Telecom-operator Orange kreeg in juni 2018 de – eerder bedenkelijke – eer om als eerste groot bedrijf in België post-GDPR een databreuk te melden. Door een menselijke fout bij een onderaannemer waren gegevens van 15.000 klanten op een testserver terecht gekomen, waardoor die gegevens een mogelijk gevaar liepen op diefstal.

In januari 2020 werd de Ieperse producent van weefgetouwen Picanol slachtoffer van een cyberaanval met ransomware. De aanval legde het bedrijf een hele week volledig lam, waardoor de 2.300 medewerkers van het bedrijf technisch werkloos waren. De aanval werd de voor zover bekend zwaarste ooit op een beursgenoteerd bedrijf in ons land. Picanol werd wel alom geprezen voor hun snelle, transparante en eerlijke communicatie.

Iets langer geleden, maar wel vermeldenswaardig: eind 2017 stapten drie leidinggevenden van Uber op vanwege een datalek uit 2016. Het lek trof 57 miljoen klanten en zo’n 600.000 bestuurders. Uber communiceerde ruim een jaar na datum pas over het lek. Intussen kwam ook aan het licht dat Uber de aanvallers 100.000 dollar betaalde om de gegevens te verwijderen en het lek stil te houden.

Eén probleem, verschillende oorzaken, en zeer verschillende manieren van communiceren. Hoe ga je als bedrijf, groot of klein, met veel of weinig gegevens, best om met de communicatie omtrent een hack en (eventueel) datalek? Welke richtlijnen volg je? En is communiceren altijd noodzakelijk? Sharing is caring, dus delen we graag een plan van aanpak.

crisiscommunicatie kernteam

1. Stel vooraf een kernteam samen. Nu dus.

Van zodra de hack is vastgesteld, gaat de bal aan het rollen: eerst wordt de IT-afdeling aan het werk gezet, daarna wordt het management geïnformeerd. Idealiter wordt er een kernteam opgetrommeld, met ‘afgevaardigden’ uit verschillende departementen. Zo’n kernteam is bij elk soort crisis een goed idee: het voorkomt dat er te veel mensen betrokken worden en er op die manier kostbare tijd verloren gaat. Tegelijkertijd zorgt het ervoor dat de verantwoordelijkheden efficiënter verdeeld worden.

Wie zeker niet in dat kernteam mag ontbreken, is de communicatieverantwoordelijke van het bedrijf. Dat kan ook de marketing-, PR-man of vrouw, of de woordvoerder zijn, en/of iemand van je communicatiebureau. Het is belangrijk dat de communicatieafdeling van bij het begin betrokken wordt, zodat het volledige verhaal duidelijk kan worden samengesteld én er snel geschakeld kan worden.

Tip: denk vooraf al na over wie er in zo’n kernteam zou zitten, en communiceer daarover. In the heat of the moment wil je daar liever niet mee bezig zijn.

crisiscommunicatie interne communicatie

2. Interne communicatie komt altijd op de eerste plaats.

Het is een gouden regel bij crisiscommunicatie, maar eentje waartegen – met de beste bedoelingen – ontzettend vaak gezondigd wordt. In het geval van een crisis, informeer je in eerste instantie je medewerkers.

1. Wie, wanneer en hoe communiceren?

Afhankelijk van de grootte van het bedrijf, de bedrijfscultuur en het moment van de hack is het aangeraden alle medewerkers een korte heads-up te bezorgen via het meest gebruikte communicatiekanaal. In veel gevallen zal dat e-mail zijn, een messaging-dienst zoals WhatsApp, of face-to-face binnen kleinere bedrijven. Zorg er in ieder geval voor dat iedereen op de hoogte is.

2. Wat communiceren?

De inhoud van die eerste interne communicatie is simpel. Je vertelt:

  • Wat je op dat moment weet
  • Wie aan welke oplossing werkt
  • Op welke manier klanten geïnformeerd zullen worden
  • Wat de roles & responsibilities van je kernteam zijn
  • Wat je verwacht van je medewerkers
  • Wanneer ze een volgende update krijgen

Na die eerste communicatie bezorg je je medewerkers best regelmatig een stand van zaken, zelfs als er niet veel nieuws te melden valt. Je communicatie kan dus heel kort blijven.

