Je betaalt de herstelrekening, de website staat weer online en je denkt: klaar. Maar de rekening van een hack bestaat zelden uit één factuur. Hij bestaat uit zes kostenposten, waarvan de meeste pas weken of maanden later zichtbaar worden. Dit artikel legt ze op tafel, met realistische cijfers per scenario.
Zes kostenposten, waarvan er vijf geen factuur sturen
De meeste ondernemers denken bij een hack aan de herstelkosten: de developer, de beveiligingsspecialist, de schoonmaak. Dat is deel één. De overige vijf kostenposten zijn minder zichtbaar, maar bij elkaar opgeteld bijna altijd groter.
De zes posten op een rij:
- Directe herstelkosten: de factuur die je wél ontvangt
- Omzetverlies door downtime: gemiste bestellingen, aanvragen en leads
- SEO-schade: maanden minder organisch verkeer na een Google-markering
- Reputatieschade: klanten die niet terugkomen en reviews die blijven staan
- AVG-meldplicht en juridische kosten: verplichtingen bij persoonsgegevens
- Intern tijdverlies: jouw uren en die van je team, nooit op een factuur
Hieronder lopen we elke post door.
1. Directe herstelkosten: het kleinste deel van de rekening
Dit is de zichtbare factuur. Wat herstel kost hangt af van hoe ernstig de infectie is, hoe recent de back-ups zijn en of er maatwerk-code op de website staat.
Rekening houden met:
- Professionele malwareverwijdering: €150 tot €2.500 afhankelijk van de complexiteit
- Data- en contentrecovery als back-ups ook besmet blijken: extra uren
- Vervanging van gehackte credentials, API-sleutels en wachtwoorden
- Installatie van een beveiligingslaag om herinfectie te voorkomen
De herstelkosten zijn doorgaans de kleinste post op de totale rekening. Dat is geen geruststelling: het is de aankondiging van wat er nog aankomt.
2. Omzetverlies door downtime
Een gemiddelde WordPress hack wordt niet ontdekt op de dag van infectie. Kleine en middelgrote websites zijn gemiddeld 2 tot 7 dagen gehackt voordat het wordt opgemerkt. In die tijd loopt de website, maar doet hij dingen die je niet wilt: bezoekers doorsturen naar spamwebsites, malware installeren op computers van je klanten, of verborgen advertentie-inhoud tonen.
Na ontdekking volgt herstel: gemiddeld 1 tot 3 dagen offline of in onderhoudsmodus.
Rekenen met realistische cijfers:
- Een gemiddeld bezoekersaantal van 200 tot 500 bezoekers per dag betekent honderden gemiste contactmomenten
- Een webshop met een gemiddelde dagomzet van €300 verliest bij 3 dagen downtime al €900 direct
- Voor een B2B-website geldt: elke aanvraag die niet binnenkwam is een lead die je niet kunt terughalen
Het omzetverlies is nooit precies te berekenen, maar het is altijd aanwezig.
3. SEO-schade: de rekening die pas maanden later arriveert
Dit is de kostenpost die ondernemers het meest verrast. Google detecteert geïnfecteerde websites via Safe Browsing en markeert ze actief als gevaarlijk. Bezoekers zien een rode waarschuwingspagina. Zelfs na herstel en een succesvol herbeoordelingsverzoek herstel je je zoekresultaten niet van de ene op de andere dag.
Wat er in de praktijk gebeurt:
- Google verlaagt rankings van websites met een beveiligingswaarschuwing, soms drastisch
- Organisch verkeer daalt met 30 tot 70% tijdens de herstelfase
- Volledige rankingrecovery duurt gemiddeld 3 tot 6 maanden na een schone herbeoordeling
- Elke maand met minder organisch verkeer is een maand met minder omzet
De SEO-schade is voor content-gedreven websites en webshops vaak de zwaarste post. Drie maanden op de helft van je organisch verkeer draaien kost afhankelijk van je omzetmodel €1.000 tot €15.000 aan gederfde opbrengst, exclusief eventuele kosten voor betaald verkeer om het verlies te compenseren.
4. Reputatieschade en verloren klantvertrouwen
Onderzoek van Ponemon Institute toont aan dat 60% van de consumenten een bedrijf mijdt na een bekend beveiligingsincident. Voor online dienstverleners en webshops is dit bijzonder relevant: jouw klanten zagen de waarschuwingspagina, kregen mogelijk malware op hun computer, of ontvingen een datalek-notificatie.
Wat reputatieschade in de praktijk betekent:
- Klanten die niet terugkomen: kwantificeerbaar via herhalingsaankopen en retourbezoekers
- Negatieve reviews op Google, Trustpilot of sociale media, zichtbaar voor alle toekomstige bezoekers
- B2B-relaties die afhaken: een potentiële opdrachtgever die tijdens het oriëntatieproces een beveiligingswaarschuwing zag, is weg
- Mond-tot-mondreclame in de verkeerde richting, soms maanden nadat de website allang schoon is
Reputatieschade is de moeilijkst te kwantificeren post, maar in veel gevallen ook de langst aanhoudende.
