Wat moeten privacy professionals weten over crisismanagement?

Privacy professionals spelen een belangrijke rol in het crisismanagement rond datalekken en andere privacy-inbreuken. Onno Houtschild, crisiscommunicatieadviseur van Handson Partners en een van de docenten van de CDPO-opleiding van Outvie, vertelt over de uitdagingen en de succesfactoren.

Media berichten bijna wekelijks over datalekken, cyberaanvallen en andere incidenten waarbij persoonsgegevens op straat komen te liggen. “Het probleem is zeer zichtbaar, en de risico’s nemen door de razendsnelle technologische ontwikkelingen alleen maar verder toe. Tegelijkertijd lijkt er een soort gelatenheid te heersen. Alsof we er eigenlijk niet meer van opkijken dat er regelmatig datalekken en onzorgvuldige verwerkingen van persoonsgegevens plaatsvinden”, zegt Onno Houtschild, over deze trend.

Crisismanagement Privacy

“Organisaties zijn bezig met compliance, maar dataprotectie wordt te vaak toch vooral gezien als een lastige verplichting. Daar schuilt een groot gevaar in”, voegt Houtschild toe. “Er is een reëel risico dat een organisatie te maken krijgt met een incident. Zeker bij data-intensieve organisaties zijn de gevolgen dan zeer groot. Niet alleen voor de bedrijfsvoering en dienstverlening, maar ook voor de reputatie.”

Houtschild is al bijna dertig jaar actief als communicatieadviseur en -manager, met als specialisatie issue- en crisiscommunicatie. Hij werkte voor onder andere het ministerie van Algemene Zaken en adviesbureau Dröge & van Drimmelen (nu: Publyon). Sinds 2021 deelt hij als docent van de beroepsopleiding Certified Data Protection Officer (CDPO) van Outvie zijn expertise en ervaring op het gebied van crisismanagement.

“De kern van goed crisismanagement is dat je de oorzaak van een incident aanpakt én de negatieve impact van de situatie op de omgeving verzacht of zelfs wegneemt”, licht Houtschild toe. “Bij een cyberaanval is dus de eerste prioriteit dat het lek wordt gedicht. De tweede pijler is om de gelekte data te managen, zodat de direct betrokkenen en andere belanghebbenden niet, of zo min mogelijk, worden geschaad.”

De twee rollen van privacy professionals in crisismanagement

Welke rol speelt een data protection officer in het crisismanagement rond een datalek of een andere privacy-inbreuk? “De eerste taak is om de collega’s die aan de lat staan om het incident te managen te voorzien van de juiste informatie. Daarmee ondersteun je het crisisteam om de juiste acties en communicatielijnen te bepalen. Je zet de feiten op een rij en creëert duidelijkheid over de situatie. Wat is er aan de hand? Waar ligt de oorzaak? Welke gevolgen zijn er? Hoe wordt nu gewerkt aan een oplossing?” Bij een datalek maakt een privacy officer bijvoorbeeld duidelijk welke systemen zijn geraakt, hoe dat heeft kunnen gebeuren en welke persoonsgegevens naar buiten zijn gebracht.

Privacy professionals zijn in crisissituaties ook van toegevoegde waarde door actief mee te denken over de impact van een incident. “Je wilt dat het probleem snel is verholpen en dat belanghebbenden er zo min mogelijk hinder of schade van ondervinden. Het is daarvoor essentieel om het stakeholderveld in kaart te brengen en je te verdiepen in de zorgen en vragen die er leven.”

Houtschild geeft het voorbeeld van een datalek bij een afdeling van een ziekenhuis, waardoor medische dossiers van patiënten op straat zijn komen te liggen. “Welke zorgen en belangen hebben de getroffen patiënten dan? Wat speelt er bij artsen van andere afdelingen in het ziekenhuis? Denk ook aan de directeuren van andere ziekenhuizen, en de Autoriteit Persoonsgegevens (AP). Iedere stakeholder heeft een andere zorg met een eigen vraag, en met elke vraag moet je aan de slag.”