Heel belangrijk is het om de medewerkers op de hoogte te houden van de communicatie aan klanten. Wat wordt er gecommuniceerd en wanneer? Naar wie moeten ze doorverwijzen als klanten hun vragen stellen? Gaan klanten meteen een antwoord krijgen, of worden hun vragen later behandeld? Etc. Zorg ervoor dat er een uitgebreide briefing komt voor al wie met externe contacten te maken krijgt.

3. Waarom communiceren?

Door de medewerkers eerst te informeren, voorkom je veel problemen die anders vaak achteraf opduiken. Want wat als een klant al op de hoogte is, en een medewerker aan de lijn krijgt die van niets weet? Of een medewerker op de hoogte is, en een nietsvermoedende klant in geuren en kleuren vertelt dat zijn gegevens gehackt zijn? Alle neuzen in dezelfde richting hebben is altijd belangrijk, maar kan cruciaal blijken in het behoud van de relatie met de klant én het beperken van mogelijke reputatieschade.

En ook vanuit HR-standpunt is het eerst informeren van medewerkers een must. Want hoe komt het over als je eerst aan je klanten en je reputatie denkt, en dan pas aan je medewerkers?

crisiscommunicatie externe communicatie

3. Externe communcatie = interne communicatie

1. Wie informeer je?

In het geval van een effectieve hack, waarbij gegevens gestolen zijn, moet
er gecommuniceerd worden aan de betrokkenen. Maar die inschatting is niet altijd even makkelijk.

Denk aan de voorbeelden uit de inleiding: Orange heeft wél gecommuniceerd over een mogelijk datalek, Uber heeft zijn aanvallers zwijggeld betaald terwijl ze zeker wisten dat
er gegevens gestolen waren. Uiteraard zitten daar ook de verschillen tussen de Europese en Amerikaanse wetgeving voor iets tussen, maar het zegt ook veel over de gigantische grijze zone die ‘transparantie’ heet te zijn.

In de meeste gevallen geldt ‘eerlijk duurt het langst’, en is tijdig proactief communiceren de moeilijkste, maar beste oplossing. Zeker als er twijfel bestaat over de gevolgen van de hack, is het aangeraden klanten en partners op de hoogte te brengen en hen indien nodig te vragen actie te ondernemen. De reputatieschade als je dat niet doet is potentieel veel groter dan de reputatieschade op de korte termijn.

2. Wat communiceer je en wanneer?

Klanten en partners worden liefst zo snel mogelijk op de hoogte gebracht, maar je boodschap moet wel een oplossing en de te nemen stappen bevatten. Heb je die nog niet, probeer dan in te schatten hoe lang je kan en mag wachten vooraleer je extern gaat communiceren.

Daarnaast hou je best de tweede gouden regel voor crisiscommunicatie in het achterhoofd: vertel intern geen zaken die extern niet geweten mogen zijn, en vertel extern geen dingen waarvan je medewerkers niet op de hoogte zijn.

BEREID EEN STATEMENT VOOR

Bereid van zodra je kan een statement voor, dat heel kort de situatie en stand van zaken schetst. Dat kan de basis zijn voor antwoorden die je geeft op onverwachte vragen van klanten of journalisten.

Die regel helpt bij het opstellen van je communicatie aan klanten en partners, want je kan terugvallen op enkele van de key messages uit je interne communicatie. Vertel:

  • Wat je op dat moment weet
  • Hoe het probleem binnen korte termijn opgelost werd of wordt
  • Wat de gevolgen zijn voor klanten en partners
  • Welke next steps ze moeten ondernemen
  • Bij wie ze terecht kunnen voor vragen

In tegenstelling tot bij de interne communicatie, hou je bij voorkeur de rechtstreekse communicatie aan klanten beperkt in aantal. Liever 1 uitgebreide mail dan 4 mails verspreid over 2 weken. Een sporadische, daadkrachtige communicatie wekt sneller de indruk dat de situatie onder controle is dan een herhaaldelijke communicatie waarbij het issue steeds opnieuw onder de aandacht komt.

3. Welke communicatiekanalen gebruik je?

Hoe je communiceert aan contacten hangt af van de situatie, de bedrijfscultuur en -grootte, en de sector waarin je actief bent. In een klein bedrijf zal een e-mail of telefoontje volstaan, in een groot bedrijf moeten ook communicatie via sociale media en de pers overwogen worden, en komt er vaak ook communicatie (en approval flows…) met een hoofdkantoor bij kijken.