5. AVG-meldplicht en juridische risico's
Als er persoonsgegevens op je website staan, en dat is bij vrijwel elke zakelijke website het geval (contactformulieren, klantaccounts, bestelhistorie), gelden bij een datalek strikte verplichtingen vanuit de AVG.
De AVG schrijft voor:
- Melding aan de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking, als er kans op schade voor betrokkenen bestaat
- Notificatie aan alle getroffen personen als de inbreuk waarschijnlijk hoge risico's meebrengt
- Interne documentatie van het incident, ongeacht de meldplicht
De juridische kosten:
- Advies van een AVG-specialist of jurist: €150 tot €500 per uur
- Kosten voor de notificatieprocedure, afhankelijk van de omvang van het klantenbestand
- Risico op een onderzoek van de Autoriteit Persoonsgegevens als de beveiliging structureel tekortschoot
- Boetes bij aantoonbare nalatigheid: de AP kan boetes opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet
Nederlandse praktijk: de Autoriteit Persoonsgegevens heeft in 2023 en 2024 meerdere boetes opgelegd aan kleinere organisaties, variërend van €10.000 tot €475.000, ook voor beveiligingsincidenten die als vermijdbaar werden beoordeeld.
6. Intern tijdverlies en productiviteitskosten
De uren die jij en je medewerkers kwijt zijn aan een hack staan nooit op een factuur. Maar ze zijn wel degelijk een kostenpost.
Tel op:
- Communicatie met hosting, beveiligingsspecialist en eventueel developer: 4 tot 16 uur
- Klantcommunicatie en uitleg aan vaste relaties: 2 tot 8 uur
- AVG-documentatie en eventuele melding: 2 tot 6 uur
- Herbeoordeling van content, wachtwoorden en API-toegangen na herstel: 2 tot 8 uur
Bij een intern uurtarief van €50 tot €100 per uur loopt dit snel op tot €500 tot €3.800 aan productiviteitsverlies. Dat zijn uren die je niet hebt besteed aan je eigen klanten, je eigen werk, of groei.
De echte rekening: drie scenario's
Onderstaande bedragen zijn gebaseerd op marktconforme tarieven en gedocumenteerde schadegevallen. Ze zijn conservatief geschat en vertegenwoordigen een realistisch, niet het slechtst denkbare scenario.
| Kostenpost | Kleine website | Webshop (WooCommerce) | Bedrijfskritische applicatie |
|---|---|---|---|
| Directe herstelkosten | €150 - €500 | €400 - €2.000 | €1.000 - €5.000 |
| Omzetverlies door downtime | €200 - €1.500 | €1.000 - €8.000 | €3.000 - €25.000 |
| SEO-schade (3-6 maanden) | €500 - €3.000 | €2.000 - €10.000 | €3.000 - €15.000 |
| Reputatieschade | €0 - €1.000 | €1.000 - €5.000 | €5.000 - €20.000 |
| AVG en juridische kosten | €0 - €1.500 | €500 - €5.000 | €2.000 - €20.000 |
| Intern tijdverlies | €300 - €1.200 | €500 - €2.000 | €1.000 - €5.000 |
| Totaal (realistisch) | €1.150 - €9.700 | €5.400 - €32.000 | €15.000 - €90.000 |
| Onderhoud per jaar | €239 / jaar (€19,95/mnd) | ||
| Hack vs. onderhoud | 5x tot 40x | 23x tot 134x | 63x tot 376x |
Toelichting bij de tabel
Kosten zijn excl. BTW. Reputatieschade is voor de kleine website als 'pm' aangehouden omdat deze moeilijk te kwantificeren is; in de praktijk loopt ook dit bedrag op.
Wat €19,95 per maand werkelijk betekent
Een WordPress onderhoudspakket kost €19,95 per maand. Dat is €239,40 per jaar. De vraag is niet of je dat kunt missen: de vraag is wat je riskeert als je het niet doet.
Kijk naar de verhouding:
- Het meest beperkte scenario (kleine zakelijke website) leidt bij een hack tot gemiddeld €1.000 tot €9.000 aan directe en indirecte schade. Dat staat gelijk aan 4 tot 38 jaar onderhoud voor de prijs van één incident.
- Bij een webshop loopt die verhouding op tot 23 tot 134 keer de jaarlijkse onderhoudskosten.
- Bij een bedrijfskritische applicatie: 63 tot 376 keer.
Een brandverzekering sluit je niet af omdat je verwacht dat je huis in brand vliegt. Je sluit hem af omdat de kans klein is, maar de schade enorm. Hetzelfde geldt voor WordPress onderhoud.
Wat je met onderhoud krijgt is niet spectaculair: tijdige updates, gemonitorde back-ups, beveiligingsscans en iemand die precies weet hoe je website eruitziet voordat er iets misgaat. Juist dat laatste maakt herstel, als het toch nodig is, aanzienlijk goedkoper en sneller.
Wil je weten hoe jouw website er nu voorstaat?
Wij controleren je WordPress website op kwetsbaarheden, verouderde plugins en ontbrekende beveiligingsmaatregelen. Vaste prijs €199, no cure no pay.
