Achtergrond
image

Zijn websites bij accounthacks verplicht het wachtwoord van gebruikers te resetten?

woensdag 3 september 2025, 12:08 door Arnoud Engelfriet, 10 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Het valt me op dat organisaties bij accounthacks zeer verschillend handelen. Bij sommige websites werd mijn wachtwoord proactief door de betreffende website gereset, maar bij andere getroffen sites kreeg ik alleen het advies dit te doen. Het werd niet afgedwongen. Zijn hier wettelijke richtlijnen over?

Antwoord: Er zijn geen specifieke regels over hoe een organisatie de gevolgen van een securitybreach of datalek moet oplossen. Algemeen moeten de betrokkenen worden geïnformeerd en de gevolgen gecompenseerd. Daarnaast moet je maatregelen nemen om te zorgen dat het niet nog een keer gebeurt. Maar welke dat zijn, hangt vrijwel volledig af van je situatie.

Het resetten van wachtwoorden is een eenvoudige maatregel wanneer gebleken is dat een derde toegang tot accounts heeft gekregen. De eigenaar wordt zo gedwongen een nieuw wachtwoord in te stellen, zodat de derde er niet meer bij kan. Dit lijkt me algemeen dus een prima maatregel.

Moet het? Allereerst is het goed mogelijk (zeker bij kleine organisaties) dat dit niet eenvoudig kan. Niet alle webshopsoftware of beheertools hebben een knop "reset dit account". En dan kun je weinig anders dan de klant vragen het te doen. Ten tweede, als de wachtwoorden zelf niet gelekt zijn (de hacker kwam binnen via een achterdeur of beheerdersaccount) dan is er geen dwingende reden om dan ook maar de wachtwoorden te resetten.

Belangrijkste: de dienstaanbieder moet deze afweging maken en kunnen uitleggen aan de toezichthouder.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (10)
Reageer met quote
03-09-2025, 12:21 door Anoniem
Of het (zelfs wettelijk) moet is wat mij betreft onderdeel van het Iphone-paradigma: het (overigens vrije) mening dat dat ding zo duur was dat alles "wat daarop komt" maar in orde moet zijn want 'ik ben de klant hiero.

Benevens dat, is het al dan niet aan je laars lappen van gebruikersvertrouwen weer een goede graadmeter voor met wat voor site je te maken hebt.

Wat dat laatste betreft zou een nieuwe wet niet slecht zijn dat onder zulke omstandigheden, zeker naast een al beschamend genoeg datalek, niet je allerbeste best te doen om naast het dichten van je eigen put, je gebruikers niet te vergeten, er echt alles aan te doen om ze goed te informeren en beter te beschermen, de gebruiker per onmiddelijk een abbonnement eenzijdig beëindigen mag, zelfs als in dat contract een "gratis" Iphone zat. Die mag je dan ook gewoon houden.

Op dezelfde manier moet je ook onmiddelijk een nieuwe huisarts mogen kiezen. Dat blijkt ook hoognodig te zijn en zeker geen luxe.
Reageer met quote
03-09-2025, 12:25 door Anoniem
Ook
Algemeen moeten de betrokkenen worden geïnformeerd en de gevolgen gecompenseerd.
laat de wetgever over aan de gehackte organisatie.

de dienstaanbieder moet deze afweging maken en kunnen uitleggen aan de toezichthouder.
en verantwoorden in het eigen datalek register met de afweging waarom wel of niet de autoriteit en wel of niet eventuele betrokkenen worden geïnformeerd. Denk bijvoorbeeld aan een backup die versleuteld is volgens de huidige stand der techniek en het medium raakt kwijt. De beoordeling zal zijn: op dit moment bestaat geen enkel risico voor de betrokkenen en informeren hoeft niet. Met quantum computers zal de backup binnen een paar uur te kraken zijn en deze systemen zijn wellicht over enkele jaren betaalbaar voor de crimineel. Dan kan een juiste formulering in het datalek register een correcte (her)evaluatie van het risico mogelijk maken.
Reageer met quote
03-09-2025, 12:29 door Anoniem
Door Anoniem:(…)
Op dezelfde manier moet je ook onmiddelijk een nieuwe huisarts mogen kiezen. Dat blijkt ook hoognodig te zijn en zeker geen luxe.

