Incident response
Datalekprotocol
Onze procedure bij (een vermoeden van) een inbreuk in verband met persoonsgegevens.
1. Wat is een datalek?
Een datalek is iedere inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot persoonsgegevens (art. 4(12) AVG). Denk aan een diefstal, verlies, ongeautoriseerde toegang of onbedoelde openbaarmaking.
2. Hoe detecteren wij een lek?
- Geautomatiseerde monitoring op login-anomalieën, fail2ban-triggers en CSP-violations.
- Logging van beheerdersacties, data-exports en rolwijzigingen.
- Periodieke review van server- en applicatielogs.
- Meldingen via security@dezorgapp.nl (intern en extern).
3. Onze procedure in stappen
| Stap | Termijn | Wie |
|---|---|---|
| Detectie & eerste triage — bevestigen of er sprake is van een lek. | Binnen 4 uur na signaal | Technisch team |
| Inperking — toegang afsluiten, wachtwoorden rouleren, sessies invalideren. | Binnen 8 uur | Technisch team |
| Onderzoek — omvang, getroffen gegevens en betrokkenen in kaart. | Binnen 24 uur | Technisch + privacy-lead |
| Melding aan getroffen klanten. | Binnen 24 uur na vaststelling | Privacy-lead |
| Ondersteuning bij AP-melding door klant (indien van toepassing). | Uiterlijk 72 uur na vaststelling | Privacy-lead |
| Herstel & lessons learned — analyse + preventieve maatregelen. | Binnen 30 dagen | Technisch + management |
4. Melding aan klanten
Is een klant getroffen, dan ontvangt de bekende beheerderscontactpersoon zonder onredelijke vertraging een e-mail met ten minste:
- Aard van het incident en getroffen systeemonderdelen;
- (Waarschijnlijke) categorieën en aantallen betrokkenen en gegevens;
- Reeds genomen en voorgenomen maatregelen;
- Contactgegevens voor vervolgvragen.
5. Melding aan de Autoriteit Persoonsgegevens
De wettelijke melding aan de Autoriteit Persoonsgegevens (binnen 72 uur
na ontdekking) en, indien nodig, aan de betrokkenen, is de verantwoordelijkheid van
de klant als verwerkingsverantwoordelijke. Wij ondersteunen met alle redelijkerwijs
beschikbare informatie.
6. Wat wij níet doen
- Wij geven geen financiële compensatie buiten de grenzen van de Algemene Voorwaarden.
- Wij nemen geen verantwoordelijkheid voor incidenten bij klanten (zwakke wachtwoorden, phishing van eindgebruikers, enz.).
7. Contact
Vermoedt u een datalek? Meld het per direct aan security@dezorgapp.nl, bij voorkeur met tijdstip, betrokken accounts en een korte beschrijving.