM, projecttools) — verplicht.
— SaaS-applicaties (Slack, Trello, Asana) — sterk aanbevolen.
— Persoonlijke accounts op het werk (LinkedIn, Twitter) — aanbevolen.
Voor élk account in deze lijst geldt: MFA verplicht, geen halve maatregelen. Een mailbox met MFA en een ERP zonder is niet halve veiligheid — het is schijnzekerheid waar verzekeraars geen krediet voor geven.
Drie veelvoorkomende opties, met sterk verschillende beveiligingsniveaus:
Authenticator-app (aanbevolen). Microsoft Authenticator, Google Authenticator, Authy. Genereert TOTP-codes lokaal op de telefoon — geen netwerkverbinding nodig. Werkt offline. Veiligst en gratis. Standaardkeuze.
SMS-codes (afgeraden). Werkt overal, maar onderschept door SIM-swapping en SS7-aanvallen. Beter dan geen MFA, maar als er een keuze is — vermijden. NIST heeft SMS al sinds 2017 niet meer aanbevolen voor zakelijke MFA.
Hardware-keys (FIDO2 / YubiKey). Fysieke USB-sleutel die je in de laptop steekt. Hoogste niveau van beveiliging — bestand tegen phishing. Kosten: €25-65 per gebruiker. Aanbevolen voor administrators en accounts met financiële bevoegdheid.
Voordat je organisatie-breed uitrolt: kies 3-5 mensen die de pilot draaien — de eigenaar, IT-verantwoordelijke, en 1-2 vrijwilligers uit verschillende afdelingen. Activeer hun MFA. Documenteer welke vragen ze stellen. Welke processen zijn onhandig? Wat ontbreekt in de communicatie? Twee weken pilot levert de juiste FAQ-vragen op voor de bredere uitrol.
Een uitrol op één dag werkt niet voor een MKB met meer dan 10 medewerkers — de helpdesk wordt overspoeld. Plan in plaats daarvan een uitrolweek:
— Drie weken vooraf: kondig aan via e-mail en op een teamoverleg. Leg uit wat
MFA is, waarom, en wat de medewerker moet doen.
— Twee weken vooraf: stuur de installatie-instructie voor de authenticator-app.
Vraag medewerkers de app alvast te installeren.
— Een week vooraf: herinneren. Reserveer 15-30 minuten per medewerker voor
de activatie.
— Tijdens de uitrolweek: dagelijkse activatieronde per afdeling. Iemand
aanwezig om vragen te beantwoorden.
De eerste twee weken na uitrol verviervoudigt het volume helpdesk-vragen. Mensen verliezen hun telefoon, krijgen een nieuwe en kunnen niet meer inloggen, of vergeten hun back-up codes. Plan extra capaciteit in. Documenteer een recovery-procedure (back-up codes printen, telefonisch verifiëren van identiteit, opnieuw inschrijven). Een goed werkend recovery-proces voorkomt dat medewerkers gefrustreerd raken en MFA omzeilen.
Sommige medewerkers proberen MFA te ontwijken — "ik heb haast", "het werkt niet op mijn telefoon", "ik gebruik dat account toch nooit". Een uitzonderingsbeleid voorkomt willekeur:
— Een uitzondering is alleen tijdelijk, met einddatum.
— Schriftelijk geaccordeerd door de eigenaar of IT-verantwoordelijke.
— Maximaal 30 dagen, daarna automatisch geblokkeerd.
— Bijgehouden in een register dat verzekeraars en NIS2-auditors kunnen inzien.
"Voor mij hoeft het niet" van de eigenaar is de grootste valkuil. Verzekeraars weten dat dit account het meeste rechten heeft — en de hoogste schade veroorzaakt bij compromittering. Geen uitzonderingen voor administrators.
Maandelijks: maak een rapport over de MFA-status. Welke accounts hebben MFA, welke niet, en waarom. Microsoft 365 en Google Workspace bieden een dergelijke export standaard. Bewaar de rapporten — minimaal 12 maanden — als bewijslast voor:
— Cyberverzekering-claims (verzekeraars vragen het rapport bij intake en bij claim).
— NIS2-audits (essentiële sectoren moeten aantoonbare risicobeheersing tonen).
— Interne audits door accountants.
— Aanbestedingen waarin beveiligingsmaatregelen worden geverifieerd.
Het gebeurt zelden, maar het gebeurt. Een medewerker die principieel MFA weigert, is in 2026 een onhoudbaar risico voor de organisatie. De keuze: alternatief account met beperkte rechten en geen toegang tot klantdata, of beleidskwestie escaleren naar HR. Een werkgever heeft het recht en de plicht om beveiligingsmaatregelen te handhaven; AVG-naleving vereist het.
Wil je hulp bij de MFA-uitrol of een audit van je huidige beveiligingsstatus? Een IT-audit (vaste prijs €1.250, doorlooptijd twee weken) brengt onder andere de MFA-dekking in kaart en geeft een actiebare prioriteitenlijst. Neem contact op voor een intake.