Twee-factor authenticatie (2FA) is niet wettelijk verplicht voor alle stichtingen in Nederland, maar kan wel noodzakelijk zijn afhankelijk van welke gegevens je verwerkt. Als je stichting persoonsgegevens beheert, ben je volgens de AVG verplicht om passende beveiligingsmaatregelen te nemen. In bepaalde gevallen, vooral bij gevoelige data of financiële informatie, kan 2FA als essentiële beveiligingsmaatregel worden gezien. Het implementeren van 2FA beschermt je stichting tegen datalekken en cyberdreigingen, die steeds vaker voorkomen in de non-profitsector.
Is twee-factor authenticatie wettelijk verplicht voor stichtingen in Nederland?
Er is geen specifieke wet in Nederland die expliciet voorschrijft dat stichtingen twee-factor authenticatie moeten gebruiken. De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties wel om “passende technische en organisatorische maatregelen” te nemen om persoonsgegevens te beschermen, maar noemt 2FA niet specifiek bij naam.
Wat de AVG wel vereist, is dat je als stichting een beveiligingsniveau hanteert dat past bij de risico’s die de verwerking met zich meebrengt. Als je stichting gevoelige persoonsgegevens verwerkt, zoals gezondheidsinformatie of financiële gegevens van donateurs, wordt een hoger beveiligingsniveau verwacht.
De Autoriteit Persoonsgegevens raadt organisaties steeds vaker aan om twee-factor authenticatie te implementeren als onderdeel van een robuust beveiligingsbeleid. Hoewel dit niet expliciet in de wet staat, kan het bij een onderzoek na een datalek wel worden gezien als een standaard beveiligingsmaatregel die je had moeten nemen.
Voor stichtingen die in specifieke sectoren actief zijn, zoals de zorg of het onderwijs, kunnen aanvullende regelgeving en standaarden gelden die strengere beveiligingseisen stellen, waaronder mogelijk ook het gebruik van 2FA.
Wanneer wordt twee-factor authenticatie noodzakelijk voor een stichting?
Twee-factor authenticatie wordt praktisch noodzakelijk voor je stichting in situaties waar de gevolgen van een datalek of ongeautoriseerde toegang ernstig kunnen zijn. Dit is vooral het geval wanneer je met gevoelige gegevens werkt of wanneer je systemen toegang bieden tot belangrijke financiële of persoonlijke informatie.
Bij het verwerken van bijzondere persoonsgegevens zoals informatie over gezondheid, religie, politieke voorkeur of etniciteit, wordt 2FA bijna onmisbaar. De AVG stelt hogere eisen aan de beveiliging van deze gegevens, en twee-factor authenticatie is een concrete maatregel om aan die eisen te voldoen.
Ook wanneer je stichting financiële transacties uitvoert, zoals het ontvangen van donaties of het betalen van facturen via online systemen, is 2FA belangrijk om fraude te voorkomen. Toegang tot bankrekeningen en betalingssystemen moet extra goed beveiligd zijn.
Als je stichting werkt met clouddiensten waar belangrijke documenten, contactgegevens van donateurs of andere waardevolle informatie is opgeslagen, is twee-factor authenticatie eveneens aan te raden. Dit geldt ook voor e-mailaccounts van bestuursleden of medewerkers die toegang hebben tot gevoelige informatie.
Ten slotte wordt 2FA steeds vaker een vereiste in subsidievoorwaarden, samenwerkingsovereenkomsten of verzekeringspolissen. Externe partijen verwachten steeds vaker dat je als stichting basisbeveiligingsmaatregelen hebt getroffen.
Welke gevolgen heeft het niet implementeren van twee-factor authenticatie?
Het niet implementeren van twee-factor authenticatie kan voor je stichting verschillende risico’s en nadelige gevolgen met zich meebrengen. De meest directe dreiging is een verhoogd risico op een datalek door ongeautoriseerde toegang tot je systemen en gegevens. Hackers richten zich steeds vaker op non-profitorganisaties omdat deze vaak minder beveiligd zijn dan commerciële bedrijven.
