_{De uitdaging}

Versnipperd en onveilig wachtwoordbeheer

Toen Ruud Slaats als adviseur ICT en digitale ontwikkelingen begon bij Bibliotheek Eindhoven, wist hij dat wachtwoordgebruik in veel organisaties een kwetsbaar punt is. Hij wilde daar actief iets aan doen, niet omdat de situatie uniek was, maar juist omdat hij wist hoe vaak het op dit vlak misgaat.

Een nulmeting bevestigde dat vermoeden: medewerkers gebruikten uiteenlopende manieren om wachtwoorden te bewaren - van persoonlijke Outlook-mapjes tot fysieke notitieboekjes. “Je kunt in de Bibliotheek Eindhoven zelfs een wachtwoordboekje kopen,” grapte Ruud. “En eerlijk is eerlijk: dat kán veiliger zijn dan hergebruik, zolang je maar overal een ander wachtwoord gebruikt.”

​Daarnaast was er de uitdaging van gedeelde accounts. Teams die samen één account gebruikten, hadden vaak geen duidelijke afspraken over hoe daarmee om te gaan. Dit leidde tot risico’s rond overdracht, uitdiensttreding en het terugvinden van wachtwoorden binnen een team.

De uitdaging zat dus niet alleen in techniek, maar vooral in het creëren van duidelijke afspraken, bewustwording en structuur.

De bibliotheek wilde daarom een oplossing vinden die verder ging dan alleen een technische tool. Niet alleen moest het gebruik eenvoudig zijn, er moest ook draagvlak komen binnen de hele organisatie. Ruud onderzocht daarom verschillende oplossingen, maar kwam tot de conclusie dat deze toch te technisch of te afstandelijk waren. Zo boden ze weinig begeleiding bij de implementatie of adoptie, en sloten ze niet aan bij de cultuur van een publieke organisatie met een diverse groep medewerkers en vrijwilligers.

‍

_Aanpak

MindYourPass als partner, in plaats van als tool

Via zijn netwerk kwam Ruud in contact met MindYourPass. Wat deze oplossing anders maakt dan de rest, was dat het niet alleen om software draaide, maar om een partnerschap. MindYourPass bood begeleiding en inzicht in gebruik, startte met het meten van wachtwoordgedrag en ondersteunde de organisatie met trainingen en adoptie op maat.

Bovendien voelde het goed dat het om een Eindhovens product ging, met lokale betrokkenheid en korte lijnen voor feedback en verbetering - deze aanpak sloot veel beter aan bij de wensen en behoeften van de bibliotheek.

De samenwerking begon, zoals genoemd, met een nulmeting om inzicht te krijgen in het bestaande wachtwoordgebruik. De resultaten waren confronterend: medewerkers gebruikten wachtwoorden die zwak waren, vaak werden hergebruikt of zelfs al waren gelekt. Maar de inzichten waren waardevol, omdat ze hielpen urgentie te creëren en het gesprek over veiligheid te openen - zonder met vingers te wijzen.

Vervolgens werd een groep interne ambassadeurs opgeleid. Dit waren nadrukkelijk niet alleen IT-medewerkers, maar een breed samengestelde groep, waaronder marketingmedewerkers, publieksmedewerkers en mediacoaches die in SPIL-centra  kinderen ondersteunen op het gebied van taal/leesplezier en digitale geletterdheid. Zo ontstond een breed draagvlak binnen de organisatie.

MindYourPass werkt op een unieke manier. Medewerkers hoeven hun wachtwoorden niet op te slaan, het programma berekent ze namelijk steeds opnieuw op basis van een persoonlijk geheim, zoals een makkelijk-te-onthouden wachtwoord, gezichtsherkenning of een vingerafdruk. Dit voorkomt hergebruik en lekken - en maakt het beheren van wachtwoorden eenvoudiger. Het gebruik van de tool kan privacyvriendelijk gemonitord worden op systeemniveau.

Nieuwe medewerkers krijgen direct bij de uitgifte van hun laptop een persoonlijke uitleg over MindYourPass en andere systemen zoals Teams en het HR-portaal. Daarbij wordt meteen uitgelegd dat MindYourPass niet alleen op de laptop werkt, maar ook op mobiele apparaten. Of medewerkers nu thuis, in de vestiging of onderweg inloggen: overal is veilig gebruik mogelijk.

Er worden geen losse handleidingen of mailtjes gestuurd, maar er is echt aandacht voor een goede onboarding. Op die manier wordt vanaf dag één duidelijk hoe belangrijk veilig werken is en hoe dat praktisch moet gebeuren.

Het gebruik van MindYourPass is bovendien niet vrijblijvend. Alle medewerkers volgen de training, en wie het nodig heeft, kan deze zonder problemen nog een tweede keer doen. Volgens Ruud is dat belangrijker dan snelle adoptie forceren: liever neemt de organisatie de tijd om iedereen mee te krijgen dan dat medewerkers afhaken en weer terugvallen op onveilige praktijken. Uiteindelijk is het doel dat MindYourPass de standaard wordt voor alle accounts die technisch ondersteund kunnen worden.

_Resultaat

Een tool die echt wordt gebruikt

Deze aanpak werpt al duidelijk vruchten af. Medewerkers zijn beter bewust van het belang van goed wachtwoordbeheer. Het risico op problemen bij uitdiensttreding of teamwissels is kleiner geworden. Ook heeft de bibliotheek nu inzicht in het gebruik en kan Ruud het adoptiebeleid daarop aanpassen.

​Voor teamaccounts is er nu een duidelijke werkwijze, zodat medewerkers veilig samen één account gebruiken. Bovendien passen veel medewerkers MindYourPass ook privé toe, waardoor veilig wachtwoordgebruik een vanzelfsprekende gewoonte wordt.

MindYourPass is bovendien niet zomaar een tool die je “naar binnen gooit”, maar een partner die meedenkt en verbetert. Ruud geeft regelmatig feedback over wensen en verbeterpunten - zoals betere ondersteuning voor gedeelde accounts en wachtwoordbeheer bij teamoverdrachten - en MindYourPass ontwikkelt op basis daarvan door.

Daarnaast versterkt deze aanpak ook de maatschappelijke rol van de bibliotheek. Vrijwilligers worden in een latere fase meegenomen met speciale sessies, en er zijn plannen om bezoekers te informeren over veilig wachtwoordgebruik. Want digitale veiligheid hoort, net als digitale geletterdheid, bij de missie van de moderne bibliotheek.

​Dat medewerkers het systeem ook thuis toepassen, versterkt deze rol. Ze nemen hun kennis en ervaring mee naar hun privéomgeving en kunnen zo ook vrienden, familie en bezoekers bewust maken van het belang van veilige wachtwoorden.

‍

_Reflectie

Een toekomstbestendige werkomgeving

Met MindYourPass koos Bibliotheek Eindhoven niet zomaar voor een nieuwe tool, maar voor een serieuze investering in gedragsverandering en veiligheid. Dankzij de combinatie van meten, trainen en begeleiden is er een cultuur van digitale veiligheid in opbouw - en dat in een organisatie met een breed en divers personeelsbestand.b

Zoals Ruud het samenvat: “Ik heb liever dat iemand twee keer de training volgt dan dat ze afhaken. We bouwen liever langzaam maar zeker aan veiligheid en bewustwording, dan dat we alleen een tool neerzetten en hopen dat het goedkomt.”

De samenwerking laat zien hoe een publieke organisatie met veel vrijwilligers en uiteenlopende doelgroepen kan groeien naar een veilige, toekomstbestendige digitale werkomgeving - met partnerschap en bewustwording als sleutel tot succes.

‍