Hoe vaak moet ik de risico check uitvoeren?

Wij adviseren om minimaal elk kwartaal een risico-assessment te doen, of direct na belangrijke wijzigingen zoals een migratie, een nieuw systeem, een overname of een beveiligingsincident. Zo houd je grip op je risicoprofiel.

Voor welke organisaties is de Risico Calculator geschikt?

De calculator is geschikt voor organisaties van elke omvang, van mkb tot enterprise. De vragen passen zich aan op basis van je sector en organisatiegrootte. Zowel een eenmanszaak als een organisatie met 250+ medewerkers kan waardevolle inzichten verkrijgen.

Cybersecurity Risico Calculator: Hoe Werkt Het?

Q: Hoe wordt de cybersecurity risicoscore berekend?

De risicoscore wordt berekend via een gewogen scoremodel over vijf domeinen: organisatieprofiel, technische maatregelen, organisatorische maatregelen, compliance-status en incidentgeschiedenis. Elk domein krijgt een eigen score op basis van je antwoorden, die gewogen worden meegeteld in de totaalscore van 0 tot 100.

Q: Wat als ik niet alle antwoorden weet?

De calculator werkt het best met volledige antwoorden, maar je kunt ook bij sommige vragen 'Onbekend' of de meest conservatieve optie kiezen. De score zal dan voorzichtiger uitvallen, wat eerder een overschatting van het risico oplevert — een veilige aanname.

Q: Wat is het verschil tussen de gratis calculator en het premium assessment?

De gratis calculator bevat 5 stappen met een globale analyse en basisaanbevelingen. Het premium assessment gaat verder met 7 stappen, granulaire vragen (type MFA, patchfrequentie, segmentatie), sectorspecifieke benchmarks en een professioneel rapport van 15-30 pagina's met geprioriteerd actieplan.

Q: Kan ik het rapport delen met mijn team of management?

Absoluut. Het gratis rapport wordt als PDF per e-mail verzonden en is direct deelbaar. Het premium rapport is specifiek vormgegeven voor presentatie aan directie en management, met een heldere samenvatting, visuele grafieken en een geprioriteerd actieplan.

De Cybersecurity Risico Calculator brengt het beveiligingsniveau van je organisatie in kaart en berekent een risicoscore van 0 tot 100. In vijf stappen analyseer je je technische en organisatorische maatregelen, compliance-status en incidentgeschiedenis. Op deze pagina leggen we uit hoe de calculator werkt, welke methodologie wordt gebruikt en wat je kunt verwachten van de resultaten.

Wat is de Cybersecurity Risico Calculator?

De Cybersecurity Risico Calculator is een interactieve tool die het risicoprofiel van je organisatie berekent op basis van vijf categorieen. Of je nu een mkb-ondernemer bent die wil weten waar de grootste kwetsbaarheden liggen, of een IT-manager die richting wil geven aan security-investeringen: de calculator geeft je een objectieve, datagedreven beoordeling.

De tool stelt gerichte vragen over je sector, de omvang van je organisatie, het type data dat je verwerkt, je technische en organisatorische beveiligingsmaatregelen, je compliance-status en je incidentgeschiedenis. Op basis van je antwoorden wordt een gewogen risicoscore berekend van 0 (laagste risico) tot 100 (hoogste risico), met een duidelijke kleurcodering:

0-30 (groen): Laag risico — sterke beveiligingshouding met weinig aandachtspunten.
31-60 (oranje): Gemiddeld risico — er zijn verbeterpunten die aandacht verdienen.
61-100 (rood): Hoog risico — er zijn significante kwetsbaarheden die directe actie vereisen.

Alle berekeningen draaien volledig in je browser. Er worden geen gegevens naar een server verstuurd, waardoor je de calculator veilig kunt gebruiken zonder zorgen over vertrouwelijkheid.

Methodologie

De Risico Calculator hanteert een gewogen scoremodel dat is afgeleid van twee internationaal erkende frameworks: het NIST Cybersecurity Framework (CSF) en de ISO 27001 standaard voor informatiebeveiliging. Deze frameworks vormen de gouden standaard voor risicobeoordeling binnen cybersecurity.

