Wat te doen bij een datalek?
Op 1 januari treedt de meldplicht datalekken in werking. Nederlandse bedrijven moeten vanaf die dag een datalek melden bij de Autoriteit persoonsgegevens en zijn verplicht de betrokken consumenten op de hoogte te stellen. DDMA heeft advies om zo goed mogelijk voorbereid te zijn.
DDMA geeft datalek-advies
Uit een peiling van DDMA, brancheorganisatie voor data driven marketing, blijkt dat bijna driekwart van de marketeers wel bekend is met de meldplicht, maar slechts de helft heeft voorbereidingsmaatregelen getroffen.
Begin december publiceerde Autoriteit persoonsgegevens de Beleidsregels meldplicht datalekken, waarin wordt uitgelegd wanneer en hoe organisaties een lek moeten melden bij de toezichthouder. Als aanvulling daarop lanceert DDMA de handleiding voor het informeren van betrokken consumenten. We hebben de hoofdpunten voor je samengevat.
Wees voorbereid op een datalek
Check de samenstelling van het crisisteam met hierin in ieder geval directie, it, legal en marketingcommunicatie. Zorg voor een crisisplan en bereid scenario's voor, zorg voor contactgegevens van relevante werknemers en standaard teksten voor meldingen aan betrokkenen en media. Train ook op de uitvoering van het plan.
Reageer accuraat en snel
Meld een datalek zo snel mogelijk aan de betrokkenen, ook al zijn nog niet alle details bekend. Vertel wat je weet, wat jij en anderen kunnen zien en geef aan wat je gaat doen. Richt je klantenservice in. Zorg indien mogelijk voor een gratis telefoonnummer en publiceer relevante informatie op het internet.
Wees open en eerlijk
Breng het nieuws feitelijk en simpel en geef aan hoe je de betrokkenen op de hoogte brengt en houdt. Informatie over de omvang van een datalek is veelal niet meteen voor handen, vermijd daarom onvoorwaardelijke en absolute uitspraken.
Neem verantwoording
Accepteer de verantwoordelijkheid, zelfs als er sprake is van een misdaad. Excuses aanbieden is cruciaal in het nemen van verantwoordelijkheid en benadruk dat consumenten niet aansprakelijk zijn voor eventuele schade die voortvloeit uit het lek.
Regel mediawoordvoering en monitoring
Geef het incident een gezicht. Benoem een woordvoerder. Dat kan afhankelijk van de aard van het incident een expert van de werkvloer zijn of een lid van de directie. Intern is extern. Houd er rekening mee dat alle informatie over het datalek die je aan medewerkers en betrokkenen verstrekt, ook bij externen terechtkomt. Blijf actueel en tijdig communiceren en kom eventueel op afgesproken tijdstippen met updates. En het is (bijna) 2016: monitor social media. Introduceer eventueel zelf een hashtag op Twitter, vermijd discussie, benoem en ontkracht onjuistheden, verwijs naar relevante online bronnen, bijvoorbeeld je eigen website.
Overigens biedt de nieuwe meldplicht ook nieuwe kansen voor ondernemers, zo schreef Dave Maasland, managing director van ESET Nederland er eerder dit jaar over op onze site. Pieter Lacroix, managing director van Sophos, vertelde waarom de tijd van bewustwording rondom de wetgeving toch echt aangebroken is.
Een uitgebreidere versie van het DDMA datalek-advies kun je downloaden via de site van de organisatie.