Kan een bedrijf aansprakelijk worden gesteld voor de eisen die het aan een wachtwoord stelt?

Veel bedrijven stellen een maximum aan het aantal tekens of karakters dat iemand als wachtwoord bij registratie of inlog voor een dienst moet invullen. Een bedrijf dat een limiet aan het aantal karakters stelt voor de lengte van het in te vullen wachtwoord van zijn online portal kan in geval van een hack aansprakelijk zijn. Bedrijven die persoonsgegevens bewaren, zijn wettelijk verplicht om deze te beveiligen door ‘passende technische en organisatorische maatregelen’. Een wachtwoord is een technische maatregel, maar een wachtwoordsysteem dat een maximaal aantal karakters toelaat, is moeilijk passend te noemen voor de toegang tot een portaal. Bij de keuze van een wachtwoord geldt immers de vuistregel: langer is veiliger. Een maximum vergroot de kans op misbruik van klantgegevens, doordat gebruikers minder veilige wachtwoorden kunnen kiezen. Als er in een dergelijke situatie een hack en/of datalek plaatsvindt, is het bedrijf aansprakelijk, zelfs als het niet direct duidelijk is of het lek is ontstaan door het kraken van het wachtwoord. Zelfs zonder een daadwerkelijke hack, kan de Autoriteit Persoonsgegevens een bedrijf ertoe kunnen dwingen om de het maximum aan te passen of zelfs een boete opleggen.