Je mag tegenwoordig al blij zijn dat je een huisarts hebt. Velen moeten na een verhuizing bij hun oude huisarts blijven omdat in de nieuwe woonplaats de praktijken al vol zitten. Alleen al vanwege de aanrijtijden een ongewenste situatie.
Reageer met quote
03-09-2025, 18:14 door Anoniem
Normaal hebben ITers een hekel aan micro-management , maar een extreem specifiek implementatie detail van iets "wettelijk verplicht" willen hebben is wel next level .
Reageer met quote
04-09-2025, 11:14 door Anoniem
Ik vind van wel. Want als men mijn bol.com of amazon ww kan raden mijn adres aanpast en gaat bestellen op mijn kosten. Lijkt me niet de bedoeling.
Reageer met quote
04-09-2025, 12:14 door Anoniem
Als websites automagisch all wachtwoorden resetten, hoe kunnen mensen dan inloggen ?

Dan moet die website dus ook nog een 'secure' verbinding hebben met al die individuele gebruikers onafhankelijk van hun website.

Men is tenslotte uitgelogd, wachtwoorden zijn gereset, eventuele tijdelijke e-mail adressen zijn al lang weer opgeheven.

Moet je als eindgebruiker aldus een nieuwe account aan gaan maken omdat de website jouw wachtwoord heeft gereset.

Ik bedoel, wij van security.nl dragen toch niet zomaar tot onszelf herleidbare informatie over aan 'websites' ?
Reageer met quote
04-09-2025, 16:11 door Anoniem
Sociale contact/media profielen of email accounts of welk profiel dan ook
dat een half jaar niet meer wordt gebruikt en zeker niet meer mee is ingelogd,
zouden op non-actief mogen staan,
en na 8 maanden worden verwijderd.
Reageer met quote
04-09-2025, 17:14 door Anoniem
Door Anoniem: Als websites automagisch all wachtwoorden resetten, hoe kunnen mensen dan inloggen ?
Heb je nooit zo'n "wachtwoord vergeten"-procedé doorlopen? Je geeft aan dat je een nieuw wachtwoord in wilt stellen, je krijgt een e-mail op het adres dat ze van je kennen, die bevat een link met een grote random string erin verwerkt waarmee je eenmalig of gedurende een tijdvenster een nieuw wachtwoord voor je account kan instellen. Dat kan ook in deze situatie gebruikt worden.

Het is natuurlijk niet een beveiligingsniveau dat goed genoeg is voor alles, maar om het te misbruiken moet wel je e-mail onderschept worden; een webwinkel werkt over het algemeen zo.
Reageer met quote
04-09-2025, 17:32 door Anoniem
Moet het? Allereerst is het goed mogelijk (zeker bij kleine organisaties) dat dit niet eenvoudig kan. Niet alle webshopsoftware of beheertools hebben een knop "reset dit account". En dan kun je weinig anders dan de klant vragen het te doen. Ten tweede, als de wachtwoorden zelf niet gelekt zijn (de hacker kwam binnen via een achterdeur of beheerdersaccount) dan is er geen dwingende reden om dan ook maar de wachtwoorden te resetten.
Maar als wachtwoordendatabase gelekt is dan is die dwingende reden er wel, dan lijkt het me namelijk erg bedenkelijk om maar af te wachten of elke afzonderlijke gebruiker de urgentie snapt om een reset aan te vragen terwijl het risico op misbruik dat ontstaan is gewoon voort blijft duren. Houdt de verplichting tot een adequate bescherming van de gegevens niet in dat een algehele reset (en niet alleen klant voor klant) domweg moet kunnen? Of het mogelijk is voor een kleine organisatie hoeft trouwens niet van hun eigen vaardigheden af te hangen, die zal zijn webwinkelsoftware vermoedelijk niet zelf ontwikkeld hebben maar het afnemen van een leverancier die die voorziening voor alle klanten kan maken en hopelijk ook heeft gemaakt.
Reageer met quote
05-09-2025, 18:25 door Anoniem
Maar als wachtwoordendatabase gelekt is dan is die dwingende reden er wel, dan lijkt het me namelijk erg bedenkelijk om maar af te wachten of elke afzonderlijke gebruiker de urgentie snapt om een reset aan te vragen terwijl het risico op misbruik dat ontstaan is gewoon voort blijft duren.

Als het goed is, is in de tabel met persoonsgegevens het wachtwoord niet opgeslagen. Minimaal moet er een hash over een wachtwoord gehaald worden die ook nog eens gesalt is met een instance code van het systeem/bedrijf én een salt afhankelijk van de inlogprocedure.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie