Moet je van de AVG een wachtwoordresetoptie bieden?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de "wachtwoord vergeten" procedure. Is dat niet verplicht onder de AVG?
Antwoord: De AVG eist van iedere dienstverlener dat die persoonsgegevens 'adequaat' beschermt tegen onbevoegde toegang, misbruik en datalekken. Daar zit geen harde lijst met eisen aan vast, een verwerkingsverantwoordelijke moet zelf inschatten wat 'adequaat' in zijn situatie inhoudt. (Doe je dat niet of niet goed, dan krijg je een boete.)
Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.
Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een "verplicht tenzij": dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo'n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.
Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.
* Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Bij ons staan die wachtwoordresets op alle sites. Ook daardoor kan iedereen die nog ergens mee zit dezelfde dag nog een antwoord verwachten als er nog iets is. Vaak zelfs per omgaande. En persoonlijk. We hebben zelf ook wel eens iets niet gezien, dus daar ga je een gebruiker ook niet om uitlachen of negeren. Of tegen een praatpaal laten praten.
Wat gij niet wilt dat u geschiedt. Dat is het motto hier. En zeker ook als het over privacy gaat. De sites zijn van ons. Maar de privacy en ook de centen, die zijn van de gebruiker. Als die blij is en we mogen die houden, geweldig. Niet blij, gelijk teruggeven.
Dan denk ik dat er spraakverwarring is over wat een wachtwoord reset precies is!
Kijk, je mag best verwachten dat je als gebruiker je wachtwoord kunt veranderen. En dat de beheerder van de site ergens een vlaggetje aan kan zetten waardoor gebruikers de eerstvolgende keer dat ze inloggen verplicht hun wachtwoord moeten veranderen. Dat is wat men bedoelt met een "wachtwoord reset".
Echter, de vraagsteller is op zoek naar een "wachtwoord vergeten" procedure: de mogelijkheid om zonder het wachtwoord te weten nog toegang te krijgen. Dan lijkt me een goede reden om dat niet aan te bieden: dat is onveilig, en daarmee in tegenspraak met het in de 1e paragraaf gestelde: De AVG eist van iedere dienstverlener dat die persoonsgegevens 'adequaat' beschermt tegen onbevoegde toegang, misbruik en datalekken.
Tuurlijk, een "wachtwoord vergeten" procedure is handig. Maar het is wel een concessie aan de veiligheid. Ik kan me niet voorstellen dat je min of meer verplicht bent om dat aan te bieden.
Een wachtwoord-reset levert ook risico's op. Zeker als jij zelf toegang tot je eigen mailbox kwijt bent. Een hacker die mijn mailbox overneemt kan dan al mijn accounts resetten zodat ik nergens meer bij kom, inclusief mijn mailbox.
Wat natuurlijk ook kan is dat ik een werk-account heb gebruikt bij inschrijving en dus de berichten op mijn werk binnenkomen. Als ik dan een andere baan krijg dan kan de beheerder van het werk-domein dus gewoon alle accounts overnemen met een wachtwoord-reset.
Maar ik heb ooit meegemaakt dat ik een domein had overgenomen en daar een catch-all mailbox voor had aangemaakt. Hierop kwamen allerlei emails op binnen die aan de vorige eigenaar waren gericht. Even nagezocht en die eigenaar bleek overleden te zijn, waardoor het domein kwam te vervallen. Maar onder de spam kwamen ook emails binnen van Twitter, over een twitter-account die eraan gelinkt was. En via een simpele password-reset kon ik deze dus overnemen en kon ik Twitter vragen om het account te sluiten. Bij andere emails van enkele organisaties die nog steeds nieuwsbrieven bleken te sturen heb ik steeds een mail teruggestuurd met uitleg dat het domein was overgenomen en dat ik uitgeschreven moest worden. (En de noreply@example.com adressen werden gewoon als spam aangemerkt.) Resultaat was dat ik een half jaar later geen mails meer ontving voor de oude eigenaar...
Maar goed, password resets vind ik best gevaarlijk omdat die vaak afhangen van je email adres. Ik kan mij dus prima voorstellen dat sites deze juist niet willen invoeren...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
