Key takeaways

• Werken is niet hetzelfde als kloppen. Een IT-omgeving kan technisch functioneren en tegelijk strategisch scheefgegroeid zijn.
• Scheefgroei is onzichtbaar zonder externe blik. Wie elke dag met een omgeving werkt ziet het patroon niet meer.
• Vijf signalen verraden het: patroonstoringen, legacy-systemen, achterlopende cyberhygiëne, gebrek aan overzicht en IT zonder richting.
• NIS2 raakt ook MKB-bedrijven die er niet onder vallen, via ketenverantwoordelijkheid van grotere klanten.
• Diagnose komt voor offerte. Eerst weten waar je staat, dan pas beslissen wat er moet gebeuren.

Inhoudsopgave

• Het kantelpunt dat niemand markeert
• Vijf plekken waar het scheef hangt
• Werken versus kloppen
• Van diagnose naar grip
• Veelgestelde vragen

Het kantelpunt dat niemand markeert

IT groeit organisch mee met een bedrijf. Een nieuwe medewerker, een extra applicatie, een cloudtool die iemand handig vond. Stuk voor stuk logisch. Bij elkaar opgeteld ontstaat een lappendeken waar niemand het volledige overzicht meer heeft.

Op enig moment schuift de IT-omgeving van versneller naar rem. Dat moment is zelden een incident. Het is een geleidelijke verschuiving die je pas ziet als je er bewust naar kijkt. En precies daar zit het probleem. Zonder externe blik blijft het onzichtbaar. Mensen die elke dag met een omgeving werken zien de scheefgroei niet meer.

Dat is geen kritiek op interne IT of een MSP die al jaren meeloopt. Het is een eigenschap van vertrouwdheid. Je herkent precies wat er hetzelfde blijft, en daardoor mis je wat langzaam verandert.

Vijf plekken waar het scheef hangt

In de praktijk komen we steeds dezelfde vijf patronen tegen bij MKB-organisaties in de zakelijke dienstverlening. Geen van vijf is op zichzelf alarmerend. Samen vertellen ze of een IT-omgeving nog klopt of dat het tijd is voor een eerlijke diagnose. We werken ze hieronder uit.

Expert insight

Een storing genereert een ticket. Een trager wordende workflow, een rapportage die niemand meer vertrouwt of een autorisatie die al twee jaar te ruim staat doen dat niet. Toch zijn dat de plekken waar grip wordt verloren. Wie alleen stuurt op wat in tickets terechtkomt, stuurt op symptomen. Wie wil weten of de IT-omgeving nog klopt, moet structureel kijken naar wat er níet opvalt.
 Jasper Baijense | Algemeen Directeur

1. Storingen die niet meer toevallig voelen

Een enkele hapering is normaal. Een patroon van kleine verstoringen waar niemand de oorzaak van kent is dat niet. Nederlandse cijfers laten zien wat dat kost. Een cyberincident kost een Nederlands mkb-bedrijf gemiddeld 270.000 euro, een halve ton meer dan het wereldwijde gemiddelde, mede door onze hoge IT-afhankelijkheid en arbeidskosten. In 2024 meldde 43 procent van de Nederlandse mkb-bedrijven een cyberincident, 18 procent meer dan het jaar ervoor. Storingen zijn zelden het probleem. Ze zijn een symptoom. BRON: Dutch IT Channel  

2. Systemen die “nog net” draaien

Een server van tien jaar oud. Een applicatie waar de leverancier geen updates meer voor levert. Maatwerk waar nog precies één persoon van weet hoe het werkt. Het draait, dus het mag blijven. Maar de kosten lopen onder de motorkap op. Gartner schat dat ongeveer 40 procent van het gemiddelde IT-budget naar het onderhouden van legacy-systemen gaat. Bij sommige organisaties is dat 60 tot 80 procent. Dat is geld dat niet naar groei, innovatie of efficiëntie gaat, maar naar het in leven houden van iets dat allang vervangen had moeten zijn.

Dit is wat in de IT bekend staat als technische schuld. Onzichtbaar voor wie er niet bewust naar kijkt, maar pijnlijk zichtbaar zodra je iets nieuws probeert te bouwen op iets ouds.

