Jelle Niemantsverdriet is Senior Crisis Management Trainer bij CCRC en heeft ruim twintig jaar ervaring in cybersecurity en incident response. Hij werkte onder andere bij Fox-IT, Verizon, Deloitte en Microsoft, waar hij organisaties hielp bij het reageren op incidenten en het inrichten van crisismanagement. In dit interview vertelt hij waar teams vaak struikelen, wat een oefening echt waardevol maakt en wat je vooral níet moet laten gebeuren in de eerste 24 uur.
Een plan is geen voorbereiding
Er is één specifiek pijnpunt dat volgens Jelle vaak voorkomt in de boardroom: “Ik denk dat een groot misverstand is dat een board denkt dat het hebben van een plan hetzelfde is als voorbereid zijn. Een plan kan er keurig uitzien, maar een crisis houdt zich zelden aan je stappenlijst. De waarde van een plan zit niet in dat geprinte of opgeslagen document, maar veel meer in het hele proces van samen nadenken over wat er mis kan gaan, wie dan wat doet en hoe je met elkaar gaat communiceren als het spannend wordt.” Die voorbereiding is ook waarom oefenen zo essentieel is.
“Je wordt ook niet een hele goede voetballer door de spelregels alleen maar te lezen.”
“In de praktijk ga je dat plan niet van A tot Z lezen wanneer systemen platliggen en de telefoon roodgloeiend staat. Dan heb je mensen nodig die weten hoe ze moeten denken onder druk.”
De eerste tien minuten zeggen alles
In oefeningen ziet Jelle vaak snel of een team volwassen reageert. Hij gebruikt daar een beeld bij dat meteen duidelijk maakt wat hij bedoelt: “Je zou kunnen zeggen: of ze eerst de zaag gaan slijpen of dat ze meteen beginnen met zagen. Teams die het minder scherp hebben, schieten direct in actiestand. Er komt een eerste melding binnen en binnen dertig seconden roept iemand al: ‘we moeten de service isoleren’ of ‘bel de leverancier’. Dat voelt lekker daadkrachtig, maar dan heb je eigenlijk nog helemaal geen idee wat er aan de hand is.”
Teams die het wél snappen doen volgens hem iets dat contra-intuïtief voelt. “Die gaan eerst actief vertragen en vragen stellen als: wat weten we zeker? Wat weten we nog niet? Wie missen we hier aan tafel?” Dat voelt als tijdverlies, maar het is precies wat je nodig hebt, omdat die eerste impulsbeslissing in een echte crisis lang niet altijd de juiste is.
Oefenen moet schuren, niet netjes eindigen
Een crisisoefening is pas nuttig als je echte spanning toevoegt. “Als iedereen afloop zegt: ‘ging best goed’, dan was het misschien wel een beetje te veilig. Juist door druk en onzekerheid in te bouwen, leren teams keuzes maken zonder volledige informatie.”
Daarbij hoeft een oefening volgens Jelle niet perfect te eindigen: “Je ziet nog weleens dat oefeningen met een soort Hollywoodscène eindigen, waarbij alles opgelost is.” Maar echte crises zijn anders. “Ze zijn natuurlijk heel rommelig en je weet soms pas weken later wat er echt precies gebeurd is. Door een oefening te stoppen terwijl het nog ‘in de lucht hangt’, train je die realiteit: parallelle teams, open vragen en besluiten die je toch moet nemen.”
Waar het wringt tussen rollen
Jelle ziet vaak spanningen tussen security, legal en communicatie. Iedereen heeft gelijk vanuit de eigen rol, maar precies dát maakt het lastig. “De CISO wil bijvoorbeeld het liefst alles dichtzetten, de juridische afdeling zegt: ‘pas op wat we nu naar buiten brengen’ en communicatie zegt: ‘we moeten nu iets zeggen, want de stilte wordt ingevuld door anderen’. Het probleem is niet dat één perspectief fout is, maar dat je de belangen moet afwegen. Dan is juist het probleem dat je die perspectieven bij elkaar moet brengen en iemand die vanuit het crisisteam zegt: oké, drie belangen, drie perspectieven, hoe gaan we die nu afwegen?”
Daarnaast ontstaat er in Jelle’s ervaring vaak frictie tussen operations en de rest van het crisisteam. Operations is bezig met herstel en onderzoek en heeft rust nodig, terwijl de rest voortdurend updates wil. “Het crisisteam wil elke 20 minuten een update en al die onderbrekingen kosten tijd. Maar zonder updates kan de rest ook niet handelen. Het vinden van het juiste ritme, wanneer update je, hoe gedetailleerd, en voor wie, is precies iets dat je samen moet oefenen.”
Beslissen met 60 procent informatie
Teams leren keuzes maken onder onzekerheid door het te oefenen en, zoals Jelle het zegt, soms simpelweg door ze te dwingen. “Dat klinkt een beetje cru, maar door ze te dwingen het toch te doen. In een oefening kun je momenten inbouwen waarop je met 60 procent van de informatie toch een beslissing moet nemen. Wat daarbij helpt, is onzekerheid expliciet maken. ‘Wat weten we al zeker? Wat is een aanname? Wat moeten we doen om die aanname te bevestigen of ontkrachten? Wat is het risico als die aanname niet klopt?’ Door dat hardop uit te spreken, wordt het een bewuste keuze onder onzekerheid in plaats van gokken. In een crisis is een redelijke beslissing nu vaak beter dan een perfecte beslissing later.”
“Niet beslissen of het niet nemen van een keuze is ook een keuze. En uiteindelijk vaak een hele slechte.”
De grootste fout in de eerste 24 uur: stilte
Als het gaat om communicatie, noemt Jelle één fout het vaakst: niets zeggen. Dat is volgens hem de grootste kwetsbaarheid in een crisis. Niet de techniek, maar stilte. “Het is begrijpelijk, omdat iedereen eerst zeker wil zijn en afstemming zoekt. Ze zijn bang dat ze het verkeerd zeggen. Legal wil eerst afstemmen. De CEO wil eerst alle feiten. Communicatie zit te wachten op goedkeuring. Ondertussen gaat de buitenwereld die stilte zelf invullen.”
Jelle ergert zich aan het cliché dat de mens de zwakste schakel is. “Ik vind dat een onware stelling. Wat mij betreft is de mens juíst de oplossing. Maar dat werkt alleen als mensen zich veilig genoeg voelen om te spreken en als melden laagdrempelig is ingericht, met terugkoppeling. Liever negen keer ten onrechte dan één keer te weinig.”
Als laatste wil hij meegeven dat vroeg en eerlijk communiceren het beste is, ook als je nog niet alles weet. “Je kan toch het beste vroeg communiceren, eerlijk zijn en daarbij dus ook durven zeggen wat je nog niet weet. En maak je update-ritme concreet. We komen over twee uur met een update. En dan moet je ook daadwerkelijk met een update komen over twee uur.” Crisismanagement draait uiteindelijk niet om het perfecte draaiboek, maar om teams die durven vertragen, durven spreken en samen koers houden als het spannend wordt.