Je wifi is vaak het stilste onderdeel van je IT-omgeving – totdat er iets misgaat. Een instabiel of slecht afgeschermd netwerk merk je pas echt wanneer medewerkers niet meer kunnen werken, gasten op het verkeerde netwerk terechtkomen of apparaten ongemerkt een risico vormen. De vraag hoe beveilig je bedrijfswifi is daarom geen technische bijzaak, maar een directe kwestie van continuïteit.

Voor veel mkb-bedrijven zit het risico niet in een spectaculaire hack, maar in alledaagse slordigheid. Een oud wachtwoord dat nog rondgaat, één netwerk voor alles, een access point dat jaren niet is bijgewerkt of medewerkers die met privé-apparaten verbinding maken zonder duidelijke regels. Juist omdat wifi zo vanzelfsprekend voelt, blijft het vaak achter op de rest van de beveiliging.

Hoe beveilig je bedrijfswifi zonder het onwerkbaar te maken?

Goede wifi-beveiliging begint niet met één instelling, maar met keuzes in opzet en beheer. Je wilt medewerkers veilig laten werken, gasten internet geven waar nodig en apparaten zoals printers, camera’s of slimme deurbellen gescheiden houden. Dat vraagt om een netwerk dat logisch is ingericht en actief wordt beheerd.

De eerste stap is bijna altijd segmentatie. Als alles op hetzelfde wifi-netwerk zit, vergroot je de impact van één fout of besmet apparaat. Een laptop van een medewerker heeft nu eenmaal een ander risicoprofiel dan een bezoekersnetwerk of een IoT-apparaat. Door die onderdelen van elkaar te scheiden, beperk je schade en houd je controle. Dat maakt je netwerk niet alleen veiliger, maar vaak ook overzichtelijker.

Daarnaast moet de basis op orde zijn. Denk aan moderne versleuteling, sterke authenticatie en het uitschakelen van verouderde functies. Dat klinkt eenvoudig, maar in de praktijk blijken veel zakelijke netwerken nog te draaien op instellingen die ooit snel zijn gekozen en daarna nooit meer zijn herzien.

Begin bij de basis: versleuteling en toegang

Als je bedrijfswifi nog gebruikmaakt van verouderde beveiligingsstandaarden, loop je onnodig risico. Kies bij voorkeur voor WPA3. Is dat door oudere apparatuur nog niet overal haalbaar, dan is WPA2-Enterprise meestal de beste tussenstap. Vooral dat laatste is voor zakelijke omgevingen interessant, omdat je dan niet werkt met één gedeeld wifi-wachtwoord voor iedereen, maar met individuele inloggegevens.

Dat verschil is groter dan het lijkt. Met één algemeen wachtwoord heb je weinig grip. Vertrekt een medewerker, dan moet je eigenlijk het hele wachtwoord wijzigen. Is het wachtwoord ooit gedeeld met een leverancier of tijdelijke kracht, dan blijft die toegang mogelijk bestaan zolang je niets aanpast. Met persoonlijke authenticatie kun je toegang gericht toekennen en weer intrekken, zonder het hele netwerk op zijn kop te zetten.

Niet elk bedrijf heeft direct enterprise-authenticatie nodig. Een klein kantoor met een beperkt aantal werkplekken kan prima starten met een sterk, uniek wachtwoord en goed netwerkbeheer. Maar zodra je groeit, meerdere locaties hebt of veel apparaten en gebruikers beheert, wordt centrale toegangscontrole bijna vanzelf de verstandigste keuze.

Schakel ook functies uit die gemak boven veiligheid zetten. WPS is daar een bekend voorbeeld van. Het lijkt handig om snel apparaten te koppelen, maar het vergroot je aanvalsoppervlak. Voor een zakelijke omgeving weegt dat gemak zelden op tegen het risico.

Splits medewerkers, gasten en apparaten

Een veilig bedrijfsnetwerk is zelden één netwerk. Medewerkers hebben toegang nodig tot zakelijke systemen, printers en soms interne bestanden. Bezoekers hebben meestal alleen internet nodig. Apparaten zoals camera’s, schermen, scanners of slimme sensoren hebben vaak helemaal geen toegang tot bedrijfsdata nodig. Als je die drie groepen toch op hetzelfde wifi-netwerk zet, maak je het jezelf onnodig lastig.

Een apart gastennetwerk is daarom geen luxe. Het voorkomt dat bezoekers per ongeluk of bewust op interne systemen terechtkomen. Belangrijk is wel dat een gastennetwerk echt gescheiden is en niet alleen een andere naam heeft. In een goede inrichting kan verkeer vanaf het gastennetwerk niet naar je kantoorapparatuur of beheersystemen.

