Actueel
.png)
Case study - Reputatiemanagement bij een datalek
HSC wordt vaak ingeschakeld door organisaties die te maken krijgen met gevoelige vraagstukken rond cybersecurity of die in hun communicatie met toezichthouders extra ondersteuning nodig hebben. Juist op momenten dat de reputatie onder druk staat, is heldere en effectieve communicatie cruciaal. Een datalek is daar een sprekend voorbeeld van. Wij begeleiden regelmatig opdrachtgevers bij dit soort incidenten – van het eerste moment van crisis tot de afwikkeling met stakeholders en toezichthouders. Enige tijd geleden werkten we aan een case die goed illustreert hoe wij samen met onze opdrachtgever grip hielden op de situatie en zo reputatieschade hebben gemitigeerd. In onderstaande case study delen we onze aanpak en de uitkomsten – uiteraard volledig geanonimiseerd.
1. Korte introductie van de organisatie
HSC heeft samengewerkt met een grote organisatie in de leisure- en hospitalitysector met vestigingen in meerdere landen.
2. Wat waren de belangrijkste uitdagingen of problemen waarmee de organisatie werd geconfronteerd voordat ze HSC inschakelden?
De organisatie werd geconfronteerd met een ernstig datalek. De data werd gehost door een externe partij. De hostingpartij informeerde de organisatie dat er een datalek had plaatsgevonden. Het lek was ontstaan na het doorvoeren van een update, waarbij een kwetsbaarheid over het hoofd was gezien. Door deze kwetsbaarheid hebben hackers mogelijk toegang gekregen tot de servers van onze opdrachtgever, met daarop sensitieve en privacy-gevoelige gegevens.
Hoewel het zeker was dat er sprake was van een beveiligingsincident, wisten zowel de organisatie als de hostingpartij niet of, en zo ja welke, gegevens daadwerkelijk waren getroffen.
3. Welke invloed had het genoemde probleem op de organisatie, zowel intern als extern?
De impact was aanzienlijk. Op het moment dat het datalek nog niet extern bekend was gemaakt, was er veel onrust en stress binnen het team. Dit kwam onder andere doordat er veel onzekerheid bestond over de aard en omvang van het incident, terwijl tegelijkertijd het gevoel leefde dat er met spoed gehandeld moest worden. Ineens bevond de organisatie zich in een crisissituatie waarin snelle besluitvorming noodzakelijk was, terwijl essentiële informatie, o.a. over de aard en omvang van het lek, nog ontbrak.
4. Wat was voor de organisatie de reden om een externe partij in te schakelen voor het bovengenoemde probleem?
Een datalek gaat gepaard met specifieke wettelijke verplichtingen, zoals de meldplicht aan de Autoriteit Persoonsgegevens. Dit maakt een datalek wezenlijk anders dan veel andere crisissituaties, waarin vaak minder juridische kaders gelden en er meer bewegingsruimte is om de communicatiestrategie te bepalen.
In dergelijke situaties is snel handelen cruciaal, maar heb je slechts één kans om duidelijk, zorgvuldig en effectief te communiceren. De organisatie wilde hier geen fouten in maken; externe expertise was daarom essentieel.
Het bedrijf had al een sterk intern communicatieteam, maar had geen ervaring met dit soort incidenten. Daarom was er behoefte aan begeleiding bij het maken van kritieke keuzes die voldeden aan de wettelijke verplichtingen en tegelijkertijd de reputatie zouden beschermen. HSC werd ingeschakeld om te ondersteunen bij vragen zoals: wie informeer je, wanneer doe je dat, en in welke mate deel je welke informatie? Naast ons bureau schakelde de organisatie ook andere externe adviseurs in, onder meer voor diepgaande technische hulp om het incident te onderzoeken en beheersen.
5. Welke specifieke doelstellingen wilde de organisatie bereiken door middel van de samenwerking met HSC?
De belangrijkste doelstellingen van de samenwerking met HSC waren het waarborgen van een zorgvuldige en gestructureerde communicatie naar alle relevante stakeholders, het beperken van mogelijke reputatieschade en het voldoen aan de wettelijke verplichtingen van de Autoriteit Persoonsgegevens (AP).
