Passwork, een wachtwoordmanager die zich in de markt zet als ‘Made in EU’, is in werkelijkheid Russisch en FSB-gecertificeerd, en draait bij Nederlandse energie-, omroep- en IT-bedrijven. Dat blijkt uit onderzoek van het journalistencollectief OCCRP met de Nederlandse partners Investico en De Groene Amsterdammer, gepubliceerd op 17 juli 2026.
Voor elke organisatie die wachtwoordsoftware inkoopt is dit een concrete leveranciersbeslissing, geen ver-van-je-bed-verhaal. Een wachtwoordmanager bewaart letterlijk de sleutels tot al je systemen: serverlogins, beheeraccounts, betaalomgevingen. Draait die software bij een partij die code en updates deelt met een FSB-gecertificeerde Russische tak, dan verplaats je dat hele sleutelbos naar een jurisdictie waar je geen zicht op hebt. Het is precies het soort jurisdictierisico dat digitale soevereiniteit tot een kwestie van risicobeheer maakt, niet van politiek.
Een Europees uithangbord
Passwork verkoopt zichzelf als Europees product, maar heeft een licentie van de Russische geheime dienst FSB en probeert die herkomst te verdoezelen. Het bedrijf is in 2014 opgericht in het Russische Archangelsk, staat in het officiële Russische register voor binnenlandse software en levert aan gesanctioneerde defensiebedrijven zoals raketmaker Avangard en vliegtuigbouwer United Aircraft Corporation. Sinds de Russische inval in Oekraïne loopt de Europese tak via een Spaanse brievenbusfirma onder Alexander Muntyan, die volhoudt dat er “geen gedeelde klanten, servers, ondersteuning of klantdata” zijn met de Russische organisatie.
Identieke code, gesynchroniseerde updates
De kern van het risico zit in de techniek. De Russische passwork.ru en de Europese passwork.pro brengen hun updates op vrijwel hetzelfde moment en met identieke omschrijvingen uit: op 6 april 2026 kondigde passwork.ru versie 7.6 aan, een dag later verscheen bij passwork.pro dezelfde ‘Passwork Pro 7.6’ met woordelijk gelijke functiebeschrijvingen. De twee sites zijn vrijwel identiek, deelden eerder dezelfde webhosting en marketingaccounts, en de handleidingen verschillen alleen in taal. Dat wijst op gedeelde code, en gedeelde code betekent dat een kwaadaardige update in theorie vanuit Moskou wachtwoorden kan buitmaken.

Cybersecurity-expert Ronald Prins noemt het ‘enigszins naïef’ om aan te nemen dat wachtwoorden veilig zijn zolang ze lokaal staan: “ze kunnen gewoon vanuit Moskou inloggen”. Bart van den Berg van instituut Clingendael waarschuwt dat het onverstandig is om de digitale sleutels aan zo’n partij te geven: “dat is veel te gevaarlijk”.
Bij welke Nederlandse bedrijven
Onder de Nederlandse gebruikers zitten zonnepark-ontwikkelaar Novar (voorheen Solarfields, dat het grootste zonnepark van Nederland aanlegde), de regionale omroep RTV Noord en IT-dienstverlener Lucrasoft. Die laatste is het meest verstrekkend: Lucrasoft gebruikt Passwork niet alleen zelf, maar installeert en verkoopt het ook door aan mkb-klanten, waardoor het risico zich vertakt naar bedrijven die de naam Passwork misschien nooit hebben gehoord. Novar stopte direct na de melding; RTV Noord bleef de software voorlopig gebruiken.
Waarom dit verder reikt dan één tool
De FSB is geen abstracte dreiging. Dezelfde dienst zit achter de campagne waarvoor CISA en de NSA onlangs waarschuwden dat staatshackers van FSB Center 16 wereldwijd slecht beveiligde routers kapen. Een wachtwoordmanager met een FSB-licentie in datzelfde dreigingsbeeld is een veel directer probleem dan een gekaapte router: die bewaart de wachtwoorden zelf.
De echte les zit niet in Passwork alleen, maar in het verschil tussen een marketinglabel en de werkelijke eigenaar. ‘Made in EU’ op een website zegt niets over onder welke jurisdictie je data valt of wie technisch bij de servers kan. Bij een tool die de sleutels tot je hele digitale huishouding bewaart, is dat het eerste wat je zou moeten natrekken, niet het laatste. Wie zijn leveranciers systematisch wil doorlichten, kan elke kritieke leverancier in een afhankelijkheidsregister wegen op jurisdictie, continuïteit en zeggenschap.
Veelgestelde vragen
Grip op je digitale leveranciers
Wil je weten welke tools de sleutels tot jouw systemen in handen hebben en waar die data echt staat? Ik breng je afhankelijkheden in kaart en bouw waar het kan self-hosted alternatieven die je zelf in beheer houdt, van meedenken en ontwerp tot realisatie.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
