Restaurants zijn al jaren een van de meest voorkomende doelwitten van kassamalware — niet omdat hackers horeca haten, maar omdat het makkelijk is.
Ketens als Chipotle, Sonic Drive-In en Checkers & Rally's raakten de voorbije jaren allemaal getroffen door malware op hun kassasystemen, soms maandenlang onopgemerkt, met miljoenen gestolen kaartnummers tot gevolg. Volgens het meest recente Data Breach Investigations Report van Verizon speelt een derde partij — een leverancier, kassa- of software-partner — inmiddels in 30% van alle databreuken een rol, tegenover amper de helft daarvan een jaar eerder. En in 22% van de gevallen was een gestolen of zwak wachtwoord de openingszet. Je hoeft geen internationale keten te zijn om doelwit te worden: de meeste aanvallen zijn geautomatiseerd of verlopen via één kwetsbare leverancier die tientallen restaurants tegelijk bedient. Dit artikel geeft je 9 concrete, grotendeels gratis of goedkope stappen om je restaurant te beveiligen:
- Scheid je gast-wifi — nooit op hetzelfde netwerk als je kassa.
- Beveilig je kassasysteem — updates, en wantrouw elke onaangekondigde "technicus".
- Kies een PCI-DSS-conforme betaalprovider — en bewaar zelf nooit kaartgegevens.
- Gebruik sterke wachtwoorden en tweestapsverificatie — overal, niet enkel op de kassa.
- Herken phishing en factuurfraude — de meest onderschatte kost in de horeca.
- Beperk toegang per rol — en trek ze meteen in bij uitdiensttreding.
- Screen je leveranciers — hun zwakte wordt jouw datalek.
- Maak back-ups en test je herstelplan — voor het moment dat je kassa vastligt.
- Ken je meldingsplicht — de AVG geeft je 72 uur, geen dag meer.
Waarom horeca een geliefd doelwit is
Een restaurant verwerkt dagelijks tientallen tot honderden kaarttransacties, bewaart reserveringsgegevens en contactinformatie van gasten, en werkt vaak met verouderde of slecht onderhouden kassa-hardware die jarenlang ongewijzigd blijft draaien. Voeg daarbij een hoog personeelsverloop en beperkte IT-kennis, en je hebt exact het profiel dat aanvallers zoeken: veel waardevolle data, weinig weerstand. Anders dan een gerichte aanval op een grote bank, is de meeste kassamalware opportunistisch — ze zoekt automatisch naar kwetsbare systemen, ongeacht of jouw zaak twaalf of honderdtwintig tafels heeft.
Het goede nieuws: de meeste maatregelen hieronder kosten geen geld, enkel tien minuten aandacht. Cyberbeveiliging in de horeca is zelden een kwestie van een dure IT-dienst inhuren — het is vooral een kwestie van de voor de hand liggende zwakke plekken dichten.
9 stappen naar een cyberveilig restaurant
1. Scheid je gast-wifi van je kassanetwerk
De meest voorkomende — en meest onderschatte — fout is één en dezelfde router voor alles: de kassa, de kantoor-pc met de boekhouding, én de wifi die je gratis aan gasten geeft. Zodra een gast (of iemand die het wachtwoord van een gast kreeg doorgespeeld) op dat netwerk zit, kan die in het slechtste geval meekijken naar verkeer richting je kassasysteem.
- Maak twee gescheiden netwerken: één voor gasten, één voor kassa en back-office, elk met een eigen wachtwoord. De meeste routers vanaf middenklasse ondersteunen dit via een "gast-ssid" of VLAN, vaak met één instelling.
- Verander het gastwachtwoord regelmatig, bijvoorbeeld maandelijks, zodat een oud, breed verspreid wachtwoord niet blijft rondzwerven.
- Sluit je QR-bestelsysteem aan op het gastnetwerk, nooit op het netwerk van je kassa — ook al lijkt het praktischer.
Deze ene wijziging — twee netwerken in plaats van één — sluit de meest gebruikte route af waarlangs een besmet gasttoestel ooit bij je kassa zou kunnen komen.
2. Beveilig je kassasysteem zelf
Bij het kiezen van een kassasysteem let je normaal op integraties en transactiekosten — maar minstens even belangrijk is hoe goed het beveiligd is en blijft. Enkele praktische regels:
- Installeer software-updates voor je kassa zodra ze beschikbaar zijn; verouderde kassasoftware is het makkelijkste doelwit dat er is.