Bij een datalek gelden immers strikte regels: zo moet een organisatie het incident binnen 72 uur melden bij de AP en is zij daarnaast verplicht de getroffen personen onverwijld te informeren. Het correct en tijdig uitvoeren van deze stappen is cruciaal, zowel om te voldoen aan de wet als om het vertrouwen van betrokkenen te behouden.
HSC hielp de organisatie om deze doelen in balans te brengen: enerzijds volledige compliance met de wettelijke verplichtingen, anderzijds zorgvuldig reputatiemanagement en heldere communicatie naar alle betrokkenen, waarbij het ook belangrijk was om niet onnodig paniek te creëren bij stakeholders.
6. Hoe heeft HSC hierbij geholpen?
HSC heeft geholpen om zo veel mogelijk grip op de situatie te krijgen. In eerste instantie ondersteunden wij bij het samenstellen van een crisisteam, wat cruciaal was om snel en effectief te kunnen schakelen. Daarin namen relevante operationele functies deel en waren ook leden van de raad van bestuur betrokken, voor snelle en effectieve besluitvorming. Vervolgens werden er op korte termijn heldere kernboodschappen ontwikkeld en een tijdlijn opgesteld voor de stakeholdercommunicatie, zodat iedereen zicht had op strategie en acties m.b.t. dit issue.
Ons advies was om in de beginfase vooral te communiceren over het proces (procescommunicatie), totdat er meer duidelijkheid was over de aard en omvang van het incident. In de praktijk werd dit onder meer vormgegeven door snel een vraag- en antwoordsectie op de website te plaatsen. Deze eerste FAQ gaf stakeholders inzicht in de actuele status van het incident (wat is er gebeurd? Wat is aangetroffen?). Naarmate het onderzoek vorderde en nieuwe informatie beschikbaar kwam, werd de FAQ continu bijgewerkt, zodat stakeholders altijd toegang hadden tot actuele en betrouwbare informatie. Deze aanpak was essentieel om transparant te blijven zonder te speculeren of onvolledige / onjuiste informatie te delen. Door nadruk te leggen op procescommunicatie wordt het narratief bovendien actief naar de organisatie toegetrokken: de organisatie positioneert zich als een proactieve partij die regie voert en verantwoordelijkheid neemt, in plaats van achter de feiten aan te lopen. Dit helpt vertrouwen te behouden van stakeholders.
Alle stakeholders werden op een op maat gemaakte manier adequaat geïnformeerd. Naast de FAQ werden gerichte mailings verstuurd, en belangrijke stakeholders persoonlijk telefonisch benaderd. Tegelijkertijd werd de reactieve kant geborgd: medewerkers met een outward facing rol, zoals klantenservice, kregen een Q&A, een script en duidelijke instructies over hoe zij vragen konden beantwoorden of doorverwijzen. Op die manier werd de organisatie niet alleen ingericht om stakeholders proactief en tijdig te informeren, maar ook voorbereid om de vele vragen en zorgen die onvermijdelijk zouden volgen, professioneel en consistent op te vangen.
Bovenstaande aanpak zorgde ervoor dat de coördinatie soepel verliep, en dat de juiste stappen op het juiste moment werden genomen.
7. Wat zijn de resultaten voor de organisatie naar aanleiding van de samenwerking met HSC?
De gevolgen van het datalek zijn uiteindelijk zorgvuldig en gestructureerd beheerst – zowel op technisch en juridisch vlak als in de communicatie en het stakeholdermanagement. Alle relevante partijen werden tijdig en op passende wijze geïnformeerd. Een centrale informatievoorziening werd ingericht waar persberichten, updates en veelgestelde vragen actueel werden bijgehouden. Dit gaf stakeholders één betrouwbaar aanspreekpunt en voorkwam onduidelijkheid of verspreiding van tegenstrijdige informatie.
Daarnaast werd de organisatie snel in een effectieve issuemanagementmodus gebracht. Er kwam een heldere besluitvormingsstructuur, de klantenservice werd uitgerust om vragen professioneel op te vangen en er ontstond een gecoördineerde aanpak waarbij zowel interne als externe stakeholders voortdurend werden meegenomen.
De combinatie van procescommunicatie, transparantie en een consistente boodschap maakte het mogelijk om de regie te behouden, reputatieschade te beperken en het vertrouwen van stakeholders vast te houden. Bovendien werd voldaan aan alle wettelijke verplichtingen: de Autoriteit Persoonsgegevens werd correct en binnen de gestelde termijnen geïnformeerd.
