Is een wachtwoordbeleid verplicht onder de GDPR?

De GDPR schrijft geen specifiek wachtwoordbeleid voor, maar vereist wel 'passende technische en organisatorische maatregelen' (Artikel 32). Een goed wachtwoordbeleid is een van de meest basale maatregelen. Bij een datalek door een zwak wachtwoord zal de toezichthouder dit als nalatigheid beschouwen.

Hoe lang moet een wachtwoord minimaal zijn?

De huidige richtlijnen van het NIST en de meeste Europese toezichthouders adviseren minimaal 12 tekens. Langer is beter. Een wachtwoordzin van vier of vijf willekeurige woorden is zowel sterk als makkelijk te onthouden.

Moeten wachtwoorden regelmatig worden gewijzigd?

Nee, niet meer. Verplicht regelmatig wijzigen leidt ertoe dat mensen zwakkere wachtwoorden kiezen of een tellerpatroon gebruiken (Wachtwoord1, Wachtwoord2). Wijzig wachtwoorden alleen na een vermoeden van een datalek of compromittering.

Welke wachtwoordmanager is het beste voor een klein bedrijf?

Bitwarden (open source, gratis voor individueel gebruik) en 1Password (zakelijk plan vanaf een paar euro per gebruiker per maand) zijn beide goede opties voor MKB-bedrijven. Beide bieden teamfunctionaliteit en 2FA-ondersteuning.

Wachtwoordbeleid Best Practices - GDPR Beveiliging voor MKB

Zwakke wachtwoorden zijn een van de grootste beveiligingsrisico's voor MKB-bedrijven. Dit artikel geeft praktische richtlijnen voor een goed wachtwoordbeleid: wachtwoordmanagers, 2FA, minimale lengte en veelgemaakte fouten.

Waarom wachtwoorden ertoe doen

Een zwak wachtwoord is de eenvoudigste manier om bij persoonsgegevens te komen. Geen ingewikkelde hack, geen geavanceerde techniek, gewoon inloggen met een geraden of gestolen wachtwoord. Uit onderzoek blijkt dat zwakke of hergebruikte wachtwoorden betrokken zijn bij meer dan 80% van de succesvolle aanvallen op bedrijfssystemen.

De GDPR (in Nederland ook bekend als AVG) vereist in Artikel 32 dat je “passende technische en organisatorische maatregelen” treft om persoonsgegevens te beschermen. Een goed wachtwoordbeleid is daar een van de hoekstenen van.

De vijf basisregels

1. Gebruik een wachtwoordmanager

Dit is de belangrijkste stap die je kunt zetten. Een wachtwoordmanager genereert sterke, unieke wachtwoorden voor elk systeem en onthoudt ze voor je. Je team hoeft nog maar een sterk hoofdwachtwoord te onthouden.

Goede opties voor MKB-bedrijven:

Bitwarden - open source, gratis voor individueel gebruik, betaalbaar zakelijk plan
1Password - gebruiksvriendelijk, sterk zakelijk plan met teamfunctionaliteit

Geen Excel-bestanden, geen gedeelde notities, geen wachtwoorden in e-mails.

2. Schakel 2FA overal in

Tweefactorauthenticatie (2FA) voegt een tweede controlelaag toe naast je wachtwoord, meestal een code op je telefoon of een hardware-sleutel. Zelfs als een wachtwoord wordt gestolen, kan een aanvaller niet inloggen zonder die tweede factor.

Schakel 2FA in op:

E-mail (Google Workspace, Microsoft 365)
CRM-systemen
Boekhoudpakketten
Cloudopslag (Google Drive, Dropbox, OneDrive)
Social media accounts van het bedrijf

Maak het verplicht, niet optioneel. Controleer of iedereen het daadwerkelijk heeft geactiveerd.

3. Minimaal 12 tekens

De tijd van wachtwoorden van 8 tekens is voorbij. De huidige richtlijnen adviseren minimaal 12 tekens. Een wachtwoordzin werkt uitstekend: vier of vijf willekeurige woorden achter elkaar, zoals “paraplu-fiets-koffie-dinsdag”. Lang, sterk en toch te onthouden.

Met een wachtwoordmanager is de lengte geen probleem meer, want je hoeft de wachtwoorden niet te onthouden.

4. Nooit hergebruiken

Elk systeem krijgt een uniek wachtwoord. Als je hetzelfde wachtwoord gebruikt voor je e-mail, je CRM en je boekhoudpakket, hoeft er maar een systeem gehackt te worden om overal toegang te krijgen.

Dit is precies waarom een wachtwoordmanager zo belangrijk is. Niemand kan tientallen unieke wachtwoorden van 16 tekens onthouden, maar een wachtwoordmanager doet dat moeiteloos.

5. Wijzig na een lek, niet op schema

Het oude advies om wachtwoorden elke 90 dagen te wijzigen is achterhaald. Onderzoek toont aan dat verplicht regelmatig wijzigen leidt tot zwakkere wachtwoorden: mensen kiezen voorspelbare patronen (Januari2024!, Februari2024!) of schrijven het nieuwe wachtwoord op een post-it.

Wijzig wachtwoorden alleen wanneer:

Er een datalek is geweest
Je vermoedt dat een wachtwoord is gecompromitteerd
Een medewerker uit dienst gaat (voor gedeelde accounts)

Veelgemaakte fouten

De post-it op het beeldscherm. Het klassieke beeld: een sterk wachtwoord dat netjes op een geel briefje naast het scherm hangt. Alle moeite voor niets.

Het gedeelde account. “We gebruiken allemaal hetzelfde login voor het CRM.” Resultaat: je kunt niet traceren wie wat heeft gedaan, en bij vertrek van een medewerker moet iedereen zijn wachtwoord wijzigen.

“Welkom123” als standaardwachtwoord. Nieuwe medewerkers krijgen een standaardwachtwoord dat ze “later” moeten wijzigen. Spoiler: dat gebeurt niet.

Wachtwoorden in WhatsApp of e-mail. “Kun je even het wachtwoord van het boekhoudsysteem appen?” Die berichten blijven staan, op telefoons die niet versleuteld zijn, in chats die niet gewist worden.

Alleen een wachtwoord, geen 2FA. Een wachtwoord alleen is niet genoeg. Bij phishing of een gelekt wachtwoord staat de deur wagenwijd open als er geen tweede factor is.

Zo implementeer je het

Kies een wachtwoordmanager en rol deze uit voor het hele team
Schakel 2FA in op alle systemen met persoonsgegevens
Stel minimale eisen vast: 12 tekens, uniek per systeem
Communiceer het beleid duidelijk naar je medewerkers
Controleer naleving, schakel verplichte 2FA in waar mogelijk en controleer of iedereen de wachtwoordmanager daadwerkelijk gebruikt

auto_awesome Je beveiliging documenteren?

GDPRWise helpt je om je beveiligingsmaatregelen in kaart te brengen en te documenteren. Van wachtwoordbeleid tot toegangsbeheer, alles op een plek.

Gratis scan starten

Wachtwoordbeleid: Best Practices voor je Bedrijf