24 oktober 2022

Marion Banide

4 cruciale stappen om een datalek-crisis aan te pakken

Als je een CEO vraagt welke gebeurtenis de meeste schade aan zijn of haar bedrijf kan toebrengen, is de kans groot dat een datalek hoog op het lijstje staat. De meest schadelijke gevolgen van een datalek hebben niet zozeer te maken met de gegevens zelf, maar met de reputatie die onherstelbaar kan worden aangetast.  

Voorbereiding, communicatie en vertrouwen zijn de belangrijkste steunpilaren van een succesvol crisismanagementplan voor datalekken. Een sterk, verenigd en multidisciplinair team van deskundigen en het vroegtijdig nemen van verantwoordelijkheden zijn voorwaarden om de stressvolle periode te doorstaan.

Een webinar van ons partnerbureau Schillings heeft ons geholpen inzicht te krijg in de cruciale stappen die moeten worden gevolgd om de risico’s en gevaren van een datalek-crisis te beperken. 

Een tijdlijn voor crisismanagement na een datalek wordt vaak geschetst aan de hand van deze vier fasen (niet noodzakelijk chronologisch). 

  • De beheersingsfase – Opsporing en inperking
  • De risicobeoordeling en het feitenonderzoek  
  • De meldingsfase (aan de regelgever) 
  • Het evaluatieproces
 

Download hier de 4 stappen in één overzicht

Download infographic 4 stappen voor reputatieschade bij een datalek.

Beheersing en herstel - zo snel mogelijk orde op zaken stellen

De eerste uren na het moment waarop het lek is vastgesteld zijn cruciaal – in deze fase moeten de meeste beslissingen worden genomen. Zorg ervoor dat het management aangeeft hoe het datalek zal worden aangepakt; zorg dat het crisisplan wordt geactiveerd.  

Belangrijkste acties: 

  • Doe een beroep op het crisismanagementteam. Zorg dat er al preventief aansprakelijkheden en rapporteringslijnen zijn vastgesteld; stel de protocollen die zijn overeengekomen in werking.
  • Lanceer het crisisplan. Zorg dat er nauwkeurig wordt gekeken naar toepassing van vergrendelingen, om gegevens te beschermen en pro-activiteit te tonen; verzamel informatie om te begrijpen wat er is gebeurd.
  • Voer een impactanalyse uit om de belangrijkste feiten te verzamelen en ga na welke stakeholders zijn getroffen.

Direct na de ontdekking van een datalek moeten er cruciale beslissingen worden gemaakt. Fouten die in dit eerste stadium worden gemaakt werken vaak het hele proces door. Zeer belangrijk dus om preventief plannen en processen op te stellen, zodat zo min mogelijk in crisisstand moet worden bedacht.

Het is van het grootste belang dat de essentiële feiten op een rijtje worden gezet om de meest geschikte technische crisis- en communicatieplannen vast te stellen. Een grote mate van zekerheid over deze feiten en een groot vertrouwen tussen de technici en het management zijn essentieel. Tegelijkertijd is er wel een zekere mate van flexibiliteit nodig om in te spelen op eventuele nieuwe informatie. 

Het risicobeoordelingsproces

In de risicobeoordelingsfase kan worden onderzocht welke betrokkenen zijn getroffen, of zij bijzonderheden hebben waarmee rekening moet worden gehouden, en hoeveel en welke – gevoelige – gegevens zijn geschonden/verloren. 

Als het datalek leidt tot een schending van individuele rechten, is het risico veel groter en zul je als bedrijf krachtiger moeten reageren. Ook de belangstelling van de media zal groter zijn. 

Wat de communicatie betreft:

  • Zorg dat al uw externe communicatie in lijn is met regelgeving.
  • Stel van tevoren vast wie de beste woordvoerder is in dit soort situaties. Hij of zij moet voldoende geloofwaardigheid hebben om de stem van uw bedrijf in moeilijke tijden te vertolken en de zorgen van stakeholders aan te kaarten.
  • Interne communicatie vanaf het beginstadium is cruciaal: zorg voor voldoende informatie en duidelijke communicatie naar uw interne stakeholders (werknemers, partners, franchisenemers), zodat zij vragen of zorgen van hun stakeholders onder ogen kunnen zien (voorkom een sneeuwbaleffect).
  • Trap niet in de FUD bias! Fear, Uncertainty and Doubt. Verschillende verhalen zullen worden gepushed door externe stakeholders. U hebt daar geen invloed op, maar u kunt die wel ontkrachten en het verhaal opnieuw opbouwen op een manier die objectief is en ondersteund wordt door informatie over de acties die u neemt om de crisis aan te pakken.  
 
 

De meldingsfase

  • Aan de autoriteiten: Binnen 72u moet uw gegevensbeheerder de toezichthouder informeren (volgens de AVG). Zelfs als u niet geïnformeerd bent, willen de overheidsinstanties op de hoogte worden gebracht en stapsgewijs meldingen ontvangen.  
  • Vertel uw partners: Buiten de AVG is het vaak een contractuele verplichting om uw partners op de hoogte te stellen. Vaak wordt deze voorwaarde over het hoofd gezien door bedrijven die aansprakelijk kunnen zijn voor vervolging.
  • Meld uw klanten (de getroffenen): Als er schade is aangericht, moet u die schade beperken door de getroffen betrokkenen te informeren en hun te vertellen wat u hebt gedaan om de inbreuk en het risico van escalatie te beperken. U kunt ze adviseren hun bescherming te versterken of begeleiden in waar ze op moeten letten, wat ze kunnen doen tegen fraude, enz. Voorbeeld: Advies over wachtwoorden, zodat ze geen slachtoffer worden van fraude op een ander platform.


In het algemeen zijn de principes van empathie, verantwoordelijkheid en verantwoordingsplicht overal ter wereld gedeelde waarden en troeven bij de communicatie over een datalekcrisis, ongeacht de jurisdictie. Help uw stakeholders te begrijpen wat u doet, waarom u het doet en hoe het zal worden opgelost. Als u niet zeker bent over de uiteindelijke aansprakelijkheid, is het beter om te veel verantwoordelijkheid te nemen dan te weinig. 

Evaluatieproces

Zodra u alle informatie die u kon vastleggen forensisch hebt vastgelegd, is het sterk aan te raden om in een later stadium met het management en het crisismanagementteam om de tafel te gaan zitten om de protocollen te evalueren. 

Het is een “inspanningsverplichting” om binnen het bedrijf optimale procedures te ontwikkelen en beter in staat te zijn onvoorspelbare situaties in de toekomst te voorspellen en aan te pakken.

Meer informatie over crisismanagement?

Zou u advies willen bij het formuleren van uw crisiscommunicatie? Of wilt u graag handvatten voor het samenstellen van een crisismanagementplan? Account Director Marion is expert op het gebied van crisis- en reputatiemanagement. Zij helpt u graag verder. Klik hier om contact op te nemen. 

Deel deze resource
Hague corporate affairs logo

Ontvang de laatste insights

Of volg ons