Een datalek kan elke organisatie treffen, zorg dat het crisisplan klaarligt

[Door Robert Heeg]

November vorig jaar verschenen opeens de persoonsgegevens van tweeduizend Philips-medewerkers op Pastebin. Het ging onder meer om adresgegevens, jaaropgaven en burgerservicenummers. Een shock voor elke organisatie, en niet in de laatste plaats voor de woordvoerder algemene zaken, Marianne Nouwens. ‘Hoe is dit gebeurd? gaat er door je heen. Wat vreselijk voor deze medewerkers. We hebben meteen een onderzoek naar het incident ingesteld en een crisisteam samengesteld. Het eerste wat je doet is hoogte krijgen van hoe erg de situatie is.’

Sinterklaasfeest
Ook in november, maar dan bij de Erasmus Universiteit in Rotterdam, lekten er persoonlijke gegevens. Het ging om 270.000 oudere webformulieren op een webserver, zoals die wel vaker bij organisaties in het systeem blijven hangen. Het waren geen wachtwoorden of medische dossiers, al wil woordvoerder Sandra van Beek de zaak allerminst bagatelliseren. ‘Bij een bank is het anders als er gegevens op straat liggen, want voor hen is het core business. Maar wij vinden het als organisatie niet de bedoeling dat iedereen kan zien dat het driejarige kind van een medewerker bij het Sinterklaasfeest een pop wil. Dat is gewoon privé.’

Gestolen laptop
Aan recente cases voor dit artikel geen gebrek. De media stonden de afgelopen maanden weer bomvol hacks en datalekken. We denken dan al snel aan zorg- en financiële instellingen, maar het kan elke organisatie gebeuren.
Zo was eind vorig jaar een gestolen laptop van een leverancier waarschijnlijk de reden voor een datalek bij verschillende gemeenten. Die hebben daarvoor een overkoepelende Informatiebeveiligingsdienst (IBD), waar ze 24/7 terechtkunnen voor advies over woordvoering. ‘Het gaat vaak om onderwerpen waar de gemeentewoordvoerder niet altijd in thuis is,’ legt IBD’s communicatieadviseur Remco Groet uit.

Glazen huis
De dienst heeft draaiboeken voor verschillende situaties en kan ook putten uit voorbeelden uit het verleden. Een datalek of beveiligingsincident naar buiten brengen is voor gemeenten eigenlijk geen vraag, zegt Groet. ‘Je bevindt je in een glazen huis. Zodra de gemeenteraad geïnformeerd wordt is de informatie in feite openbaar. Een ict-beveiligingsincident kan uitgroeien tot een serieuze crisis, met alle aspecten van een crisis in het fysieke domein: bezorgde burgers, vragen van de media en speculaties over de toedracht en gevolgen.’

Actieplan
Niet alle organisaties zijn op zo’n gebeurtenis voldoende voorbereid. Wanneer plotseling de pers op de stoep staat of klanten of medewerkers zich roeren, ben je al te laat, zegt Sietse Pots, managing director Sterk Werk Communicatie & Content Marketing, die hierover vorig jaar een scherpe blog postte op communicatieonline.nl (http://bit.ly/2j7jlyt). ‘Onze ervaring is dat veel organisaties pas wanneer het gebeurt, gaan nadenken over hun communicatiebeleid ten aanzien van datalekken. Terwijl de kans dat het gebeurt vaak groter is dan gedacht en verwacht, en je van tevoren de communicatierisico’s kunt inschatten en het daarvoor geschikte actieplan kunt maken.’

Razendsnel
Dat laatste beveelt hij zeer aan, omdat een datalek razendsnel tot negatieve publiciteit kan leiden. En omdat de Meldplicht Datalekken je verplicht om een incident met gevoelige persoonsgegevens binnen 72 uur te melden. ‘Veel tijd om je communicatie voor te bereiden heb je dus niet, zeker niet als een datalek met persoonsgegevens eerder in de openbaarheid komt.’

Regie verliezen
Hij raadt ook aan om een aantal waarschijnlijke situaties, met een grote impact op de reputatie, op hoofdlijnen te beschrijven. Ook moet er een crisisteam klaarstaan, en rollen en verantwoordelijkheden worden verdeeld. ‘Als je op het moment dat het gebeurt from scratch moet beginnen, is de kans groot dat je achter de feiten aanloopt. Daarmee verlies je de regie over de communicatie en kom je in een defensieve positie terecht.’