Het model evalueert vijf domeinen die samen een compleet beeld geven van je beveiligingshouding:

Organisatieprofiel — je sector, grootte en datatypen bepalen het inherente risico waarmee je organisatie te maken heeft. Een zorginstelling die medische gegevens verwerkt heeft bijvoorbeeld een fundamenteel ander risicoprofiel dan een retailbedrijf.
Technische maatregelen — de verdedigingslagen (defense-in-depth) die je hebt ingericht, van firewalls en endpoint detection tot encryptie en backups.
Organisatorische maatregelen — de menselijke en procesmatige kant van beveiliging, waaronder security awareness, incident response planning en leveranciersbeleid.
Compliance — certificeringen en formele registraties die structureel beveiligingsbeleid aantonen.
Incidentgeschiedenis — eerdere beveiligingsincidenten en hersteltijden, die patronen in kwetsbaarheid blootleggen.

Elk domein krijgt een eigen gewicht in de totaalscore. Technische en organisatorische maatregelen wegen het zwaarst, omdat deze de meeste directe invloed hebben op je feitelijke beveiligingsniveau. Het organisatieprofiel bepaalt de context waarbinnen de overige scores worden geinterpreteerd — een hoge score op technische maatregelen weegt zwaarder mee als je organisatie in een sector opereert met een hoog inherent risico.

Stap-voor-stap uitleg

Organisatieprofiel

In de eerste stap bepalen we het inherente risicoprofiel van je organisatie. Je selecteert je sector (zorg, finance, overheid, retail, technologie of overig), je organisatiegrootte (1-10, 10-50, 50-250 of 250+ medewerkers) en het type data dat je verwerkt (persoonsgegevens, financiele data, medische gegevens, intellectueel eigendom).

Waarom is dit belangrijk? Risicoprofielen verschillen sterk per sector en datatype. Een zorgorganisatie die medische dossiers beheert heeft te maken met strenge regelgeving en is een aantrekkelijk doelwit voor ransomware. Een techbedrijf met veel intellectueel eigendom staat bloot aan andere dreigingen, zoals corporate espionage. Door je context te begrijpen, kan de calculator je score in de juiste verhouding plaatsen.

Technische maatregelen

De tweede stap inventariseert je technische verdedigingslagen. We vragen naar de aanwezigheid en configuratie van: firewall (netwerk- en/of applicatieniveau), EDR/antivirus (endpoint detection and response), multi-factor authenticatie (MFA), encryptie (data-at-rest en in-transit), backup-strategie (3-2-1 methode: 3 kopieen, 2 media, 1 offsite) en patchbeleid (hoe snel worden updates uitgerold).

Deze maatregelen vormen samen je defense-in-depth: meerdere beveiligingslagen die ervoor zorgen dat het falen van een enkele maatregel niet tot een volledig compromis leidt. Het ontbreken van MFA is bijvoorbeeld een van de meest voorkomende oorzaken van succesvolle aanvallen, terwijl een goede backup-strategie het verschil kan maken tussen uren en weken herstel na een ransomware-aanval.

Organisatorische maatregelen

Technologie alleen is niet genoeg. De derde stap beoordeelt de menselijke en procesmatige kant van je beveiliging: security awareness training (worden medewerkers regelmatig getraind?), incident response plan (is er een vastgelegd en getest plan?), CISO of security officer (is er iemand eindverantwoordelijk?) en leveranciersbeleid (worden derde partijen beoordeeld op security?).

Onderzoek toont consequent aan dat de menselijke factor de grootste rol speelt bij beveiligingsincidenten. Meer dan 80% van de datalekken begint met social engineering of menselijke fouten. Een organisatie met uitstekende technologie maar zonder security awareness training is kwetsbaarder dan een organisatie met basale technologie en goed getrainde medewerkers. Bovendien bepaalt een goed incident response plan het verschil tussen een gecontroleerde reactie en chaos wanneer het misgaat.

Compliance

De vierde stap inventariseert je formele certificeringen en compliance-registraties: ISO 27001, NEN 7510 (specifiek voor de zorg), SOC 2, AVG-verwerkingsregister en DPIA's (Data Protection Impact Assessments).

Certificeringen zijn geen garantie voor veiligheid, maar ze tonen aan dat een organisatie structureel en aantoonbaar met informatiebeveiliging bezig is. Een ISO 27001-certificering vereist bijvoorbeeld een volledig Information Security Management System (ISMS) met continue verbetering. Het ontbreken van basale compliance-registraties zoals een AVG-verwerkingsregister kan wijzen op een bredere achterstand in beveiligingsvolwassenheid.

