5 tips voor een AVG-proof wachtwoordbeleid

Een datalek als gevolg van zwakke wachtwoorden die rondslingeren op post-its? Dergelijke slordigheden kunnen organisaties onder de Algemene Verordening Gegevensbescherming (AVG) duur komen te staan. Dat vraagt om een duidelijk én AVG-proof wachtwoordbeleid.

De nieuwe privacywet biedt EU-burgers meer controle over hun eigen gegevens. Bedrijven die persoonsgegevens verwerken, zijn gebonden aan een reeks verplichtingen.

Passende maatregelen

Artikel 32 van de AVG verplicht verwerkers bijvoorbeeld om ‘passende technische en organisatorische maatregelen’ te treffen voor de bescherming van persoonsgegevens. De Europese wetgever laat voor een groot deel in het midden hoe die maatregelen eruit moeten zien. Zo worden er geen eisen gesteld aan wachtwoorden.

Wel zijn er enkele praktijkvoorbeelden als het gaat om het gebruik van wachtwoorden die de Autoriteit Persoonsgegevens tevreden zullen stellen.

5 voorbeelden wachtwoordbeleid

1. Dwing regelmatig wijzigen wachtwoorden af
In de ideale situatie moeten eindgebruikers iedere 30, 60 of 90 dagen hun wachtwoorden wijzigen. De praktijk is helaas anders. Zo ontdekte men dat bij een groot deel van de onderzochte bedrijven wachtwoorden nooit worden gewijzigd. Deze nalatigheid vergroot de kans dat eerder uitgelekte wachtwoorden nog steeds in gebruik zijn. Aanvallers krijgen bovendien ruimschoots de tijd om wachtwoorden te kraken. Dwing gebruikers daarom om wachtwoorden regelmatig te wijzigen door ze beperkt ‘houdbaar’ te maken.

2. Benadruk belang unieke wachtwoorden
De vorige maatregel staat regelmatig ter discussie. Veel gebruikers hebben moeite om wachtwoorden te onthouden, zeker als ze die regelmatig moeten wijzigen. De ‘oplossing’ is hergebruik van oude wachtwoorden. Daarbij bestaat het risico dat de wachtwoorden al eens zijn uitgelekt en in het bezit zijn van cybercriminelen. Druk gebruikers daarom op het hart om altijd unieke wachtwoorden te bedenken. Zorg er eventueel met technische middelen voor dat oude wachtwoorden niet worden geaccepteerd. En wachtwoorden als ‘1234567’, ‘qwerty’ en ‘admin’ zijn uiteraard uit den boze.

3. Houd wachtwoorden strikt persoonlijk
Het is misschien een open deur: gebruikers moeten wachtwoorden strikt privé houden en niet delen met bijvoorbeeld een collega die snel ‘even iets’ op moet zoeken. Toch komt het in de praktijk nog altijd voor dat wachtwoorden op een post-it worden geschreven en breed worden gedeeld. Met de nodige risico’s. Als een wachtwoord bij veel mensen bekend is, hebben aanvallers ook meer mogelijkheden om dat wachtwoord te achterhalen. En wat te denken van de cybercrimineel die zich voordoet als een IT-collega die je wachtwoord nodig heeft om een probleem op te lossen. Die help je toch? Vervolgens heeft de hacker ineens wel toegang tot gevoelige gegevens. Het is dan ook belangrijk om te benadrukken dat wachtwoorden persoonsgebonden zijn en geheim moeten blijven.

4. Stap over op tweefactorauthenticatie
Een inlog met gebruikersnaam en wachtwoord volstaat vandaag de dag niet meer om gevoelige gegevens af te schermen. Het gebruik van tweefactorauthenticatie is in veel situaties een betere optie. De gebruiker voert tijdens het inloggen iets in wat hij weet (zoals een wachtwoord) en iets wat hij heeft (zoals een sms-code).

5. Besteed aandacht aan beheer wachtwoorden
Uit onderzoek blijkt dat de zogenaamde ‘ghost users’ een hardnekkig probleem vormen. Veel bedrijven hebben te maken met accounts die nooit worden gebruikt, bijvoorbeeld omdat de betreffende medewerkers al lang uit dienst zijn. Ook kan het gaan om testaccounts met eenvoudig te raden wachtwoorden die nooit meer zijn opgeheven. Voor aanvallers vormen deze accounts een dankbare springplank om het netwerk binnen te dringen. Let er daarom op dat inactieve accounts worden opgeheven en maak het opheffen van gebruikersnaam en wachtwoord onderdeel van de uitdienstprocedure.

Voorkom boetes

Hoewel nog niet duidelijk is welke ‘passende maatregelen’ de toezichthouder precies verwacht, helpt het bij een datalek wel als je kunt aantonen dat er is nagedacht over het beleid en de processen. Ook als het gaat om het gebruik van wachtwoorden. Daarmee voorkom je torenhoge boetes die kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Meer weten over wachtwoordbeleid?

Wil je meer weten over wachtwoordbeleid? Of over wat wij als DGDO voor jouw organisatie kunnen betekenen op het gebied van AVG en een ICT-beleidsplan? Neem dan contact met ons op, bel direct 088-633 1070.

[maxbutton id=”1″ ]