- Gebruik de kassa-pc uitsluitend voor de kassa — niet om even iets op te zoeken, e-mail te checken of muziek te spelen.
- Wantrouw elke onverwachte "technicus". De Braziliaanse hackersgroep Prilex werd wereldwijd berucht met kassamalware die zelfs chip-en-pincode-transacties kan klonen — de infectie start typisch met een telefoontje van een zogenaamde technicus die aandringt om de kassasoftware te "updaten" en vraagt om software als AnyDesk te installeren voor toegang op afstand. Bel bij twijfel altijd terug naar het officiële nummer van je eigen leverancier, nooit naar het nummer dat de beller zelf doorgeeft.
3. Kies een PCI-DSS-conforme betaalprovider
Elke partij die kaartbetalingen verwerkt, moet voldoen aan PCI-DSS, de beveiligingsstandaard van de kaartnetwerken. Het praktische gevolg voor jou: laat kaartgegevens nooit door je eigen systemen lopen of opslaan als dat niet nodig is.
- Kies een betaalterminal of -provider die kaartgegevens tokeniseert — je kassa ziet dan nooit het echte kaartnummer, enkel een waardeloze vervangcode.
- Bewaar zelf nooit kaartnummers in spreadsheets, e-mails of notities "voor het geval van".
- Ben je niet PCI-DSS-conform en gebeurt er toch een lek, dan kan je aansprakelijk worden gesteld voor frauduleuze transacties — de kost van non-compliance ligt vrijwel altijd hoger dan de kost van een conforme provider.
Cijfers die het verschil maken
Waarom snelheid en basishygiëne zwaarder wegen dan een duur beveiligingscontract.
4. Sterke wachtwoorden en tweestapsverificatie, overal
Eén gedeeld, jarenoud wachtwoord ("kassa1234") dat elke medewerker ooit kreeg, is misschien wel het grootste onzichtbare risico in de horeca. Tegen de tijd dat je het beseft, kennen tien voormalige medewerkers het nog steeds.
- Schakel tweestapsverificatie in waar mogelijk: op je kassa-account, je reserveringssysteem, je Google Bedrijfsprofiel en je zakelijke e-mail. Dit is meestal gratis en kost één extra klik bij het inloggen.
- Geef elke medewerker een eigen login in plaats van één gedeeld account — zo weet je ook wie wat deed als er iets misloopt.
- Gebruik een wachtwoordmanager voor zakelijke accounts in plaats van hetzelfde wachtwoord overal te hergebruiken.
5. Herken phishing en factuurfraude
De meeste inbraken beginnen niet met geavanceerde code, maar met een e-mail of telefoontje dat vertrouwen misbruikt. Neem dit expliciet op in je personeelstraining:
- Factuurfraude: een "leverancier" mailt dat het rekeningnummer is gewijzigd. Bevestig elke wijziging van betaalgegevens altijd telefonisch, via een nummer dat je zelf al kende — niet via het nummer in de mail.
- CEO-fraude: een dringende mail "van de zaakvoerder" die vraagt om cadeaubonnen te kopen of snel een overschrijving te doen. Spreek binnen je team af dat zulke verzoeken altijd mondeling worden bevestigd.
- Nepmails van "je kassaleverancier" of "Google" die vragen om in te loggen via een link. Ga in geval van twijfel altijd rechtstreeks naar de officiële website in plaats van op de link te klikken.
6. Beperk toegang per rol — en trek ze meteen in
Niet elke medewerker heeft beheerdersrechten nodig op je kassa, boekingssysteem of sociale media. Werk met rollen: een kelner kan bestellingen aanmaken, maar hoeft geen rapporten te kunnen exporteren of instellingen te wijzigen.
- Geef enkel de zaakvoerder en een beperkt aantal leidinggevenden volledige beheerdersrechten.
- Trek toegang onmiddellijk in zodra iemand uit dienst gaat — dit is de meest vergeten stap in heel dit lijstje, en een van de meest risicovolle. Neem dit standaard op in je offboardingchecklist naast de andere administratie rond personeelsbeheer.
- Controleer minstens twee keer per jaar wie nog steeds toegang heeft tot wat, en verwijder wat niet meer nodig is.