Wat is de impact van het incident op de verschillende stakeholders? Wat kunnen we concreet doen om negatieve gevolgen te minimaliseren? Dat zijn volgens Houtschild de kernvragen die een goed crisisteam oppakt. “De data protection officer kan hierbij ondersteunen door betrouwbare informatie aan te reiken over de oorzaak, reikwijdte, impact en mogelijke oplossingen. Wat is er gebeurd? Wat betekent dat voor onze dienstverlening? Hoelang duurt het om een oplossing te realiseren? Welke tijdelijke noodoplossingen zijn er dan eventueel mogelijk?”

Van crisisvoorbereiding naar crisismanagement

Houtschild benadrukt dat aan crisismanagement een gedegen voorbereiding ten grondslag ligt. Ook daarin spelen privacy professionals een rol. “Crisisvoorbereiding is niet simpelweg een kwestie van compliance met de regels en vereisten van de Algemene verordening gegevensbescherming (AVG). Het gaat net zozeer over een organisatiecultuur waarin de geest van de wet is verankerd. De AP signaleert bijvoorbeeld al enkele jaren dat zorgpersoneel in ziekenhuizen te vaak ongeoorloofd in de medische dossiers van BN’ers kijkt. Dat ligt niet alleen aan het functioneren van het systeem, maar ook aan de cultuur.”

“Vat je taak niet te beperkt op. Bouw actief aan een cultuur rond dataprotectie en een zorgvuldige omgang met gevoelige data”, adviseert Houtschild. “Zoek daarvoor de samenwerking met disciplines zoals communicatie, HR, IT en management. Effectief crisismanagement draait in belangrijke mate om communicatie. Stakeholders zullen een organisatie waar iets misgaat zeker vergeven – je wordt vooral beoordeeld op de manier waarop je daarmee omgaat. En dat begint al vóór het incident.”

Risico’s en scenario’s

Op basis van een risicogerichte benadering van privacy zijn scenario’s te ontwikkelen met mogelijke reacties op incidenten. Houtschild: “Het is belangrijk om te inventariseren waar de grootste risico’s liggen, en vervolgens verschillende scenario’s te ontwikkelen voor de omgang met incidenten. Natuurlijk is het onmogelijk om je uitgebreid voor te bereiden op élk scenario. Daarom is een praktische methodiek van crisismanagement net zo belangrijk als een scenarioverkenning. Welke taken, rollen en verantwoordelijkheden hebben de deelnemers aan het crisisteam? Hoe vindt de besluitvorming plaats?”

“De ervaring leert dat organisaties die de organisatorische aanpak van the most likely scenarios goed hebben uitgewerkt en voorbereid, in crisissituaties het beste handelen,” zegt Houtschild. “Data protection officers kunnen hieraan bijdragen door activatieschema’s op te stellen. Dergelijke schema’s geven antwoorden op vragen zoals: Wat gebeurt er in de organisatie als er sprake is van een incident met persoonsgegevens? Wie informeert wie? Wat doet het privacy team? Wie is ons aanspreekpunt in het crisisteam? Als je van tevoren weet hoe het crisismanagement verloopt en welke collega’s daarbij je gesprekspartners zijn, dan ben je beter in staat om na een incident snel en effectief te handelen.”

Spraakmakende cases

De tiendaagse CDPO-opleiding is speciaal ontwikkeld voor privacy officers, compliance officers en Functionarissen Gegevensbescherming (FG’s) die diepgaande kennis en soft skills willen ontwikkelen. Al meer dan 350 privacy professionals in Nederland voeren de CDPO-titel en zijn ingeschreven in het CDPO-register.

In de module van Houtschild gaan deelnemers aan de slag met een communicatieplan, dat de acties voor effectief incidentenmanagement op een rij zet. Aan de hand van spraakmakende cases, zoals de hacks bij Uber, ROC Mondriaan en de gemeente Hof van Twente, worden de strategische, praktische en communicatieve aspecten van crisismanagement uitgewerkt.

“Het beheer van data en persoonsgegevens wordt steeds complexer, vooral als gevolg van de vele digitale ontwikkelingen. Daardoor groeit de gevoeligheid voor incidenten”, zegt Houtschild over de toekomstige ontwikkelingen. “Het risico op ingewikkelde crises neemt toe. Dat maakt het éxtra belangrijk om als privacy professional goed voorbereid te zijn op incidenten.”