Je hebt het vast en zeker voorbij zien komen (of zelfs de dupe van geworden, check het hier): het datalek bij Odido. Het groeide in korte tijd uit tot een van de grootste cybersecurity-incidenten in Nederland: miljoenen klantgegevens kwamen in handen van hackersgroep ShinyHunters. Wat echter begon als een technisch probleem, ontwikkelde zich al snel tot een communicatiecrisis, waarin onduidelijkheid en vertraging vanuit ODIDO het vertrouwen van alle klanten verder onder druk zetten.
Berichtgeving van onder meer NOS en NRC liet namelijk zien dat klanten wekenlang met fundamentele vragen bleven zitten. Welke gegevens waren precies gelekt? Ging het alleen om contactgegevens of ook om identiteitsnummers? En waarom bleken zelfs gegevens van oud-klanten nog opgeslagen? Toen hackers dreigden met publicatie en uiteindelijk daadwerkelijk data online zetten, verschoof de aandacht van het incident zelf naar de regie van de communicatie. En dat zorgt in de PR-wereld voor een interessante case.
Onzekerheid voedt wantrouwen
Opvallend was dat nieuwe details regelmatig via journalisten naar buiten kwamen en niet via het bedrijf zelf. Dat creëert het beeld van een organisatie die reageert in plaats van stuurt - terwijl in een crisis niet alleen telt wat je zegt, maar vooral wanneer en hoe. Een woordvoerder van Odido verklaarde in de media: “Op dit moment zijn al onze inspanningen gericht op het zo goed mogelijk informeren en ondersteunen van klanten over wat er is gebeurd.”
Die formulering is empathisch en zorgvuldig, maar in een crisis van deze omvang is empathie slechts het begin. Klanten willen concrete duiding van hun persoonlijke risico’s en heldere instructies over vervolgstappen. Bovendien gaven we zojuist in de introductie van deze blog aan dat klanten juist erg lang aan het wachten waren op duidelijkheid, wat haaks op "zo goed mogelijk informeren en ondersteunen van klanten" staat.
De rol van leiderschap en voorbereiding
Juist bij datalekken, waar privacy en veiligheid directe invloed hebben op het dagelijks leven van mensen, verwacht het publiek zichtbaar leiderschap. In eerdere blogs over mediatraining en crisiscommunicatie benadrukten we al dat woordvoerders niet alleen inhoudelijk sterk moeten zijn, maar ook onder druk consistent en begrijpelijk moeten communiceren.
Een crisis vraagt om meer dan één statement op de website: om transparantie over wat bekend is, eerlijkheid over wat nog onderzocht wordt en duidelijke uitleg over wat klanten nu kunnen doen. Dat ODIDO bijvoorbeeld niet kan uitleggen waarom ze persoonsgegevens van voormalige klanten langer dan 2 jaar hebben bewaard, spreekt wederom niet in hun voordeel.
Wanneer communicatie gefaseerd of onvolledig plaatsvindt, moet de uitleg des te begrijpelijker zijn. Toen ODIDO besloot om de hackers niet te betalen, waarna de gegevens op het darkweb gezet werden, ontstond er bij consumenten nog meer onbegrip. De uitleg van een woordvoerder van ODIDO was "Onze focus ligt bij klanten", maar menig klant had juist graag gewild dat ODIDO wél de betaling verrichtte - en dat de gegevens daardoor niet gepubliceerd werden.
De les voor PR-teams
Het datalek bij Odido laat zien dat reputatieschade zelden uitsluitend wordt veroorzaakt door het incident zelf, maar vooral door de manier waarop een organisatie communiceert terwijl het incident zich ontwikkelt.
Een datalek kan ieder bedrijf overkomen, want helemaal waterdicht is een digitale beveiligingslaag nooit. Zodoende is een crisis soms onvermijdelijk, maar met consistente, transparante en mensgerichte communicatie hoeft een communicatiecrisis dat niet te zijn.
