Een datalek begint zelden met duidelijkheid
In films is het simpel. Een rood scherm. Een aftelklok. Een hacker die laat weten dat je bedrijf is getroffen. In werkelijkheid begint een datalek veel rommeliger. Soms meldt een securitypartij dat er inloggegevens van jouw medewerkers opduiken op het dark web. Soms ziet je IT-team een verdachte inlog vanuit een vreemd land. Soms belt een journalist met de vraag of jouw klantdata onderdeel zijn van een gelekte dataset. En soms ontdek je het pas als klanten melden dat ze ineens overtuigende phishingmails uit jouw naam ontvangen.
Dat laatste maakt een datalek zo verraderlijk: op het moment dat jij hoort dat er “waarschijnlijk iets aan de hand is”, weten aanvallers vaak al veel meer dan jij. Juist daarom is de eerste fout die bedrijven maken ook meteen de gevaarlijkste: te snel handelen zonder regie. De reflex is begrijpelijk. Iemand roept dat alle wachtwoorden moeten worden gereset, iemand anders wil systemen offline halen, communicatie wil meteen een statement opstellen. Maar voordat iedereen iets anders gaat doen, heb je één ding nodig: een klein crisisteam dat de leiding neemt.
1. Zet meteen een incidentteam neer
Niet morgen, niet na de lunch. Meteen. In de eerste uren wil je een beperkte groep met mandaat: IT/security, directie, juridische/privacy-verantwoordelijke, communicatie en eventueel een externe incident-responder. Het doel is niet om iedereen aan tafel te krijgen, maar om te voorkomen dat er tien losse acties plaatsvinden die elkaar tegenwerken.
Dit team moet eerst antwoord krijgen op vier harde vragen. Wat is er precies geraakt? Gaat het om persoonsgegevens, interne documenten, mailboxen, financiële informatie of ook productiesystemen? Is het lek nog actief? Hoe is de toegang waarschijnlijk ontstaan? En vooral: wat moet nu als eerste worden veiliggesteld?
Dat laatste is belangrijker dan veel managers denken. De politie adviseert expliciet om digitale sporen niet verloren te laten gaan en zoveel mogelijk informatie te bewaren. Bij ransomware-aangiftes vraagt de politie bijvoorbeeld om logbestanden, netwerkgegevens, getroffen systemen en de herstelacties die al zijn ondernomen.
Dat is meteen insider-tip één: wis niet impulsief alles weg. Een overijverige reset van accounts of het te snel herinstalleren van systemen kan forensisch onderzoek later juist lastiger maken.
2. Sluit het lek, maar doe dat gecontroleerd
Natuurlijk wil je het liefst direct ingrijpen. Accounts blokkeren, sessies intrekken, toegang afsluiten, mogelijk een getroffen server isoleren van het netwerk: het zijn logische eerste reflexen. Het
Maar bij een datalek ligt het vaak genuanceerder. Zeker wanneer aanvallers via social engineering of onveilige wachtwoorden toegang hebben gekregen tot accounts van medewerkers (bijvoorbeeld binnen Microsoft 365) is het vaak niet verstandig om deze accounts direct te blokkeren of te verwijderen zonder eerst inzicht te hebben in wat er speelt.
Juist via die accounts laten aanvallers waardevolle sporen achter: loginlogs, actieve sessies, IP-adressen en afwijkende configuraties. Die informatie is essentieel om te reconstrueren wat er precies is gebeurd. Als je te snel ingrijpt, loop je het risico dat je dit bewijs verliest en later niet meer kan vaststellen welke data is ingezien of buitgemaakt.
Daarom is gecontroleerd handelen onder deskundige begeleiding cruciaal. Heb je deze security-expertise niet in huis, dan is het verstandig om direct een ICT- en securitypartner zoals KPN in te schakelen. Die kan helpen om de situatie te stabiliseren en tegelijkertijd het onderzoek veilig te stellen.
In deze fase draait alles om keuzes: welke systemen moeten intact blijven voor forensisch onderzoek en welke onderdelen kan je veilig afschakelen zonder extra schade te veroorzaken?
Pas wanneer je voldoende inzicht hebt, sluit je gericht de toegang af. Denk aan het resetten van wachtwoorden van verdachte accounts, het beëindigen van actieve sessies, het verwijderen van ongewenste instellingen zoals email-forwarding en het verplicht activeren van multifactor-authenticatie waar dat nog niet actief was.
3. De meldplicht: wacht niet tot je alle antwoorden hebt
Veel organisaties denken ten onrechte dat ze pas hoeven te melden als alles honderd procent zeker is. Dat is niet zo.
Praktisch betekent dat: wacht niet tot je volledige feitenrelaas af is. Begin parallel. Terwijl IT onderzoekt wat er geraakt is, moet je privacy/juridische team al werken aan de risicobeoordeling. Welke persoonsgegevens zijn betrokken? Hoe gevoelig zijn die? Kunnen klanten hierdoor risico lopen op identiteitsfraude, phishing, reputatieschade of financieel misbruik? Dat bepaalt niet alleen of je moet melden, maar ook hoe snel en hoe dringend je klanten moet informeren.
Dit is ook het punt waarop veel bedrijven tijd verliezen. Niet door techniek, maar door twijfel. “Misschien valt het mee.” “Misschien hoeven we nog niks te zeggen.” Dat uitstel is zelden verstandig.
