Op 17 mei 2024 kregen we bij AddComm te maken met een datalek. Een serieuze hack, die onze wereld veranderde. De impact was enorm: niet alleen op onze systemen en processen, maar ook op onze klanten en mensen. En hoewel we de situatie inmiddels onder controle hebben, zijn de inzichten die ik sindsdien heb opgedaan van onschatbare waarde. Daarom deel ik hier de vijf belangrijkste lessen die ik zelf in het afgelopen jaar heb geleerd.
Les 1: Data security is niet de verantwoordelijkheid van IT
Het is verleidelijk om data security vooral te zien als iets waar ‘de mensen van de techniek’ over gaan. Maar ik ben er op pijnlijke wijze achter gekomen dat dat niet klopt. Security moet een integraal onderdeel zijn van je bedrijfsvoering. Het raakt je continuïteit, je reputatie, je klanten. Als directie kun je het niet delegeren; je moet begrijpen wat de risico's zijn, hoe je die hebt afgedicht en hoe je daar vervolgens mee omgaat.
Sinds de datahack heb ik me intensief verdiept in data security, omdat het simpelweg noodzakelijk is om als directie verantwoordelijkheid te kunnen nemen. Daardoor kan ik nu kritischere vragen stellen en beslissingen toetsen. Security hoort net zo goed thuis aan de directietafel als financiën of strategie. Je kunt namelijk geen klantgerichte organisatie zijn als je de veiligheid van klantdata niet op orde hebt.
Les 2: De zwakste schakel ben je meestal zelf
We hebben als AddComm onze processen goed op orde. We zijn gecertificeerd op ISO 27001 en ISO 9001. We laten ons jaarlijks auditen voor ISAE 3402 type II. We trainen ons personeel, zodat zij de juiste procedures kennen. En toch ging het mis. Wat ik daarvan geleerd heb, is dat een procedure op papier geen garantie is voor dataveiligheid in de praktijk.
Je kunt data security feitelijk op twee manieren aanvliegen. Ofwel je maakt heldere afspraken over procesmatig, risicogestuurd werken. Dat betekent dat je goed moet kijken naar welk type mensen je organisatie nodig heeft. Een andere optie is om de gebruikersrechten binnen je IT-infrastructuur strikter in te richten, zodat je je mensen behoedt voor wat er mis kan gaan. En ja, dan zullen die misschien een keer extra moeten inloggen om bepaalde acties uit te kunnen voeren.
In de praktijk blijkt uiteraard de combinatie van beide het krachtigst. Hoe dan ook zul je voorop moeten lopen in het creëren van draagvlak binnen je organisatie: alles valt of staat met laten zien hoe serieus je als directie de risico's neemt.
Les 3: Openheid is de sterkste keuze
Veel bedrijven brengen het liefst zo min mogelijk naar buiten als er iets misgaat. Maar toen de datahack aan het licht kwam, kozen wij er bewust voor om open kaart spelen. We informeerden klanten direct en gaven updates zodra er iets veranderde. Juist daardoor hebben meerdere klanten gezegd: jullie zijn de juiste partner voor ons. Niet omdat we alles perfect deden, maar omdat we transparant waren over wat er speelde.
Wat ik daarvan geleerd heb, is dat hoe je met een incident omgaat allesbepalend is voor je klantrelatie. Verstop je je? Dan verlies je het vertrouwen. Ga je het gesprek aan? Dan kun je er zelfs sterker uitkomen.
Les 4: Je keten is net zo sterk als je zwakste leverancier
Wat me misschien nog wel het meest verraste in de afwikkeling van de datahack? Klanten bleken zelf vaak helemaal niet precies te weten welke data wij voor hen verwerkten! Juist daarom is het zo belangrijk dat je als organisatie een vinger aan de pols houdt. Waar bewaar je je data, hoe lang bewaar je je data en waarom? Met welke IT-leveranciers werk je en hoe weet je dat die hun zaken op orde hebben?
Sinds de datahack vragen we veel gerichter door. We willen precies weten wie wat aanlevert, met welk doel en hoe lang data bewaard wordt. Niet omdat we onze ketenpartners wantrouwen, maar omdat we onze verantwoordelijkheid nemen.
Les 5: Investeer in de juiste expertise
De laatste les is misschien wel de simpelste: je kunt dit niet alleen. Cybersecurity is complex, continu in beweging en vraagt om specialistische kennis die je als organisatie niet zomaar in huis hebt. Natuurlijk kun je veel intern organiseren, maar er is altijd een grens aan wat je eigen team aankan. Zeker binnen een MKB-bedrijf. De eerste stap is erkennen waar je expertise mist en zorgen dat je die aanvult.
De belangrijkste vraag is allang niet meer ‘hoe voorkomen we dat we gehackt worden?’ In plaats daarvan kun je je beter afvragen: ‘hoe gaan we ermee om als het wél gebeurt?’
Klaar voor de volgende stap?
Deze ervaring heeft mij als CEO veranderd. Ik weet nu beter dan ooit waar het écht om draait in crisistijd: leiderschap, transparantie en de bereidheid om moeilijke keuzes te maken. Die kennis neem ik niet alleen mee in onze werkwijze, maar ook in welke ontwikkelkeuzes we bij AddComm maken voor ons platform Flowize.
Benieuwd hoe we jouw organisatie kunnen helpen om je klantcommunicatie slimmer én veiliger in te richten? Plan een afspraak in!
