Datalek? Neem regie over het verhaal

Het was raak afgelopen maanden op digitaal vlak. In augustus werd eerst KLM gehackt en later Bevolkingsonderzoek Nederland. In september waren de luchthavens van Berlijn, Dublin, Londen Heathrow en Brussel doelwit van een cyberaanval, waardoor veel vluchten werden geannuleerd.

In dit artikel sta ik niet stil bij wat partijen kunnen doen om hacks en cyberaanvallen te voorkomen, of de impact ervan te verminderen. Dat is voer voor experts, die we gelukkig wel in onze groep Yuma hebben.
Nee, in dit artikel wil ik het hebben over de vaak gebrekkige communicatie die volgt op de hacks en aanvallen. Communicatie is niet voorbereid, En wat vooral opvalt is dat de communicatie niet getuigt van empathie. Hieronder drie voorbeelden van de communicatie.

Drie voorbeelden:

KLM

KLM meldde begin augustus een datalek in een third party systeem waarbij namen en contactgegevens van in totaal zes miljoen (!) passagiers zijn buitgemaakt. Alhoewel er geen creditcardgegevens of wachtwoorden zijn buitgemaakt, is waakzaamheid toch aan de orde omdat met de gegevens phishingmails nog echter en daarmee effectiever gemaakt kunnen worden.

Ogenschijnlijk een nette mail met de juiste informatie. Toch mis ik hier simpelweg een empathische opening. Tegen mijn kinderen zeg ik altijd dat ze eerst sorry moeten zeggen als ze iemand pijn doen, ook als het per ongeluk is. Ook vertel ik ze dat ze verantwoordelijkheid zelf moeten nemen en niet direct wijzen naar anderen, zoals hier wel gedaan wordt in de tweede alinea, nog voordat ze zeggen wat er wel en niet is gestolen.

Wat ik ook jammer vind, is dat de lezer aan het eind naar het KLM Customer Contact Center wordt verwezen. Dat maakt het heel afstandelijk. Het zou goed zijn geweest als dit persoonlijker was aangepakt en als KLM direct had aangegeven dat ze snel met meer informatie zouden komen.

Bevolkingsonderzoek Nederland

Het datalek bij Clinical Diagnostics NMDL als leverancier van Bevolkingsonderzoek Nederland bleek te gaan om ruim zevenhonderdduizend deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker. Zeer privacygevoelige gegevens zijn buitgemaakt zoals naam, adres en woonplaats, geboortedatum, BSN-nummer, geslacht en naam van de huisarts. Voldoende voor identiteitsdiefstal. Zelfs de zeer persoonlijke testuitslagen zijn buitgemaakt. Men heeft ervoor gekozen om alle 941.000 deelnemers aan bevolkingsonderzoek baarmoederhalskanker sinds 2017 te informeren van de hack via een brief.

Deze brief is net als die van KLM netjes opgesteld. Ook de melding dat ze “het verschrikkelijk” vinden en zich kunnen voorstellen dat “dit vragen en onzekerheid” oproept is goed. Toch is het jammer dat ook hier geen sorry wordt gezegd. Ook wordt wel heel snel en gemakkelijk gezegd dat vanaf nu alles wel veilig is. Op het moment van schrijven lijkt me dat prematuur, en zeker niet echt geloofwaardig voor iemand die net heeft gehoord dat zeer persoonlijke gegevens zijn buitgemaakt. Verder is de opmerking “blijf alert […]” wel erg summier voor de zwaarte van deze hack. Er wordt verwezen naar een nette generieke FAQ-pagina, een anonieme mailbox en een 088-nummer. Dat zou ook meer persoonlijk kunnen.

Brussels Airport

De cyberaanval op de luchthavens was ransomware die zich richtte op software van Collins Aerospace die in gebruik is om passagiers zichzelf te laten inchecken op het vliegveld. Bekende eerdere gevallen van ransomware waren Universiteit Maastricht (2018), Mediamarkt (2021) en KNVB (2023). In een aantal van de gevallen is een serieus bedrag aan losgeld betaald.