Opgeschaald incident
Voor Sandra van Beek (Erasmus) kwam het onheil gelukkig niet helemaal onverwacht. ‘Toevallig hadden we net een soortgelijke kwestie geoefend.’ Als er iets speelt wordt haar team onmiddellijk gewaarschuwd. In dit geval werd het incident opgeschaald en kwam het crisismanagementteam in actie. ‘Ik werd niet door journalisten gebeld, op dat moment was alles nog binnenshuis. Daar hebben we afspraken over gemaakt. Intern gaat in zulke gevallen altijd voor extern. We zijn zo transparant en tijdig mogelijk, maar vóór alles moeten we feitelijk zijn.’

Q&A
Het crisisteam bleef voortdurend informeren en er werden all staff en students-mails verstuurd. Speciaal ingerichte webpagina’s werden vaak ververst, en de Q&A voor medewerkers en pers werd regelmatig aangepast op basis van inkomende vragen en opmerkingen op social media. Er ging een persoonlijke brief naar de direct gedupeerden, en bezorgde medewerkers konden hun vragen kwijt, zegt Van Beek. ‘De front-office werd op de hoogte gehouden van alle ontwikkelingen. Die krijgen immers als eerste de vragen. En voor mensen die zich zorgen maakten bleef het callcenter ook in het weekend open.’

Vóór alles zorgvuldig
Procescommunicatie is volgens Van Beek op zulke momenten een cruciaal onderdeel. ‘Meld alles. Zelfs al weet je niets, geef door wanneer je meer denkt te hebben. Vertel ook welke maatregelen je ondertussen allemaal neemt om erger te voorkomen.’ Ze leerde dat zo’n crisisorganisatie meer discipline dan normaal vereist, met name omdat snelheid geboden is. ‘Ondertussen moet je vóór alles zorgvuldig blijven in je communicatie. Er waren veel checks, ook door een externe, juridische partij. Daardoor moet je soms wat langer wachten dan je zou willen.’
Het was aanpoten, bekent Van Beek. ‘We hebben het gered, maar als het probleem groter was geworden hadden we zeker extra mensen moeten inzetten.’

Grondig onderzoek
Ook bij Philips liggen er allerlei draaiboeken en -scenario’s klaar, al was er geen specifiek plan voor een datahack. Marianne Nouwens zegt dat je op zo’n moment zeker van crisiscommunicatie kunt spreken. ‘Het crisisteam laat alle werk vallen om zich volledig te concentreren op het beheersen van de situatie. Er worden direct calls aangemaakt, waarin iedereen inbelt om puntsgewijs afspraken te maken: wie zoekt wat uit, wie schrijft wat? De woordvoerders en communicatiespecialisten stellen zorgvuldig geformuleerde berichten samen voor interne en externe communicatie. Daarin wordt een eerste indruk gegeven van wat er gebeurd is, welke gegevens er specifiek zichtbaar zijn geweest op internet en welke eerste stappen worden genomen. Zodra we op de hoogte waren van het incident, is een grondig onderzoek ingesteld.’

Autoriteit Persoonsgegevens
Philips lichtte de Autoriteit Persoonsgegevens in (verplicht, zie kader) en liet Pastebin de informatie verwijderen. De ict-analisten hielden in de gaten of de gegevens niet opnieuw werden geplaatst. Daarnaast was er nauw contact met de betrokken externe partijen, zodat het incident op een effectieve en gerichte wijze kon worden gemanaged.

Intensief proces
De ict-privacy- en securityspecialisten zaten bij Philips in het crisisteam, maar Remco Groet noemt het een misverstand dat een informatiebeveiligingsincident grotendeels een ict-aangelegenheid is. ‘Bij een dergelijk incident is van belang dat alle betrokkenen samen vaststellen wat er aan de hand is en wat er gecommuniceerd kan worden.’ Een zeer intensief proces dus. En al die tijd moeten organisaties nauwlettend in de gaten houden hoe de communicatie rondom het datalek zich ontwikkelt, benadrukt Sietse Pots. ‘Hoe reageren medewerkers en klanten? Ontstaan er geruchten op social media? Wat is de teneur in de traditionele media? Pas doorlopend je tactiek en je boodschappen daarop aan, zodat je laat zien oog te hebben voor wat er leeft.’

