Tweestapsverificatie steeds vaker verplicht en als belangrijk gezien, maar volledige adoptie blijft achter

Tweestapsverificatie (2FA) is breed ingeburgerd geraakt in het Nederlandse bedrijfsleven. Organisaties zien het als een belangrijke maatregel om hun digitale weerbaarheid te vergroten, en steeds vaker wordt 2FA zelfs verplicht gesteld. Toch blijft de daadwerkelijke adoptie door alle medewerkers achter: slechts één op de vier organisaties meldt dat 2FA bij iedereen is ingesteld. Dat blijkt uit onderzoek van Visma onder 319 professionals in Nederland die binnen hun bedrijf (mede)verantwoordelijk zijn voor beslissingen ten aanzien van ICT.

Interne beveiligingsbehoefte maakt 2FA de standaard

In een wereld waar digitale dreigingen voortdurend op de loer liggen, staan organisaties onder toenemende druk om hun interne beveiligingsmaatregelen te versterken. De behoefte aan robuuste bescherming tegen ongeautoriseerde toegang is groter dan ooit. Het is daarom weinig verrassend dat tweestapsverificatie (2FA) steeds gebruikelijker wordt in de bedrijfsomgeving. Uit het onderzoek blijkt dat 41% van de organisaties 2FA organisatiebreed inzet, 41% voor specifieke systemen of gebruikers, en 12% alleen voor (online) bankieren. Slechts 5% gebruikt 2FA (nog) niet.

De stap naar 2FA is vaak een logisch gevolg van een toenemende interne behoefte. Voor 32% van de organisaties is dit zelfs de belangrijkste motivatie: de bescherming van vertrouwelijkheid en integriteit van interne processen is cruciaal. Daarnaast spelen wettelijke verplichtingen en compliance-eisen een rol: 15% van de organisaties zegt 2FA te hebben ingevoerd vanwege regelgeving rond gegevensbescherming. Denk aan de GDPR en de nieuwe Cyberbeveiligingswet. Ook aanbevelingen van IT-leveranciers zijn voor 15% aanleiding geweest om 2FA in te schakelen. Verder geeft 9% van de organisaties aan dat verzoeken van klanten of ketenpartners, die hogere standaarden van gegevensbeveiliging eisen, de doorslag hebben gegeven. Voor een kleine groep (6%) was een incident of bijna-incident de directe aanleiding om 2FA versneld te implementeren.

Adoptie van 2FA blijft achter

Ondanks de evidente voordelen voor de veiligheid van data en systemen is de adoptie nog niet volledig. Slechts 26% van de organisaties bereikt volledige (100%) adoptie onder medewerkers. Nog eens 27% zit tussen de 75–99%, terwijl 29% niet verder komt dan 50–74%.

Opvallend is bovendien dat veel organisaties 2FA pas recent hebben ingevoerd: 27% gebruikt het korter dan een jaar en 35% pas sinds één tot twee jaar. Slechts 32% werkt er al langer dan twee jaar mee. Vooral het grootbedrijf loopt hierin voor: 39% gebruikt 2FA al langer dan twee jaar tegenover 27% van de ondervraagde MKB-bedrijven.

Kijkend naar welke vorm van 2FA door organisaties het meest wordt toegepast, dan is de authenticator-app het meest populair (36%), gevolgd door een sms-code (14%) of een code via e-mail (12%). In het MKB wordt de sms-code significant vaker toegepast (20%) dan in het grootbedrijf (5%).

Het verplicht stellen van 2FA wordt de norm

Een aanzienlijk deel van de Nederlandse organisaties heeft 2FA verplicht gesteld: 49% voor alle medewerkers, 22% voor specifieke afdelingen (zoals finance of IT), en 23% voor bepaalde applicaties of systemen. Slechts 4% beperkt zich tot externe toegang (zoals VPN).

Ook moeten externe partijen steeds vaker 2FA verplicht toepassen: 35% van de organisaties eist 2FA van alle externe gebruikers (klanten en partners), en 39% doet dat voor specifieke applicaties. Daarnaast vindt 66% van de organisaties het logisch dat leveranciers of partners hen verplichten tot 2FA. Slechts 10% verzet zich daartegen.

Waar 2FA verplicht is, gaat het vaak om de meest kritieke applicaties: 56% van de organisaties stelt het verplicht bij financiële software, 37% bij HR-systemen, 33% bij e-mailomgevingen (zoals Microsoft 365), 32% bij VPN/remote desktop, en 29% bij zowel cloudopslag als documentmanagementsystemen.

Meer dan de helft van de respondenten (52%) is het (helemaal) eens met de stelling dat 2FA verplicht zou moeten zijn in hun organisatie. Ook bij de keuze voor software kijken bedrijven hiernaar: 68% heeft de voorkeur voor applicaties die standaard 2FA verplichten. Bij het grootbedrijf ligt dit percentage nog hoger (75%) in vergelijking met het MKB (63%). Bovendien vindt 53% dat medewerkers zelf verantwoordelijk zijn voor incidenten als zij weigeren 2FA te gebruiken op applicaties waar het verplicht is.

Toch zijn er ook obstakels. De belangrijkste redenen dat 2FA (nog) niet overal verplicht is, zijn technische beperkingen (33%), een beperkte risicoperceptie (25%), de wens om gebruikers keuzevrijheid te geven (21%), en de angst voor overbelasting van medewerkers (20%).

Over het onderzoek

Visma heeft, in samenwerking met onderzoeksbureau Markteffect, onderzocht in welke mate het MKB en Grootbedrijf in Nederland omgaat met het beveiligingsbeleid omtrent tweefactorauthenticatie (2FA). Het onderzoek werd uitgevoerd onder 319 Nederlandse professionals die binnen hun bedrijf (mede)verantwoordelijk zijn voor beslissingen ten aanzien van ICT (MKB: n=192, Grootbedrijf: n=127). De data is verzameld via het onderzoekspanel van Markteffect tussen 31 juli en 19 augustus 2025. Dit artikel verscheen eerder op Persberichten.com op 7 oktober 2025.