Consumentisme en wachtwoorden

Al die accounts hebben een wachtwoord dat ik op een papiertje heb geschreven. Of nee, ze zitten in mijn wachtwoordmanager. Maar de meeste mensen schrijven ze op.

Tja, wachtwoorden.

De AVG spreekt met geen woord over wachtwoorden maar de NEN7510 (ook juridisch bindend) wel. De zorgspecifieke beheersmaatregel implementatierichtlijn stelt dat alle gebruikers het advies dienen te krijgen om (onder meer) een sterk wachtwoord te kiezen, wachtwoorden niet te registreren tenzij dat veilig kan, wachtwoorden niet te delen, wachtwoorden te wijzigen als daar aanleiding toe is en niet dezelfde wachtwoorden voor verschillende systemen te gebruiken.

Ja, dat wist je toch al? Ik ook trouwens.

En toch. Wachtwoorden zijn je huissleutel en je pincode ineen. Voor mij geldt bijvoorbeeld dat als mijn laptop en mijn telefoon tegelijk worden gestolen door zelfs maar een halve digibeet ik nog jaren bezig zal zijn om de schade te beperken. Dus zet ik mij zuchtend aan de klus om het geheel maar weer eens op te schonen, de digitale variant van je keuken schoonmaken op 2 januari na het bakken van de oliebollen.

Addertje onder het gras: dit gaat over mijn persoonlijke gegevens, als daar wat fout gaat ben ik daarvan het slachtoffer.

Maar als je bij een zorginstelling werkt ga je over gegevens van anderen, van cliënten en patiënten. En bij goede zorg hoort een verantwoordelijke omgang met hun persoonsgegevens. Er is niet zoveel fantasie voor nodig om te bedenken wat voor ellende er kan ontstaan als gegevens in verkeerde handen vallen. Afgezien van het onsmakelijke dossier gluren waarbij iedere medewerker van een instelling meent te moeten gaan kijken hoe het gaat met (een familielid van) een BN’er die in de instelling is opgenomen, zijn er tal van ongewenste effecten van datalekken.

Aan de ene kant van het spectrum zit de privacy: wat opa nooit aan zijn kinderen heeft willen vertellen, hoeven ze nu niet in zijn dossier te lezen, beter van niet. En nee, het was geen goed idee van dat grote ziekenhuis om iedere dag alle patiëntendossiers op een offline laptop te zetten bij wijze van beveiliging tegen hacken of storingen. Of misschien was dat nog wel een aardig idee maar het wachtwoord van die computer op een post-it op het scherm plakken was dat zeker niet want, je raadt het al, die laptop werd gestolen.

Aan het andere uiteinde van het spectrum bevindt zich de cybercrime die zich bedient van buitgemaakte wachtwoorden. Bij cybercrime in het algemeen spelen wachtwoorden vaak een sleutelrol. Daarmee kun je lekker internetbankieren, identiteit stelen, en nog heel veel meer. Ook in de zorg; het waren wachtwoorden waardoor die medewerker zelf een aanvraag (op naam van iemand anders maar met zijn eigen bankrekening) voor een zorgvergoeding kon indienen, beoordelen, toewijzen en innen.

Natuurlijk denken we allemaal dat wachtwoorden uit de tijd raken en overbodig zullen worden.

Het “gedoe” met wachtwoorden kost ook tijd en ergernis: steeds inloggen, wachtwoord vergeten, een heleboel verschillende wachtwoorden nodig, ga zo maar door. Dat gaat ten koste van het echte werk. Medewerkers zijn geholpen met technische oplossingen zoals single sign-on: één keer inloggen en toegang tot alle systemen is geregeld. Kost geld, zeker, maar als je dat afzet tegen tijd en ergernis heb je best een business case.

Maar tot het zo ver is moeten we het ermee doen. En moeten we, zoals de NEN 7510 voorschrijft, collega’s informeren over de risico’s en de omgang met wachtwoorden. Is dat al onderdeel van jouw bewustwordingsprogramma?

Op 31 oktober 2019 geeft Martine van de Merwe de eendaagse cursus Creëren van privacybewustzijn in organisaties

Martine van de Merwe is auteur van het boek 'Zorg voor privacy'

Dit artikel is ook te vinden in de dossiers Informatiebeveiliging en Privacy in de zorg