Bij een datalek ben je als stichting verplicht dit te melden bij de Autoriteit Persoonsgegevens als er risico’s zijn voor de rechten van betrokkenen. Als blijkt dat je niet de passende beveiligingsmaatregelen hebt genomen die redelijkerwijs verwacht mogen worden, kan dit leiden tot boetes. Deze boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet – voor stichtingen vaak een onoverkomelijk bedrag.
Naast financiële gevolgen kan een beveiligingsincident ernstige reputatieschade veroorzaken. Voor stichtingen is vertrouwen van donateurs, vrijwilligers en andere belanghebbenden essentieel. Een datalek kan dit vertrouwen ernstig schaden en leiden tot het verlies van donateurs en partners.
In sommige gevallen kan het niet implementeren van 2FA ook leiden tot problemen met verzekeringen. Steeds meer cyberverzekeringen stellen basisbeveiligingsmaatregelen als voorwaarde voor dekking. Zonder deze maatregelen kun je mogelijk geen verzekering afsluiten of wordt een claim afgewezen.
Tot slot kan het ontbreken van goede beveiliging leiden tot persoonlijke aansprakelijkheid van bestuursleden. Als blijkt dat zij nalatig zijn geweest in het beschermen van gegevens, kunnen zij in bepaalde gevallen persoonlijk aansprakelijk worden gesteld voor de gevolgen.
Hoe implementeer je twee-factor authenticatie in een stichting?
Om twee-factor authenticatie in je stichting te implementeren, begin je met een inventarisatie van alle systemen en accounts die toegang geven tot gevoelige informatie. Denk aan e-mailaccounts, clouddiensten, financiële software, CRM-systemen en bestuursportalen. Maak een prioriteitenlijst op basis van de gevoeligheid van de gegevens die via deze systemen toegankelijk zijn.
Kies vervolgens de juiste 2FA-methode voor je organisatie. Er zijn verschillende opties:
- SMS-verificatie (code via sms)
- Authenticator-apps zoals Google Authenticator of Microsoft Authenticator
- Fysieke beveiligingssleutels zoals YubiKey
- Biometrische verificatie zoals vingerafdrukken of gezichtsherkenning
Voor kleine stichtingen zijn authenticator-apps vaak de meest praktische oplossing: ze zijn gratis, eenvoudig te gebruiken en bieden goede beveiliging. Voor stichtingen met zeer gevoelige gegevens kunnen fysieke beveiligingssleutels de beste optie zijn.
Vergeet niet om duidelijke procedures op te stellen. Documenteer wie toegang heeft tot welke systemen en wie verantwoordelijk is voor het beheer van accounts en toegangsrechten. Maak ook een noodplan voor situaties waarin iemand zijn telefoon kwijtraakt of geen toegang heeft tot zijn tweede factor.
Een gefaseerde implementatie werkt vaak het beste. Begin met de accounts van bestuursleden en medewerkers die toegang hebben tot de meest gevoelige informatie, en breid daarna uit naar andere gebruikers. Zorg voor goede instructies en ondersteuning tijdens de overgang.
Ten slotte is het belangrijk om regelmatig te controleren of 2FA nog correct wordt gebruikt en werkt zoals bedoeld. Neem twee-factor authenticatie op in je beveiligingsbeleid en zorg dat nieuwe bestuursleden en medewerkers direct met 2FA beginnen.
Wat kost de invoering van twee-factor authenticatie voor een stichting?
De kosten voor het invoeren van twee-factor authenticatie bij je stichting kunnen sterk variëren, afhankelijk van de gekozen methode en de grootte van je organisatie. De goed nieuws is dat er voor kleine tot middelgrote stichtingen vaak betaalbare of zelfs gratis oplossingen beschikbaar zijn.
