5 weetjes over wachtwoorden voor zorgmedewerkers

 

1. Waarom zijn wachtwoorden steeds in het nieuws?

• Wachtwoorden zijn de code om toegang te krijgen tot informatie en diensten die niet voor iedereen toegankelijk moeten zijn. Net zoals je voor je huis en fiets een slot gebruikt, en de bank een kluis.
• Wachtwoorden zijn niet fysiek en kunnen dus makkelijk gekopieerd worden. Als het om diensten op internet gaat zijn ze wereldwijd toegankelijk.
• Door misbruik van wachtwoorden kan veel schade ontstaan, zowel voor personen als voor organisaties.

2. Hoe achterhaalt iemand je wachtwoord?

• Als je voor verschillende applicaties en websites hetzelfde wachtwoord gebruikt. Als er ergens een datalek is geweest waar hackers jouw e-mailadres en wachtwoord hebben bemachtigd, dan gaan ze op allerlei andere plaatsen proberen of dat wachtwoord ook werkt. Je kunt nagaan of jouw wachtwoord door een datalek bekend is geworden op de website Have I been powned? Als je daar ontdekt dat je wachtwoord uitgelekt is, verander het dan overal waar je dat wachtwoord gebruikt hebt.

Have I been powned?

• Als je via een phishingmail je wachtwoord intypt in een nep-website.
• Als je via onveilige wifi verbinding maakt, bijvoorbeeld in een café.
• Als je je wachtwoord zelf deelt of opschrijft op een plaats waar anderen het lezen.
• Als je een simpel te raden wachtwoord kiest. Je wachtwoord kan op verschillende manieren achterhaald worden:
• • Iemand die je kent kan het raden. Bijvoorbeeld als je de naam van je kind, je kat, je favoriete sportclub of je geboortedatum gebruikt.
  • Een hacker kan het raden door gewoon heel veel wachtwoorden uit te proberen. Er is gebleken dat het wachtwoord ‘123456’ nog steeds het meest wordt gebruikt. Maar ook woorden als ‘zomer2020’ of ‘qwerty’ zijn bekend. Dit soort wachtwoorden probeert een hacker als eerste uit.
  • Als het een kort wachtwoord is kan een hacker het raden door automatisch alle mogelijke combinaties te proberen.
  • Iemand kan meekijken als je het intypt. Als jouw wachtwoord ‘111111’ is dat simpel af te kijken.
• Als je een simpel te raden wachtwoord kiest. Je wachtwoord kan op verschillende manieren achterhaald worden:

3. Waarvoor worden achterhaalde wachtwoorden gebruikt?

• Een hacker kan met jouw wachtwoord binnenkomen op het netwerk van je zorginstelling en dan gegevens stelen of de computers blokkeren zodat niemand meer kan werken.
• Iemand kan valse bestellingen doen, waarna jij moet betalen of ervoor verantwoordelijk gehouden wordt, en zij ervandoor gaan met de spullen.
• Jij kan verantwoordelijk worden gehouden voor het (onterecht) inzien of wijzigen van gegevens.
• Iemand kan inloggen en jouw bestanden gebruiken. Bijvoorbeeld om identiteitsfraude te plegen met de scan van je paspoort, die je hebt opgeslagen met de naam “paspoort” (lekker makkelijk te vinden, niet alleen voor jou maar ook voor de hacker).
• Als de hacker ontdekt dat je ook een account hebt op een “site waarvan je niet wilt dat iedereen weet dat je daar zit”, dan kan je gechanteerd worden. Soms is zo’n site zelf de bron van uitgelekte gegevens, zoals gebeurde bij prostitutieforum hookers.nl. Het uitlekken van dit soort informatie kan mensen tot wanhoop drijven.

4. Wat moet de organisatie doen om veilig om te gaan met wachtwoorden?

• Zorgen dat medewerkers simpel met wachtwoorden kunnen werken bijvoorbeeld door gebruik van Single Sign On (één keer inloggen om bij alle programma’s te kunnen) of door het beschikbaar stellen van een wachtwoordmanager.
• Zorgen dat programma’s niet iedere drie maanden om een nieuw wachtwoord vragen. De nieuwe inzichten zijn dat het hier helemaal niet veiliger van wordt. Als mijn wachtwoord nu “lente2020!” is, dan kan iedereen wel raden wat het drie maanden later zal zijn. Misschien moet de organisatie wel even in gesprek met de accountant, maar dan kun je verwijzen naar het rapport van NIST.
• Zorgen dat medewerkers lange wachtwoorden kunnen kiezen en geen last hebben van allerlei verschillende eisen aan wachtwoorden die ze moeten onthouden. Het gaat dan om wel of niet cijfers, kleine letters, hoofdletters, vreemde tekens enzovoorts. Als het wachtwoord ingewikkeld is gaan mensen natuurlijk vaker hun wachtwoord opschrijven, met alle gevolgen van dien.
• Zorgen dat je niet meer kunt inloggen als een aantal keer een fout wachtwoord is geprobeerd. Zo stop je kwaadwillenden die proberen in te breken door wachtwoorden vaak te raden.

5. Wat moet de zorgmedewerker doen om veilig om te gaan met wachtwoorden?

• Lange wachtwoorden kiezen. Maak er een leuke zin van. Wat dacht je van “ik ga 3x sporten” of “wanneer-is-het-vakantie”? Soms is het verplicht om cijfers of hoofdletters toe te voegen. Onthoud dat lengte het belangrijkst is om het moeilijk te kraken te maken. Gebruik vooral voor je e-mail een goed wachtwoord, want via je e-mail kunnen veel van je andere wachtwoorden opnieuw ingesteld worden.
• Geen wachtwoorden hergebruiken. Als op één plaats je wachtwoord is uitgelekt, zullen criminelen op alle mogelijke plaatsen proberen of hetzelfde wachtwoord daar ook werkt in combinatie met je e-mailadres. Daarom is het beter om overal een ander wachtwoord te hebben. En om die dan te onthouden kun je een wachtwoordmanager gebruiken, zodat je zelf maar één wachtwoord hoeft te kennen.
• Waar mogelijk gebruik maken van tweefactor-authenticatie. Dat betekent dat je naast je wachtwoord nog een code krijgt via je telefoon of een ander apparaatje. Of dat je met behulp van gezichtsherkenning of je vingerafdruk aantoont dat je het zelf bent.

Martine van de Merwe is auteur van het boek 'Zorg voor privacy' Op 12, 19 en 26 maart 2020 vindt de driedaagse opleiding Privacy in het sociaal domein plaats. Sinds de decentralisaties in 2015 wordt intensief samengewerkt tussen hulpverleners en ambtenaren, maar ook tussen instanties en gemeenten onderling. Hierbij worden gevoelige, vaak bijzondere persoonsgegevens uitgewisseld. Hoe kan een effectieve samenwerking georganiseerd worden waarbij de ambtenaar de wet uitvoert, de hulpverlener zijn integriteit bewaart en de privacy van cliënten beschermd blijft? De opleiding wordt geleid door privacyjurist Corrie Ebbers en is bestemd voor medewerkers en juristen van gemeenten en zorgaanbieders die aangewezen zijn als kwaliteitsfunctionaris, privacydeskundige of functionaris gegevensbescherming in het sociaal domein. Meer informatie over de opleiding Dit artikel is ook te vinden in de dossiers Informatiebeveiliging, Privacy op de werkvloer, Privacy in de zorg en Privacy in het sociaal domein