Een datalek is de op één na belangrijkste bedreiging voor organisaties, zo blijkt uit de Horizon Scan 2017 van het Business Continuity Institute. Het is tegenwoordig niet de vraag óf een datalek plaatsvindt, maar wannéér.
Desalniettemin zijn veel organisaties onvoldoende voorbereid op de gevolgen van een datalek, terwijl de eerste 24 uur na het ontdekken van een datalek cruciaal zijn voor de reputatie van een organisatie. Het verbaast ons dat er nog weinig aandacht is voor het verband tussen Business Continuity Management (BCM) en de mogelijke gevolgen van een inbreuk op de bescherming van persoonsgegevens. In het kader van de Business Continuity Awareness Week willen we daar graag even bij stilstaan.
Als het gaat om datalekken, ligt de focus meestal op het zo snel mogelijk onderzoeken van het datalek, tegenmaatregelen te treffen, en het lek te melden aan de toezichthouder en eventueel aan betrokkenen. Want, als je een datalek niet of te laat meldt, riskeer je een forse boete. Dat is natuurlijk helemaal waar, maar hoe zit het met de gevolgen van een datalek voor de organisatie? Het is niet ondenkbaar dat een datalek helemaal volgens de regels wordt afgehandeld, maar dat het de organisatie toch (bijna) de kop kost vanwege claims die worden ingediend of gevolgschade. Om daarop voorbereid te zijn, is een datalekprotocol niet voldoende: daarvoor is BCM noodzakelijk.
BCM richt zich op gebeurtenissen die het voortbestaan van de organisatie in gevaar kunnen brengen. Dus ook wanneer zich een datalek voordoet dat tot ernstige reputatieschade kan leiden. Denk bijvoorbeeld aan een virus, waardoor klantgegevens verloren zijn gegaan. Dit is een datalek, waardoor ook de bedrijfsvoering geraakt wordt.
Goed ingericht BCM helpt om tegen deze bedreigingen weerstand te bieden, de veerkracht van een organisatie te vergroten, en zo de gevolgen te beperken.
Twee elementen zijn hierbij van cruciaal belang:
De eerste is voorbereiding. Een goede voorbereiding wordt niet bepaald door de dikte van beleid en crisisplannen. Tijdens een echte crisis is er echt geen tijd om lange plannen te lezen. Beter is om vooral veel te oefenen: simuleren van een echte crisissituatie. Bijvoorbeeld door een datalek na te bootsen. Door het ervaren van zo’n oefening ontstaat bewustzijn van de mogelijke gevolgen van een datalek. Daarnaast ontwikkelt het de flexibiliteit om als crisisteam sneller te kunnen schakelen en de juiste prioriteiten te stellen.
Het tweede element is communicatie. De kans is groot dat een datalek in de openbaarheid komt. Als je zelf niet communiceert, doen anderen het wel. Voordat je het weet staat je datalek uitgespreid in de landelijke media of ben je ‘trending topic’ op social media. Je kunt daarom niet wachten op een uitgebreide analyse van wat er is gebeurd. Het is wel van belang dat je een helder, duidelijk en compleet verhaal vertelt. Er moet geen twijfel bestaan over wat er is gebeurd, want anders gaan mensen speculeren. Zorg voor een eenduidige communicatiestrategie voor de gehele organisatie.
Wees voorbereid op een datalek! Je moet snel, efficiënt en effectief handelen om reputatieschade zoveel mogelijk te beperken. Met de volgende stappen, kom je een eind:
- Breng je datalekprotocol in lijn met je BCM plannen;
- Zorg voor een duidelijke communicatiestrategie;
- Oefen, oefen nog meer en verbeter.
Nu vraag je je natuurlijk af wat dan dé belangrijkste bedreiging is voor organisaties? Dat is een cyberaanval. En een cyberaanval kan weer leiden tot… juist, een datalek!