Veel vluchten waren vorig weekend nog gecanceld. Mensen die op vakantie zouden gaan of op zakenreis stonden te wachten en konden niet weg. Inmenging van Rusland werd al geopperd. Mensen waren bezorgd en gefrustreerd. Op het scherm stond: “Als uw vlucht is geannuleerd vragen wij u de luchthaven te verlaten”, gevolgd door: “Uw luchtvaartmaatschappij zal u contacteren over uw opties. Bedankt voor uw medewerking.” Wat ik lees als: “don’t call us, we call you… doei!”.

Natuurlijk is het lastig om een goede boodschap te formuleren voor een voorval dat nu eenmaal heel naar is. Maar het lijkt ook onvoorbereid, zonder crisiscommunicatie playbook. En omdat alle organisaties weten dat dit soort cyberaanvallen en hacks gaan gebeuren, is het logisch als hiervoor al echt goede en geteste teksten klaarliggen, tezamen met nog betere directe en persoonlijke communicatie.

Wat wél werkt

Regel 1 in crisismanagement is control the narrative. Neem de regie. Blijf in verbinding met de gedupeerden. Het is dé manier om een crisis om te bouwen naar meer engagement en verbinding met je doelgroep.
Zelf heb ik als Hoofd Communicatie op een Internationale school een datahack moeten managen. Cruciaal was dat we continu open en eerlijk communiceerden – altijd net een stap eerder met de informatie dan de pers of de geruchtenmachine. Dat werd enorm gewaardeerd: de NPS-score voor communicatie en community engagement ging zelfs van een 7 naar een 8,8. Een crisis kan dus juist méér verbinding en vertrouwen opleveren, als je je open en kwetsbaar durft op te stellen.

Coca-Cola: hoe kwetsbaarheid vertrouwen redt

Een sterk voorbeeld was Coca-Cola in België (1999). Nadat kinderen ziek werden van flesjes en blikjes, werden tientallen miljoenen producten uit de schappen gehaald en was het merk wekenlang frontpage nieuws.
Coca-Cola maakte aanvankelijk de klassieke fout: te laat en te defensief reageren. Maar daarna pakten ze het goed op: ze boden openlijk excuses aan, lieten hun processen doorlichten en nodigden mensen uit om met eigen ogen te zien dat alles weer veilig was. Met publiekscampagnes, proeverijen en persoonlijke communicatie herwonnen ze stap voor stap vertrouwen.
De les: kwetsbaarheid tonen, verantwoordelijkheid nemen en actief de verbinding zoeken.

Stuurlui

Natuurlijk is het gemakkelijk om vanaf de zijlijn kritiek te geven op genoemde organisaties. Ze hebben echt een rot tijd achter de rug en hebben zich vast keihard ingezet om de klanten gerust te stellen en te helpen. Misschien hebben ze ook veel erger voorkomen en passen zelfs complimenten, dat weet ik niet. Maar mijn eenvoudige observaties en adviezen zouden kunnen helpen om hen, maar ook andere organisaties, aan te zetten om met meer empathie en meer aandacht voor de gebruiker te communiceren. Daar heeft iedereen meer dan voldoende voorbereidingstijd voor. Daar kun je namelijk nu al mee starten. En er zijn meer dan genoeg experts die iedereen erbij kan helpen.

Mijn oproep is dus: wacht niet totdat het gebeurt, want dát het gebeurt is zeker, je weet alleen niet wanneer. Een goede communicatie is cruciaal voor het helpen van mensen. Doe je dat goed, dan kan het zelfs helpen je merk nog sterker te maken. Doe je dat niet goed… Tja: vertrouwen komt te voet en gaat te paard.

En het goede nieuws: bij TD hebben we zowel de experts die organisaties helpen met datahack-preventie, als de communicatie-experts die klaarstaan om in crisistijd de juiste toon te zetten. Zo voorkom je niet alleen ellende, maar bouw je zelfs vertrouwen op – juist als het spannend wordt.

Auteur: Trudelies van der Poel, TD Merk Strateeg en Martijn Arts, CEO Total Design