Telefoon

Persoonlijk contact is altijd een goed idee. Indien het haalbaar is, probeer dan je belangrijkste contacten telefonisch in te lichten over de situatie. Zorg ervoor dat alle key messages besproken worden, maar probeer het daarbij te houden. Volg daarna op met een e-mail, die de belangrijkste boodschappen herneemt.

E-mail

E-mail is het ideale kanaal om ervoor te zorgen dat al je contacten op hetzelfde moment dezelfde boodschap krijgen. Lijst de key messages op, en hanteer een geruststellende maar daadkrachtige toon. Zorg er ook voor dat antwoorden op de mails snel behandeld kunnen worden, eventueel door een of meerdere centraal aangestelde personen.

De afzender is idealiter een persoonlijk contact van de bestemmeling, bijvoorbeeld de accountmanager.

Social media

Is je bedrijf of je CEO erg actief op sociale media? Gebruik dan Twitter, Facebook en LinkedIn als verlengde van je e-mailcommunicatie. Herhaal de belangrijkste boodschappen kort, en leg uit dat betrokken klanten een e-mail gekregen hebben met extra uitleg. Zorg voor een neutrale toon en stick to the facts. De verschillende sociale media kunnen helpen om je boodschap sneller tot bij klanten te krijgen.

Maar let wel: mensen zijn gewend om via sociale media de conversatie aan te gaan. Hou dus de verantwoordelijke voor social media of iemand van je team klaar om op vragen en opmerkingen te antwoorden. Dat kan op basis van het voorbereide statement, of op basis van de uitgebreidere externe communicatie. Zorg er ook voor dat je op de hoogte bent van wat er over je bedrijf wordt gezegd op sociale media.

Website

Als mensen uit zichzelf op zoek gaan naar informatie, is de kans groot dat ze starten bij de website van je bedrijf. Voorzie een centrale plek waar je de belangrijkste boodschappen kan delen, verwijs naar een persoon bij wie ze terecht kunnen met vragen en hou in de gaten hoeveel trafiek de website krijgt op dat bericht. Van zodra de storm wat is gaan liggen, verplaats je het bericht best zo snel mogelijk naar het archief.

Pers

Of je de media al dan niet proactief informeert over de hack en de impact ervan, hangt van een aantal factoren af. Zijn er veel consumenten betrokken bij de datalek, dan is een persmededeling een goed idee: veel mensen zullen niet meteen de desbetreffende mail van hun leverancier lezen, worden niet telefonisch gecontacteerd om de situatie te bespreken en kunnen bij het zien van een statement op sociale media gedacht hebben ‘het zal wel niet om mijn account gaan’. Dan kan het helpen om via media-coverage uit te leggen hoe de vork in de steel zit. Maar dat heeft uiteraard een impact op je reputatie: je bent – voor even althans – ‘dat gehackte bedrijf’.

Om de gevolgen op lange termijn te beperken, laat je de communicatie
best over aan je woordvoerder of communicatieverantwoordelijke, ondersteund door een communicatieconsultant die met een externe blik de situatie helpt beoordelen.

Is het niet noodzakelijk om via de pers te communiceren? Doe het dan niet, maar wees wel voorbereid op vragen van journalisten. Baseer de antwoorden op je statement of de uitgebreidere externe communicatie, en zeg zeker niks dat je niet eerder intern of extern gecommuniceerd hebt.

Krijgt je bedrijf onverwacht telefoon van een journalist? Een ‘geen commentaar’- antwoord is uit den boze. Zorg dat de vragen genoteerd worden en je woordvoerder of communicatieverantwoordelijke binnen het halfuur terugbelt met antwoorden. Dat geeft even de tijd om na te denken over hoe het een en ander best verwoord wordt naar de buitenwereld toe, en er de key messages nog eens op na te slaan. Mocht de journalist contact opnemen vòòr je intern of extern gecommuniceerd hebt, probeer dan een timeframe af te spreken waarin hij/zij het artikel publiceert. Journalisten gunnen je in veel gevallen wel dat extra uurtje om alles volgens plan af te werken.

