Russische wachtwoordmanager Passwork: risico voor jouw MKB
Inhoud
Passwork oogt Europees. De naam klinkt Europees, de marketing klinkt Europees, en dus vertrouwden verschillende Europese bedrijven, waaronder partijen met vitale infrastructuur, hun wachtwoordkluis toe aan deze software. Nu blijkt: het bedrijf achter Passwork is Russisch. Cybersecurityexperts trekken aan de bel, want wie de digitale sleutels van je bedrijf beheert, moet je voor de volle honderd procent kunnen vertrouwen.
Voor een MKB-ondernemer voelt dit misschien als een ver-van-je-bed-show. Je runt geen energiecentrale of ziekenhuis. Maar de kern van het probleem raakt elk bedrijf dat wachtwoorden, klantdata of bankgegevens opslaat in software van een derde partij: weet je eigenlijk wie er echt achter die tool zit?
In dit artikel lees je wat er precies mis ging bij Passwork, waarom Europees ogend niet hetzelfde is als Europees, en hoe je zelf checkt of jouw wachtwoordmanager te vertrouwen is.
Elke dag AI begrijpen, zonder de hype?
Ontvang de gratis MKB AI Quickstart-gids en mijn nuchtere AI-updates. Uitschrijven met 1 klik.
Wat is er aan de hand met Passwork?
Passwork presenteert zichzelf als Europese wachtwoordsoftware voor bedrijven: een centrale kluis waarin teams inloggegevens, API-sleutels en andere gevoelige toegang delen. Uit onderzoek van NU.nl blijkt dat het bedrijf feitelijk Russische wortels heeft. Verschillende Europese organisaties, waaronder bedrijven met vitale infrastructuur, gebruiken de software al jaren.
Cybersecurityexperts noemen het onverstandig om zo'n partij de digitale sleutels van je bedrijf te geven. De zorg zit niet per se in slechte code, maar in de vraag wie er, direct of indirect, kan meekijken of ingrijpen. Als de organisatie achter je wachtwoordkluis vanuit Moskou kan inloggen, zoals experts stellen, dan is dat een compleet ander risicoprofiel dan een leverancier in Amsterdam of Berlijn.
Waarom dit een ketenrisico is, niet een productfout
Het probleem met Passwork is geen losse bug die je met een update oplost. Het gaat om wie de organisatie achter de software daadwerkelijk is, en onder welk rechtssysteem die valt. Een leverancier die onder Russisch recht opereert, kan in theorie verplicht worden gegevens af te staan aan de eigen overheid. Dat botst met de manier waarop jij onder de AVG met persoonsgegevens en bedrijfsdata moet omgaan.
Dat maakt dit een ketenrisico: niet je eigen systemen zijn het zwakke punt, maar een schakel verderop in de keten waar je zelf geen zicht op hebt. Diezelfde logica geldt voor elke tool die inloggegevens, klantdata of AI-agents met toegang tot je systemen beheert. Zie ook wat we eerder schreven over AI-agent beveiliging: ook daar bleek dat bedrijven vaak niet weten welke partij eigenlijk toegang heeft tot hun credentials.
Wat dit betekent voor jouw MKB
De meeste Nederlandse MKB-bedrijven runnen geen vitale infrastructuur. Toch beheer je vrijwel zeker wel een wachtwoordmanager, een CRM, een boekhoudpakket of een hostingpartij die bij elkaar de sleutels tot je hele bedrijf vormen. Als daar iets misgaat, ben je zelf verantwoordelijk, ook als de fout bij een leverancier zit.
Ik zie het ook bij ondernemers hier in Enschede: software wordt gekozen op prijs en gebruiksgemak, niet op de vraag wie er eigenlijk achter zit. Dat is te begrijpen, niemand heeft tijd om elke leverancier door te lichten. Maar voor tools die letterlijk al je wachtwoorden bewaren, loont een paar minuten extra controle wel.
Welke wachtwoordmanager kun je wel vertrouwen?
Herkomst alleen is niet de enige maatstaf, transparantie is dat wel. Bitwarden is open source, wat betekent dat iedereen de code kan controleren. 1Password publiceert onafhankelijke audits en is helder over waar het bedrijf gevestigd is. Keeper werkt met zero-knowledge encryptie, waarbij zelfs de leverancier zelf je wachtwoorden niet kan inzien.
Geen van deze partijen is per definitie perfect, maar ze zijn wel controleerbaar. Dat is precies wat er bij Passwork ontbrak: de Europese uitstraling verhulde waar de software daadwerkelijk vandaan kwam.
Wat dit betekent voor jou
Dit is geen verhaal om iedere buitenlandse leverancier te wantrouwen, dat schiet door. Het is wel een herinnering dat marketing en werkelijkheid niet altijd hetzelfde zijn, zeker niet bij software die de sleutels tot je bedrijf beheert. Voor je eigen MKB betekent dit vooral: weet wie er achter de tools zit waar je wachtwoorden, klantdata en toegang aan toevertrouwt, en kies voor leveranciers die daar open over zijn. Dat kost een paar minuten uitzoekwerk, een datalek of AVG-boete kost een stuk meer.
Werkt deze AI-ontwikkeling door in jouw bedrijf? hosting voor MKB.
Wat is Passwork precies?
Passwork is wachtwoordsoftware voor bedrijven waarmee teams inloggegevens en andere gevoelige toegang centraal delen. Het bedrijf presenteert zich als Europees, maar blijkt Russische wortels te hebben.
Is Passwork nu direct onveilig om te gebruiken?
De software zelf is niet per se technisch gebroken, maar het risico zit in wie er toegang heeft tot het bedrijf achter Passwork en onder welk rechtssysteem dat valt. Voor bedrijven met gevoelige data of vitale infrastructuur is dat reden genoeg om over te stappen.
Kan iemand vanuit Rusland echt meekijken met mijn wachtwoorden?
Cybersecurityexperts stellen dat de organisatie achter Passwork vanuit Moskou kan inloggen op de systemen. Dat betekent niet automatisch dat het gebeurt, maar het risico is structureel aanwezig zolang je dat zelf niet kunt controleren.
Welke wachtwoordmanager is een veilig alternatief voor mijn MKB?
Bitwarden, 1Password en Keeper worden vaak genoemd als transparante opties: open source code, onafhankelijke audits en duidelijke informatie over waar het bedrijf gevestigd is.
Valt het gebruik van buitenlandse software onder de AVG?
De AVG verbiedt buitenlandse leveranciers niet automatisch, maar verplicht je wel om te weten waar persoonsgegevens terechtkomen en daar afspraken over vast te leggen. Onduidelijkheid over de herkomst van een leverancier maakt dat lastig aantoonbaar.
Moet ik me als klein bedrijf hier druk om maken?
Ook een klein MKB-bedrijf beheert wachtwoorden, klantdata en toegang tot systemen. De basiscontrole, weten wie je leverancier is, kost weinig tijd en voorkomt onnodig risico, ongeacht je bedrijfsgrootte.
Grip op AI, zonder de hype
Ontvang de gratis MKB AI Quickstart-gids plus mijn nuchtere AI-updates. Uitschrijven kan altijd met 1 klik.