Print:

Interview André Beerten

Redactie IIR, Trainingen en congressen

LinkedIn profiel

Communicatie redt reputatie na datalek

In oktober 2012 drong de hacker ‘Bonnie van het Nederlands Genootschap van Hackende Huisvrouwen’ het systeem van het Groene Hart Ziekenhuis in Gouda binnen. Op pijnlijke wijze toonde zij aan dat een fors aantal dossiers en daarmee medische persoonsgegevens gekopieerd en naar buiten gebracht kon worden. Tot op heden heeft het ziekenhuis onder toezicht gestaan van het College Bescherming Persoonsgegevens (CBP) om er zeker van te zijn dat dit niet nog een keer zou kunnen gebeuren. André Beerten was, als information security officer van de samenwerkende A12-ziekenhuizen waartoe het Groene Hart Ziekenhuis behoort, nauw betrokken bij deze crisis. Hij vertelt hoe zij hebben gehandeld tijdens de eerste 24 uur na melding van het lek en hoe de reputatie van het ziekenhuis grotendeels dankzij deze aanpak ongeschonden is gebleven.
Met kleerscheuren uit de strijd

“In ons geval zijn twee elementen cruciaal gebleken voor de manier waarop wij als ziekenhuis uit de crisis zijn gekomen. Het eerste is voorbereiding. En daarmee bedoel ik echt oefenen. Niet een voorbereiding op een papiertje of in een klasje, maar echt voelen wat het is om een crisis mee te maken. Een klein kringetje van betrokkenen laten ervaren hoe ze de controle verliezen en worden afgeslacht door de media en publieke opinie. Dat kan je maar op één manier doen: een media team simuleren en een groep social media gebruikers te laten twitteren en facebooken over jouw datalek.”

André legt uit dat plannen in zo’n crisis niet meer werken. In elk geval niet op het niveau van de bestuurder. Die handelen reflexmatig en op basis van ervaringen. Tijdens een crisis kunnen zij geen rapport van 60 pagina’s doornemen over hoe te handelen. Een crisisaanpak moet acuut in werking kunnen gaan. Door de ervaring van een oefening kunnen ze de juiste reflex aanwenden. Doordat ze al gevoeld hebben wat een dergelijke situatie betekent kunnen ze snel schakelen en prioriteiten stellen. Waar wel uitwerking van besluiten nodig is, schakel je specialisten in van de door het incident geraakte afdelingen. Zo moet de manager van de Intensive Care wel een plan klaar hebben. Hoe hij bijvoorbeeld zonder IT ondersteuning patiënten in leven houdt of met welk ziekenhuis afspraken liggen in geval van een calamiteit.

Het tweede cruciale element is communicatie. André: “Je moet direct naar buiten treden met een helder, eerlijk en volledig verhaal. Als jij het niet doet, doen anderen het. In ons geval publiceerde Brenno de Winter binnen mum van tijd op nu.nl over het datalek. Je kunt niet wachten tot overmorgen om je verhaal te vertellen. Dan ben je al gevierendeeld en gelyncht.” Belangrijk hierbij is om geen twijfel te laten bestaan over wat er gebeurd is. Dan laat je namelijk ruimte over voor speculatie en ben je de controle kwijt. “Denk maar aan Bill Clinton en de hele Monica Lewinsky affaire. Had hij vanaf het eerste moment zijn slippertje berouwvol opgebiecht, was de hele affaire in een paar dagen van de voorpagina verdwenen.” Een oud gezegde is van toepassing: in de krant van vandaag wordt morgen de vis verpakt.
Noodzakelijke personen en procedures in het crisisteam

Schakel allereerst de hoogst verantwoordelijken van de organisatie in. Zij moeten besluiten nemen over te maken kosten en acute ingrepen in de infrastructuur. Ook moeten zij alle belanghebbenden informeren: in het geval van het Groene Hart Ziekenhuis waren dat de Raad van Toezicht en de toezichthouders CBP en IGZ. Bij een beursgenoteerde onderneming bijvoorbeeld ook de aandeelhouders en huisbankier.

André benadrukt het belang van het opnemen van een communicatiemedewerker in het crisisteam bij wie het primaat over alle communicatiebeslissingen ligt. “De boodschap, de toon en de snelheid van reageren. Communicatie is immers KING tijdens die 24 uur.” Je kunt niet wachten op een diepgravende analyse, mensen informeren over wat er is gebeurd speelt de belangrijkste rol. Pas daarna komen opsporing en meer gedetailleerde uitleg op de agenda. “Als jij het beeld niet bepaalt hebben andere partijen het al voor je ingevuld. Neem speculatieruimte weg door heldere boodschappen te brengen. Hoe vervelend ze ook zijn.”

Uiteraard moet ook de IT afdeling vertegenwoordigd zijn in het crisisteam. Deze is in eerste plaats verantwoordelijk voor het beperken van de schade door – bijvoorbeeld – betrokken systemen af te koppelen. Pas dan kan een eerste, oppervlakkige analyse gemaakt worden. Binnen 2 dagen was de reikwijdte en impact van het datalek grotendeels in kaart gebracht. Dat maakte duidelijk welke diensten weer aangesloten konden worden. Uiteindelijk heeft een diepgravende analyse plaatsgevonden met als doel te ontdekken wat er precies was gebeurd, hoe het heeft kunnen gebeuren en wie daar verantwoordelijk voor zijn geweest.

Aan die analyse kom je in de eerste 24 uur nog niet toe. Maar je moet wel een keuze maken wie dat zal gaat doen. Het is aan te raden om daarvoor een externe, onafhankelijke partij aan te stellen. “Je kunt het je niet permitteren dat er twijfel bestaat over de juistheid van de reconstructie die jij aanlevert. Patiënten zouden immers een aanklacht tegen je kunnen indienen op grond van onzorgvuldigheid. Ook het CBP zal een onderzoek starten of je de wet hebt overtreden. Een onafhankelijke partij kan daarom een goede oplossing zijn.”
Lessons learned

De crisis is inmiddels ruim anderhalf jaar geleden. Terugblikkend op de aanpak van de eerste 24 uur zegt André: “Op het moment van de crisis zou ik helemaal niks anders hebben gedaan, dat is uitstekend verlopen.” Wel spookten vlak na de melding vele vragen door zijn hoofd. “Wat had ik kunnen doen om het voorkomen? Had ik betere maatregelen kunnen nemen? Had ik het kunnen zien aankomen? Heb ik voldoende gerapporteerd over de risico’s?”

Uiteindelijk moest hij concluderen dat hij dat had gedaan. Sterker nog, hij had vrij kort daarvoor nog afgegeven dat er wel degelijk een stevig risico bestond. De organisatie was onvoldoende in staat om te beoordelen of de systemen goed op slot zaten. Gebrek aan beheersing bleek de oorzaak. Gestructureerd aandacht voor preventie en systematische controle op het testen van de systemen moeten bovenaan de agenda staan om dat te voorkomen. En André zelf? Hij is nog steviger gaan rapporteren. Minder genuanceerd, vaker de vinger op de zere plek en regelmatiger audits uitvoeren. “Als informatiebeveiliger moet je stevig in je schoenen staan om een moeilijke mededeling te kunnen doen. Maar daar zit precies je toegevoegde waarde. Gehoord worden over de risico’s die je in kaart hebt gebracht.”

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten