Wat kost een systeemintegratie?

De kosten hangen af van de complexiteit. Een eenvoudige integratie tussen twee systemen start vanaf een paar honderd euro. Complexere multi-systeem integraties worden op maat geoffreerd na een gratis adviesgesprek.

Hoe lang duurt het bouwen van een integratie?

Een standaard integratie is binnen 1-2 weken operationeel. Complexere projecten kunnen 4-8 weken duren, afhankelijk van het aantal systemen en de gewenste functionaliteit.

Welke systemen kan SyncIT integreren?

SyncIT integreert alle gangbare bedrijfssystemen: ERP (AFAS, Exact Online, SAP), e-commerce (Shopify, WooCommerce, Magento), CRM (Salesforce, HubSpot), logistiek (Picqer, Sendcloud) en meer. Als een systeem een API heeft, kunnen wij er mee integreren.

Bieden jullie onderhoud en support?

Ja, wij bieden doorlopend onderhoud en monitoring van integraties. Bij storingen worden deze snel opgelost. Je krijgt een vast aanspreekpunt voor al je vragen.

Werken jullie ook met systemen die niet in de lijst staan?

Ja, als een systeem een API heeft kunnen wij er mee integreren. Neem contact op voor de mogelijkheden. We hebben ervaring met tientallen verschillende systemen en API-standaarden.

Hoe beveilig je klantdata bij systeemintegraties? AVG-proof koppelen in 2026

Door Clen Mourik

De Autoriteit Persoonsgegevens deelde in 2023 voor €15,7 miljoen aan boetes uit. Veel MKB-bedrijven denken dat ze AVG-proof werken, tot er een datalek ontstaat via een onveilige systeemkoppeling. Hoe beveilig je klantgegevens als je AFAS, Exact Online, je webshop of andere systemen aan elkaar koppelt?

Vorige maand belde een aannemer me op. Paniek in zijn stem. De Autoriteit Persoonsgegevens had hem op de bon geslingerd. €12.500 boete. De reden? Een medewerker had een Excel-bestand met NAW-gegevens van 450 klanten onversleuteld gemaild naar de boekhouder. Dat bestand stond vol met projectadressen, telefoonnummers en factuurgegevens.

Het gekke? Dit bedrijf dacht dat ze veilig werkten. Ze hadden een koppeling tussen hun projectbeheersysteem en AFAS. Maar die koppeling was niet het probleem. Het waren de handmatige stappen eromheen die fout gingen.

Herkenbaar? Zodra je meerdere systemen gebruikt en die aan elkaar wilt koppelen, loop je tegen dezelfde vraag aan: hoe hou je klantdata veilig? Want eerlijk gezegd, de meeste MKB-bedrijven hebben geen CISO in huis. Je moet het zelf uitzoeken.

Inhoudsopgave

Belangrijkste punten
Waarom AVG-compliance geen luxe is
Veelgemaakte fouten bij systeemkoppelingen
Hoe werkt een veilige integratie technisch?
Praktijkvoorbeelden uit verschillende sectoren
Sendcloud koppelen: veilig verzenden op volume
Wat moet je regelen voor een AVG-proof koppeling?
Vergelijking integratieoplossingen
Veelgestelde vragen

Belangrijkste punten

Punt	Details
AVG-boetes lopen snel op	De AP deelde in 2023 voor €15,7 miljoen aan boetes uit. Gemiddelde MKB-boete: €10.000-€100.000
Datalekken kosten meer dan de boete	Gemiddelde kosten datalek in Nederland: €165.000 (inclusief juridische kosten en reputatieschade)
Verwerkersovereenkomst is verplicht	Bij elke koppeling waarbij een derde partij klantdata verwerkt, is een verwerkersovereenkomst (artikel 28 AVG) wettelijk verplicht
Encryptie is basiseis	TLS 1.3 voor datatransport, AES-256 voor opslag. Onversleutelde API's zijn ronduit gevaarlijk
Dataminimalisatie scheelt risico	Synchroniseer alleen wat nodig is. Een koppeling naar je boekhouding heeft geen geboortedatum of telefoonnummer nodig

Zakelijk professional analyseert beveiligde datastromen tussen bedrijfssystemen op laptop met netwerkdiagram

Waarom AVG-compliance geen luxe is

Laten we eerlijk zijn: niemand wordt ondernemer om zich druk te maken over privacywetgeving. Toch ontkomen we er niet aan. Sinds de AVG in 2018 van kracht werd, zijn de regels helder: wie klantgegevens verwerkt, moet dat veilig doen.

