
Een wachtwoordmanager geeft je een compliance vinkje, maar maakt je niet veilig.






Andere zijn wettelijk verplicht te voldoen aan normenkaders zoals de BIO, NEN 7510, het Normenkader IBP, BIC, DORA of de Cyberbeveiligingswet op basis van NIS2. In beide gevallen speelt wachtwoordbeheer een centrale rol, en in beide gevallen kan een wachtwoordmanager helpen om het benodigde vinkje te krijgen.
Het probleem is dat een vinkje geen veiligheid is. Een wachtwoordmanager die wordt aangeschaft maar nauwelijks wordt gebruikt, een beleid dat op papier staat maar door niemand wordt nageleefd, accounts die blijven bestaan nadat medewerkers vertrekken: de auditor ziet het niet, de aanvaller wel. In dit artikel doen we daarom twee dingen: (1) we laten zien waar de normenkaders concreet om vragen op het gebied van wachtwoordbeheer, en (2) we leggen uit hoe MindYourPass verder gaat dan het vinkje en organisaties ook werkelijk veiliger maakt.
Wat ISO, BIO, NEN 7510, IBP, DORA en NIS2 concreet vereisen op het gebied van wachtwoordbeheer
De normenkaders verschillen sterk in hoe concreet ze zijn over wachtwoordbeheer. Sommige schrijven expliciet voor wat er moet gebeuren, andere laten de technische invulling volledig over aan de organisatie. Dat geeft ruimte, maar ook het risico dat organisaties kiezen voor de minimale invulling die de audit haalt, in plaats van de invulling die het risico werkelijk verkleint.
Een overzicht van de belangrijkste normenkaders en wat ze concreet vereisen:
Wat opvalt is dat ISO 27001 geen wachtwoordmanager benoemt, maar wel duidelijke eisen stelt aan wachtwoorden. De BIO2 schrijft een wachtwoordmanager expliciet voor, maar zegt niets over adoptie. DORA en NIS2 houden het op risicogebaseerd niveau en laten de technische invulling over aan de organisatie. De normenkaders geven richting, maar geen garantie dat de praktijk volgt. En veiligheid zit in de praktijk, niet in het beleid.
Het verschil tussen wat een auditor ziet en wat een aanvaller vindt
Een auditor toetst op aanwezigheid van beleid en maatregelen. Een aanvaller toetst op zwakke plekken. Dat zijn twee verschillende toetsen, en organisaties die zich uitsluitend voorbereiden op de eerste, zijn kwetsbaar voor de tweede.
De meest voorkomende situatie: een wachtwoordmanager is aangeschaft, het beleid is gedocumenteerd, en bij de audit ziet alles er netjes uit. Ondertussen gebruikt het gros van de medewerkers de wachtwoordmanager niet, worden wachtwoorden hergebruikt voor meerdere applicaties, en heeft niemand overzicht over welke accounts actief zijn voor welke medewerker. Het vinkje staat. Het risico ook.
Hoe MindYourPass beleid automatisch afdwingt in plaats van het alleen mogelijk te maken
De kern van het probleem is dat de meeste wachtwoordoplossingen beleid mogelijk maken, maar niet afdwingen. MindYourPass is gebouwd vanuit de gedachte dat adoptie geen keuze van de medewerker mag zijn, maar een gegarandeerd resultaat van de techniek. Gedrag, beleid en techniek komen samen:
- Door de wachtwoordmanager te integreren in de werkomgeving als verbindende schakel tussen het wachtwoordbeleid van de organisatie en de applicaties waarmee medewerkers dagelijks werken.
- Door sterke, unieke en phishing-resistente wachtwoorden eenvoudig en veilig te beheren in de enterprise wachtwoordoplossing.
- Door een stuurbare adoptie, gebruiksgemak voor de medewerker en controleerbaarheid voor de organisatie.
- Door continu, real-time inzicht te bieden, zodat organisaties op elk moment kunnen rapporteren over de mate van compliance, veiligheid en adoptie.
Dat laatste punt is cruciaal. Niet alleen weten dat het beleid er is, maar kunnen aantonen dat het wordt nageleefd, door elke medewerker, voor elke applicatie, op elk moment. Dat is wat een auditor vraagt bij de volgende controle, en wat een aanvaller tegenhoudt vandaag.
Van tick-the-box naar structureel veiliger: wat het verschil is in de praktijk
Het doel is een organisatie die werkelijk veiliger is, niet een organisatie die de audit haalt. Die twee dingen kunnen samenvallen, maar alleen als de techniek het gedrag stuurt in plaats van het gedrag aan de techniek over te laten.
Een wachtwoordmanager uitrollen is een middel, geen doel. Het doel is aantoonbaar maken dat elke medewerker overal sterke en unieke wachtwoorden gebruikt, dat accounts worden beheerd en dat het beleid automatisch wordt afgedwongen. Dat is wat leidt tot veiligheid, niet het vinkje achter de aanschaf. De normenkaders vragen er indirect om, de auditor vraagt er steeds vaker expliciet naar, en de aanvaller exploiteert het verschil zolang het bestaat.
Neem contact met ons op.
Laat MindYourPass jouw organisatie veilig maken.

Veilig inloggen met gemak.
Thuis én op het werk.


Triple-i™ verbetermethode
Wachtwoordveiligheid meten om doelgericht te verbeteren
Elke verandering begint met het verkrijgen van volledig inzicht in de huidige situatie. Om vanuit daar met behulp van een concreet en praktisch plan toe te werken naar de gewenste situatie: het gebruik van kwetsbare wachtwoorden binnen jouw organisatie onmogelijk maken.





