_Uitdaging

Wachtwoorden op briefjes: tijd voor verandering

Binnen Agora was er geen structurele oplossing voor wachtwoordbeheer. Medewerkers gebruikten herhaalwachtwoorden, schreven ze op in agenda’s of onder toetsenborden, en vertrouwden soms op WhatsApp of Excel-lijstjes. Daniëlla: “Na iedere vakantie is er wel iemand een wachtwoord kwijt. En in het ergste geval gebruiken ze hetzelfde wachtwoord voor alles. Dat is natuurlijk helemaal niet veilig.”

Hoewel dit gedrag niet uitzonderlijk is in het onderwijs, zag Daniëlla dat er iets moest veranderen. Ze merkt dat veiligheid niet vanzelf gaat en dat leerkrachten er ook geen tijd voor hebben. “Hun focus ligt bij de kinderen, niet bij IT.”

“Na iedere vakantie is er wel iemand een wachtwoord kwijt. En in het ergste geval gebruiken ze hetzelfde wachtwoord voor alles. Dat is natuurlijk helemaal niet veilig.”
- Daniëlla Overbeek, beleidsmedewerker onderwijs-ICT

Dat werd pijnlijk duidelijk toen Agora externe ethische hackers liet testen hoe kwetsbaar de scholen waren. “We hadden hackers op kantoor rondlopen om te testen of ze binnenkwamen. Nou, dat lukt dus gewoon. Het briefje onder het toetsenbord blijft hardnekkig.”

Toen MindYourPass een keer langskwam voor een presentatie, viel er een kwartje. “Zo’n tool hadden wij nog niet. Terwijl het wel precies raakt waar het misgaat: gemak, gedrag en overzicht.”

‍

‍

_Aanpak

Wat de nulmeting blootlegde over wachtwoordgebruik

Agora startte met een meting van MindYourPass om wachtwoordgebruik inzichtelijk te maken. Deze meting is eenvoudig te installeren op de laptops van medewerkers en houdt dan op een veilige manier bij hoe mensen omgaan met wachtwoorden, zonder dat wachtwoorden ergens centraal opgeslagen worden. Daniëlla vertelt dat zij ervoor kozen dit te meten zonder medewerkers vooraf te informeren: “Dat vonden we eerlijker dan aankondigen, anders gaat iedereen zijn wachtwoord snel aanpassen en krijg je geen zuiver beeld.”

De nulmeting controleert gedurende minimaal vier weken via de wachtwoordmanager of wachtwoorden veilig zijn, of ze voorkomen in eerdere datalekken en of er sprake is van hergebruik. De scan is volledig geautomatiseerd, AVG-proof en vraagt geen handmatige input van medewerkers.

Het resultaat wordt opgeleverd in een helder rapport met onder andere het risicobeeld, applicatieoverzicht en concrete verbeteradviezen. De resultaten werden in groepsverband met Agora besproken. “Het viel me op hoe herkenbaar het was voor iedereen,” zegt Daniëlla. “Iedereen herkende zich in de pijnpunten. Dan ontstaat er iets. Mensen gaan nadenken. En dat is precies wat je wilt bereiken.”

‍

‍

_Resultaat

Van onderbuikgevoel naar onderbouwd inzicht

De nulmeting gaf Agora voor het eerst een feitelijk beeld van het wachtwoordgedrag binnen de organisatie. Geen aannames of onderbuikgevoelens meer, maar harde data. “Ik werd altijd gevraagd: hoe digitaal weerbaar zijn we nou eigenlijk? Nu had ik eindelijk iets om te laten zien.”

Vooral het overzicht van gebruikte accounts en gelekte wachtwoorden maakte indruk. Daniëlla: “Als je als leerkracht gewoon voor de klas staat, denk je daar helemaal niet over na. Je wilt gewoon dat je laptop het doet en dat je aan de slag kunt. Maar als je dan ineens ziet dat jouw wachtwoord ooit gelekt is, dan komt het ineens wél dichtbij.”

“Hun focus ligt bij de kinderen, niet bij IT. Dan moet je ze helpen om veiligheid wél onderdeel van hun gedrag te maken.”
- Daniëlla Overbeek, beleidsmedewerker onderwijs-ICT

De meting gaf richting aan het bredere bewustwordingsprogramma en bood concrete handvatten om verder te bouwen. “Je weet waar je staat. En dat maakt het veel makkelijker om de juiste stappen te zetten,” stelt ze.

‍

‍

_Reflectie

Inzicht leidt tot actie

Voor Daniëlla bevestigde MindYourPass vooral dit: bewustwording werkt als mensen inzicht krijgen waar het misgaat. De nulmeting hielp om die spiegel voor te houden. “Je hoeft niet altijd met de grootste maatregelen te beginnen. Begin met inzicht. Dat zet aan tot actie,” zegt ze.

De tool is een concrete stap richting veiliger gedrag, zonder dat het zwaar of technisch voelt. Ook de samenwerking met MindYourPass zelf vindt ze verfrissend: “Je kunt ze gewoon bellen, appen of mailen, en je krijgt direct antwoord. Geen gedoe.” Wat haar het meest aanspreekt? De combinatie van deskundigheid, menselijkheid en oprechte betrokkenheid bij het onderwijs.

“Iedereen herkende zich in de pijnpunten. Dan ontstaat er iets. Mensen gaan nadenken. En dat is precies wat je wilt bereiken.”
- Daniëlla Overbeek, beleidsmedewerker onderwijs-ICT

De ervaring van Agora laat zien: gedragsverandering begint bij inzicht. Een nulmeting hoeft niet ingewikkeld te zijn om waardevol te zijn. Het draait om bewustwording, herkenning en kleine stappen die samen een groot verschil maken.

‍

‍