Selecteer een pagina
Meldplicht datalekken: communiceren als verplichting

Meldplicht datalekken: communiceren als verplichting

 

De telefoon gaat. “Goedemiddag, met NOS Radio 1. Een van uw wetenschappers mailde ons zojuist een persrapport met onderzoeksresultaten. Daarin staan echter ook allerlei persoonsgegevens van de onderzoeksgroep zoals informatie over hun ziektebeeld. Kunt u bevestigen dat…”

Deze case legden we de afgelopen maanden voor aan deelnemers aan onze workshops ‘Communicatie en de Meldplicht Datalekken’. Zij kregen de opdracht om zo snel mogelijk de ontstane communicatiecrisis te bezweren. Eerlijk is eerlijk: Zelfs de meest ervaren woordvoerder bekruipt op zo’n moment toch het gevoel dat een hert ook heeft als het verstijfd in de koplampen van een naderende vrachtwagen staart, luttele seconden voor de aanrijding. Wat nu?

Ik kan me het gevoel dat sommige deelnemers aan onze workshop kregen, heel goed voorstellen. De reputatie van je organisatie staat onder druk; je communicatie ligt onder het vergrootglas. Kom hier maar eens ongeschonden uit. Want zo’n telefoontje komt altijd onverwachts. Toch?

Het overwachte komt niet onverwachts
Integendeel. In dit geval kan je het onverwachte toch voorspellen. Om de simpele reden dat elke organisatie vroeg of laat met een datalek te maken krijgt. En dat de kans groot is dat persoonsgegevens daar onderdeel van uitmaken.

Communiceren daarover is niet langer een keuze. Sinds 1 januari 2016 is het verplicht binnen 72 uur melding te maken bij de Autoriteit Persoonsgegevens als persoonsgegevens op straat belanden. Ook de personen op wie die gegevens betrekking hebben, moeten in sommige gevallen geïnformeerd worden. Het niet naleven van deze wet kan leiden tot boetes van meer dan 800.000 euro. En een flinke deuk in je reputatie.

De potentiele impact van het lekken van gegevens op het dagelijkse leven van iemand wordt nogal eens onderschat. Doel van de Meldplicht Datalekken is onder andere dat organisaties beter omgaan met privacygevoelige informatie. En dat personen van wie de gegevens zijn uitgelekt dat sneller weten. Zorginstellingen en financiële instellingen beseffen al langer dat patiënt- en klantgegevens goed beveiligd moeten worden. In veel andere sectoren en branches is die bewustwording minder. Persoonsgegevens, bankrekeningnummers, persoonlijke informatie van eigen medewerkers: vrijwel iedere organisatie bezit gevoelige persoonsgegevens. En vrijwel iedere organisatie kan dus te maken krijgen met de Meldplicht Datalekken.

Mail naar de verkeerde persoon
Je kunt je nog zo goed beveiligen tegen bijvoorbeeld een hack van buitenaf – waar mensen werken, worden fouten gemaakt. Iedereen die ik ken, heeft wel eens een mailtje gestuurd naar een verkeerd mailadres. Laat dat nou net een mail zijn waarin ook persoonsgegevens staan en er kan sprake zijn van een datalek dat je moet melden bij de Autoriteit Persoonsgegevens.

Waar het zwaartepunt nu vooral bij ‘de IT-afdeling’ ligt, is er een heel grote rol weggelegd voor de communicatie-afdeling. Het besef bij communicatieprofessionals dat de Meldplicht Datalekken ook een hele sterke reputatiecomponent heeft, is nog niet overal doordrongen. De gevolgen van een lek kunnen enorm zijn voor je reputatie. Zeker als jouw klanten daar via de (social) media achter moeten komen. Maar ook op het gebied van interne communicatie is er een cruciale rol weggelegd voor communicatieprofessionals.

