Van websites die men niet vaak bezoekt maar die wel inloggen vereisen, weet de gebruiker soms het wachtwoord niet meer. Een interessante vraag die in dit kader opborrelt: is een ‘wachtwoord vergeten’-optie aanbieden verplicht onder de AVG?
Sommige websites bieden websitebezoekers niet de optie om direct (en zelf) een nieuw wachtwoord aan te vragen of in te stellen, terwijl dat wel heel handig is als zij het bestaande wachtwoord zijn vergeten. Soms heeft de eigenaar van de website een goede reden om het niet te doen. Dat moet hij dan wel ergens uitleggen, volgens de Algemene verordening gegevensbescherming (AVG) in ieder geval in de zogenoemde ‘compliance-documentatie’.
Volgens ICT-jurist Arnoud Engelfriet is het echter niet verplicht dat een webdienstverlener een ‘wachtwoord vergeten’-optie aanbiedt. De AVG geeft namelijk geen duidelijke lijst van do’s en don’ts op dit gebied. De enige eis van de AVG is dat de dienstverlener persoonsgegevens adequaat beschermt tegen onbevoegd gebruik, ongewenste toegang en datalekken. Wat ‘adequaat’ precies inhoudt, is in de AVG niet terug te vinden. Als de organisatie achter een website de bedoelde optie achterwege laat, is het alternatief vaak dat iemand bij een vergeten wachtwoord contact moet opnemen met een IT-helpdesk (artikel). Dat kan omslachtig, bewerkelijk en tijdrovend zijn.
Waarom vinden sommige websitebouwers het in bepaalde situaties zinvol om de vergetenwachtwoordoptie juist niet te plaatsen? In de praktijk worden e-mailadressen vaak eveneens gebruikt als inlognaam – die dus in heel wat gevallen te raden valt – en is een cybercrimineel hierdoor mogelijk in staat om het door de gebruiker ingestelde wachtwoord te wijzigen. Met zo’n gecompromitteerd wachtwoord kan een account langere tijd kwetsbaar zijn. De organisatie achter de website moet daar adequate maatregelen tegen nemen, zoals een controlevraag of tweefactorauthenticatie voor bevestiging.