Juridische vraag: Het valt me op dat organisaties bij accounthacks zeer verschillend handelen. Bij sommige websites werd mijn wachtwoord proactief door de betreffende website gereset, maar bij andere getroffen sites kreeg ik alleen het advies dit te doen. Het werd niet afgedwongen. Zijn hier wettelijke richtlijnen over?

Antwoord: Er zijn geen specifieke regels over hoe een organisatie de gevolgen van een securitybreach of datalek moet oplossen. Algemeen moeten de betrokkenen worden geïnformeerd en de gevolgen gecompenseerd. Daarnaast moet je maatregelen nemen om te zorgen dat het niet nog een keer gebeurt. Maar welke dat zijn, hangt vrijwel volledig af van je situatie.

Het resetten van wachtwoorden is een eenvoudige maatregel wanneer gebleken is dat een derde toegang tot accounts heeft gekregen. De eigenaar wordt zo gedwongen een nieuw wachtwoord in te stellen, zodat de derde er niet meer bij kan. Dit lijkt me algemeen dus een prima maatregel.

Moet het? Allereerst is het goed mogelijk (zeker bij kleine organisaties) dat dit niet eenvoudig kan. Niet alle webshopsoftware of beheertools hebben een knop "reset dit account". En dan kun je weinig anders dan de klant vragen het te doen. Ten tweede, als de wachtwoorden zelf niet gelekt zijn (de hacker kwam binnen via een achterdeur of beheerdersaccount) dan is er geen dwingende reden om dan ook maar de wachtwoorden te resetten.

Belangrijkste: de dienstaanbieder moet deze afweging maken en kunnen uitleggen aan de toezichthouder.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.