Zoeken
Inloggen
Vorige pagina
Corporate communicatie & reputatie
Crisiscommunicatie & issuemanagement

Waarom een datalek altijd een communicatiecrisis wordt

Arjen Boukema
Waarom een datalek altijd een communicatiecrisis wordt

Bij een datalek begint de echte crisis pas na de hack. Organisaties moeten transparant zijn terwijl de feiten nog schuiven. Hoe communiceer je onder druk, met juristen op de rem en betrokkenen die antwoorden willen? Drie deskundigen over de dilemma’s van crisiscommunicatie bij datalekken.

In juli 2025 worden de systemen van laboratorium Clinical Diagnostics gehackt. Criminelen krijgen toegang tot medische gegevens van honderdduizenden vrouwen. Opdrachtgever van het lab is Bevolkingsonderzoek Nederland, een stichting die de nationale bevolkingsonderzoeken naar borstkanker, baarmoederhalskanker en darmkanker uitvoert. Agnes Bouwman, manager marketing & communicatie en MT-lid, twijfelt geen moment over de ernst van de zaak. De organisatie besluit direct zelf de communicatie te voeren en die niet over te laten aan de partij waar het lek is ontstaan. ‘Voor ons was meteen duidelijk: dit is een crisis en wij communiceren hier zelf over. Het gaat immers over onze cliënten én over gevoelige, medische gegevens.’

Het geval van Bevolkingsonderzoek Nederland is geen uitzondering. Bij datalekken door diefstal zit de fout vaak ergens anders in de keten: bij een leverancier, een IT-partij of een externe partner. Deze organisaties hebben geen directe relatie met de slachtoffers wier gegevens zijn gestolen en die op uitleg wachten. ‘Een van de grootste dilemma’s is: wie neemt de verantwoordelijkheid?’, zegt Barbara Mulder, die organisaties helpt bij complexe vraagstukken op het snijvlak van corporate affairs, reputatie en strategie. ‘Zeker bij datalekken is dat niet altijd direct helder en dat kan een rem zijn op proactieve, duidelijke communicatie.’

De communicatieverantwoordelijkheid is juridisch helder geregeld, zegt Nienke Kolthof, coördinator datalekken bij de Autoriteit Persoonsgegevens. De toezichthouder geeft vanuit haar rol geen commentaar op incidenten, dus ook niet op dit datalek. ‘Maar wettelijk geldt dat de organisatie die de relatie met betrokkenen beheert, verantwoordelijk is voor de communicatie over het lek. Wij houden ook toezicht op de informatiestroom binnen de keten. Krijgt een organisatie goede informatie van de leverancier waar het lek is ontstaan? Dat gaat niet altijd goed, zo blijkt ook uit een rapportage met aanbevelingen die we publiceerden.

Communiceren terwijl de feiten schuiven

De dagen na een datalek zijn cruciaal en complex. De Algemene Verordening Gegevensbescherming (AVG) verplicht tot snelle melding: binnen 72 uur moet het lek worden doorgegeven aan de Autoriteit Persoonsgegevens. Daarna vereist de AVG dat informatie eenvoudig en in duidelijke taal beschikbaar komt. Nienke Kolthof: ‘De communicatie moet aangepast zijn aan de doelgroep. Soms is de berichtgeving te algemeen. Maak concreet welk risico mensen lopen, welke oplichting ze kunnen verwachten, waar ze op moeten letten. En meld welke gegevens er mogelijk gestolen zijn.’

Dit alles moet gebeuren terwijl het onderzoek nog loopt. De feiten liggen nog niet vast en de impact op getroffenen is vaak nog onbekend, maar de buitenwereld en de eigen organisatie vragen om duiding en handelingsperspectief. Bevolkingsonderzoek Nederland kiest voor een pragmatische aanpak. Agnes Bouwman: ‘In het begin hebben we veel procescommunicatie gevoerd: we vertelden wat we wél wisten, waren transparant over het proces en hebben meteen gezegd dat we nog niet alles weten. Op onze website hebben we vervolgens een FAQ ingericht, die we telkens verversten zodra we nieuwe informatie hadden. Dat werkte verrassend goed.’

Waarom snelheid zorgvuldigheid in de weg kan zitten

Volgens Barbara Mulder is het in de dagen na een datalek zoeken naar een balans tussen snelheid en zorgvuldigheid. ‘Ga in je communicatie uit van de impact die het lek heeft op betrokkenen: welke informatie hebben zij nodig, waar maken zij zich zorgen over? Handelingsperspectief bieden is essentieel.’ Niet elke organisatie doet dat volgens haar goed. ‘Sommigen vervallen bij onzekerheid in formele, risicomijdende communicatie, of willen benadrukken dat hun systemen toch echt veilig zijn. Terwijl betrokkenen vooral willen weten: wat betekent dit voor mij?’

