Crisiscommunicatie na een ransomware-aanval

De eerste uren: intern communiceren

Zodra een ransomware-aanval is vastgesteld, is de eerste stap de juiste mensen intern te informeren. Dit klinkt vanzelfsprekend, maar in de praktijk wacht men vaak te lang. Stel een crisisteam samen: minimaal de directeur, de IT-verantwoordelijke, de communicatieverantwoordelijke en de jurist of compliance-officer.

Communiceer intern via een kanaal dat nog functioneert — e-mail ligt er mogelijk uit, dus gebruik de telefoon, Signal of een ander alternatief. Geef medewerkers een korte, feitelijke update: wat weten we, wat doen we, wat mogen ze wel en niet communiceren met buitenstaanders. Vraag medewerkers nadrukkelijk om niets te posten op sociale media.

Wettelijke meldplichten

Als bij de aanval persoonsgegevens van klanten, medewerkers of burgers zijn betrokken, heeft u een wettelijke meldplicht. Onder de AVG moet u een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als betrokkenen (uw klanten) een hoog risico lopen, moet u hen ook persoonlijk informeren.

72 uur gaat snel. Zeker als de aanval 's nachts of in het weekend plaatsvindt. Schakel daarom direct een jurist of privacyspecialist in die u begeleidt. Een te late melding levert een hogere boete op dan een tijdige melding — ook als de melding onvolledig was op het moment van indienen.

Extern communiceren: klanten, leveranciers en pers

Wees transparant, maar niet voorbarig. Communiceer op basis van feiten: wat is er aan de hand, wat doet u eraan, wanneer verwacht u meer informatie te kunnen geven. Geef een vast contactpunt voor vragen. Vermijd overdrijving in beide richtingen: te optimistisch ('alles is snel opgelost') wekt valse verwachtingen, te dramatisch ('we zijn compleet platgelegd') veroorzaakt onnodige paniek.

Als de pers belt: bereid een kort statement voor. Geef toe dat er een incident is, dat u er alles aan doet om dit op te lossen, en dat u meer informatie deelt zodra die beschikbaar is. Zeg nooit 'geen commentaar' — dat wekt de indruk dat u iets te verbergen heeft.

Wat bereidt u van tevoren voor?

De beste crisiscommunicatie is de communicatie die u van tevoren heeft voorbereid:

• Stel een crisiscommunicatieplan op met rollen, contactlijsten en communicatiekanalen
• Maak sjablonen voor interne updates, klantberichten en persverklaringen
• Zorg dat alternatieve communicatiekanalen (Signal, WhatsApp Business) klaarstaan
• Definieer de escalatiemomenten: wanneer informeert u de Raad van Commissarissen? De AP?
• Train het crisisteam jaarlijks met een simulatie
• Bewaar een analoge contactlijst (papier of offline Excel) van sleutelpersonen