VPN & Secure Remote Access

Wat is VPN en Secure Remote Access?

VPN en Secure Remote Access omvat de technologieën waarmee medewerkers veilig op afstand toegang krijgen tot bedrijfsnetwerken en applicaties. De term dekt een breed spectrum: van de klassieke VPN-tunnel naar het kantoornetwerk tot moderne cloud-native oplossingen die gebaseerd zijn op Zero Trust-principes.

Een traditionele VPN (Virtual Private Network) creëert een versleutelde tunnel tussen het apparaat van de medewerker en het bedrijfsnetwerk. Na authenticatie heeft de gebruiker toegang tot het hele netwerk, vergelijkbaar met iemand die fysiek op kantoor aanwezig is. Dit model werkte goed toen applicaties uitsluitend in het datacenter draaiden en medewerkers sporadisch thuiswerkten.

Die wereld bestaat niet meer. Met 52% van de Nederlandse werkenden die weleens thuiswerkt, applicaties die in de cloud draaien en aanvallers die actief misbruik maken van VPN-kwetsbaarheden, is remote access een kritisch beveiligingsdomein geworden (Bron: CBS Cybersecuritymonitor 2024). Moderne alternatieven zoals Zero Trust Network Access (ZTNA) bieden dezelfde functionaliteit zonder de risico's van het traditionele VPN-model.

Waarom is secure remote access zo urgent?

VPN-appliances zijn momenteel een van de meest aantrekkelijke aanvalsvectoren voor cybercriminelen. Meer dan 5.000 Ivanti VPN-appliances bleken kwetsbaar voor een kritieke fout die actief werd geëxploiteerd. Fortinet SSL-VPN had in 2024 en 2025 meerdere zero-day kwetsbaarheden die breed werden misbruikt, ook in Nederland. Volgens het Microsoft Digital Defense Report 2025 begon 12% van alle datalekken via blootgestelde remote services.

De kern van het probleem is het VPN-architectuurmodel: een traditionele VPN geeft na eenmalige authenticatie toegang tot het hele netwerk. Als een aanvaller de VPN-verbinding overneemt — via een gestolen wachtwoord, een kwetsbaarheid in de appliance of een gecompromitteerd apparaat — heeft hij direct toegang tot alles. Dit maakt lateral movement triviaal: in minder dan 30 minuten kunnen aanvallers zich vanuit het eerste gecompromitteerde systeem door het hele netwerk bewegen.

De transitie naar ZTNA is een directe reactie op deze kwetsbaarheden. Gartner voorspelt dat meer dan 70% van nieuwe remote access-implementaties in 2025 via ZTNA verloopt in plaats van via traditionele VPN — een jaar eerder was dat nog minder dan 10%. De markt erkent het probleem en migreert snel.

Voor het Nederlandse MKB is dit relevant omdat veel organisaties nog draaien op VPN-appliances van leveranciers die actief worden geëxploiteerd, zonder dat er patches zijn uitgerold. Elke dag dat een kwetsbare VPN-appliance bereikbaar is vanaf het internet, is een dag waarop aanvallers kunnen proberen in te breken.

VPN, ZTNA en SASE: de drie hoofdtechnologieën

De markt voor secure remote access is de afgelopen jaren sterk geëvolueerd. Drie technologieën domineren het landschap, elk met hun eigen voordelen en toepassingsgebied.

Traditionele VPN

Een VPN creëert een versleutelde tunnel op netwerkniveau. Na authenticatie is het hele netwerk bereikbaar. VPN is bewezen technologie, beschikbaar op alle besturingssystemen en relatief eenvoudig te implementeren voor kleine organisaties. De keerzijde: netwerk-level toegang maakt laterale beweging mogelijk, hardware-appliances zijn kwetsbaar en schaalbaarheid is beperkt.

Zero Trust Network Access (ZTNA)

ZTNA geeft toegang op applicatieniveau, niet op netwerkniveau. Elke toegangspoging wordt individueel beoordeeld op basis van identiteit, apparaat en context. Na authenticatie heeft de gebruiker alleen toegang tot de specifieke applicaties die nodig zijn — niet tot het hele netwerk. Dit elimineert lateral movement als risico. ZTNA is cloud-native, schaalt elastisch en vereist geen hardware-appliances. De overgang vereist wel een goede identity-foundation met MFA en SSO.

