Datalek? Zo informeert u klanten en medewerkers (dit gaat vaak mis)

Natuurlijk probeert u de systemen veilig te stellen en de toegang te beperken. U probeert de schade in te schatten en informeert de instanties. Tegelijkertijd is de communicatie naar klanten en de eigen medewerkers belangrijk. Wat moet u minimaal doen? En wat zijn de veelgemaakte fouten

• Klanten willen weten: wat is er gebeurd, wat betekent dit voor mij en moet ik iets doen?
• Zorg dat medewerkers goed op de hoogte zijn, om vragen van klanten te beantwoorden
• Handig stappenplan: dit moet u minimaal communiceren bij een datalek

Lees verder: Hoe ondernemer Bram Bertels zijn bedrijf veilig maakt.

Een BEC-aanval ontstaat meestal niet spontaan. Cybercriminelen bereiden zich zorgvuldig voor en nemen soms weken of maanden de tijd. 

De Autoriteit Persoonsgegevens (AP) en de Rijksoverheid verplichten een aantal stappen die u moet nemen bij een datalek. Dat begint bij overzicht krijgen en het beperken van de schadelijke gevolgen. Daarnaast is het belangrijk om naar klanten en medewerkers te communiceren. In sommige gevallen bent u verplicht het datalek binnen 72 uur te melden, zowel bij de autoriteiten als bij betrokkenen, zoals klanten en/of medewerkers. Tip: bekijk bij de Autoriteit Persoonsgegevens of u het datalek moet melden. 

Het is altijd belangrijk om duidelijk en tijdig te communiceren, als er een risico is voor betrokkenen. De onderstaande tabel laat zien wat u minimaal moet communiceren naar klanten en medewerkers.

Cybersecurity zakelijk bekeken: 'Cybersecurity: bedrijfseconomisch essentieel voor elke mkb’er'

In theorie zijn veel organisaties op de hoogte van wat ze moeten doen en moeten communiceren bij een datalek. Er ligt een plan of een draaiboek. Maar, dan de praktijk. Daar gaat het vaak mis. Door minimaal 4 redenen die leiden tot veelgemaakte fouten. 

1 Te laat communiceren - Veel organisaties wachten tot alles duidelijk is. Dat lijkt logisch, maar is niet de juiste manier van communiceren bij een datalek. Ondertussen kan er van alles gebeuren:

• Klanten en medewerkers horen geruchten
• Of ze zien berichten op social media
• En trekken daarom zelf conclusies 

2 Vaag taalgebruik - Vermijd zinnen zoals:

• ‘een deel van de gegevens’
• ‘mogelijk betrokken’
• ‘geen reden tot zorg’

Ze klinken waardevol, maar bevatten weinig inhoud. Want, welk ‘deel’ is betrokken? En wat betekent ‘mogelijk’ in dit geval? Het komt over alsof nog niet goed duidelijk is wat er precies speelt en wat dit voor klanten of medewerkers betekent. Daarom is het beter om dit vage taalgebruik te vermijden.

3 Geen duidelijk handelingsperspectief - Misschien wel de meest gemaakte fout is het ontbreken van een handelingsperspectief. De communicatie naar klanten en medewerkers na een datalek blijft vaak hangen op uitleg over wat er is gebeurd en wat u als organisatie heeft gedaan. Dat gaat voorbij aan de belangrijkste vraag voor klanten en medewerkers: ‘wat moet ik nu doen?’ Communiceer het handelingsperspectief. Leg duidelijk uit wat er op dit moment moet gebeuren.  

4 Medewerkers vergeten - Een deel van het mkb communiceert bij een datalek wel naar klanten, maar niet naar de eigen medewerkers. Dat kan tot problemen leiden, omdat:

• Klanten bellen en vragen stellen
• Er mails binnenkomen met vragen
• Die vragen zich opstapelen

Zonder duidelijke instructies aan medewerkers zullen zij improviseren. Daardoor kan er tegenstrijdige informatie ontstaan, op basis van verkeerde aannames. Dat leidt uiteindelijk tot extra reputatieschade.

Wat kunt ú doen? 'Video: ondernemer test de Security Scan en dit is wat hij ontdekt'

Na een datalek wordt de communicatie vaak extern gericht. Er wordt naar buiten toe gecommuniceerd, om uit te leggen wat er speelt en wat dit voor klanten betekent.Daarnaast is het belangrijk om intern de regie te voeren.
Regel daarom dat medewerkers:

• Eén centrale boodschap communiceren
• Duidelijke instructies krijgen voor hun klantcontact
• Kunnen verwijzen naar een aanspreekpunt voor vragen
• Weten wat er wel en niet gecommuniceerd wordt

Stap 1: Stop het lek - Beperk direct de schade. IT moet hier meteen mee aan de slag gaan. 

Stap 2: Onderzoek - Wat is er gelekt en wat betekent dit, zowel voor klanten als voor medewerkers en de eigen organisatie? Breng dit in kaart, om daarover zo snel mogelijk te kunnen communiceren.

Stap 3: Meld - Meld het datalek bij de Autoriteit Persoonsgegevens  (binnen 72 uur) en eventueel bij betrokkenen.

Stap 4: Communiceer extern - Gebruik deze structuur:

• Wat is er gebeurd?
• Welke data zijn geraakt?
• Wat betekent dit?
• Wat is er al gedaan?
• Wat moet de ontvanger doen?
• Waar kan diegene terecht?

Stap 5: Communiceer intern - En vergeet dan vooral niet: 

• de kernboodschap om verder te verspreiden
• instructies aan medewerkers met klantcontact
• scripts die zij kunnen gebruiken als klanten vragen stellen

Het is verstandig om dit alvast voor te bereiden. Soms is een datalek niet te voorkomen, waardoor het vroeg of laat van toepassing zal zijn. Los daarvan is het belangrijk om de cybersecurity zo goed mogelijk op orde te houden. Voorkomen is beter dan genezen.  

Tip: steeds meer organisaties maken draaiboeken voor verschillende scenario’s. Dat voorkomt dat er geïmproviseerd moet worden op het moment dat er werkelijk een datalek ontstaat. En de communicatie naar klanten en medewerkers goed moet gebeuren.Steek tijd in het uitwerken van de draaiboeken, het beschrijven van de rollen en het opstellen van templates, met daarin de taken en verantwoordelijkheden. Train medewerkers, zodat ze weten wat er moet gebeuren als er een datalek ontstaat. Werk verschillende scenario’s uit, omdat niet elk datalek hetzelfde is.

Interessant: 'Video: waarom zijn medewerkers zo belangrijk voor cybersecurity?'