De Autoriteit Persoonsgegevens ontving in 2023 maar liefst 23.456 meldingen van datalekken. Dat is een stijging van 12% ten opzichte van 2022. En dan heb je het alleen over de lekken die gemeld werden.

Waar gaat het vaak mis? Bij de overgang tussen systemen. Je hebt misschien je ERP-pakket keurig op orde. ISO-gecertificeerd. Goede beveiliging. Maar zodra je data naar een ander systeem stuurt, ontstaan er zwakke plekken.

Wat ik in de praktijk zie: bedrijven investeren duizenden euro's in een veilig softwarepakket, maar vervolgens worden exports onversleuteld per e-mail rondgestuurd. Dat is als je huis beveiligen met een alarm, maar de sleutel onder de mat leggen.

De kosten van een datalek gaan verder dan de boete. Gemiddeld kost een datalek Nederlandse bedrijven €165.000. Dat is het totaalplaatje: de boete zelf, juridische bijstand, onderzoek, meldingsplicht naar alle betrokken klanten, PR-schade, en de tijd die je erin steekt. Voor een MKB-bedrijf kan dat knock-out zijn. 60% van de kleine bedrijven die een groot datalek meemaken, gaat binnen zes maanden failliet.

Systeemkoppelingen zijn een zwakke schakel

Bij systeemintegraties gaat data van het ene systeem naar het andere. Dat klinkt eenvoudig, maar hier liggen de risico's:

Data staat tijdelijk op een tussenschakel (middleware, API-server)
Meerdere partijen krijgen toegang tot dezelfde data
Fouten in configuratie kunnen ertoe leiden dat data naar verkeerde locaties gaat
Legacy-systemen hebben soms verouderde beveiligingsprotocollen
Logging ontbreekt vaak, waardoor je bij een incident niet kunt traceren wat er mis ging

Een zorginstelling waar we mee werkten, exporteerde cliëntgegevens uit hun praktijksoftware naar Twinfield voor facturatie. BSN-nummers, medische aantekeningen, de hele riedel. Dat ging via een CSV-bestand dat onversleuteld werd verzonden. Ze wisten niet eens dat dit een AVG-overtreding was.

Veelgemaakte fouten bij systeemkoppelingen

Ik zie dezelfde fouten steeds terugkomen bij bedrijven die voor het eerst systemen aan elkaar koppelen. De top 5:

Fout 1: Geen verwerkersovereenkomst

Artikel 28 van de AVG is glashelder: zodra een derde partij toegang heeft tot persoonsgegevens voor een dienst die jij levert, moet je een verwerkersovereenkomst hebben. Dat geldt voor je softwareleverancier, maar ook voor een integratiespecialist zoals SyncIT.

Veel ondernemers denken: "Maar ik heb toch al algemene voorwaarden?" Dat is niet genoeg. Een verwerkersovereenkomst beschrijft specifiek hoe de verwerker omgaat met persoonsgegevens, welke beveiligingsmaatregelen er zijn, en wat er gebeurt bij een datalek.

Fout 2: Onversleutelde API-verbindingen

API's zonder TLS-encryptie zijn als briefkaarten door het bedrijf laten rondgaan. Iedereen die meeluistert op het netwerk, kan meelezen. En toch zie je het nog: koppelingen tussen systemen waar data over HTTP (zonder S) gaat.

Minimum is TLS 1.2, maar eigenlijk moet je nu naar TLS 1.3. Daarnaast worden API-keys nog te vaak hardcoded in scripts of onversleuteld opgeslagen in configuratiebestanden. Die keys zijn net zo waardevol als een wachtwoord. Behandel ze ook zo.

