Crisismanagement onder ISO 22301
Crisismanagement is het georganiseerde optreden van mensen en middelen zodra een ernstige verstoring een normale bedrijfsvoering overstijgt. Binnen ISO 22301 valt het onder hoofdstuk 8: operationele beheersing. Praktische uitleg staat in ISO 22313 . Het verschil met je bedrijfscontinuiteitsplan is concreet: het BCP beschrijft hoe je kritieke processen herstelt, het crisisplan beschrijft hoe je de situatie beheerst en communiceert.
Een crisisteam beslist en communiceert. Een continuïteitsteam herstelt processen. In kleinere organisaties zijn dat dezelfde mensen, maar met verschillende rollen.
Crisismanagement vs. bedrijfscontinuiteitsplan
Veel organisaties gebruiken “crisismanagement” en “bedrijfscontinuïteit” door elkaar. Dat is begrijpelijk, maar het onderscheid helpt je bij het opzetten van je BCMS-structuur.
| Aspect | Crisismanagement | Bedrijfscontinuiteitsplan (BCP) |
|---|---|---|
| Focus | Situatiebeheer en besluitvorming | Herstel van kritieke processen |
| Eigenaar | Crisisteam (directie/management) | Continuïteitsteam (operationeel) |
| Wanneer actief | Bij opschaling of escalatie | Zodra processen hersteld moeten worden |
| Kernactiviteit | Beoordelen, communiceren, besluiten | Uitvoeren van herstelstappen |
| Resultaat | Gecontroleerde afhandeling | Kritieke processen draaien weer |
In de praktijk lopen beide parallel. De crisiscoördinator beslist om over te schakelen naar alternatieve werklocatie. Het continuïteitsteam voert dat besluit vervolgens uit.
Het crisisteam: samenstelling en rollen
Een crisisteam is een vaste, vooraf aangewezen groep mensen die bij een ernstige verstoring de leiding neemt. De samenstelling hangt af van je organisatiegrootte, maar de kernrollen zijn overal vergelijkbaar.
| Rol | Verantwoordelijkheid | Typisch profiel |
|---|---|---|
| Crisiscoördinator | Leidt het team, bewaakt overzicht en escalatie | COO, operationsmanager of risicomanager |
| Proceseigenaar | Stuurt herstel van zijn of haar proces | Afdelingshoofd, IT-manager |
| Communicatieverantwoordelijke | Beheert interne en externe berichtgeving | Communicatiemanager of directiesecretaris |
| IT/facilitair | Technisch herstel en infrastructuur | IT-manager, facilitair manager |
| Juridisch/compliance | Contractuele en meldingsverplichtingen | Jurist of complianceofficer |
Een verzekeraar met 200 medewerkers stelt bijvoorbeeld een crisisteam samen van vijf mensen: de COO (coördinator), twee procesverantwoordelijken (schadebehandeling en IT), een communicatiemanager en een complianceofficer. Iedereen weet van tevoren wat hun rol is en wie ze vervangen als ze niet beschikbaar zijn.
Benoem altijd een vervanger per crisisrol. Als de crisiscoördinator op vakantie is of zelf getroffen wordt door het incident, moet de organisatie toch kunnen opschalen.
Crisiscommunicatie: intern en extern
Crisiscommunicatie is een apart onderdeel in ISO 22301. De norm eist dat je vastlegt wie communiceert, via welk kanaal, naar welke doelgroepen en op welk moment. Slechte communicatie tijdens een incident vergroot de schade vaak meer dan de verstoring zelf.
Interne communicatie
Intern gaat het over het informeren van medewerkers, management en de raad van toezicht of commissarissen. Denk aan:
- een crisisberichtsjabloon per incident-type (brand, ransomware, leverancieruitval);
- een vaste escalatielijn met namen en telefoonnummers;
- een alternatief communicatiekanaal als de normale IT-infrastructuur uitvalt (denk aan Signal-groep of een extern callcenter).
Externe communicatie
Extern gaat het over klanten, leveranciers, toezichthouders en media. Hier gelden vaak contractuele en wettelijke meldingstermijnen. Bij een datalek geldt naast crisismanagement ook de AVG-meldplicht.
| Doelgroep | Wat wil je communiceren? | Wanneer? |
|---|---|---|
| Klanten met SLA | Status, verwachte hersteltijd, update-moment | Zo snel mogelijk, maximaal binnen SLA-termijn |
| Leveranciers | Impact op orders/diensten, verwachte duur | Zodra de omvang duidelijk is |
| Toezichthouder | Melding bij datalekken of kritieke uitval | Conform wettelijke meldtermijn |
| Media | Alleen via aangewezen woordvoerder | Na intern akkoord |
Hoe crisismanagement in je BCP past
Je bedrijfscontinuiteitsplan bevat een apart hoofdstuk voor de crisisorganisatie. Dat is geen los document, maar een geïntegreerd onderdeel. De structuur werkt als volgt:
- Activatie: de crisiscoördinator bepaalt of het plan in werking treedt (activatiecriteria).
- Situatiebeoordeling: het crisisteam stelt vast wat er is, wat de impact is, en wat de prioriteiten zijn.
- Communicatie: interne en externe berichtgeving gaat uit via de aangewezen kanalen.
- Herstelcoördinatie: het crisisteam stuurt de procesteams aan die je BCP uitvoeren.
- Afschaling: zodra kritieke processen stabiel zijn, schaalt het crisisteam af en begint de nazorg.
Een oefening waarbij je dit traject doorloopt, heet een tabletop-oefening. Je leest meer over oefenvormen op de pagina over oefenen en testen.
Veelgemaakte fouten bij crisismanagement
| Fout | Gevolg | Beter alternatief |
|---|---|---|
| Crisisteam niet geoefend | Rolvervulling mislukt bij een echt incident | Minimaal jaarlijks oefenen |
| Communicatieplan ontbreekt | Tegenstrijdige berichten naar buiten | Sjablonen voorbereiden per incident-type |
| Geen vervangers benoemd | Crisisteam niet volledig inzetbaar | Elke rol heeft een primaire en secundaire persoon |
| Activatiecriteria te vaag | Twijfel over wel of niet opschalen | Concrete drempelwaarden per scenario |