Incidentgeschiedenis

De laatste stap kijkt naar je verleden: heb je eerder te maken gehad met ransomware, phishing-incidenten of een datalek? En hoe lang was de hersteltijd?

Incidentgeschiedenis is een sterke voorspeller van toekomstige kwetsbaarheid. Organisaties die eerder succesvol zijn aangevallen, hebben een verhoogd risico om opnieuw doelwit te worden — zeker als de onderliggende oorzaken niet structureel zijn aangepakt. Lange hersteltijden duiden op onvoldoende voorbereiding en gebrekkige incident response capaciteit. Maar eerlijke rapportage levert hier het meeste op: een organisatie die eerder is getroffen en daarvan heeft geleerd, kan juist sterker uit de situatie komen.

Resultaten interpreteren

Na het doorlopen van alle vijf stappen krijg je een uitgebreid resultaatoverzicht. Dit bestaat uit meerdere onderdelen die samen een compleet beeld geven van je beveiligingshouding:

Totale risicoscore (0-100) — je overkoepelende score met kleurcodering (groen, oranje of rood). Hoe lager de score, hoe beter je beveiligingsniveau.
Radar chart — een visuele weergave met vijf assen, een voor elk domein. Hiermee zie je in een oogopslag waar je sterk scoort en waar de grootste hiaten zitten.
Categorie-scores met voortgangsbalken — per domein een individuele score, zodat je precies weet welke gebieden de meeste aandacht nodig hebben.
Benchmark vs. sector — je score wordt vergeleken met het gemiddelde van organisaties in dezelfde sector en van vergelijkbare omvang. Zo weet je of je boven of onder het niveau van je peers scoort.
Top 3-5 aanbevelingen — concrete, geprioriteerde acties die het grootste effect hebben op je risicoscore. Elke aanbeveling bevat een korte uitleg waarom deze maatregel belangrijk is.

Het is belangrijk om de score niet als absoluut cijfer te zien, maar als richtinggevend instrument. De waarde zit vooral in de relatieve scores per categorie en de specifieke aanbevelingen. Een score van 45 is geen ramp, maar een duidelijk signaal dat er verbeterpunten zijn die aandacht verdienen.

Gratis rapport per e-mail

Gratis e-mailrapport

Na het afronden van de calculator kun je je resultaten als PDF-rapport per e-mail ontvangen. Dit rapport bevat:

Je totale risicoscore met visuele toelichting
Scores per categorie met radar chart
Sectorbenchmark
Top aanbevelingen met prioriteit

Het rapport wordt direct naar je inbox gestuurd en is ideaal om te delen met je team, IT-afdeling of management. Zo kunnen jullie samen bepalen welke verbeteringen prioriteit moeten krijgen. Het rapport is helder opgemaakt en direct te gebruiken als basis voor interne besprekingen.

Premium Assessment

Premium Assessment — €79

Het Premium Assessment tilt de analyse naar een professioneel niveau. In plaats van 5 stappen doorloop je 7 uitgebreide stappen met granulaire vragen die een veel gedetailleerder beeld geven van je beveiligingshouding.

Waar de gratis calculator bijvoorbeeld vraagt of je MFA gebruikt, vraagt het premium assessment welk type MFA (SMS, authenticator app, hardware token), op welke systemen, en met welk dekkingspercentage. Bij patching wordt gevraagd naar de gemiddelde patchfrequentie, het onderscheid tussen kritieke en niet-kritieke updates, en of er een testomgeving is. Bij netwerksecurity wordt segmentatie beoordeeld: zijn productie, ontwikkel- en kantooromgevingen gescheiden?

Het premium assessment levert een professioneel rapport van 15 tot 30 pagina's dat specifiek is ontworpen voor besluitvorming op directieniveau. Dit rapport bevat:

Sectorspecifieke benchmarks — vergelijking met organisaties in dezelfde branche en van vergelijkbare omvang, gebaseerd op actuele marktdata.
Geprioriteerd actieplan — concrete maatregelen gerangschikt op impact en implementatie-inspanning, zodat je weet waar je moet beginnen.
Kosten-batenanalyse per maatregel — voor elke aanbevolen maatregel een inschatting van de investering tegenover de risicoreductie die het oplevert.
Boardroom-ready PDF — professioneel vormgegeven met managementsamenvatting, grafieken en een duidelijke structuur die direct te presenteren is aan directie of bestuur.