Fout 3: Te veel data synchroniseren

Dataminimalisatie is een kernprincipe van de AVG. Toch zie je vaak dat complete klantprofielen worden gesynchroniseerd, terwijl dat helemaal niet nodig is.

Voorbeeld: een koppeling tussen je webshop en boekhouding. Die heeft naam, adres en orderbedrag nodig. Niet je klant z'n geboortedatum, telefoonnummer of e-mailadres. Toch worden die vaak meegestuurd "voor het gemak" of "voor later".

Regel het andersom: bepaal eerst wat je minimaal nodig hebt, en synchroniseer alleen die velden.

Developer controleert veilige API-configuratie met encryptie-instellingen en authenticatie op laptop in kantooromgeving

Fout 4: Geen logging en toegangsbeheer

Bij een datalek moet je kunnen aantonen wie wanneer toegang had tot welke data. Dat heet een audit trail. Veel koppelingen hebben dat niet. Als er iets fout gaat, kun je niet reconstrueren wat er gebeurd is.

Daarnaast krijgen te veel medewerkers toegang tot systemen met gevoelige data. Een magazijnmedewerker hoeft geen toegang tot BSN-nummers. Een administratief medewerker hoeft geen toegang tot productiegegevens. Role-Based Access Control (RBAC) is essentieel.

Fout 5: Cloud-opslag zonder encryptie

Integraties maken soms tijdelijke bestanden aan. Exports, synchronisatiebestanden, logs. Die belanden dan in een cloud-omgeving. Als die map niet goed beveiligd is, heb je een probleem.

Een groothandel in bouwmaterialen had een koppeling tussen hun order-systeem en AFAS. Die koppeling maakte elke nacht een CSV-export van alle klantgegevens en zette die in een Google Drive-map. De map stond per ongeluk op "iedereen met de link kan bekijken". Gelukkig ontdekten ze het zelf voordat het mis ging.

Hoe werkt een veilige integratie technisch?

Je hoeft geen IT-expert te zijn om te begrijpen hoe een veilige systeemkoppeling werkt. Laat me het uitleggen zonder te veel technische jargon.

API-koppelingen: de standaard

De meeste moderne integraties werken via API's (Application Programming Interfaces). Dat is een soort deur waardoor systemen met elkaar praten. De ene applicatie vraagt data op, de andere geeft antwoord.

Er zijn verschillende soorten API's:

REST API's: De meest gangbare. Werken via HTTPS-verzoeken. Gebruikt door vrijwel alle moderne systemen.
SOAP API's: Ouder, complexer, maar nog steeds gebruikt bij legacy-software zoals sommige ERP-pakketten.
GraphQL: Modern alternatief, steeds populairder bij e-commerce platforms.

Het belangrijkste is dat die verbinding versleuteld is. TLS 1.3 is de huidige standaard. Daarnaast moet authenticatie goed geregeld zijn via OAuth 2.0, API-keys of JWT-tokens.

Beveiligingslagen

Een veilige koppeling heeft meerdere lagen:

Laag	Maatregel	Waarom belangrijk
Transport	TLS 1.3 encryptie	Voorkomt dat data onderweg wordt onderschept
Applicatie	API-authenticatie, rate limiting	Alleen geautoriseerde systemen krijgen toegang
Data	AES-256 encryptie, pseudonimisering	Data is onleesbaar zonder de juiste sleutel
Netwerk	Firewalls, IP-whitelisting	Extra bescherming tegen ongeautoriseerde toegang
Logging	Audit trails, SIEM-monitoring	Detecteert verdachte activiteit, traceerbaarheid

Ik zeg altijd: beveiliging is als een ui. Je hebt meerdere lagen nodig. Als één laag faalt, heb je nog andere bescherming.