SASE (Secure Access Service Edge)

SASE combineert ZTNA met een breed spectrum aan beveiligingsfuncties in één cloud-platform: firewall-as-a-service, cloud access security broker (CASB), secure web gateway (SWG) en DDoS-bescherming. SASE is de meest uitgebreide oplossing maar ook de duurste en complex om te implementeren. Voor groot MKB en enterprise is SASE de richting; voor klein MKB is ZTNA het pragmatischer startpunt.

Implementatieproces stap voor stap

De overgang van traditioneel VPN naar een moderne secure remote access-oplossing verloopt in vijf fasen. Een geleidelijke migratie — waarbij VPN en ZTNA tijdelijk naast elkaar draaien — vermindert het risico op downtime.

Stap 1: Requirements-analyse

Breng in kaart hoeveel remote medewerkers je hebt, welke applicaties ze nodig hebben, welke apparaten ze gebruiken (beheerd vs. BYOD) en welke compliance-eisen van toepassing zijn. Dit bepaalt direct welk model het meest geschikt is.

Stap 2: Architectuurkeuze

Kies tussen VPN, ZTNA en SASE op basis van je vereisten. Voor MKB tot 50 medewerkers zonder complexe legacy-systemen is cloud-native ZTNA vrijwel altijd de beste keuze. Voor organisaties met veel legacy-applicaties kan een tijdelijke hybride aanpak nodig zijn.

Stap 3: Identity-foundation opzetten

ZTNA staat of valt met een goede identity-laag. Zorg dat SSO correct werkt voor alle gebruikers en dat MFA verplicht is voor alle externe toegang. Integreer met je bestaande identity provider (Azure AD/Entra ID, Okta of Google Workspace).

Stap 4: Configuratie en pilot

Configureer toegangspolicies per applicatie en rol de oplossing eerst uit naar een pilotgroep. Test op alle relevante apparaten en besturingssystemen. Optimaliseer op basis van feedback voor je breed uitrolt.

Stap 5: Monitoring en onderhoud

Monitor verbindingen continu op anomalieën, houd appliances en agents up-to-date en review toegangspolicies periodiek. Patch VPN-appliances direct als er kritieke CVEs verschijnen — dit is geen optie maar een verplichting. Combineer monitoring met een SIEM voor correlatie van remote access-events met andere beveiligingsdata.

Wat kost secure remote access in Nederland?

De kosten van secure remote access variëren sterk afhankelijk van de gekozen technologie en het serviceniveau. Hieronder een overzicht voor de Nederlandse markt.

Zakelijke VPN in Nederland kost gemiddeld 8 tot 12 euro per gebruiker per maand voor een cloud-gebaseerde oplossing. Voor een organisatie van 50 medewerkers komt dat neer op 4.800 tot 7.200 euro per jaar, exclusief beheer. ZTNA-oplossingen zijn vergelijkbaar geprijsd — 5 tot 20 euro per gebruiker per maand — maar leveren een hogere beveiligingswaarde.

Een eerlijke kostenvergelijking moet ook hardware en beheer meenemen. Een on-premise VPN-appliance heeft een aanschafprijs van 5.000 tot 25.000 euro plus jaarlijkse onderhoudskosten. Cloud-native ZTNA elimineert die hardware-investering volledig. Onderzoek van Forrester laat zien dat een volledige ZTNA-implementatie een ROI van 289% over drie jaar oplevert ten opzichte van traditionele VPN — mede door 80% minder support-tickets en substantieel lagere kosten bij beveiligingsincidenten.

Gratis startpunt

Cloudflare Access biedt een gratis ZTNA-tier voor organisaties tot 50 gebruikers. Dit is een uitstekend startpunt om vertrouwd te raken met het ZTNA-model zonder initiële investering. Tailscale biedt vergelijkbare functionaliteit met een freemium-model. Voor productieomgevingen zijn betaalde oplossingen aanbevolen vanwege SLA-garanties en uitgebreidere functies.

Selectiecriteria voor de juiste oplossing

Bij de selectie van een secure remote access-oplossing zijn vijf criteria bepalend voor de langetermijnwaarde.

Zero Trust-capabilities

Controleert de oplossing identiteit, apparaatcompliance en context bij elke toegangspoging? Identity-based access control is het fundament van moderne remote access-beveiliging.

Encryptie en protocollen

Controleer welke encryptieprotocollen worden gebruikt. AES-256 is de standaard voor datatransport. WireGuard is een modern, snel en veilig tunnelprotocol dat VPN-performance significant verbetert ten opzichte van oudere IPsec-implementaties.

Identity provider-integratie

Naadloze integratie met Azure AD/Entra ID, Okta of Google Workspace is essentieel voor SSO en centrale gebruikersadministratie. Zonder deze integratie heb je een losstaand systeem dat moeilijk te beheren is bij medewerkerswisselingen.

