Meldplicht Datalekken: communiceren als verplichting

Sietse Pots, Managing Director bij Sterk Werk Communicatie & Content Marketing

De telefoon gaat. “Goedemiddag, met NOS Radio 1. Een van uw wetenschappers mailde ons zojuist een persrapport met onderzoeksresultaten. Daarin staan echter ook allerlei persoonsgegevens van de onderzoeksgroep zoals informatie over hun ziektebeeld. Kunt u bevestigen dat…”

Deze case legden we de afgelopen maanden voor aan deelnemers aan onze workshops ‘Communicatie en de Meldplicht Datalekken’. Zij kregen de opdracht om zo snel mogelijk de ontstane communicatiecrisis te bezweren. Eerlijk is eerlijk: Zelfs de meest ervaren woordvoerder bekruipt op zo’n moment toch het gevoel dat een hert ook heeft als het verstijfd in de koplampen van een naderende vrachtwagen staart, luttele seconden voor de aanrijding. Wat nu?

Ik kan me het gevoel dat sommige deelnemers aan onze workshop kregen, heel goed voorstellen. De reputatie van je organisatie staat onder druk; je communicatie ligt onder het vergrootglas. Kom hier maar eens ongeschonden uit. Want zo’n telefoontje komt altijd onverwachts. Toch?

Het overwachte komt niet onverwachts

Integendeel. In dit geval kan je het onverwachte toch voorspellen. Om de simpele reden dat elke organisatie vroeg of laat met een datalek te maken krijgt. En dat de kans groot is dat persoonsgegevens daar onderdeel van uitmaken.

Communiceren daarover is niet langer een keuze. Sinds 1 januari 2016 is het verplicht binnen 72 uur melding te maken bij de Autoriteit Persoonsgegevens als persoonsgegevens op straat belanden. Ook de personen op wie die gegevens betrekking hebben, moeten in sommige gevallen geïnformeerd worden. Het niet naleven van deze wet kan leiden tot boetes van meer dan 800.000 euro. En een flinke deuk in je reputatie.

De potentiele impact van het lekken van gegevens op het dagelijkse leven van iemand wordt nogal eens onderschat. Doel van de Meldplicht Datalekken is onder andere dat organisaties beter omgaan met privacygevoelige informatie. En dat personen van wie de gegevens zijn uitgelekt dat sneller weten. Zorginstellingen en financiële instellingen beseffen al langer dat patiënt- en klantgegevens goed beveiligd moeten worden. In veel andere sectoren en branches is die bewustwording minder. Persoonsgegevens, bankrekeningnummers, persoonlijke informatie van eigen medewerkers: vrijwel iedere organisatie bezit gevoelige persoonsgegevens. En vrijwel iedere organisatie kan dus te maken krijgen met de Meldplicht Datalekken.

Mail naar de verkeerde persoon

Je kunt je nog zo goed beveiligen tegen bijvoorbeeld een hack van buitenaf – waar mensen werken, worden fouten gemaakt. Iedereen die ik ken, heeft wel eens een mailtje gestuurd naar een verkeerd mailadres. Laat dat nou net een mail zijn waarin ook persoonsgegevens staan en er kan sprake zijn van een datalek dat je moet melden bij de Autoriteit Persoonsgegevens.

Waar het zwaartepunt nu vooral bij ‘de IT-afdeling’ ligt, is er een heel grote rol weggelegd voor de communicatie-afdeling. Het besef bij communicatieprofessionals dat de Meldplicht Datalekken ook een hele sterke reputatiecomponent heeft, is nog niet overal doordrongen. De gevolgen van een lek kunnen enorm zijn voor je reputatie. Zeker als jouw klanten daar via de (social) media achter moeten komen. Maar ook op het gebied van interne communicatie is er een cruciale rol weggelegd voor communicatieprofessionals.

Want zeg eens eerlijk: weet iedereen binnen jouw organisatie waar hij of zij een datalek moet melden? En doet iedereen dat ook, of is de cultuur daar niet naar? Weet iedereen überhaupt wanneer er data zijn gelekt?

Misschien nog belangrijker: weet iedereen hoe het risico van het lekken van data vermeden kan worden, of nemen collega’s nog regelmatig onbeveiligde laptops en USB-sticks met persoonlijke gegevens van klanten mee naar huis ? Sturen ze hun mails met persoonsgegevens van klanten echt áltijd encrypted?

Ik vrees van niet.

Regie pakken over je communicatie

Als de telefoon gaat en een journalist informeert naar gelekte gegevens, weet je in ieder geval dat je te laat bent. Zorg dat dit telefoontje er niet komt door de interne communicatie op orde te hebben. En mocht het fout gaan: meld het zelf aan de Autoriteit Persoonsgegevens en de klanten die het betreft. Zo voldoe je niet alleen aan de wet, je hebt ook de kans om zelf naar buiten te treden en regie te houden over de communicatie met klanten en eventueel de media.

Bedenk daarbij hoe je het zelf zou vinden als jouw persoonsgegevens waren gelekt. Liever hoor je dat zo snel mogelijk van de desbetreffende organisatie zelf, dan dat je er via een omweg achter komt. Liefst met welgemeende excuses, een aantal maatregelen die je meteen kunt treffen en een uitleg hoe dit voortaan wordt voorkomen. 

Zo zorg je niet alleen dat je voldoet aan de Meldplicht Datalekken. Je zorgt er ook voor dat je het vertrouwen van je belangrijkste stakeholders niet te veel schaadt.


 

Wil je eens testen hoe goed jouw organisatie is voorbereid? Met onze op maat gemaakte workshops optimaliseren we de bewustwording binnen jouw organisatie. Dat kan al vanaf 875 euro.

Wil je doorpakken en goed voorbereid zijn? Dan werken we de meest waarschijnlijke scenario’s uit en zorgen dat je gesteld staat bij een datalek met een goede communicatiestrategie, statements en Q&A’s.

Toch te maken met een datalek en acuut op zoek naar ondersteuning? Bel ons direct, we zijn 24/7 beschikbaar.

 

Lees deze blog ook op Communicatie Online!

 

Benieuwd naar andere blogs van Sietse? 

- Vijftig jaar televisiereclame: darten met een heipaal?