Praktijkvoorbeeld: AFAS naar Exact Online

Veel bedrijven gebruiken AFAS voor hun primaire administratie en Exact Online voor boekhouding. Die koppeling werkt zo:

AFAS detecteert een nieuwe factuur via een trigger
De integratie haalt via REST API de factuurgegevens op (OAuth 2.0 authenticatie)
Data wordt over TLS 1.3 verzonden
De middleware transformeert de data naar het Exact-formaat
Via Exact API wordt de boeking aangemaakt
Bevestiging wordt teruggestuurd naar AFAS
Alle stappen worden gelogd met timestamp en gebruiker

Wat belangrijk is: alleen de noodzakelijke velden worden doorgestuurd. Volledige klantprofielen blijven in AFAS, Exact krijgt alleen naam, factuurnummer en bedrag.

Praktijkvoorbeelden uit verschillende sectoren

Nu wordt het concreet. Hoe pak je dit aan in verschillende branches?

Bouw: projectgegevens veilig koppelen

Een aannemer met 25 medewerkers koppelde hun projectbeheersysteem aan AFAS. Probleem: klantdata (NAW, projectadressen, offertes) werd handmatig gekopieerd. Medewerkers maakten Excel-overzichten voor de administratie.

Oplossing: directe API-koppeling tussen systemen. Alle datatransport versleuteld, logging van elk verzoek, geen handmatige exports meer. Resultaat: 8 uur per week tijdsbesparing, volledige AVG-compliance.

Zorg: patiëntgegevens volgens NEN7510

Een fysiotherapiepraktijk met 15 behandelaars exporteerde cliëntgegevens naar Twinfield voor facturatie. Dat ging via onversleutelde Excel-bestanden per e-mail.

Oplossing: directe integratie praktijksoftware-Twinfield met minimale datadeling. Alleen facturatiegegevens, geen medische data. Encryptie, verwerkersovereenkomst, voldoet aan NEN7510-norm. Bespaart 40% administratietijd.

Groothandel: voorraad en ERP veilig synchroniseren

Een groothandel in technische onderdelen synchroniseerde hun WMS-systeem met Exact Online. Leveranciergegevens, inkoopprijzen en klantafspraken gingen via een onbeveiligde database-koppeling.

Oplossing: beveiligde API-integratie met encryptie, toegangsrechten per rol (magazijnmedewerkers zien geen inkoopprijzen), volledige audit trail. Voor dit soort koppelingen bekijk je best onze branche-specifieke oplossingen.

Transport: CMR-documenten en klantdata

Een transportbedrijf met 12 vrachtwagens maakte backup van klantdata op onbeveiligde externe harde schijven. Planning in TMS-systeem, ritadministratie werd handmatig overgetypt naar boekhouding.

Oplossing: geautomatiseerde koppeling TMS naar Exact Online, cloud-backup met encryptie, toegangsrechten per chauffeur. 6 uur per week besparing, volledige traceerbaarheid.

Magazijnmedewerker scant pakket met barcodescanner terwijl orderdashboard realtime voorraad toont op wandmonteerde monitor

Sendcloud koppelen: veilig verzenden op volume

Even specifiek over e-commerce. Als je webshop serieus draait, heb je een fatsoenlijke verzendoplossing nodig. Sendcloud is daar een populaire keuze. Ze verwerken meer dan 30 miljoen zendingen per jaar voor 15.000+ webshops in Europa.

Waarom Sendcloud automatiseren scheelt

Handmatig labels printen kost bij 100 orders per dag al snel 8-10 uur per week. Per order ben je gemiddeld 5-10 minuten kwijt aan het kiezen van vervoerder, printen van label, registreren van tracking-code, en klant informeren.

Met een Sendcloud integratie gaat dat automatisch. Maar dan moet het wel veilig.

