11. Communiceren bij een incident?
• Persoonsgegevens op verkeerde plek
• Dienstverlening gemeente in het geding
• Grote financiële schade
• Risico’s van timing
11
12. Communiceren bij een incident (2)
1. Waarom (doelstelling)
2. Wie (de doelgroep)
3. Wat (de boodschap)
4. Waarmee (het middel)
5. Wanneer (timing)
12
13. Casus 1: Website gemeente beklad
• Op de website verschijnen berichten die de
gemeente daar niet zelf heeft geplaatst
• Ook staan er advertenties op verschillende
pagina’s
• Het afsprakenformulier bevat reclame voor
afslankpillen
13
14. Casus 2: Samenwerking met ketenpartners
• Er wordt door de gemeente samengewerkt
met 13 andere gemeenten, de politie, uwv en
de inspectie szw
• O.a. bijzondere persoonsgegevens, maar ook
observatieverslagen etc.
• Hiervoor wordt een soort dropbox-achtige
dienst gebruikt, die ook nog eens met een
eenmalig in te voeren wachtwoord op een
telefoon te gebruiken is.
• Dit is in strijd met de wbp
14
15. Casus 3: Verkeerd geadresseerde mail
• Mail met bijlage bevat cliënten uit het
jeugddomein
• Per ongeluk verstuurd naar een van de
cliënten
15
16. Casus 4: Gegevens in de krant
• Medewerker van een voormalig leverancier
heeft laptop verloren met WOZ-gegevens
(inclusief bijzondere persoonsgegevens) van
meerdere gemeenten
• De vinder heeft de laptop ingeleverd bij de
krant
• De krant plaatst morgen een artikel en vraagt
u om een reactie
16
17. Opdracht 1: Leef je in
• Wat zijn de eerste twee vragen die bij je
opkomen
– Als wethouder / burgemeester
– Als inwoner
– Als pers / lokaal dagblad
– Als informatiebeveiligingsfunctionaris
17
18. Opdracht 2: communiceer (of niet?)
• Wel of niet communiceren?
– Wat zijn de gevolgen van de keuze?
– Wat / wie heeft u nodig om een woordvoeringslijn
op te stellen?
18
21. Woordvoering & Voorlichting (1)
• Neem de tijd en geef serieus aandacht aan de
vragen van journalisten
• Vraag voordat u contact heeft met de media
aan de specialisten in uw organisatie hoe het
precies zit.
– Vraag vooral om het in jip-en-janneke-taal uit te
leggen
– Vraag naar de realistische risico’s (kans en de
impact) – zoek uit wat u kunt doen om de gevolgen
voor betrokkenen zoveel mogelijk te beperken
– Vraag een controle op de feiten indien er al een
concept-artikel is
21
22. Woordvoering & Voorlichting (2)
• Wees open en transparant waar dat kan en
vooral waar men ook op een andere manier
aan de informatie kan komen
• Vermijd aantallen en data wanneer deze niet
strikt noodzakelijk zijn
• Vermijd waardeoordelen over situaties – zeg
nooit dat het wel meevalt
• Blijf bij de feiten die verband houden met het
specifieke incident
22
23. Woordvoering & Voorlichting (3)
• Kijk waar uw invloed heeft op het vervolg: het
is onzeker of gegevens misbruikt zullen
worden maar u kunt er als organisatie wel van
alles aan doen om de gevolgen te beperken
• Maak het incident niet groter door het in
verband te brengen met iets anders / groters
• Vraag bij waardeoordelen van de ander zo
mogelijk door (wat bedoelt u daar precies
mee, waar baseert u dat op, wie vindt dat,
waaruit blijkt dat)?
23
Voor datum, voettekst, etc. gebruik onder het menu ‘Invoegen’ de gewenste optie.
Via Start, Nieuwe dia kun je kiezen uit diverse soorten dia’s om in te voegen.
Laten we starten met een klassieke crisis: zichtbaar en herkenbaar
Spreekt tot de verbeelding
Iedereen heeft het wel eens gezien
Sirenes in de straten, hulpdiensten zichtbaar
Dan nu een informatiebeveiligingsincident, hoe ziet dat er uit?
Dan nu een informatiebeveiligingsincident, hoe ziet dat er uit?
Maar dan echt, hoe ziet dat er uit?
Hoe ziet een gehackt systeem eruit?
Wat kan er gebeuren?