Hoe snel verwachtingen kunnen omslaan in teleurstelling, ondervindt Bevolkingsonderzoek Nederland. Bouwman: ‘We hadden een brief beloofd aan de groep mensen die getroffen was, waarin stond wat ze konden doen. Op het moment dat we de brief verstuurden, konden we echter nog niet aangeven om welke gelekte gegevens het per deelnemer ging. We hadden de brief van tevoren te veel gehypet. Later hebben we wel een brief met meer concrete informatie gestuurd, maar er was al teleurstelling en boosheid ontstaan bij sommige ontvangers.’

Als juristen en communicatie botsen

De spanning tussen wat je wilt zeggen en wat je kunt zeggen, speelt vaak ook intern. Een datalek is voor organisaties een juridisch en technisch probleem, maar voor betrokkenen is het persoonlijk. Barbara Mulder: ‘Juristen willen risico’s minimaliseren, communicatie wil transparant zijn: die spanning moet je goed managen. Als communicatie te laat wordt aangehaakt, volgt de boodschap al snel een puur juridische lijn. Met als risico dat de boodschap correct is, maar niet overtuigt.’

Bouwman vindt het logisch dat ieder vanuit de eigen rol een standpunt inneemt. ‘Zolang je maar duidelijk bent over welk professioneel belang je een bepaalde keuze voorstelt. De positie van een communicatieadviseur is anders dan die van een jurist, maar we moeten uiteindelijk samen goed adviseren zodat de directie een geïnformeerde beslissing kan nemen.’

Hulp of ruis?

Bij elke communicatiecrisis, of het nou gaat om lange rijen op Schiphol of een datalek, melden zich niet alleen journalisten. Ook crisis-experts, securityspecialisten en communicatieadviseurs van buiten de organisatie geven hun mening. Dat kan waardevol zijn, maar het maakt de taak van de communicatieprofessional vaak wel complexer. Bevolkingsonderzoek Nederland krijgt er door het datalek bij Clinical Diagnostics volop mee te maken. ‘Er meldden zich veel zijlijnspecialisten’, zegt Bouwman. ‘Sommigen kwamen oprecht helpen, met goede en nuttige tips. Anderen zagen een verdienmodel of wilden hun stokpaardjes berijden. Uiteindelijk heb ik ze allemaal gesproken.’

Al die adviezen verhogen de druk op besluitvorming en veroorzaken ruis, terwijl de interne druk tijdens een crisis toch al intens is. ‘Op adrenaline kun je het een flinke tijd uithouden’, zegt Bouwman, ‘maar het moet niet te lang duren. Ik had als hoofd communicatie en marketing veel rollen tegelijk. Ik was woordvoerder en regelde dat we ’s avonds bij Nieuwsuur zaten om uitleg te geven, maar moest ook de interne communicatie regisseren. Iets te veel rollen. Dat hebben we nu beter verdeeld.’
Vanwege die druk is oefenen cruciaal, weet Bouwman. ‘Simpele dingen kosten tijdens een crisis veel energie die je ergens anders voor nodig hebt. Hoe kom je het hoofdkantoor in tijdens het weekend? Wie plaatst er iets op de website?’ Barbara Mulder is het daarmee eens. ‘Zonder goede voorbereiding op mandaat, rollen en processen verlies je communicatiesnelheid en consistentie op het moment dat het ertoe doet. Crisiscommunicatie volgt altijd de crisisstrategie. Als communicatie te laat wordt aangehaakt, merk je dat in de effectiviteit.’

Een datalek is geen moment waarop communicatie begint. Het is het moment waarop zichtbaar wordt hoe goed een organisatie haar communicatie vooraf heeft georganiseerd. Wie na een datalek nog moet bedenken wie spreekt en wat er gezegd wordt, is al te laat.

Sta je zelf voor dit soort dilemma’s?

De Logeion vakgroep Crisiscommunicatie brengt communicatieprofessionals samen die dagelijks met crisissituaties te maken hebben. Doe mee en leer van elkaars ervaring.

Blijf op de hoogte

Ontvang onze nieuwsbrief met de laatste inzichten of evenementen.
Bepaal zelf wat je ontvangt.
Inschrijven

Inloggen of account aanmaken

Logeion heeft een nieuwe website – dit betekent ook een nieuwe manier van inloggen

Welkom op onze vernieuwde website!
Om voor het eerst in te loggen, vraag je eenvoudig een nieuw wachtwoord. Klik hieronder op ‘wachtwoord vergeten’.

Gebruik als gebruikersnaam het e-mailadres dat je bij het aanmaken van je account als privé-mailadres hebt opgegeven.

Loop je ergens tegenaan of heb je een vraag? We helpen je graag verder via info@logeion.nl.

Inloggen met je account

Wachtwoord vergeten?

Geen account

Als je nog geen account hebt, kun je er een maken. Na het registeren kom je hier weer terug.
Account aanmaken