Wachtwoordmanager Passwork blijkt Russisch: dit is het risico
Inhoud
Je wachtwoordkluis is het slot op de voordeur van je bedrijf. Dus als blijkt dat degene die dat slot beheert eigenlijk in Rusland zit, terwijl jij dacht een Europese leverancier in huis te hebben, is dat geen kleinigheid.
Dat is precies wat NU.nl deze week naar buiten bracht over Passwork: een wachtwoordmanager die zich presenteert als Europees, maar in werkelijkheid Russische wortels heeft. Verschillende Europese bedrijven met vitale infrastructuur gebruiken de software al jaren, zonder dat te weten. Cybersecurityexperts trekken nu aan de bel.
Voor jou als MKB-ondernemer is dit meer dan een verhaal over een ver-van-je-bed techbedrijf. Het raakt de kern van hoe je vertrouwen geeft aan software: weet je eigenlijk zeker wie er achter je tools zit, en wat gebeurt er als dat de verkeerde partij blijkt te zijn?
Elke dag AI begrijpen, zonder de hype?
Ontvang de gratis MKB AI Quickstart-gids en mijn nuchtere AI-updates. Uitschrijven met 1 klik.
Wat is er precies mis met Passwork
Passwork verkoopt zichzelf als Europese wachtwoordsoftware voor bedrijven: veilig, betrouwbaar, met een strakke Europese uitstraling. Uit onderzoek van NU.nl blijkt dat het bedrijf achter de tool Russische banden heeft. Een cybersecurity-expert zegt het onomwonden: "Ze kunnen vanuit Moskou inloggen."
Dat is problematisch, want Passwork wordt gebruikt door Europese bedrijven met vitale infrastructuur: denk aan energie, logistiek en industrie. Een wachtwoordmanager is geen los tooltje. Het is de plek waar al je inloggegevens, van CRM tot boekhoudpakket tot serverbeheer, samenkomen. Wie daar toegang toe heeft, heeft in potentie toegang tot alles.
Een van de geraadpleegde experts vat het kernachtig samen: "Het is onverstandig zo'n partij de digitale sleutels van je huis te geven." Dat geldt niet omdat elke Russische partij per definitie kwaad in de zin heeft, maar omdat je bij een niet-transparante herkomst simpelweg niet kunt beoordelen wie er wanneer bij je data kan, en onder welk rechtssysteem die partij valt.
Passwork vs veilige alternatieven voor je MKB
Je hoeft niet meteen in paniek te raken, maar een kritische blik op je eigen wachtwoordmanager is wel op zijn plaats. Er zijn genoeg alternatieven met een transparante herkomst en een goed trackrecord. Drie die je vaak tegenkomt in het MKB:
Bitwarden is open source, wat betekent dat de broncode publiek controleerbaar is. Je kunt zelfs kiezen waar je data wordt gehost, inclusief binnen Europa. Voor een klein team is de zakelijke variant relatief betaalbaar en simpel uit te rollen.
1Password is Canadees, publiceert regelmatig onafhankelijke beveiligingsaudits en heeft een langere staat van dienst in het bedrijfsleven. Iets prijziger, maar met een sterke supportstructuur voor teams die weinig zelf willen uitzoeken.
Keeper is Amerikaans, voldoet aan strenge certificeringen zoals SOC 2 en ISO 27001, en richt zich expliciet op compliance-gevoelige sectoren. Handig als je toch al met Amerikaanse cloudpartijen werkt en dat bewust een acceptabel risico vindt.
Wat dit betekent voor de AVG en digitale soevereiniteit
Onder de AVG ben jij als bedrijf verantwoordelijk voor de verwerkers die je inschakelt, ook als het om een wachtwoordmanager gaat. In je verwerkersovereenkomst staat idealiter waar data wordt verwerkt en onder welk rechtssysteem. Blijkt de werkelijke herkomst van een leverancier af te wijken van wat er in de overeenkomst staat, dan heb jij als verwerkingsverantwoordelijke een probleem, ook al wist je van niets.