Voor veel clouddiensten die stichtingen gebruiken, zoals Microsoft 365, Google Workspace of Dropbox, is 2FA al inbegrepen in het standaardpakket zonder extra kosten. Je betaalt alleen voor de dienst zelf, niet voor de extra beveiliging. Dit geldt ook voor veel CRM-systemen en donateursportalen.
Als je kiest voor authenticator-apps zoals Google Authenticator, Microsoft Authenticator of Authy, zijn deze gratis te downloaden en te gebruiken. De enige voorwaarde is dat gebruikers een smartphone hebben, wat tegenwoordig meestal geen probleem is.
Voor fysieke beveiligingssleutels zoals YubiKeys moet je rekenen op ongeveer €40-60 per stuk. Voor een kleine stichting met 5 bestuursleden zou dit neerkomen op €200-300 voor de hardware. Deze sleutels gaan wel jaren mee en bieden uitstekende beveiliging.
Naast de directe kosten moet je ook rekening houden met indirecte kosten:
- Tijd voor het instellen en configureren van 2FA (ongeveer 1-2 uur voor de initiële setup)
- Tijd voor het trainen van bestuursleden en medewerkers (ongeveer 30 minuten per persoon)
- Mogelijke ondersteuning bij problemen of vragen
Voor een kleine stichting met beperkt budget is de meest kosteneffectieve aanpak om te beginnen met de gratis authenticator-apps in combinatie met de 2FA-mogelijkheden die al ingebouwd zijn in de diensten die je gebruikt. Zo kun je met minimale kosten toch een goede basisbeveiliging opzetten.
Uiteindelijk wegen de kosten van 2FA niet op tegen de potentiële kosten van een datalek, boetes of reputatieschade. Het is een relatief kleine investering voor een aanzienlijke verbetering van je digitale veiligheid.
Conclusie
Hoewel twee-factor authenticatie niet expliciet wettelijk verplicht is voor alle stichtingen, is het in veel gevallen wel een noodzakelijke maatregel om te voldoen aan de beveiligingseisen van de AVG. Vooral wanneer je stichting werkt met persoonsgegevens, financiële informatie of andere gevoelige data, is 2FA een belangrijke laag in je beveiliging.
De implementatie hoeft niet ingewikkeld of duur te zijn. Met gratis authenticator-apps en de ingebouwde 2FA-mogelijkheden van veel clouddiensten kun je al een stevige basis leggen. Begin met de meest kritieke accounts en breid daarna uit naar andere gebruikers.
Bedenk dat de gevolgen van een datalek – zowel financieel als qua reputatie – vele malen groter zijn dan de inspanning die nodig is om 2FA te implementeren. Bij Officebox zien we dat stichtingen die proactief investeren in hun digitale veiligheid beter beschermd zijn tegen de toenemende cyberdreigingen en met meer vertrouwen hun maatschappelijke doelen kunnen nastreven.
Veelgestelde vragen
Hoe overtuig ik mijn medebestuursleden van het belang van twee-factor authenticatie?
Begin met het uitleggen van de concrete risico's voor jullie specifieke stichting, zoals datalekken van donateursgegevens of toegang tot financiële accounts. Deel recente voorbeelden van cyberaanvallen op vergelijkbare organisaties. Benadruk dat de implementatiekosten veel lager zijn dan de mogelijke boetes bij een datalek. Organiseer eventueel een korte demonstratie waarbij je laat zien hoe eenvoudig 2FA werkt en hoeveel extra veiligheid het biedt.
Wat als een bestuurslid zijn telefoon kwijtraakt of vervangt en geen toegang meer heeft tot de authenticator-app?
Het is essentieel om herstelcodes te genereren en veilig te bewaren zodra je 2FA instelt. Deze codes kunnen eenmalig worden gebruikt om toegang te krijgen als de hoofdmethode niet beschikbaar is. Zorg dat elke gebruiker deze codes opslaat op een veilige plek, bijvoorbeeld in een wachtwoordkluis. Voor kritieke accounts is het verstandig om ook een back-up authenticatiemethode in te stellen, zoals een tweede telefoonnummer of e-mailadres. Documenteer daarnaast de procedure voor accountherstel in het beveiligingsprotocol van je stichting.