Regie pakken
Omgang met de media is niet de enige uitdaging, ook de interne communicatie is een belangrijke taak, onderstreept Pots. ‘De afdeling communicatie moet bij een datalek de regie pakken. Immers, veel datalekken ontstaan door menselijke fouten, die een IT-afdeling onmogelijk helemaal kan dichttimmeren. Het is belangrijk dat medewerkers zich bewust zijn van de risico’s, zodat ze daarnaar handelen. Mocht het dan toch fout gaan, dan moet een medewerker weten wat hij moet doen en bij wie hij een datalek van persoonsgegevens dient te melden. Als een datalek plaatsvindt, is het ook belangrijk dat de melding snel bij de afdeling communicatie terechtkomt, zodat zij de organisatie kunnen bijstaan en de reputatieschade kunnen beperken.’

Getroffen medewerkers
Ook Nouwens bevestigt het belang van interne communicatie. ‘Het is zaak om zoveel mogelijk duidelijkheid te geven en je te verdiepen in hoe de medewerkers dit kunnen ervaren. Wij hebben alle getroffen medewerkers zo snel mogelijk na het ontdekken van de gegevenslek via email op de hoogte gebracht. Met informatiebijeenkomsten wilden we ze zoveel mogelijk blijven informeren en in contact blijven.’
Het crisisteam bij Philips maakte ook een centraal emailaccount en een centraal telefoonnummer aan, en richtte een intranetpagina met een Q&A in. Alle betrokkenen werd geadviseerd alert te zijn op signalen van ongebruikelijke activiteit in verband met hun identiteit en onder andere hun bank over het incident te informeren.

Onzekerheden
Het is moeilijk aan te geven wanneer een datalek echt voorbij is. Bij Philips worden de laatste ontwikkelingen nog steeds gemeld op de intranetpagina’s en in brieven. Het callcenter is ook nog bereikbaar. ‘Dit is een onderwerp dat blijvend op de agenda zal staan’, weet Nouwens. Blijvende schade voorkomen doe je volgens haar door open en eerlijk te communiceren en met name de eerst getroffenen goed te infomeren en mee te nemen in het proces. ‘Het één-op-één met hen spreken geeft een goed beeld van de vragen en onzekerheden die er bij onze medewerkers leven.’

Transparantie
Enkele maanden na de eerste melding bij de Erasmus Universiteit ziet Sandra van Beek geen blijvende gevolgen. ‘We hebben steeds helder gecommuniceerd en hielden niets achter. Transparantie wordt altijd gewaardeerd en je voorkomt er negatieve publiciteit mee.’

Vertrouwensherstel
Bij het dweilen na een datalek is vertrouwensherstel cruciaal. Zeker bij de overheid, aldus Remco Groet. ‘Inwoners en bedrijven moeten kunnen vertrouwen op de bescherming van gegevens die aan de overheid zijn toevertrouwd. Bij een informatiebeveiligingsincident kan dit vertrouwen worden aangetast. Snelle, transparante en heldere communicatie kan ertoe bijdragen dat de schade wordt beperkt en het verloren vertrouwen hersteld.’

Voorbereiding
Hier is volgens Sietse Pots de voorbereiding weer belangrijk. ‘Door vooraf goed te bedenken wat je doet en hoe je over deze handelingen communiceert, kun je de reputatieschade beperken of in enkele gevallen zelfs voorkomen. Vertrouwen herstellen kun je doen met woorden, maar het moet vooral blijken uit daden. Communiceer duidelijk en transparant welke maatregelen je hebt getroffen en gáát treffen, en welke mensen zelf kunnen nemen, om de kans op verdere schade of een nieuw datalek te verkleinen.’

Pats!
Maar al ben je nog zo transparant, in de media kunnen zaken soms toch zo worden overgenomen dat de gelekte informatie gevoeliger lijkt dan die in werkelijkheid is. ‘Aan de tone of voice verander je niet veel’, zegt Van Beek. ‘Met de journalist van de NOS had ik goed contact. Hij nam alle feiten heel precies over. Maar dat deed niet iedereen. Ik snap het ook wel, ze willen een spannend verhaal.’
Dat vond zij het zelf, terugblikkend, ook wel een beetje. Vanzelfsprekend zit ze niet op datalekken te wachten, maar Van Beek geeft toe dat ze een paar enerverende weken achter de rug heeft. ‘Het is opeens: pats! En dan schakel je toch over naar een bepaalde stand, ja.’

Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens, maar uit recent onderzoek blijkt dat 41 procent organisaties dit niet doet.

FOTO: 123RF / IURII STEPANOV