Een wachtwoordmanager kiezen voor je MKB: waar let je écht op?

De keuze voor een wachtwoordmanager is geen smaakkwestie, maar ook geen rocket science. Een praktische gids voor ondernemers zonder IT-afdeling.

Vrijwel elke ondernemer waar we mee praten weet inmiddels dat een wachtwoordmanager geen luxe is. Toch zien we in de praktijk dat de keuze óf jaren wordt uitgesteld, óf binnen vijf minuten wordt gemaakt op basis van een reclame in een podcast. Beide werken niet. In dit stuk lopen we door wat écht belangrijk is als je een wachtwoordmanager kiest voor een bedrijf van 5 tot 50 mensen.

Wat een wachtwoordmanager moet doen — en wat niet

De basis is simpel: één plek waar alle wachtwoorden staan, beveiligd met een sterk hoofdwachtwoord en tweefactor. Iedereen heeft een eigen kluis en daarnaast zijn er gedeelde kluizen voor team-accounts (denk aan de info@-mailbox, de boekhoudsoftware of het LinkedIn-bedrijfsaccount).

Wat een wachtwoordmanager niet moet zijn: een dumpplek voor random documenten, een vervanging voor je IAM-tool, of een excuus om wachtwoorden te delen die eigenlijk persoonlijk hadden moeten zijn. Houd die scheidslijn helder, dan blijft de tool werkbaar.

De vijf criteria die er echt toe doen

1. Echte teamfunctionaliteit, niet een gezinsabonnement

Veel kleine bedrijven beginnen met een family-plan van een consumentenmanager. Dat werkt tot je vijfde medewerker, en daarna niet meer. Je wilt rolgebaseerde toegang, gedeelde kluizen per afdeling, en de mogelijkheid om in één klik iemands toegang in te trekken. Check of je gebruikers kunt groeperen en of je kunt zien wíé toegang heeft tot welke kluis.

2. Een nette offboarding-flow

Als iemand uit dienst gaat, moet je binnen een paar minuten zijn of haar toegang kunnen blokkeren én de gedeelde wachtwoorden kunnen roteren. Niet alle managers maken dat even makkelijk. Vraag een demo en laat ze het scenario "medewerker vertrekt vandaag nog" voordoen. Zie je daar geknoei? Volgende.

3. Logging en audit trail

Wie heeft wanneer welk wachtwoord bekeken? Voor een AVG-incident, een verdenking van datalek of gewoon een access review wil je dit kunnen aantonen. Een audit log is geen luxe — het is bewijsvoering.

4. SSO en SCIM (als je het kunt betalen)

Heb je Microsoft 365 met een fatsoenlijke licentie, dan wil je je wachtwoordmanager kunnen koppelen aan Entra ID. Nieuwe medewerker erbij in Entra? Automatisch een account in de wachtwoordmanager. Uit dienst? Automatisch weg. Dit zit vaak in een duurder plan, maar bespaart bergen handwerk. Voor kleine teams is het overkill; vanaf ongeveer 15 mensen wordt het de moeite waard.

5. Bewaarplaats van de data

De grote spelers hebben zero-knowledge encryptie, wat betekent dat de leverancier zelf je wachtwoorden niet kan inzien. Goed. Kijk daarnaast naar waar de versleutelde data staat (EU is een pré voor AVG-gemak) en hoe de leverancier omgaat met incidenten. Een eerder datalek is geen automatische diskwalificatie — hoe ze erop reageerden zegt meer.

De praktische vragen die mensen nooit stellen

Naast die vijf criteria zijn er een paar hele platte vragen die je in een demo móét stellen:

• Werkt het op iedereens telefoon? iOS én Android, en herkent de app je inloggegevens in andere apps?
• Wat als iemand zijn hoofdwachtwoord vergeet? Is er een recovery-flow, of ben je alles kwijt? En wat betekent dat voor jou als beheerder?
• Hoe makkelijk is bulk-import? Je moet straks 80 wachtwoorden uit een Excel-bestand of een andere tool kunnen overzetten zonder een avond te verspelen.
• Kun je per kluis een aparte 2FA afdwingen? Het hoofdwachtwoord plus 2FA is de norm, maar voor de échte kroonjuwelen wil je een extra slot.

Wat we in de praktijk zien werken

Voor de meeste MKB-bedrijven werkt deze opzet:

1. Eén wachtwoordmanager voor het hele bedrijf, niet drie verschillende per afdeling.
2. Persoonlijke kluis per medewerker — ook voor hun privéwachtwoorden, want anders gebruiken ze hem niet consequent.
3. Gedeelde kluizen per team of project, met duidelijke eigenaren.
4. Een aparte kluis voor "admin/kroonjuwelen" met heel beperkte toegang en extra 2FA.
5. Een halfjaarlijkse check: wie zit er in welke kluis, en klopt dat nog?

Die laatste stap is geen overdaad. Het is precies waarom we bij klanten zo vaak vergeten accounts vinden — vergeten omdat er nooit iemand naar kijkt.

De grootste valkuil: invoering zonder plan

De tool kiezen is het makkelijke deel. De invoering is waar het misgaat. Mensen blijven hun oude Excel-lijstje gebruiken "tot het rustiger wordt", of slaan wachtwoorden alsnog op in hun browser. Plan dus minimaal één gezamenlijke sessie waarin iedereen daadwerkelijk z'n eerste twintig wachtwoorden in de manager zet. En spreek af: vanaf datum X verdwijnen Excel, post-its en browseropslag.

Een wachtwoordmanager is een van die investeringen waar je achteraf van zegt: had ik dat maar eerder gedaan. Maar dan moet je hem wel echt gebruiken.

Wil je de bredere context — hoe gedeelde accounts veilig blijven, hoe je 2FA uitrolt en hoe je toegang netjes in- en uitschakelt? Kijk dan eens naar onze 2FA-implementatie en de toegang-check. We helpen je niet alleen kiezen, maar ook daadwerkelijk invoeren.