Multi-platform ondersteuning

De oplossing moet werken op Windows, macOS, iOS, Android en Linux. In organisaties met BYOD-beleid is dit een kritische voorwaarde: als de oplossing niet werkt op het apparaat van de medewerker, gebruikt die medewerker een alternatief — wat de beveiliging ondermijnt.

Schaalbaarheid en beschikbaarheid

Hoeveel gelijktijdige verbindingen kan de oplossing aan? Wat is de SLA voor beschikbaarheid? Cloud-native oplossingen schalen automatisch; hardware-appliances hebben een vaste capaciteitslimiet die de hele organisatie kan blokkeren bij een piek.

Veelgemaakte fouten bij secure remote access

VPN-appliance niet patchen

VPN-kwetsbaarheden zijn topfavoriet bij aanvallers. De Fortinet- en Ivanti-incidenten tonen dat zelfs tijdelijk uitgestelde patches fatale gevolgen kunnen hebben. Implementeer een patchproces waarbij kritieke VPN-CVEs binnen 24 tot 48 uur worden uitgerold — niet in de volgende reguliere patchcyclus.

Geen MFA op VPN

VPN zonder multi-factor authenticatie is een open deur. Stolen credentials zijn de meest gebruikte aanvalsvector bij remote access-compromittering. MFA elimineert het risico van gestolen wachtwoorden vrijwel volledig. Koppel de MFA-implementatie direct aan de remote access-uitrol.

Legacy VPN behouden terwijl alternatieven beschikbaar zijn

Meer dan 70% van nieuwe deployments verloopt inmiddels via ZTNA. Als je VPN-appliance end-of-support bereikt, is dit het moment om te evalueren of vervanging door ZTNA logischer is dan een nieuwe appliance aanschaffen. De beveiligingsvoordelen van ZTNA rechtvaardigen de migratiekosten in vrijwel alle gevallen.

Geen device-compliance controleren

Een VPN of ZTNA die verbindingen accepteert van onbeheerde of besmette apparaten, biedt minder bescherming dan je denkt. Implementeer device posture checks: controleer of het apparaat up-to-date is, of antivirus actief is en of de schijf versleuteld is voordat je toegang verleent.

NIS2 en de Cyberbeveiligingswet

Secure remote access valt expliciet onder de NIS2-zorgplicht. VPN-systemen en ZTNA-oplossingen zijn netwerk- en informatiesystemen waarvoor de Cyberbeveiligingswet passende beveiligingsmaatregelen vereist. De wet treedt naar verwachting in Q2 2026 in werking.

Specifiek relevant zijn drie NIS2-verplichtingen (Bron: NCSC / Digitale Overheid). Ten eerste de beveiligingsverplichting: organisaties moeten aantoonbaar passende maatregelen hebben genomen voor remote access. Een ongepatched VPN-systeem met actief geëxploiteerde kwetsbaarheden is een directe schending van die plicht. Ten tweede de meldplicht: kwetsbaarheden in VPN-appliances die leiden tot een incident moeten gemeld worden bij het NCSC. Ten derde de risicoanalyse: remote access is een van de hoogste risicogebieden die in een NIS2-risicoanalyse moet worden geadresseerd.

Logging van remote access-verbindingen is essentieel voor de NIS2-aantoonbaarheid: bewaar logs lang genoeg om incidenten te kunnen reconstrueren en zorg dat ze beschikbaar zijn voor toezichthouders bij een audit. Combineer dit met een Privileged Access Management-oplossing voor verhoogde rechten op remote access.

VPN vs. ZTNA vs. SASE: wanneer kies je wat?

De keuze tussen VPN, ZTNA en SASE hangt af van je organisatiegrootte, technische volwassenheid, dreigingsprofiel en budget.

Voor organisaties die nu een nieuwe remote access-beslissing nemen, is ZTNA de standaardkeuze. VPN is alleen te rechtvaardigen als er specifieke redenen zijn — zoals integratie met legacy-systemen die ZTNA niet ondersteunt — en alleen als je een strikt patchbeleid kunt garanderen.

De overgang van VPN naar ZTNA hoeft niet in één keer. Een hybride aanpak — waarbij ZTNA wordt uitgerold voor nieuwe gebruikers en applicaties terwijl de VPN tijdelijk blijft voor legacy-toegang — verlaagt het migratiericiso aanzienlijk. Bekijk ook de complete ZTNA-gids voor een gedetailleerd stappenplan.