Sendcloud koppelen aan Shopify, WooCommerce of Magento

Sendcloud heeft directe plugins voor de populaire webshop-platforms. Zo werkt het:

Shopify: App installeren via Shopify App Store, OAuth-authenticatie, automatische ordersync zodra order status op "betaald" staat
WooCommerce: Plugin installeren, API-credentials koppelen, webhook configureren voor real-time updates
Magento 2: Extensie via Magento Marketplace, REST API-koppeling, bulk-verwerking voor hoge volumes

Wat er gebeurt bij een nieuwe order:

Klant plaatst order in webshop (naam, adres, telefoonnummer worden opgeslagen)
Plugin detecteert nieuwe order met status "processing"
Ordergegevens gaan via HTTPS naar Sendcloud (alleen NAW + productinfo, geen betaalgegevens)
Sendcloud genereert automatisch label via DHL/PostNL/DPD
Tracking-code komt via webhook terug naar webshop
Webshop stuurt automatisch tracking-mail naar klant
Bij retour meldt Sendcloud dit terug, status wordt automatisch geüpdatet

AVG-aspecten bij Sendcloud

Wat je moet regelen:

Verwerkersovereenkomst met Sendcloud (hebben ze standaard beschikbaar)
Data blijft binnen beveiligde systemen, geen lokale exports
Toegangsbeheer: alleen magazijnmedewerkers krijgen toegang tot Sendcloud-omgeving
Retentiebeleid: hoe lang bewaart Sendcloud adresgegevens? (standaard 2 jaar, kun je aanpassen)
Sendcloud is ISO27001 gecertificeerd en GDPR-compliant

Bij een webshop met 500 orders per dag bespaart automatisering ongeveer 40-50 uur per week. Dat is een fulltime medewerker. Plus, geen risico meer op datalekken via Excel-lijstjes met adressen.

Retourverwerking automatiseren

Wat vaak vergeten wordt: retouren. Klanten krijgen een retourlabel, scannen die in bij het afleverpunt, en jij moet dat registreren in je voorraad én administratie.

Met Sendcloud gaat dat automatisch. Zodra een retour wordt gescand, krijg jij een webhook. Die kun je koppelen aan je voorraadsysteem (bijvoorbeeld Picqer) en boekhouding. De hele flow staat binnen 10 minuten weer klaar voor herverkoop.

Wat moet je regelen voor een AVG-proof koppeling?

Even alles op een rij. Dit is de checklist die je moet aflopen voor elke systeemintegratie:

Verwerkersovereenkomst: Met elke partij die klantdata verwerkt (softwareleverancier, integratiespecialist)
DPIA (Data Protection Impact Assessment): Bij hoog-risico verwerkingen verplicht (bijvoorbeeld medische data, BSN-nummers)
Dataminimalisatie: Alleen noodzakelijke velden synchroniseren, niet complete profielen
Encryptie: TLS 1.3 voor transport, AES-256 voor opslag
Toegangsbeheer: Role-Based Access Control, 2FA waar mogelijk
Logging: Audit trail van alle dataverzoeken, minimaal 1 jaar bewaren
Retentiebeleid: Automatische verwijdering na x tijd, geen indefinite storage
Incidentrespons: Procedure voor als het toch mis gaat (meldingsplicht binnen 72 uur)
Datalocatie: Waar wordt data opgeslagen? EU-datacenters zijn veiliger dan VS (Schrems II-arrest)
Exit-strategie: Wat gebeurt er als je van leverancier wisselt? Krijg je een export? Wordt data definitief gewist?

Die laatste is belangrijk. Vendor lock-in is een echt risico. Zorg dat je altijd je data kunt meenemen naar een ander systeem. Vraag vooraf hoe export werkt en of data na beëindiging definitief wordt verwijderd.

Vergelijking integratieoplossingen

Je hebt verschillende opties om systemen te koppelen. Wat past bij jouw situatie?

Oplossing	Beveiliging	Kosten	Geschikt voor
Handmatig	4/10 (veel fouten)	Gratis	Zeer laag volume, simpele processen
iPaaS (Zapier, Make)	6/10 (data via derde partij)	€20-300/maand	Simpele koppelingen, geen zeer gevoelige data
Native integraties	9/10 (direct door vendor)	Vaak gratis of in abonnement	Standaard combinaties (bijv. AFAS-Exact)
Custom API	8/10 (volledige controle)	€2.500-15.000 eenmalig	Specifieke eisen, gevoelige data, maatwerk
Enterprise ESB	9/10 (schaalbaar, complex)	€50.000+	Grote organisaties, 10+ systemen

Voor de meeste MKB-bedrijven is een custom API-koppeling de beste keuze als je specifieke eisen hebt of gevoelige data verwerkt. Native integraties zijn perfect als die beschikbaar zijn voor jouw softwarecombinatie. iPaaS-platformen zijn handig voor simpele zaken, maar let op waar je data belandt.

