Bedrijven en overheden in Nederland en Europa stappen versneld af van wachtwoorden. Grote techspelers als Apple, Google en Microsoft zetten in op passkeys en andere phishing‑bestendige inlogmethoden. Dat gebeurt nu, door meer digitale aanvallen én strengere regels. Ook speelt SEO‑vraagstuk Europese AI-verordening gevolgen overheid mee bij keuzes voor veilige en privacyvriendelijke aanmeldsystemen.
Wachtwoord faalt als slot
Wachtwoorden lekken, worden hergebruikt en zijn makkelijk te raden. Aanvallers proberen massaal eerder gestolen combinaties uit, een methode die “credential stuffing” heet. Ook phishingsites en nepapps vissen inloggegevens weg. Elke reset kost tijd en geld en haalt teams uit hun werk.
De opmars van kunstmatige intelligentie maakt deze aanvallen slimmer. Teksten en nepwebsites ogen overtuigender, en bots testen razendsnel varianten. Iedereen met veel accounts is een doelwit, van zzp’er tot gemeente.
Daarnaast werken wachtwoordregels vaak averechts. Verplichte complexiteit leidt tot voorspelbare patronen en plakbriefjes. Beveiliging en gebruiksgemak staan dan tegenover elkaar in plaats van samen op te lopen.
Passkeys winnen snel terrein
Passkeys vervangen het wachtwoord door een digitaal sleutelpaar, gebaseerd op publieke-sleutelcryptografie. De geheime sleutel blijft op het apparaat; de website krijgt alleen een publieke sleutel. Ontgrendelen gaat met vingerafdruk, gezichtsscan of pincode van het apparaat.
Apple (iCloud-sleutelhanger), Google (Wachtwoordmanager) en Microsoft (Entra ID, Microsoft Account) ondersteunen passkeys breed. Grote platforms, waaronder Google-accounts, Apple ID en GitHub, bieden al inloggen met passkeys. Ook WhatsApp en meerdere winkelsites voeren ze stap voor stap in.
Voor hoog-risicoprofielen blijven fysieke FIDO2-beveiligingssleutels, zoals YubiKey, een optie. Die werken als “roaming” passkey die je meeneemt tussen apparaten. Zo kan een organisatie per rol het juiste beveiligingsniveau kiezen.
Een passkey is een digitale sleutel op basis van publieke-sleutelcryptografie; de geheime sleutel verlaat het apparaat nooit en is daardoor phishing‑bestendig.
Europese AI-verordening: gevolgen overheid
De AVG vraagt om dataminimalisatie en sterke bescherming van persoonsgegevens. Passkeys helpen daarbij, omdat er geen gedeeld geheim in een database staat dat kan uitlekken. Dat past bij privacy by design in overheidsportalen en zorgsystemen.
Daarnaast verplicht NIS2, op het moment van schrijven nog in nationale invoering, essentiële en belangrijke organisaties tot sterkere toegangsbeveiliging, zoals multifactor-authenticatie. Dat raakt sectoren als energie, zorg, vervoer en gemeenten direct. Passkeys en FIDO2-authenticatie bieden een praktische invulling.
Met eIDAS 2.0 komt de Europese Digitale Identiteitswallet (EUDI Wallet) voor grensoverschrijdende inlog en attributendeling. In Nederland sluiten DigiD en eHerkenning hier op aan. De AI-verordening raakt vooral biometrische identificatie op afstand; lokale biometrie om een passkey te ontgrendelen valt daar niet onder, maar vraagt wel zorgvuldige inkoop en risicobeoordeling.
Migreren zonder lock-in
Begin met accounts met het hoogste risico en zet passkeys naast bestaande methoden aan. Bied duidelijke uitleg in eenvoudig taalgebruik en laat gebruikers oefenen. Meet uitval, phishingmeldingen en helpdesklast om bij te sturen.
Voorkom afhankelijkheid van één leverancier door open standaarden te kiezen: FIDO2 en WebAuthn. Ondersteun meerdere authenticators: ingebouwde platformpasskeys én losse sleutels. Koppel waar mogelijk via SSO met Azure AD/Entra ID, Okta of Google Workspace.
Regel herstel en overdracht bij apparaatverlies of teamwissels. Sta bijvoorbeeld een tweede passkey of hardwaretoken toe en documenteer procedures voor IT en HR. Leg verwerkersafspraken vast voor identiteitsproviders om aan de AVG te voldoen.
Risico’s en beperkingen blijven
Als een telefoon of laptop slecht is beveiligd, verliest een passkey haar kracht. Zorg daarom voor sterke apparaatpincodes, actuele software en versleuteling. Beperk synchronisatie tot vertrouwde ecosystemen en accounts met goede back-up.
Social engineering blijft een groot gevaar. Aanvallers misleiden helpdesks om accounts over te nemen of resets te forceren, nu ook met AI-gegenereerde stem en beeld. Combineer techniek daarom met strikte procescontroles en training.
Niet elk oud systeem ondersteunt WebAuthn. Plan voor tijdelijke alternatieven, maar vermijd sms-codes waar mogelijk door hun kwetsbaarheid. Werk aan afbouw van wachtwoorden met een duidelijke einddatum per applicatie.
Wat dit betekent nu
Consumenten in Nederland kunnen passkeys inschakelen in Google-, Apple- en Microsoft-accounts en bankapps met biometrie gebruiken. Dat geeft sneller en veiliger inloggen bij mail, cloud en webwinkels. Voor betalingen eist PSD2 al sterke klantauthenticatie, wat de overstap vergemakkelijkt.
Bedrijven doen er goed aan dit jaar hun applicatielandschap te inventariseren en een 6–12-maandenroadmap te maken. Prioriteer kritieke systemen, kies FIDO2/WebAuthn en test met pilots. Zo voldoe je tijdig aan NIS2 en verlaag je het risico op accountmisbruik.
Voor overheden en semipublieke instellingen is aansluiting op eIDAS 2.0 en de EUDI Wallet belangrijk. Houd daarbij rekening met toegankelijkheid, privacy by design en duidelijke communicatie naar burgers. Beoordeel inzet van biometrie in lijn met de AI-verordening en de AVG, met oog voor transparantie en uitsluitingsrisico’s.