Het NCSC (Nationaal Cyber Security Centrum) waarschuwt al langer voor software met een onduidelijke herkomst bij organisaties met een hoger risicoprofiel. Voor een MKB-bedrijf in bijvoorbeeld Enschede voelt 'digitale soevereiniteit' misschien als een ver-van-je-bed-begrip, maar de praktijk is simpel: hoe minder je weet over wie je leveranciers zijn, hoe minder grip je hebt als het misgaat. Dat gold al voor AI-agent beveiliging en geldt evengoed voor je wachtwoordkluis.
Zo controleer je je eigen wachtwoordsoftware vandaag
Je hoeft niet je hele softwarestack om te gooien om hier grip op te krijgen. Loop deze vier stappen na:
- Zoek op waar de leverancier van je wachtwoordmanager officieel geregistreerd staat, en vergelijk dat met wat er op de website staat.
- Vraag na waar de servers fysiek staan en onder welk rechtssysteem die vallen.
- Check of er een onafhankelijke beveiligingsaudit of certificering (SOC 2, ISO 27001) beschikbaar is.
- Lees je verwerkersovereenkomst na: klopt de daar genoemde verwerkingslocatie nog met de werkelijkheid?
Kom je er zelf niet helemaal uit, laat een technische partij meekijken naar je hele stack, inclusief hosting. Dat voorkomt ook dat je later alsnog een datalek in je eigen app over het hoofd ziet.
Wat dit betekent voor jou
Het punt van dit verhaal is niet dat je nu blind moet wantrouwen wat er 'Europees' op een website staat. Het punt is dat je bij kritieke software, zoals je wachtwoordmanager, gewoon even moet checken of de werkelijkheid overeenkomt met de belofte. Dat kost een halfuur, geen weken.
Als je toch bezig bent met je digitale fundament, denk dan ook meteen aan waar je website en data gehost staan. Kies bijvoorbeeld bewust voor webhosting in Nederland in plaats van er nooit bij stil te staan. En twijfel je waar je moet beginnen met dit soort checks in je bedrijf, boek dan een korte sparring, dan denken we er samen doorheen.
Werkt deze AI-ontwikkeling door in jouw bedrijf? webhosting in Nederland.
Wat is Passwork precies?
Passwork is een wachtwoordmanager die zich presenteert als Europese softwareoplossing voor bedrijven, maar volgens onderzoek van NU.nl Russische banden heeft. De tool wordt onder meer gebruikt door Europese bedrijven met vitale infrastructuur.
Hoe weet ik of mijn bedrijf risico loopt met Passwork of vergelijkbare software?
Check bij je huidige wachtwoordmanager waar het bedrijf officieel geregistreerd staat, waar de servers fysiek staan en of er een onafhankelijke audit of certificering zoals SOC 2 of ISO 27001 beschikbaar is. Ontbreekt die informatie, vraag er dan actief naar bij de leverancier.
Welke wachtwoordmanager is een veilig alternatief voor mijn MKB?
Bitwarden, 1Password en Keeper worden vaak genoemd als alternatieven met een transparante herkomst en onafhankelijke audits. Welke het beste past hangt af van je budget en of je bewust wel of niet met Amerikaanse cloudpartijen wilt werken.
Valt dit onder de AVG-verplichtingen van mijn bedrijf?
Ja. Als verwerkingsverantwoordelijke ben je zelf aansprakelijk voor de verwerkers die je inschakelt, dus ook voor je wachtwoordmanager. Klopt de werkelijke verwerkingslocatie niet met wat in je verwerkersovereenkomst staat, dan is dat een risico dat bij jou ligt, niet alleen bij de leverancier.
Moet ik nu meteen al mijn wachtwoorden wijzigen?
Niet per se in paniek, maar het is wel verstandig om kritisch te kijken naar je huidige leverancier en waar nodig over te stappen. Wijzig in ieder geval wachtwoorden voor kritieke systemen als je twijfelt over de herkomst van je huidige wachtwoordmanager.
Wat is het verschil tussen Passwork en Bitwarden of 1Password?
Het belangrijkste verschil zit in transparantie: Bitwarden is open source en controleerbaar, 1Password publiceert onafhankelijke audits en heeft een langere trackrecord in het bedrijfsleven. Bij Passwork bleek de daadwerkelijke herkomst af te wijken van het Europese imago.
Grip op AI, zonder de hype
Ontvang de gratis MKB AI Quickstart-gids plus mijn nuchtere AI-updates. Uitschrijven kan altijd met 1 klik.