7. Screen je leveranciers: hun zwakte wordt jouw datalek
Je kassasysteem, online bestelplatform en automatiseringstools draaien vaak op software van een externe partij. Wordt die partij gehackt, dan lig jij mee wakker. Sinds oktober 2024 verhoogt de Europese NIS2-richtlijn de beveiligingseisen voor middelgrote en grote bedrijven in tal van sectoren — individuele restaurants vallen daar meestal buiten (de drempel ligt op 50 werknemers of 10 miljoen euro omzet), maar je kassa-, boekings- en betaalleverancier zit daar vaak wél middenin. Vraag daarom bij elke nieuwe leverancier:
- Zijn jullie NIS2- of ISO 27001-conform, of kunnen jullie minstens aantonen hoe klantgegevens worden beveiligd?
- Hoe snel worden klanten verwittigd bij een incident aan jullie kant?
- Waar en hoe lang worden onze gegevens bewaard, en wie heeft er toegang toe?
Dit sluit rechtstreeks aan bij hoe je sowieso al kritisch moet kijken naar hoe je klantgegevens verwerkt onder de AVG: de verantwoordelijkheid voor de gegevens van je gasten stopt niet bij de leverancier die ze technisch opslaat.
8. Maak back-ups en test je herstelplan
Ransomware maakt zelden de krantenkoppen in de horeca zoals bij ziekenhuizen, maar het effect is minstens even ontwrichtend: een kassa die op een drukke vrijdagavond vastligt, betekent onmiddellijk omzetverlies en gefrustreerde gasten aan de deur.
- Maak regelmatig back-ups van reserveringsdata, klantgegevens en configuratie — automatisch, niet handmatig "als je eraan denkt".
- Bewaar minstens één back-up los van je hoofdnetwerk, zodat ransomware die je systemen versleutelt niet ook je back-up meeneemt.
- Test minstens één keer per jaar of je een back-up daadwerkelijk kan terugzetten — een back-up die je nooit hersteld hebt, is een aanname, geen garantie.
9. Ken je meldingsplicht en overweeg een verzekering
Verwerk je persoonsgegevens van gasten of medewerkers — en dat doet vrijwel elk restaurant, van reserveringen tot personeelsdossiers — dan geldt de AVG onverkort, ongeacht je grootte. Bij een ernstig datalek:
- Moet je dit binnen 72 uur na ontdekking melden bij de gegevensbeschermingsautoriteit.
- Moet je getroffen gasten of medewerkers verwittigen als het risico voor hen hoog is.
- Kunnen boetes oplopen tot 4% van de wereldwijde jaaromzet — in de praktijk vallen kleine horecazaken doorgaans veel milder uit, maar de meldingsplicht zelf geldt zonder uitzondering.
Een betaalbare cyberverzekering dekt vaak niet alleen de directe schade, maar ook forensisch onderzoek en juridische bijstand na een incident — vraag ernaar bij dezelfde verzekeraar waar je je andere polissen hebt lopen. Documenteer daarnaast in één A4'tje wie je moet bellen (leverancier, verzekeraar, eventueel IT-hulp) zodra er iets misgaat: in het holst van de nacht wil je niet moeten zoeken naar een telefoonnummer.
Veelgemaakte fouten die cyberbeveiliging ondermijnen
- Kassa, kantoor en gast-wifi op exact hetzelfde netwerk laten draaien.
- Eén gedeeld wachtwoord gebruiken dat nooit verandert, ook niet na personeelswissels.
- Een onaangekondigde "technicus" zomaar toegang op afstand geven tot de kassa.
- Kaartgegevens van gasten manueel noteren of bewaren "voor de zekerheid".
- Toegang van vertrokken medewerkers pas intrekken wanneer het toevallig opvalt.
- Nooit testen of een back-up ook echt terug te zetten is.
Conclusie: beveiliging als basishygiëne, niet als luxe
Cyberbeveiliging in de horeca vraagt zelden een grote investering. Het is een reeks kleine, structurele gewoontes: een apart gastnetwerk, tweestapsverificatie, een kritische blik op elk onverwacht telefoontje, en toegang die je meteen intrekt zodra iemand vertrekt. Begin deze week met de gratis stappen — netwerken scheiden, tweestapsverificatie inschakelen, je team informeren over phishing — en plan de rest in bij je volgende leveranciersgesprek.
De prijs van die paar uur aandacht is peanuts vergeleken met wat een datalek kost aan reputatie, boetes en vertrouwen van gasten die net verwachtten dat hun gegevens bij jou veilig waren.