Wil je weten welke koppeling het beste bij jouw situatie past? Bekijk ons kennisbank of plan een adviesgesprek.

Veelgestelde vragen

Wat kost een AVG-boete voor een MKB-bedrijf bij een datalek?

De Autoriteit Persoonsgegevens hanteert boetes tussen €10.000 en €100.000 voor MKB-bedrijven, afhankelijk van de ernst van de overtreding. Totale kosten (inclusief juridisch, reputatie, onderzoek) liggen gemiddeld rond €165.000.

Heb ik een verwerkersovereenkomst nodig als ik systemen laat koppelen?

Ja, zodra een derde partij toegang heeft tot klantgegevens voor het leveren van een dienst, is een verwerkersovereenkomst volgens artikel 28 AVG verplicht. Dat geldt voor je softwareleverancier én voor een integratiespecialist.

Kan ik Sendcloud veilig koppelen aan mijn webshop?

Ja, Sendcloud is ISO27001 gecertificeerd en GDPR-compliant. Gebruik de officiële plugins voor Shopify, WooCommerce of Magento. Regel wel een verwerkersovereenkomst en stel een retentiebeleid in voor adresgegevens.

Welke encryptie-standaard moet ik gebruiken voor API-koppelingen?

Minimaal TLS 1.2, maar TLS 1.3 is de huidige standaard en aanbevolen. Voor data-at-rest gebruik je AES-256 encryptie. Onversleutelde HTTP-verbindingen zijn niet toegestaan voor persoonsgegevens.

Hoe lang mag ik klantdata bewaren in gekoppelde systemen?

Zo kort mogelijk volgens het AVG-principe van opslagbeperking. Voor facturatiegegevens geldt een wettelijke bewaartermijn van 7 jaar. Voor andere data kun je zelf een retentiebeleid bepalen, maar synchroniseer niet "voor later" zonder geldige reden.

Wat zijn de risico's van iPaaS-platformen zoals Zapier voor gevoelige data?

Data passeert een derde partij (Zapier's servers), vaak in de VS. Dat betekent minder controle en mogelijke AVG-issues door internationale datatransfer. Voor niet-gevoelige data prima, voor medische of financiële gegevens minder geschikt.

Moet ik een DPIA doen voor elke systeemkoppeling?

Niet voor elke koppeling, maar wel bij hoog-risico verwerkingen. Denk aan: grootschalige verwerking bijzondere persoonsgegevens (gezondheid, BSN), systematische monitoring, of geautomatiseerde besluitvorming. Bij twijfel vraag je dit na bij een privacy-officer.

Tijd om serieus werk te maken van databescherming

Kijk, ik snap het. AVG-compliance voelt als administratieve rompslomp. Je wilt gewoon je bedrijf runnen zonder juridische stress. Maar de realiteit is dat een datalek je onderneming kapot kan maken.

De goede kant? Als je het eenmaal goed regelt, hoef je er niet meer naar om te kijken. Systemen praten veilig met elkaar, data blijft binnen beveiligde omgevingen, en jij hebt een audit trail als er ooit vragen komen.

Bij SyncIT bouwen we koppelingen die standaard AVG-proof zijn. Dat is niet iets wat we er achteraf bij flansen. Het zit in het ontwerp. Encryptie, logging, dataminimalisatie, verwerkersovereenkomsten — het hele pakket.

Wil je weten hoe jouw huidige koppelingen ervoor staan? Of overweeg je systemen te integreren en wil je het meteen goed doen? Plan een vrijblijvend adviesgesprek. We kijken naar je situatie, vertellen je eerlijk waar de risico's zitten, en hoe je die wegneemt.

Want eerlijk gezegd: als je klantdata verwerkt, kun je dit niet negeren. De vraag is niet óf je het moet doen, maar wanneer je begint.