Zijn er uitzonderingen of situaties waarin twee-factor authenticatie niet werkt of niet praktisch is?
In omgevingen met beperkte internetverbinding kan 2FA via apps problematisch zijn. Overweeg in dat geval offline opties zoals vooraf gegenereerde codes. Voor vrijwilligers die geen smartphone hebben, kunnen SMS-verificatie of fysieke beveiligingssleutels een alternatief zijn. Bij gedeelde accounts (wat eigenlijk vermeden moet worden) is 2FA lastig te implementeren; herstructureer dan liever naar individuele accounts met de juiste rechten. Voor oudere systemen die geen moderne authenticatiemethoden ondersteunen, overweeg een upgrade of implementeer extra beveiligingslagen zoals IP-restricties.
Welke twee-factor authenticatiemethode is het veiligst voor onze stichting?
Fysieke beveiligingssleutels zoals YubiKeys bieden de hoogste veiligheid en zijn vrijwel niet te hacken. Authenticator-apps zoals Google Authenticator of Microsoft Authenticator vormen een goede middenweg tussen veiligheid en gebruiksgemak. SMS-verificatie is beter dan alleen een wachtwoord, maar minder veilig vanwege SIM-swapping aanvallen. Biometrische verificatie is handig maar meestal alleen beschikbaar op persoonlijke apparaten. Kies op basis van de gevoeligheid van je gegevens: voor financiële systemen zijn fysieke sleutels of authenticator-apps aan te raden, terwijl voor minder kritieke systemen SMS-verificatie volstaat.
Hoe zorgen we ervoor dat twee-factor authenticatie geen belemmering vormt voor vrijwilligers en incidentele medewerkers?
Bied goede training aan met duidelijke stap-voor-stap instructies, eventueel ondersteund door video's of afbeeldingen. Zorg voor een supportpersoon die vragen kan beantwoorden tijdens de implementatiefase. Overweeg om minder strenge 2FA-eisen te stellen voor accounts met beperkte toegangsrechten. Maak gebruik van 'vertrouwde apparaten' functionaliteit zodat gebruikers niet elke keer opnieuw 2FA hoeven uit te voeren op hun eigen apparaten. Begin met een proefperiode bij een kleine groep gebruikers om kinderziektes op te lossen voordat je het breder uitrolt.
Kunnen we subsidie of financiële ondersteuning krijgen voor het implementeren van twee-factor authenticatie?
Er bestaan diverse subsidiemogelijkheden voor cybersecurity-maatregelen bij non-profitorganisaties. Kijk naar het Digital Trust Center (DTC) dat gratis advies en tools biedt. Sommige gemeenten hebben lokale digitaliseringsfondsen voor stichtingen. IT-donatieprogramma's zoals TechSoup bieden korting op beveiligingssoftware en -hardware. Grote clouddiensten zoals Microsoft en Google hebben non-profit programma's met gratis of gereduceerde licenties inclusief geavanceerde beveiligingsopties. Overweeg ook om specifieke fondsen aan te schrijven voor een digitaliseringsproject waarin 2FA is opgenomen.
Hoe controleren we of onze twee-factor authenticatie effectief is en correct wordt gebruikt?
Voer regelmatig audits uit van alle accounts om te controleren of 2FA is ingeschakeld waar nodig. Gebruik de rapportagemogelijkheden van je IT-systemen om inlogpogingen en 2FA-gebruik te monitoren. Organiseer periodieke bewustwordingssessies met bestuursleden en medewerkers. Overweeg een jaarlijkse 'beveiligingscheck' waarbij alle beveiligingsinstellingen worden gecontroleerd. Je kunt ook een ethische hacker of IT-beveiligingsexpert vragen om je beveiliging te testen en zwakke plekken te identificeren.