Na een datalek: dit communiceer je naar medewerkers en klanten

Goede crisiscommunicatie kan veel leed voorkomen. De juiste balans ligt tussen zorgen wegnemen zonder dat je de ernst van de situatie lijkt te onderschatten. Maar een datalek vraagt ook om een snelle reactie: als klanten via de media vernemen dat hun gegevens op straat liggen en vervolgens nog dagenlang niks horen, zorgt dat vrijwel altijd voor extra ergernis. Kortom: je communicatie naar klanten en medewerkers staat en valt bij een goed plan. Maar hoe pak je dat aan?

Begin met één duidelijke boodschap: wees tijdelijk extra alert

De eerste boodschap aan medewerkers en klanten moet simpel en praktisch zijn: wees de komende periode extra alert op berichten, telefoontjes en verzoeken die geloofwaardig lijken, maar dat niet zijn.

Na een datalek beschikken criminelen soms over informatie zoals namen, e-mail- of fysieke adressen, functietitels, bankrekening- en telefoonnummers. Daarmee kunnen ze berichten sturen die er overtuigend uitzien, vaak uit naam van bekende organisaties, personen of zelfs echte leveranciers.

Leg daarom uit dat “bekend” niet automatisch “betrouwbaar” betekent. Dat helpt mensen om hun gedrag tijdelijk aan te passen, zonder dat ze overal wantrouwend van worden. Zo kunnen veel bedrijven te maken krijgen met factuurfraude: er worden dan nep-facturen verstuurd die nauwelijks van echt te onderscheiden zijn..

Geef concrete voorbeelden van wat er kan gebeuren

Algemene waarschuwingen als “let op phishing” zijn niet genoeg. Mensen moeten herkennen waar ze op moeten letten. Denk aan situaties zoals:

• een e-mail waarin staat dat je direct moet inloggen om problemen te voorkomen
• een betaalverzoek dat plotseling “aangepast” is
• een bericht waarin je gegevens moet bevestigen
• een boete of factuur die binnen 24 uur betaald moet worden via een link

Wat al deze berichten gemeen hebben, is dat ze druk zetten. Er wordt gespeeld met urgentie, mogelijke gevolgen en tijdsdruk. Terwijl legitieme organisaties zelden op die manier communiceren. Zo liet het CJIB onlangs weten dat er op dit moment opvallend veel neppe verkeersboetes worden verstuurd. Door dit soort voorbeelden te benoemen, geef je mensen duidelijkheid. Ze weten niet alleen dát ze moeten opletten, maar ook waarop.

Geef één simpele gedragsregel mee

In een onzekere situatie wil je het zo makkelijk mogelijk maken. Geef daarom één duidelijke regel: Bij twijfel: niet klikken, niet betalen, maar eerst controleren. Dat betekent dat medewerkers zelf naar de website gaan in plaats van via een link, terugbellen via een bekend nummer of intern navragen voordat er iets wordt uitgevoerd. Dit voorkomt dat mensen in het moment een verkeerde keuze maken.

Wees expliciet over wat jouw organisatie nooit zal vragen

Veel verwarring ontstaat doordat mensen denken dat een verzoek “er misschien bij hoort”. Maak daarom heel concreet wat jouw organisatie nooit doet, bijvoorbeeld:

• Wij vragen nooit om wachtwoorden
• Wij vragen nooit om verificatiecodes
• Wij wijzigen nooit betaalgegevens via losse e-mails
• Wij zetten nooit druk om directe te handelen

Hoe duidelijker dit is, hoe makkelijker mensen afwijkingen herkennen.

Waarschuw ook voor telefoontjes en voice scams

Veel organisaties richten zich vooral op e-mail. Maar na een datalek verplaatsen aanvallen zich vaak naar andere kanalen, zoals telefoon, sms of chat.

Criminelen gebruiken daarbij informatie die ze al hebben. Een medewerker hoort zijn naam, functie of bedrijfsnaam en denkt daardoor sneller dat het gesprek legitiem is. In combinatie met tijdsdruk kan dat leiden tot snelle (en verkeerde) beslissingen. Steeds vaker maken aanvallers gebruik van deepfakes: gesprekken die betrouwbaar klinken en soms zelfs worden gevoerd met een herkenbare stem.

Lees ook: Zo trap je niet in voice cloning en deepfakes

Maak daarom duidelijk dat ook telefonisch contact kritisch beoordeeld moet worden. De regel blijft hetzelfde: geen codes delen, geen wachtwoorden doorgeven en geen betalingen bevestigen onder druk. Bij twijfel: zelf terugbellen via een officieel nummer.

Neem onnodige onrust weg: niet alles hoeft direct

Na een datalek ontstaat vaak paniek. Mensen willen hun e-mailadres wijzigen, accounts opzeggen of alles tegelijk aanpassen. Dat is meestal niet nodig. Wat wél zinvol is en je dus best mag noemen in je communicatie naar klanten en medewerkers:

• wachtwoorden wijzigen van belangrijke accounts
• multifactor-authenticatie inschakelen
• unieke wachtwoorden gebruiken

Met oplossingen zoals KPN Password Manager kunnen medewerkers veilig wachtwoorden beheren zonder ze zelf te hoeven onthouden.

Maak je communicatie kort, duidelijk en herhaalbaar

Een goede boodschap is geen lang verhaal, maar een praktische handleiding. Zorg dat je communicatie:

• kort en begrijpelijk is
• concrete instructies bevat
• één duidelijk aanspreekpunt heeft
• en herhaald wordt in de dagen daarna

Dit geldt zowel intern als extern. Hoe duidelijker je communiceert, hoe kleiner de kans dat mensen fouten maken.

Voorkomen blijft beter dan genezen

Goede communicatie na een datalek kan veel schade voorkomen. Maar nog beter is het als medewerkers en klanten deze signalen al herkennen vóórdat het misgaat. Je kan ze daarbij helpen door je bedrijfsnetwerk standaard te beveiligen tegen phishing en malafide website, bijvoorbeeld door KPN EEN MKB Extra Veilig Internet aan te zetten. Of je medewerkers een gratis security awareness training aan te bieden via TrustLayer.

Lees ook: Hoe ontstaan datalekken en kan je ze voorkomen?

Hoe goed is jouw organisatie voorbereid?

Weet jouw team wat ze moeten doen bij een datalek? En hoe snel kan je dit organiseren als het nodig is? Een adviseur van KPN Zakelijk kijkt graag met je mee naar je huidige aanpak en waar je deze verder kan versterken.

Plan een gratis en vrijblijvend adviesgesprek en versterk de digitale weerbaarheid van je organisatie.