Techniek 1 juli 2026

Is een MCP-server veilig? Over lokaal draaien, API-keys en je data

Een MCP-server geeft AI toegang tot je systemen. Terecht een vraag: hoe zit het met veiligheid? Wat lokaal draaien oplost — en wat je zelf moet regelen.

NA

Nick Aldewereld

Founder, EASEO

Clownvissen beschut tussen de tentakels van een zeeanemoon in een aquarium — veilig in hun eigen omgeving, net als je data bij een lokaal draaiende MCP-server

Zodra we uitleggen dat een MCP-server je AI-assistent daadwerkelijk toegang geeft tot je boekhoudpakket of CRM, volgt bijna altijd dezelfde vraag: is dat wel veilig? Terechte vraag. Je geeft een stuk software de sleutel tot facturen, klantgegevens en soms betaalstatussen — dat verdient meer dan een geruststellend knikje. Hieronder leggen we precies uit wat er gebeurt, wat lokaal draaien oplost, en wat we bewust niet voor je regelen omdat het bij jou hoort te blijven.

De terechte zorg

“AI toegang geven tot mijn administratie” klinkt voor veel ondernemers als een risico dat je er niet zomaar bij neemt. En dat is het ook, als je het niet goed inricht. Een taalmodel dat zomaar bij je facturen, klantendata of betaalgegevens kan, zonder dat je weet waar die data naartoe gaat of wie er nog meer bij kan — dat is precies het scenario waar je voorzichtig over moet zijn. We willen die zorg niet wegwuiven. In plaats daarvan leggen we uit welke keuzes we maken om die zorg concreet te ondervangen, en welk deel daarvan bij jou blijft liggen.

Wat lokaal draaien oplost

De MCP-servers die wij bouwen, draaien op jouw eigen machine of je eigen server — niet op een cloud-omgeving die wij beheren en waar jouw data doorheen stroomt. Je API-sleutel voor WeFact, Exact Online of welk pakket dan ook staat lokaal geconfigureerd en verlaat die omgeving niet. Er is geen tussenpartij die de aanroepen naar je boekhoudpakket ziet, opslaat of analyseert. Geen telemetrie die meeleest wat er gebeurt, geen derde server waar je gegevens even langskomen voordat ze bij je eigen systeem aankomen. De verbinding loopt rechtstreeks: van je AI-assistent, via de lokaal draaiende MCP-server, naar de API van je eigen software — dezelfde API die je boekhoudpakket zelf ook gebruikt. Dat is een wezenlijk andere opzet dan een cloud-dienst die namens jou inlogt en de resultaten via zijn eigen infrastructuur doorstuurt.

Waar de gespreksinhoud wél heen gaat

Eerlijkheid hoort hierbij, dus geen halve waarheden: de lokale opzet beschermt de verbinding met je software, maar niet het gesprek zelf. Wanneer je met Claude, Cursor of een andere AI-assistent werkt, ziet de partij achter dat model de inhoud van je gesprek — inclusief de vraag die je stelt en de data die de assistent in zijn antwoord verwerkt. Dat is geen verborgen kleine lettertjes, dat is simpelweg hoe een cloud-gehoste AI-assistent werkt: het model draait niet bij jou, dus de tekst die je typt en de tekst die terugkomt, gaan door de infrastructuur van die provider.

Wil je dat laatste stukje ook volledig in eigen beheer, dan is een lokaal taalmodel via Ollama de aangewezen route. Daarmee draait niet alleen de MCP-server, maar ook het taalmodel zelf op je eigen hardware, en verlaat geen woord van het gesprek jouw omgeving. Dat is een bewuste, zwaardere keuze — met minder rekenkracht en een minder capabel model dan de grote cloud-assistenten — maar voor wie maximale soevereiniteit wil, is het de enige opzet die dat ook daadwerkelijk waarmaakt.

Bevestiging vóór mutaties

Los van waar de data naartoe gaat, is er nog een tweede laag: wat de assistent daadwerkelijk mag dóén. Bij elke actie die iets in je systeem verandert — een factuur aanmaken, een betaalherinnering versturen, een status aanpassen — vraagt de assistent eerst om jouw bevestiging voordat de mutatie daadwerkelijk wordt uitgevoerd. Lezen en opzoeken gebeurt direct, want daar valt weinig te bederven. Schrijven gebeurt pas na jouw akkoord. Zo houd je op elk moment de controle over wat er echt gebeurt in je administratie, ook als de assistent zelf bepaalt welke stappen hij voorstelt.

Wat je zelf regelt

Een aantal zaken leggen we bewust bij jou neer, omdat ze horen bij het beheer van je eigen omgeving en niet bij de MCP-server zelf. Beperk de scope van je API-sleutel tot wat daadwerkelijk nodig is — de meeste boekhoudpakketten laten je per functie instellen wat een sleutel wel en niet mag, en het heeft weinig zin om een sleutel met volledige rechten te gebruiken voor een taak die alleen hoeft te lezen. Gebruik IP-whitelisting waar je software dat ondersteunt, zodat de API alleen reageert op verzoeken vanaf de machine waar je MCP-server draait. En roteer je sleutels periodiek, zoals je dat ook met andere toegang tot je systemen zou doen. Geen van deze stappen is uniek voor MCP — het is gewoon goed sleutelbeheer, en het blijft nodig ongeacht welke tool je eraan koppelt.

Onze lat

We vinden “vertrouw ons maar” geen acceptabel antwoord op een veiligheidsvraag, dus bouwen we er niet omheen. Onze WeFact MCP-server is open te auditen op GitHub: je kunt precies nalezen welke aanroepen hij doet, welke data hij opvraagt en hoe de bevestigingsstap voor mutaties is ingebouwd. Werk je met een ander pakket, dan gelden dezelfde uitgangspunten voor de rest van ons aanbod — te vinden in het overzicht van MCP-servers. Geen zwarte doos, geen blind vertrouwen nodig.

Wil je dit soort inzichten vaker ontvangen?

Geen spam, geen hype — alleen wanneer er iets te vertellen is. Maximaal 2× per maand.

Dit toepassen op jouw organisatie?

Begin met een Online Marketing Audit. €250 voor een professionele diagnose.

Start met audit →