Voor IoT-apparaten geldt hetzelfde. Veel van dit soort apparaten krijgen minder lang updates, gebruiken eenvoudige software of zijn beperkt beveiligd. Ze zijn nuttig, maar niet per se betrouwbaar genoeg om in hetzelfde segment te staan als werkplekken en servers. Door ze apart te plaatsen, voorkom je dat een kwetsbaarheid in één apparaat direct gevolgen heeft voor de rest van je omgeving.

Updates en beheer zijn geen detail

Een bedrijfswifi-netwerk is geen set-and-forget-oplossing. Access points, routers en firewalls draaien op software, en die software moet worden bijgewerkt. Fabrikanten dichten regelmatig beveiligingslekken of verbeteren de stabiliteit. Toch gebeurt het vaak dat netwerkapparatuur jarenlang onaangeraakt blijft, juist omdat het ogenschijnlijk goed werkt.

Dat is een misleidend gevoel van veiligheid. Apparatuur kan prima functioneren en tegelijk kwetsbaar zijn. Daarom is actief beheer belangrijk. Niet alleen updates uitvoeren, maar ook controleren welke apparatuur in gebruik is, of configuraties nog kloppen en of oude accounts of apparaten nog toegang hebben.

Hier zit ook een praktisch verschil tussen consumentenapparatuur en zakelijke wifi-oplossingen. Thuisapparatuur is vaak snel geplaatst en eenvoudig in gebruik, maar biedt minder mogelijkheden voor segmentatie, logging, centraal beheer en beveiligingsbeleid. Voor een klein kantoor lijkt dat aantrekkelijk, totdat je meer grip nodig hebt. Dan loop je alsnog tegen grenzen aan.

Let op met gedeelde wachtwoorden en onbekende apparaten

Een van de meest voorkomende zwakke plekken is niet technisch, maar organisatorisch. Het wifi-wachtwoord is ooit gedeeld met medewerkers, misschien ook met een oud-stagiair, een installateur of een externe partij, en daarna nooit meer gewijzigd. Ondertussen weet niemand precies wie er nog toegang heeft.

Dat is precies waarom je periodiek moet controleren wie verbinding mag maken. Maak afspraken over privé-apparaten, verwijder oude toestellen uit het beheer en wijzig wachtwoorden als daar aanleiding voor is. Gebruik je nog één gedeeld wachtwoord voor medewerkers, wees dan in elk geval strikt in distributie en vervanging.

Ook netwerknaam en zichtbaarheid verdienen aandacht, al zijn die minder doorslaggevend dan soms wordt gedacht. Het verbergen van een SSID maakt een netwerk niet echt veilig. Sterke authenticatie en goede segmentatie doen dat wel. Focus dus op maatregelen die daadwerkelijk risico verkleinen, niet op schijnveiligheid.

Monitoring maakt het verschil tussen reageren en voorkomen

Veel bedrijven ontdekken wifi-problemen pas als gebruikers klagen. Dat geldt voor storingen, maar ook voor beveiligingsincidenten. Terwijl juist zicht op je netwerk helpt om eerder in te grijpen. Denk aan meldingen bij onbekende apparaten, afwijkend dataverkeer of access points die offline raken.

Monitoring hoeft niet ingewikkeld te zijn, maar wel structureel. Je wilt weten hoeveel apparaten verbonden zijn, welke netwerken actief zijn en of er afwijkingen optreden. In een zakelijke omgeving is logging daarbij waardevol. Niet om alles dicht te timmeren, maar om achteraf te kunnen herleiden wat er is gebeurd en waar je moet bijsturen.

Voor organisaties zonder eigen IT-beheer is dit vaak het punt waarop uitbesteden interessant wordt. Niet omdat je het zelf nooit zou kunnen, maar omdat beveiliging pas werkt als iemand er ook echt op let. Een managed oplossing voorkomt dat wifi alleen aandacht krijgt bij problemen.

Hoe beveilig je bedrijfswifi op meerdere locaties?

Zodra je meerdere vestigingen hebt, wordt consistentie belangrijker dan losse optimalisatie. Het probleem is dan niet alleen of één locatie veilig is ingericht, maar of overal hetzelfde beleid geldt. Een sterk beveiligd hoofdkantoor heeft weinig waarde als een kleinere nevenlocatie nog op oude instellingen draait.

Centrale uitrol en centraal beheer maken dan het verschil. Je wilt dezelfde segmentatie, dezelfde beveiligingsstandaarden en dezelfde toegangsregels op alle locaties kunnen toepassen. Dat voorkomt wildgroei en verkleint de kans dat lokale uitzonderingen ongemerkt risico’s introduceren.