Top 3:
Ransomware / Cryptolockers: bestanden gegijzeld voor geld
Verloren / Gestolen USB / Laptop
Verkeerd verzonden mail
2016: meldplicht datalekken
Identificatie en onderzoek: het incident wordt vastgesteld en door middel van onderzoek wordt vastgesteld wat er aan de hand is (geweest)
Schade indamming: insluiting en beperking van verdere schade door het incident
Remediatie en herstel: zo veel als mogelijk herstellen van de situatie en beperken van de gevolgen. In deze fase worden ook maatregelen getroffen om dezelfde of soortgelijke situatie in de toekomst te voorkomen
Evaluatie: na afloop wordt met alle betrokken partijen bezien of het incident juist is afgehandeld en wat de verbeterpunten voor de toekomst zijn
Stap 1: Bepaal de doelstellingen van communicatie
De eerste stap bij het opstellen van communicatie is het bepalen van de doelstelling(en): wat wil ik bereiken?
Voorbeelden:
het herstellen en behouden van vertrouwen
uitstralen dat de organisatie in control is
informeren over het incident en de reele risico’s
Stap 2: Bepaal de doelgroep(en)
Als tweede stap bepaalt u de doelgroepen van de communicatie en de bijbehorende (sub)doelstellingen
Voorbeelden:
Intern
Doel: rust en vertrouwen bij bestuur en management (boodschap: de organisatie is in control; men weet wie in de organisatie de single point of contact is)
Met communicatie zorgt u dat bestuur en management intern geinformeerd zijn over het voorval, de mogelijke risico’s en gevolgen en dat ze weten hoe er in de organisatie mee wordt omgegaan. Zo mogelijk kunt u reeds een (tijdelijke) woordvoeringslijn afstemmen.
Kennisniveau: de interne doelgroep weet (in het algemeen) veel van gemeentelijke processen en is niet bekend met ICT(-beveiligings)jargon
Betrokkenen / Slachtoffers / Inwoners
Doel: informeren en handelingsperspectief bieden bij een onzekere situatie – herstellen van vertrouwen
De betrokkenen of slachtoffers van een incident worden verrast met een melding van een incident waarbij hun gegevens betrokken zijn. Zij hebben onmiddellijk veel vragen waar u wellicht (nog) geen sluitend antwoord op kunt geven. In veel gevallen zal er altijd een lichte onzekerheid blijven bestaan over de exacte oorzaak of mogelijke gevolgen op lange termijn.
Kennisniveau: de doelgroep weet (in het algemeen) weinig van gemeentelijke processen en is niet bekend met ICT(-beveiligings)jargon
Extern / Publiek
Doel: informeren over voorval en maatregelen – bouwen van vertrouwen
Om te voorkomen dat geruchten ontstaan over de aard en de gevolgen van een incident kunt u als gemeente zelf informatie uit de eerste hand verschaffen. Daarnaast kunt u bekend maken op welke manier en via welk kanaal burgers terecht kunnen met vragen.
Kennisniveau: de doelgroep weet (in het algemeen) weinig van gemeentelijke processen en is niet bekend met ICT(-beveiligings)jargon
Betrokken Leveranciers
Doel: afstemming over het voorval en bepalen wie het voortouw neemt in de communicatie
Bij (de oplossing van) sommige informatieincidenten is een leverancier betrokken. Het is van belang om goed af te stemmen wie communiceert en wat de boodschap is.
Kennisniveau: de doelgroep weet (in het algemeen) weinig van gemeentelijke processen en is goed bekend met ICT(-beveiligings)jargon
ICT-beveiligingscontactpersonen van andere getroffen gemeenten
In het geval ook andere gemeenten getroffen zijn kan de IBD assisteren bij de coordinatie rondom de communicatie over een incident (bijvoorbeeld door uw organisatie in contact te brengen met de juiste contactpersonen van andere gemeenten).
Kennisniveau: de interne doelgroep weet (in het algemeen) veel van gemeentelijke processen en is bekend met ICT(-beveiligings)jargon
Andere getroffen organisaties
In het geval ook andere organisatie getroffen zijn kan de IBD assisteren bij de afstemming met andere organisaties (bijvoorbeeld door uw organisatie in contact te brengen met de juiste contactpersonen van andere organisaties, eventueel via de CERT-gemeenschap).
Kennisniveau: de interne doelgroep weet (in het algemeen) weinig van gemeentelijke processen en is niet bekend met ICT(-beveiligings)jargon