of 59162 LinkedIn

5 tips voor een AVG-proof wachtwoordbeleid

5 tips voor een AVG-proof wachtwoordbeleid. Een datalek als gevolg van zwakke wachtwoorden die rondslingeren op post-its kan uw organisatie duur komen te staan.
KPN Lokale Overheid Reageer

Een datalek als gevolg van zwakke wachtwoorden die rondslingeren op post-its? Dergelijke slordigheden kunnen organisaties onder de Algemene verordening gegevensbescherming (AVG) duur komen te staan. Reden genoeg om tijdens World Password Day het wachtwoordbeleid nog eens grondig tegen het licht te houden.

International Password Day 2018 valt op een cruciaal moment. Op 25 mei 2018 werd de Global Data Protection Regulation (GDPR), zoals de AVG in het Engels heet, onze Wet bescherming persoonsgegevens. De nieuwe privacywet biedt EU-burgers meer controle over hun eigen gegevens. Bedrijven die persoonsgegevens verwerken, zijn gebonden aan een reeks verplichtingen.


Passende maatregelen

Artikel 32 van de AVG verplicht verwerkers bijvoorbeeld om ‘passende technische en organisatorische maatregelen’ te treffen voor de bescherming van persoonsgegevens. De Europese wetgever laat voor een groot deel in het midden hoe die maatregelen eruit moeten zien. Zo worden er geen eisen gesteld aan wachtwoorden.

Wel zijn er enkele best practices als het gaat om het gebruik van wachtwoorden die de Autoriteit Persoonsgegevens tevreden zullen stellen. 5 voorbeelden:

 

1. Dwing regelmatig wijzigen wachtwoorden af

In de ideale situatie moeten eindgebruikers iedere 30, 60 of 90 dagen hun wachtwoorden wijzigen. De praktijk is helaas anders. Zo ontdekte Varonis Systems dat bij een groot deel van de onderzochte bedrijven wachtwoorden nooit worden gewijzigd.

Deze nalatigheid vergroot de kans dat eerder uitgelekte wachtwoorden nog steeds in gebruik zijn. Aanvallers krijgen bovendien ruimschoots de tijd om wachtwoorden te kraken. Dwing gebruikers daarom om wachtwoorden regelmatig te wijzigen door ze beperkt ‘houdbaar’ te maken.


2. Benadruk belang unieke wachtwoorden

De vorige maatregel staat regelmatig ter discussie. Veel gebruikers hebben moeite om wachtwoorden te onthouden, zeker als ze die regelmatig moeten wijzigen. De ‘oplossing’ is hergebruik van oude wachtwoorden. Daarbij bestaat het risico dat de wachtwoorden al eens zijn uitgelekt en in het bezit zijn van cybercriminelen.

Druk gebruikers daarom op het hart om altijd unieke wachtwoorden te bedenken. Zorg er eventueel met technische middelen voor dat oude wachtwoorden niet worden geaccepteerd. En wachtwoorden als ‘1234567’, ‘qwerty’ en ‘admin’ zijn uiteraard uit den boze.


3. Houd wachtwoorden strikt persoonlijk

Het is misschien een open deur: gebruikers moeten wachtwoorden strikt privé houden en niet delen met bijvoorbeeld een collega die snel ‘even iets’ op moet zoeken. Toch komt het in de praktijk nog altijd voor dat wachtwoorden op een post-it worden geschreven en breed worden gedeeld. Met de nodige risico’s. Als een wachtwoord bij veel mensen bekend is, hebben aanvallers ook meer mogelijkheden om dat wachtwoord te achterhalen.

En wat te denken van de cybercrimineel die zich voordoet als een IT-collega die je wachtwoord nodig heeft om een probleem op te lossen. Die help je toch? Vervolgens heeft de hacker ineens wel toegang tot gevoelige gegevens. Het is dan ook belangrijk om te benadrukken dat wachtwoorden persoonsgebonden zijn en geheim moeten blijven.


4. Stap over op tweefactorauthenticatie

Een inlog met gebruikersnaam en wachtwoord volstaat vandaag de dag niet meer om gevoelige gegevens af te schermen. Het gebruik van tweefactorauthenticatie is in veel situaties een betere optie. De gebruiker voert tijdens het inloggen iets in wat hij weet (zoals een wachtwoord) en iets wat hij heeft (zoals een sms-code).

Zijn de data zeer gevoelig? Dan is het verstandig om een identificatiemiddel te gebruiken met een ‘substantieel’ of ‘hoog’ betrouwbaarheidsniveau. Denk aan middelen zoals eHerkenning, Idensys of PKIoverheid-certificaten.


5. Besteed aandacht aan beheer wachtwoorden

Uit het eerder aangehaalde onderzoek van Varonis blijkt dat de zogenaamde ‘ghost users’ een hardnekkig probleem vormen. Veel bedrijven hebben te maken met accounts die nooit worden gebruikt, bijvoorbeeld omdat de betreffende medewerkers al lang uit dienst zijn.

Ook kan het gaan om testaccounts met eenvoudig te raden wachtwoorden die nooit meer zijn opgeheven. Voor aanvallers vormen deze accounts een dankbare springplank om het netwerk binnen te dringen. Let er daarom op dat inactieve accounts worden opgeheven en maak het opheffen van gebruikersnaam en wachtwoord onderdeel van de uitdienstprocedure.


Voorkom boetes

Hoewel nog niet duidelijk is welke ‘passende maatregelen’ de toezichthouder precies verwacht, helpt het bij een datalek wel als u kunt aantonen dat u heeft nagedacht over uw beleid en processen. Ook als het gaat om het gebruik van wachtwoorden. Daarmee voorkomt u torenhoge boetes die kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.


Meer weten

Over de AVG en hoe u zich kunt voorbereiden? Lees dan onder andere de whitepapers Bescherm de privacy van uw klanten en AVG: de belangrijkste veranderingen.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

 

Afbeelding 

KPN Lokale Overheid

Röntgenlaan 75 2719 DX Zoetermeer

Postbus 19535, 2500 CM Den Haag

070 – 343 69 00

kpnlokaleoverheid.nl

info.lokaleoverheid@kpn.com

 

Meer nieuws

Webinar: maak uw organisatie slimmer met IoT | 31 oktober 2018

Internet of Things meetup | 22 november 2018

De ontwikkelingen binnen Internet of Things (IoT) gaan razendsnel. Bent u benieuwd naar de laatste stand van zaken? 

Kom dan naar de IoT meetup in de bruisende IoT Academy en laat u kosteloos informeren.


Overvolle vuilcontainers

Whitepapers

Afbeelding

 

‘Alleen door kennis uit te wisselen, komen we samen verder,’ stelt José Brenninkmeijer in deze eerste uitgave van Minds, het nieuwe magazine van KPN Consulting. ‘Met mooie voorbeelden brengen we de nieuwe wereld tot leven. Laat je verrassen door slimme tools en gadgets en inspireren door bijzondere samenwerkingen.’

 

Bekijk het online magazine hier 

Aansluiting op digikoppeling-Generieke Berichten Platform

Lokale overheden veranderen

Afbeelding

Bloggers