3. Cyberhygiëne die achterloopt

De basis op orde hebben is geen luxe meer. Toch laten cijfers van het CBS en NCSC zien dat slechts 29 procent van de MKB-bedrijven een risicoanalyse maakt en maar 9 procent verplichte trainingen voor medewerkers afdwingt. Slechts 37 procent gebruikt data-encryptie. En 1 op de 5 kleine MKB-bedrijven neemt nog steeds geen enkele maatregel.

Met de Cyberbeveiligingswet die naar verwachting in Q2 2026 in werking treedt verandert dat van een aanbeveling naar een verplichting voor wie in de keten zit van een NIS2-plichtige organisatie. Veel MKB-bedrijven in de zakelijke dienstverlening vallen zelf niet direct onder de wet. Maar als jij levert aan een ziekenhuis, energiebedrijf of grote dienstverlener kan die klant eisen stellen aan jouw beveiliging als onderdeel van zijn eigen ketenverantwoordelijkheid. Wie dat niet kan aantonen loopt het risico opdrachten te verliezen of uit de keten gezet te worden.

4. Geen overzicht op wat er allemaal leeft

Werkplekken die per medewerker verschillen. Cloudtools die iemand een keer heeft aangeschaft en die nu door drie afdelingen verschillend worden gebruikt. Toegangsrechten van medewerkers die er allang niet meer werken. Gartner schat dat een derde van alle datalekken het gevolg is van shadow IT. Uit Sevco-onderzoek blijkt dat 6 procent van de IT-assets bij organisaties het einde van technische ondersteuning heeft bereikt en 28 procent minimaal één essentiële beveiligingscontrole mist, zoals endpointbescherming of patchbeheer.

Geen overzicht is geen detailprobleem. Het is een conditie waarin elke andere maatregel minder effectief wordt.

5. IT zonder richting

Misschien wel het belangrijkste signaal en het minst zichtbare. IT die alleen reageert als er iets misgaat. Een leverancier die wel kabels trekt maar niet meedenkt. Geen jaarlijks gesprek over waar de IT-omgeving heen moet. Geen vertaling van bedrijfsdoelen naar IT-prioriteiten.

Technische schuld is onzichtbaar voor niet-technische mensen. Het staat niet op de balans. Het heeft geen dashboard. Het enige wat je merkt is dat alles langzamer gaat, duurder wordt en vaker kapotgaat. Tegen die tijd is het al duur om te repareren.

Werken versus kloppen

Het verschil tussen IT die werkt en IT die klopt is het verschil tussen reactief en strategisch. Tussen brandjes blussen en grip houden. Tussen kosten die niemand kan verklaren en een omgeving waar je weet wat je betaalt en waarvoor.

Een omgeving die klopt heeft drie eigenschappen. Ten eerste voorspelbaarheid. Je weet wat IT je per maand kost en welke bewegingen op de roadmap staan. Ten tweede aantoonbaarheid. Je kunt aan een klant, auditor of bestuur laten zien hoe het zit met toegang, back-ups, encryptie en respons. Ten derde richting. Er is een vertaling van waar het bedrijf heen wil naar wat de IT-omgeving de komende 12 tot 24 maanden moet doen.

Een omgeving die alleen werkt mist meestal twee van die drie. Niet omdat er iemand niet zijn best doet, maar omdat de aandacht naar incidenten gaat. Wie geen tijd heeft voor richting, raakt langzaam grip kwijt zonder dat iemand het hardop zegt.

Van diagnose naar grip

Je hoeft niet alles tegelijk te vervangen om het verschil te maken tussen werken en kloppen. Maar je moet wel weten waar je staat. En dat begint bij een eerlijke, externe blik die niet uit is op een offerte, maar op een diagnose. Een nulmeting van wat er draait, wat het kost, waar de risico’s zitten en welke afhankelijkheden onzichtbaar zijn ingeslopen.

Pas als dat scherp is kun je besluiten wat blijft, wat moet, wat kan en wat wacht. Niet op gevoel, maar op basis van wat de IT-omgeving daadwerkelijk doet voor het bedrijf.

Weten of jouw IT-omgeving niet alleen werkt, maar ook klopt?

Solipsis voert een onafhankelijke IT-nulmeting uit voor MKB-organisaties in de zakelijke dienstverlening. Geen offerte vooraf, geen verkoopgesprek verkleed als advies. Wel een eerlijk beeld van waar je staat, wat er scheef hangt en wat je nu écht moet weten als directie of IT-manager.

Plan een vrijblijvende kennismaking of vraag direct een IT-nulmeting aan.