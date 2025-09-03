Achtergrond
Zijn websites bij accounthacks verplicht het wachtwoord van gebruikers te resetten?

woensdag 3 september 2025, 12:08 door Arnoud Engelfriet, 3 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Het valt me op dat organisaties bij accounthacks zeer verschillend handelen. Bij sommige websites werd mijn wachtwoord proactief door de betreffende website gereset, maar bij andere getroffen sites kreeg ik alleen het advies dit te doen. Het werd niet afgedwongen. Zijn hier wettelijke richtlijnen over?

Antwoord: Er zijn geen specifieke regels over hoe een organisatie de gevolgen van een securitybreach of datalek moet oplossen. Algemeen moeten de betrokkenen worden geïnformeerd en de gevolgen gecompenseerd. Daarnaast moet je maatregelen nemen om te zorgen dat het niet nog een keer gebeurt. Maar welke dat zijn, hangt vrijwel volledig af van je situatie.

Het resetten van wachtwoorden is een eenvoudige maatregel wanneer gebleken is dat een derde toegang tot accounts heeft gekregen. De eigenaar wordt zo gedwongen een nieuw wachtwoord in te stellen, zodat de derde er niet meer bij kan. Dit lijkt me algemeen dus een prima maatregel.

Moet het? Allereerst is het goed mogelijk (zeker bij kleine organisaties) dat dit niet eenvoudig kan. Niet alle webshopsoftware of beheertools hebben een knop "reset dit account". En dan kun je weinig anders dan de klant vragen het te doen. Ten tweede, als de wachtwoorden zelf niet gelekt zijn (de hacker kwam binnen via een achterdeur of beheerdersaccount) dan is er geen dwingende reden om dan ook maar de wachtwoorden te resetten.

Belangrijkste: de dienstaanbieder moet deze afweging maken en kunnen uitleggen aan de toezichthouder.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (3)
Vandaag, 12:21 door Anoniem
Of het (zelfs wettelijk) moet is wat mij betreft onderdeel van het Iphone-paradigma: het (overigens vrije) mening dat dat ding zo duur was dat alles "wat daarop komt" maar in orde moet zijn want 'ik ben de klant hiero.

Benevens dat, is het al dan niet aan je laars lappen van gebruikersvertrouwen weer een goede graadmeter voor met wat voor site je te maken hebt.

Wat dat laatste betreft zou een nieuwe wet niet slecht zijn dat onder zulke omstandigheden, zeker naast een al beschamend genoeg datalek, niet je allerbeste best te doen om naast het dichten van je eigen put, je gebruikers niet te vergeten, er echt alles aan te doen om ze goed te informeren en beter te beschermen, de gebruiker per onmiddelijk een abbonnement eenzijdig beëindigen mag, zelfs als in dat contract een "gratis" Iphone zat. Die mag je dan ook gewoon houden.

Op dezelfde manier moet je ook onmiddelijk een nieuwe huisarts mogen kiezen. Dat blijkt ook hoognodig te zijn en zeker geen luxe.
Vandaag, 12:25 door Anoniem
Ook
Algemeen moeten de betrokkenen worden geïnformeerd en de gevolgen gecompenseerd.
laat de wetgever over aan de gehackte organisatie.

de dienstaanbieder moet deze afweging maken en kunnen uitleggen aan de toezichthouder.
en verantwoorden in het eigen datalek register met de afweging waarom wel of niet de autoriteit en wel of niet eventuele betrokkenen worden geïnformeerd. Denk bijvoorbeeld aan een backup die versleuteld is volgens de huidige stand der techniek en het medium raakt kwijt. De beoordeling zal zijn: op dit moment bestaat geen enkel risico voor de betrokkenen en informeren hoeft niet. Met quantum computers zal de backup binnen een paar uur te kraken zijn en deze systemen zijn wellicht over enkele jaren betaalbaar voor de crimineel. Dan kan een juiste formulering in het datalek register een correcte (her)evaluatie van het risico mogelijk maken.
Vandaag, 12:29 door Anoniem
Door Anoniem:(…)
Op dezelfde manier moet je ook onmiddelijk een nieuwe huisarts mogen kiezen. Dat blijkt ook hoognodig te zijn en zeker geen luxe.

Je mag tegenwoordig al blij zijn dat je een huisarts hebt. Velen moeten na een verhuizing bij hun oude huisarts blijven omdat in de nieuwe woonplaats de praktijken al vol zitten. Alleen al vanwege de aanrijtijden een ongewenste situatie.
