De telefoon gaat. “Goedemiddag, met NOS Radio 1. Een van uw wetenschappers mailde ons zojuist een persrapport met onderzoeksresultaten. Daarin staan echter ook allerlei persoonsgegevens van de onderzoeksgroep zoals informatie over hun ziektebeeld. Kunt u bevestigen dat…”
Zelfs de meest ervaren woordvoerder bekruipt op zo’n moment toch het gevoel dat een hert ook heeft als het verstijfd in de koplampen van een naderende vrachtwagen staart, luttele seconden voor de aanrijding.
Wat nu? De reputatie van je organisatie staat onder druk; je communicatie ligt onder het vergrootglas. Kom hier maar eens ongeschonden uit. Want zo’n telefoontje komt altijd onverwachts. Toch?
Geen keuze
Integendeel. In dit geval kan je het onverwachte voorspellen. Om de simpele reden dat elke organisatie vroeg of laat met een datalek te maken krijgt. En dat de kans groot is dat persoonsgegevens daar onderdeel van uitmaken.
Communiceren daarover is niet langer een keuze. Sinds 1 januari 2016 is het verplicht binnen 72 uur melding te maken bij de Autoriteit Persoonsgegevens als persoonsgegevens op straat belanden. Ook de personen op wie die gegevens betrekking hebben, moeten in sommige gevallen geïnformeerd worden. Het niet naleven van deze wet kan leiden tot boetes van meer dan 800.000 euro. En een flinke deuk in je reputatie.
Impact enorm
De potentiele impact van het lekken van gegevens op het dagelijkse leven van iemand wordt nogal eens onderschat. Doel van de Meldplicht Datalekken is onder andere dat organisaties beter omgaan met privacygevoelige informatie. En dat personen van wie de gegevens zijn uitgelekt dat sneller weten.
Zorginstellingen en financiële instellingen beseffen al langer dat patiënt- en klantgegevens goed beveiligd moeten worden. In veel andere sectoren en branches is die bewustwording minder. Persoonsgegevens, bankrekeningnummers, persoonlijke informatie van eigen medewerkers: vrijwel iedere organisatie bezit gevoelige persoonsgegevens. En vrijwel iedere organisatie kan dus te maken krijgen met de Meldplicht Datalekken.
Verkeerde persoon
Je kunt je nog zo goed beveiligen tegen bijvoorbeeld een hack van buitenaf – waar mensen werken, worden fouten gemaakt. Iedereen heeft wel eens een mailtje gestuurd naar een verkeerd mailadres. Laat dat nou net een mail zijn waarin ook persoonsgegevens staan en er kan sprake zijn van een datalek dat je moet melden bij de Autoriteit Persoonsgegevens.
Waar het zwaartepunt nu vooral bij ‘de IT-afdeling’ ligt, is er een heel grote rol weggelegd voor de communicatie-afdeling. Het besef bij communicatieprofessionals dat de Meldplicht Datalekken ook een hele sterke reputatiecomponent heeft, is nog niet overal doordrongen.
Intern
Maar ook op het gebied van interne communicatie is er een cruciale rol weggelegd voor communicatieprofessionals. Want zeg eens eerlijk: weet iedereen binnen jouw organisatie waar hij of zij een datalek moet melden? En doet iedereen dat ook, of is de cultuur daar niet naar? Weet iedereen überhaupt wanneer er data zijn gelekt?
Misschien nog belangrijker: weet iedereen hoe het risico van het lekken van data vermeden kan worden, of nemen collega’s nog regelmatig onbeveiligde laptops en USB-sticks met persoonlijke gegevens van klanten mee naar huis ? Sturen ze hun mails met persoonsgegevens van klanten echt áltijd encrypted? Ik vrees van niet.
Regie pakken
Als de telefoon gaat en een journalist informeert naar gelekte gegevens, weet je in ieder geval dat je te laat bent. Zorg dat dit telefoontje er niet komt door de interne communicatie op orde te hebben. En mocht het fout gaan: meld het zelf aan de Autoriteit Persoonsgegevens en de klanten die het betreft. Zo voldoe je niet alleen aan de wet, je hebt ook de kans om zelf naar buiten te treden en regie te houden over de communicatie met klanten en eventueel de media.
Bedenk daarbij hoe je het zelf zou vinden als jouw persoonsgegevens waren gelekt. Liever hoor je dat zo snel mogelijk van de desbetreffende organisatie zelf, dan dat je er via een omweg achter komt. Liefst met welgemeende excuses, een aantal maatregelen die je meteen kunt treffen en een uitleg hoe dit voortaan wordt voorkomen.
Zo zorg je niet alleen dat je voldoet aan de Meldplicht Datalekken. Je zorgt er ook voor dat je het vertrouwen van je belangrijkste stakeholders niet te veel schaadt.
Sietse Pots is managing director Sterk Werk Communicatie en Content Marketing
Foto: Rawpixel
Plaats als eerste een reactie
Ook een reactie plaatsen? Word lid van Adformatie!