Gratis vs. Premium

Onderdeel	Gratis	Premium
Aantal stappen	5	7
Risicoscore 0-100	✓	✓
Radar chart	✓	✓
Categorie-scores	✓	✓
Top aanbevelingen	3-5 basis	Volledig geprioriteerd actieplan
Granulaire vragen (type MFA, patchfrequentie, segmentatie)	✗	✓
Sectorspecifieke benchmarks	Basis	Gedetailleerd met marktdata
Kosten-batenanalyse per maatregel	✗	✓
Rapportomvang	2-3 pagina's	15-30 pagina's
Boardroom-ready PDF	✗	✓

Veelgestelde vragen

Is mijn data veilig bij het gebruik van de Risico Calculator?

Ja. Alle berekeningen worden volledig in je browser uitgevoerd. Er worden geen gegevens naar onze servers verstuurd, tenzij je er zelf voor kiest om het rapport per e-mail te ontvangen. In dat geval worden alleen de resultaten tijdelijk verwerkt voor het genereren van het rapport.

Hoe wordt de risicoscore berekend?

De score is gebaseerd op een gewogen model over vijf domeinen: organisatieprofiel, technische maatregelen, organisatorische maatregelen, compliance en incidentgeschiedenis. De methodologie is afgeleid van het NIST Cybersecurity Framework en ISO 27001. Technische en organisatorische maatregelen wegen het zwaarst mee, terwijl het organisatieprofiel de context bepaalt voor de interpretatie van je score.

Wat als ik niet alle antwoorden weet?

Geen probleem. Bij de meeste vragen kun je 'Onbekend' of een conservatieve optie kiezen. De score valt dan voorzichtiger uit, wat eerder een overschatting van het risico oplevert. Dit is een veilige aanname: als je niet weet of een maatregel is ingericht, is het verstandig om aan te nemen dat het een verbeterpunt is. Tip: betrek je IT-team of beheerder bij het invullen voor het meest accurate resultaat.

Wat is het verschil tussen de gratis calculator en het premium assessment?

De gratis calculator geeft een globale beoordeling in 5 stappen met basisaanbevelingen. Het premium assessment (eenmalig €79) gaat dieper met 7 stappen, granulaire vragen over specifieke configuraties, sectorspecifieke benchmarks en een professioneel rapport van 15-30 pagina's. Het premium rapport bevat daarnaast een geprioriteerd actieplan met kosten-batenanalyse per maatregel en is direct presenteerbaar aan directie.

Hoe vaak moet ik de risico check doen?

Wij adviseren minimaal elk kwartaal een assessment, of direct na belangrijke veranderingen: een migratie naar de cloud, de introductie van een nieuw systeem, een overname of fusie, of na een beveiligingsincident. Het dreigingslandschap verandert continu, en je beveiligingsmaatregelen moeten meebewegen. Door regelmatig te toetsen houd je grip op je risicoprofiel.

Voor welke organisaties is dit geschikt?

De Risico Calculator is ontworpen voor organisaties van elke omvang en sector. De vragen en weging passen zich aan op basis van je profiel. Mkb-bedrijven gebruiken de tool om snel inzicht te krijgen in hun beveiligingsniveau, terwijl grotere organisaties de resultaten gebruiken als uitgangspunt voor verdiepende assessments of als snelle benchmark naast hun bestaande security-programma.

Kan ik het rapport delen met mijn team of management?

Absoluut. Het gratis rapport wordt als PDF naar je e-mail gestuurd en is direct te delen. Het premium rapport is specifiek vormgegeven voor presentatie aan directie en bestuur, met een managementsamenvatting, visuele grafieken en een helder actieplan. Veel klanten gebruiken het premium rapport als onderbouwing voor budgetaanvragen of als startpunt voor een breder security-verbeterprogramma.

Gratis

Risico Calculator

Bereken je risicoscore in 5 stappen en ontvang een gratis rapport per e-mail met aanbevelingen.

Start de gratis calculator

Premium — €79

Uitgebreid Assessment

7 stappen, granulaire analyse, sectorspecifieke benchmarks en een boardroom-ready rapport van 15-30 pagina's.

Start het premium assessment