Andere kanalen

Is het van het grootste belang dat al je klanten en gebruikers op de hoogte zijn van de hack? Dan zijn er nog een aantal andere mogelijkheden:

  • Advertising: Je kan via advertenties op sociale media bijvoorbeeld goed segmenteren wie je wil bereiken. Verwijs altijd naar een plek waar ze meer informatie kunnen vinden en vergeet de advertenties niet tijdig terug uit te zetten.
  • Direct messaging: is het nodig om een snelle heads-up te geven aan een aantal mensen? Denk dan ook aan WhatsApp, Facebook Messenger of sms.

4. Hoe beperk je schade aan je reputatie?

 Een crisis heeft altijd gevolgen voor de reputatie van een bedrijf. Je communicatie bepaalt of je de uiteindelijke impact verkleint, of net vergroot… Enkele tips.

1. Het belang van goede monitoring

Weten wat er over je bedrijf verteld wordt, is altijd belangrijk, maar kan in grote mate je manier van communiceren tijdens een crisis helpen sturen. Al was het maar om te weten met welke vragen klanten zitten. Zorg er dus voor dat er goed gemonitord wordt wat er vanaf het moment van de hack, zowel online als offline, gezegd wordt. Denk aan een overzicht van:

  • Gestelde vragen aan de helpdesk
  • Reacties van klanten tijdens gesprekken
  • Vragen en commentaren op sociale media
  • Coverage in de media
  • Trafiek naar de website en surfgedrag

Merk je dat de crisis langer dan verwacht blijft opduiken in de (sociale) media, of dat
de reacties overwegend negatief blijven? Investeer dan in follow-upcommunicatie zoals:

  • Gesprek met de CEO in de media over hoe de situatie snel onder controle was, hoe snel alle betrokkenen geschakeld hebben, wat de uiteindelijke impact was op de klanten, etc.
  • Blog & nieuwsbriefartikels met key facts en figures (indien die positief zijn): snelle reactie van IT, tempo communicatie aan klanten, nieuwe voorzorgsmaatregelen, etc.
  • Sensibilisering via verschillende kanalen over de gevaren en gevolgen van hacking, en hoe je ertegen te wapenen.
  • Pushen van positief nieuws: counter de negatieve associaties die nog rond je imago hangen met positieve verhalen, die niets met de hack te maken hebben.

Ook een extra actie aan klanten kan het tij helpen keren: een mooie korting, een uitnodiging voor een event, een leuke attentie op de dag van de klant, etc.

2. Eerlijk duurt het langst

Even terug naar de voorbeelden uit de inleiding. Wiens houding heeft de meest negatieve impact op de reputatie: die van Orange, dat proactief klanten informeerde, of die van Uber, dat informatie achterhield die uiteindelijk toch naar boven kwam?

Misschien heeft de actie niet zoveel impact gehad op de cijfers van Uber, maar het draagt zeker niet bij aan de toch al niet zo positieve uitstraling van Uber als bedrijf. En op lange termijn betalen ze daar de prijs voor. 

3. Bedrijven met een positief imago krijgen meer respijt

Het onderhouden van de reputatie van je bedrijf is een continu proces, en niet iets waar je alleen aan moet denken in tijden van crisis. Bedrijven die altijd hun communicatie op een professionele en proactieve manier aanpakken, kunnen op het moment van een crisis op meer goodwill van hun klanten rekenen, dan bedrijven die enkel communiceren als het echt niet anders kan. Een niet te onderschatten voordeel…

WAT MET ANDERE CRISISSEN?

Met de invoering van de GDPR-wetgeving, is communicatie over hacks, downtime, datalekken en datamisbruik een hot topic geworden. Maar uiteraard kunnen bedrijven te maken krijgen met heel wat soorten crisissen, bijvoorbeeld:

  • Financiële crisis (fraude, faillissement, …)
  • Sociale crisis (ontslagen, stakingen, …)
  • Persoonsgebonden crisis (medewerkers, management, …)
  • Rampen (brand, natuurramp, overval/terrorisme, …)
  • 3e partijen (crisis bij klanten of partners,…)

Zowat alle vermeldde tips kunnen op alle soorten crisissen toegepast worden, maar uiteraard moet er altijd rekening gehouden worden met de specifieke situatie en context. Crisiscommunicatie is altijd maatwerk. Maar een ding blijft altijd hetzelfde: voorbereiding is het halve werk. Maak dus beter vroeg dan laat werk van die communicatie-audit, en het bijhorende plan.

 

Geef je reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.