4. Doe aangifte, en bereid die goed voor
Bij een cyberincident is aangifte geen symbolische stap. De politie geeft aan dat aangifte zinvol is, onder meer omdat eerdere aangiftes soms helpen om bestanden te ontgrendelen of patronen in dadergroepen te herkennen. Voor bedrijven loopt dat bij ransomware via een afspraak op het politiebureau via 0900-8844; zelfstandige ondernemers kunnen voor sommige vormen van cybercrime ook online aangifte doen. De politie en het NCSC adviseren bovendien om logbestanden, contactgegevens van de aangever en een overzicht van getroffen systemen mee te nemen.
Belangrijke tip: behandel de aangifte als onderdeel van je incident response, niet als administratief staartje. Wie goed voorbereid aangifte doet, helpt niet alleen het onderzoek, maar dwingt intern ook af dat de feiten snel en scherp op tafel komen.
5. Ga niet zelf met hackers onderhandelen
Als het incident gepaard gaat met ransomware of afpersing, komt vroeg of laat de vraag op tafel: betalen we wel of niet? Het officiële advies van het NCSC is helder: betaal geen losgeld. Er is geen garantie dat je data wordt teruggegeven, betalende slachtoffers krijgen soms juist een hogere tweede eis en in sommige gevallen worden ze later opnieuw getroffen.
In de praktijk betekent dit dat je zo’n situatie niet alleen moet willen oplossen. Veel organisaties werken in dit soort gevallen samen met incident response-specialisten, juridische adviseurs en (als die er is) hun cyberverzekeraar.
Heb je
6. Communicatie: wees snel, concreet en bruikbaar
Klanten hebben weinig aan een wollige verklaring dat je “het zeer serieus neemt”. Ze willen drie dingen weten: wat is er gebeurd, wat betekent dat voor mij en wat moet ik nu doen? Als je dat niet invult, doet een aanvaller het wel met phishingmails, neptelefoontjes of valse herstelberichten.
Goede crisiscommunicatie bij een datalek is daarom niet alleen reputatiemanagement, maar ook schadebeperking. Vertel welke gegevens mogelijk zijn geraakt. Zeg eerlijk wat nog onbekend is. Leg uit welke stappen je bedrijf al heeft genomen. En geef klanten concrete handelingsperspectieven, zoals het wijzigen van wachtwoorden, het aanzetten van MFA, extra alert zijn op betaalverzoeken en het negeren van onverwachte telefoontjes waarin codes worden gevraagd.
Lees ook:
Interne communicatie verdient net zoveel aandacht. Medewerkers moeten precies weten wat ze tegen klanten wel en niet mogen zeggen, welke signalen direct moeten worden geëscaleerd en hoe ze om moeten gaan met media, leveranciers en verdachte berichten. Een datalek stopt namelijk zelden bij het eerste incident; vaak volgt daarna een golf van social engineering. Extra alertheid is vanaf nu cruciaal en een checklist of (extra)
Werk je met KPN EEN MKB? Dan kan je security awareness trainingen voor je medewerkers eenvoudig
7. Herstel draait om controle over je data
Na de eerste acute fase verschuift de focus van “wat is er gebeurd?” naar een minstens zo belangrijke vraag: kan je je data en systemen nog vertrouwen? Bij een datalek blijven systemen vaak gewoon draaien, maar dat betekent niet dat alles nog klopt. Aanvallers kunnen data hebben ingezien, maar ook aangepast of instellingen hebben gewijzigd zonder dat dit direct zichtbaar is. Denk aan subtiele veranderingen in rechten, e-mailforwarding of accounts die extra toegang hebben gekregen.
Back-ups spelen in deze fase een andere rol dan veel bedrijven denken. Niet als reddingsmiddel om systemen terug te zetten, maar als referentiepunt om te bepalen wat nog betrouwbaar is. Door huidige data te vergelijken met eerdere versies kan je afwijkingen opsporen en beter reconstrueren wat er is gebeurd. In sommige gevallen kan het zelfs nodig zijn om (delen van) je omgeving terug te zetten naar een moment waarvan je zeker weet dat het nog schoon was.
De praktijk leert dat dit lastiger is dan het klinkt. Veel organisaties hebben wel back-ups, maar weten niet precies welke versie nog veilig is of hebben nooit getest hoe snel en volledig ze data kunnen herstellen. Bovendien staan back-ups soms in dezelfde omgeving, waardoor ze mogelijk ook zijn geraakt. Je ICT-partner kan je helpen bij het terugzetten van systemen en data én het vergelijken van de voor en na situatie.
Je kan op verschillende manieren op een datalek reageren
Een datalek legt niet alleen je systemen bloot, maar vooral hoe je organisatie is ingericht. In de hectiek wordt snel duidelijk of er structuur is, of iedereen weet wat hij moet doen en of beslissingen met vertrouwen worden genomen.
Bedrijven die hier goed doorheen komen, hebben één ding gemeen: ze hoeven het niet ter plekke uit te vinden. Rollen zijn duidelijk, systemen zijn ingericht op veiligheid en er is een partij die ze kunnen inschakelen als het misgaat. Daardoor blijft er, zelfs onder druk, ruimte om de juiste keuzes te maken. Je hoopt dat een datalek je nooit overkomt. Maar als het wél gebeurt, bepaalt je voorbereiding hoeveel controle je houdt én hoeveel schade je voorkomt.
Hoe goed is jouw bedrijf voorbereid op een datalek?
Wil je weten hoe goed jouw organisatie is voorbereid op een datalek of ransomware-incident? En waar dit nog beter kan? Een adviseur van KPN Zakelijk kijkt graag mee naar je huidige risico’s, back-upstrategie en weerbaarheid van je medewerkers.