Tegelijk moet je rekening houden met de praktijk. Een magazijn, kantoorvloer en ontvangstruimte stellen niet dezelfde eisen aan dekking en gebruik. Veiligheid is dus niet alleen een kwestie van strengere instellingen, maar ook van een ontwerp dat past bij de ruimte, het aantal gebruikers en de apparaten die erop werken.

Een veilig netwerk begint met realistische keuzes

De beste wifi-beveiliging is niet per se de zwaarste variant, maar de oplossing die past bij je organisatie en ook beheersbaar blijft. Een klein bedrijf heeft andere behoeften dan een organisatie met tientallen medewerkers, meerdere VLAN’s en vaste compliance-eisen. Toch verandert de kern niet: houd toegang persoonlijk waar mogelijk, scheid netwerken logisch, update actief en zorg dat iemand verantwoordelijkheid neemt voor het beheer.

Wie zich afvraagt hoe beveilig je bedrijfswifi, zoekt meestal geen theoretisch antwoord, maar een netwerk dat veilig werkt zonder dagelijkse frustratie. Dat is precies waar goede inrichting om draait. Niet meer techniek dan nodig, wel genoeg controle om storingen en risico’s voor te blijven.

Als je wifi eigenlijk alleen aandacht krijgt wanneer het uitvalt, is dat vaak het moment om opnieuw naar de basis te kijken. Juist daar win je de meeste rust.

Name	Provider	Purpose	Expiry
`wordpress_logged_in_*`	WordPress	WordPress authentication cookie for logged-in users.	Session
`wp-settings-*`	WordPress	WordPress user interface settings.	1 year
`wordpress_test_cookie`	WordPress	WordPress test cookie to verify cookie support.	Session
`PHPSESSID`	PHP/Server	PHP session identifier.	Session
`ccm_consent`	Cookie Consent Manager	Cookie Consent Manager preference storage.	1 year
`woocommerce_cart_hash`	WooCommerce	WooCommerce shopping cart session hash.	Session
`woocommerce_items_in_cart`	WooCommerce	WooCommerce cart item count indicator.	Session
`wp_woocommerce_session_*`	WooCommerce	WooCommerce customer session data.	2 days

Name	Provider	Purpose	Expiry
`_ga`	Google Analytics	Google Analytics unique visitor ID — distinguishes users.	2 years
`_ga_*`	Google Analytics 4	Google Analytics 4 session persistence cookie.	2 years
`_gid`	Google Analytics	Google Analytics daily visitor session identifier.	24 hours
`_gat`	Google Analytics	Google Analytics request throttling cookie.	1 minute
`ln_or`	LinkedIn	LinkedIn Oribi analytics integration.	1 day
`AnalyticsSyncHistory`	LinkedIn	LinkedIn analytics data sync timestamp.	30 days
`ajs_user_id`	Segment	Segment.io identified user ID.	1 year
`ajs_anonymous_id`	Segment	Segment.io anonymous visitor ID.	1 year

Name	Provider	Purpose	Expiry
`PREF`	Google	YouTube/Google user preferences (language, player settings).	8 months
`yt-remote-device-id`	YouTube	YouTube remote device identifier.	Persistent

Name	Provider	Purpose	Expiry
`_gac_*`	Google Ads	Google Ads campaign click attribution cookie.	90 days
`_gcl_au`	Google AdSense	Google AdSense advertising efficiency test cookie.	3 months
`_gcl_aw`	Google Ads	Google Ads click conversion cookie.	90 days
`VISITOR_INFO1_LIVE`	YouTube	YouTube visitor info and bandwidth estimation.	6 months
`YSC`	YouTube	YouTube session cookie for video statistics.	Session
`lidc`	LinkedIn	LinkedIn routing cookie — selects data centre for API calls.	24 hours
`li_sugr`	LinkedIn	LinkedIn probabilistic user match for ads.	90 days
`bcookie`	LinkedIn	LinkedIn browser ID cookie.	2 years
`bscookie`	LinkedIn	LinkedIn secure browser ID.	2 years
`UserMatchHistory`	LinkedIn	LinkedIn audience matching for ad targeting.	30 days
`lms_ads`	LinkedIn	LinkedIn Marketing Solutions advertising cookie.	30 days
`li_fat_id`	LinkedIn	LinkedIn first-party ad tracking ID.	30 days
`_pinterest_ct_ua`	Pinterest	Pinterest conversion tag — tracks user actions.	1 year
`_epik`	Pinterest	Pinterest partner cookie for ad measurement.	1 year
`reddaid`	Reddit	Reddit advertising ID for campaign attribution.	1 year
`_rdt_uuid`	Reddit	Reddit conversion tracking UUID.	3 months

Hoe beveilig je bedrijfswifi goed?