25.05.2017

Een datalek... Wat nu?

Leesduur
Aantal woorden

Volgend jaar op 25 mei 2018 gaat de nieuwe Europese General Data Protection Regulation (oftewel GDPR) van kracht. Samen met PM Risk-Crisis-Change willen we vandaag enkele handige tips & tricks meegeven omtrent een datalek.



Exact binnen 1 jaar gaat de nieuwe Europese Privacywet van kracht. In deze wet wordt de bescherming en beveiliging van persoonlijke data duidelijker omschreven. De afgelopen weken en maanden werd heel wat geschreven rond deze “GDPR”: hoe moet je je voorbereiden? Welke boetes riskeer je bij overtreding? … Maar wat je maar zelden leest: mocht het uiteindelijk toch fout gaan, ondanks een grondige voorbereiding, hoe ga je om met een datalek en hoe communiceer je erover?

Bedrijven of organisaties die persoonsdata verwerken (i.e. verzamelen, bijhouden, verkopen, laten verwerken door derden,…) moeten kunnen aantonen dat zij alle nodige maatregelen hebben genomen om deze data te beschermen.
Wat nu wanneer het niet goed verloopt en er sprake is van een “datalek”? Aan wie moet wat worden gemeld? Moet dit binnen een bepaalde periode gebeuren? Mag iedereen dit melden? Hieronder geven we samen met PM Risk-Crisis-Change, de specialisten in crisismanagement en crisiscommunicatie, enkele praktische tips & tricks mee!

  1. Wees voorbereid
    Maar ook weer niet té. Niemand heeft in tijden van crisis (en dus stress) de neiging om naar een op voorhand perfect uitgeschreven scenario te grijpen. Wat handiger is, is om een one-pager op te stellen met hierin enkele concrete afspraken:

    • Wie zijn de aanspreekpunten binnen de organisatie voor het operationele luik (het datalek dichten), het beleidsmatige luik (strategische beslissingen nemen op middellange en lange termijn) en het communicatieve luik (communicatie over de situatie)?
    • Welke tools willen we gebruiken, bijvoorbeeld om bestanden te delen?
    • Wat moet de eerste interne melding precies inhouden (aantal individuen en/of aantal records + contactgegevens verantwoordelijke)?
  2. Durf te communiceren
    Eenmaal het datalek is vastgesteld is het een wettelijke verplichting om zowel de Privacy-commissie als de betrokkene zelf (dit is de persoon over wiens data het gaat) hiervan op de hoogte te brengen.

Wanneer je als bedrijf hebt “gefaald” in het veiligstellen van de persoonsdata die je bijhoudt of verwerkt kunnen organisaties misschien de reflex hebben om dit voorval te verzwijgen of zelfs in de doofpot te steken. Dit is echter de verkeerde aanpak, als dergelijke informatie lekt kan je er als bedrijf heel slecht uitkomen. Kies er daarom dan ook voor om steeds open en transparant te zijn, zodat je aantoont dat je oprecht begaan bent met de situatie. Eerlijkheid duurt het langst!.

Het heeft ook geen zin om eerlijk te communiceren naar de werknemers of betrokkenen toe en de waarheid te verbloemen voor de buitenwereld, zeker niet in het huidige tijdperk. Immers, het is maar een kwestie van tijd eer via sociale media etc. de waarheid aan het licht gebracht wordt. Kijk hierbij maar naar het voorbeeld van United Airlines waar een gelijkaardige situatie zich voordeed toen het bedrijf aanvankelijk tegenstrijdige informatie verspreidde naar personeel enerzijds en media anderzijds. Men zegt niet voor niets “the cover-up is worse than the crime”.

Het nieuws van een datalek kan voor de nodige paniek zorgen bij (potentiële) klanten en extra worden bespeeld door de media. Ga dan ook in eerste instantie na hoe ernstig de kwestie is en wees de pers eventueel voor. Wanneer je merkt dat er nog niet veel ruchtbaarheid wordt gegeven aan de situatie, dan kan je ervoor kiezen om louter een bondig bericht te plaatsen in een hoekje van je website. Zie je echter op facebook, twitter, … al massa’s berichten verschijnen, kies dan zelf voor een meer actieve aanpak zoals bijvoorbeeld het contacteren van de pers om een artikel te laten publiceren. Grote kans dat je hierover erg veel tegenwind van het management ondervindt, maar wees er maar zeker van dat zij je eeuwig dankbaar zullen zijn wanneer het bedrijf als eerste een eerlijke publieke communicatie kan doen alvorens dit gebeurt door een journalist die maar wat graag het verhaal iets smeuïger maakt.

  1. Wees verstaanbaar
    Er heeft niemand een boodschap aan de communicatie wanneer deze amper te begrijpen is. Gebruik geen al te technische termen, maar ga op zoek naar verstaanbare synoniemen die iedereen kent. Onlangs zagen we het nog met de cyberaanval van 12 mei. Overal las je in koppen en artikels het woord “ransomware”. Niet iedereen weet meteen wat dit betekent, wat ervoor zorgde dat de communicatie vaak weinig impact had bij bepaalde groepen mensen. Vervang in je communicatie dat woord dan ook bijvoorbeeld door het toegankelijkere synoniem “virus”.
    Indien het niet mogelijk is om in een eerste communicatie concrete informatie door te geven, omdat je die bijvoorbeeld zelf nog niet hebt, kan je je wel focussen op procesinformatie. Dat houdt in dat je als bedrijf omschrijft wat je aan het doen bent met het lek. Bijvoorbeeld “externe IT-specialisten zijn samen met ons IT-dienst aan het bekijken over welk type virus het gaat, omdat het veiligstellen van de data onze absolute prioriteit is. We verwachten omstreeks 14u meer informatie hierover te verkrijgen waarover we jullie zullen inlichten”. Soortgelijke informatie neemt in eerste instantie al heel wat stress weg en toont dat er oprecht belang wordt gehecht aan de betrokkenen.
    Een laatste belangrijke tip: stem de inhoud van de boodschap af op de meest betrokken partij. Zorg ervoor dat wat gecommuniceerd wordt aansluit bij de vragen en emoties van die partij. Enkel op die manier zal de communicatie voor iedereen duidelijk zijn en zijn impact niet missen.
Alle nieuwsberichten