Want zeg eens eerlijk: weet iedereen binnen jouw organisatie waar hij of zij een datalek moet melden? En doet iedereen dat ook, of is de cultuur daar niet naar? Weet iedereen überhaupt wanneer er data zijn gelekt?

Misschien nog belangrijker: weet iedereen hoe het risico van het lekken van data vermeden kan worden, of nemen collega’s nog regelmatig onbeveiligde laptops en USB-sticks met persoonlijke gegevens van klanten mee naar huis ? Sturen ze hun mails met persoonsgegevens van klanten echt áltijd encrypted?

Ik vrees van niet.

Regie pakken over je communicatie
Als de telefoon gaat en een journalist informeert naar gelekte gegevens, weet je in ieder geval dat je te laat bent. Zorg dat dit telefoontje er niet komt door de interne communicatie op orde te hebben. En mocht het fout gaan: meld het zelf aan de Autoriteit Persoonsgegevens en de klanten die het betreft. Zo voldoe je niet alleen aan de wet, je hebt ook de kans om zelf naar buiten te treden en regie te houden over de communicatie met klanten en eventueel de media.

Bedenk daarbij hoe je het zelf zou vinden als jouw persoonsgegevens waren gelekt. Liever hoor je dat zo snel mogelijk van de desbetreffende organisatie zelf, dan dat je er via een omweg achter komt. Liefst met welgemeende excuses, een aantal maatregelen die je meteen kunt treffen en een uitleg hoe dit voortaan wordt voorkomen.

Zo zorg je niet alleen dat je voldoet aan de Meldplicht Datalekken. Je zorgt er ook voor dat je het vertrouwen van je belangrijkste stakeholders niet te veel schaadt.

Sietse Pots

Managing Director

Crisiscommunicatie, Dr. Phil weet raad

Crisiscommunicatie, Dr. Phil weet raad

‘DON’T WAIT UNTIL YOU’RE IN A CRISIS TO COME UP WITH A CRISIS PLAN.’

– PHIL MCGRAW


Zodra je de kop van deze blog leest, denk je het waarschijnlijk meteen: daar komen ze weer met Dr. Phil op de proppen. De man die alles beter weet en elk probleem – hoe complex ook – binnen drie kwartier weet op te lossen. Een lichte irritatie bekruipt je. Mij vergaat het niet anders.

Toch is het leerzaam om eens in te zoomen op de filosofie van deze man. Eén van zijn uitspraken staat bovenaan dit stuk. Hoe flikt hij het telkens weer binnen drie kwartier? Het antwoord: hij heeft een plan. Specifiek voor de kwestie die speelt heeft Dr. Phil al een oplossing bedacht. Daarmee redt hij zijn gasten en zichzelf met verve uit de schrijnende situatie die zich voltrekt op het scherm. Het ziet er telkens weer verrassend logisch uit.

Niet wachten
Uit onderzoek van het COT, Instituut voor Veiligheids- en Crisismanagement, blijkt dat meer dan de helft van de Nederlandse bedrijven geen crisisplan heeft. Dat is ook mijn ervaring bij veel bedrijven en organisaties die mij inriepen tijdens een crisis of een serieus issue. Wat je dan ziet is emotie, verwarring, besluiteloosheid en ontkenning. Noem maar op. Dr Phil revisited. Dat kan beter en eigenlijk moet het ook beter. Of, om toch weer onze televisiedokter te citeren: “Wacht niet tot je in een crisis zit om een crisisplan op te stellen.” Het klinkt heel gemakkelijk en in essentie is het dat ook. Pas als je een plan hebt, kun je aan de slag. “You can’t change what you don’t acknowledge,” zegt Dr. Phil ook. Dus geef het maar toe.

Aan de slag
Heb jij al een crisisplan voor je organisatie? Weet jij wat je moet doen in geval van een product recall, een ongeval of een Zembla-reportage waardoor je reputatie een opdonder krijgt? Mijn advies: ga aan de slag en maak dat plan. Ik denk graag met je mee.

Gert Hofsteenge

Director SWC Groep