Een incidentresponsplan is je draaiboek voor wanneer er iets misgaat — een datalek, een ransomware-aanval, een AI-systeem dat schadelijke output produceert, of een cloudprovider-storing. Onder de AVG moet je bepaalde datalekken binnen 72 uur melden bij de toezichthouder. Zonder plan verdwijnen die 72 uur in chaos.
Hoe bouw je je plan:
- Detectie: Definieer hoe incidenten worden ontdekt. Richt monitoring-alerts in, stel een meldkanaal in (bijv. een dedicated Slack-kanaal of e-mail), en maak duidelijk wat een incident is versus een normaal probleem.
- Beoordeling en triage: Wie bepaalt de ernst? Maak een eenvoudige classificatie: kritiek (datalek, systeemcompromittering), hoog (dienstverstoring), medium (verdachte activiteit), laag (kleine afwijking). Wijs per ernstniveau een incident-lead aan.
- Inperking: Definieer directe acties per incidenttype. Bij een datalek: isoleer getroffen systemen, trek gecompromitteerde credentials in, bewaar bewijs. Bij een AI-incident: schakel de getroffen feature uit, schakel over naar een fallback.
- Melding: Ken je wettelijke verplichtingen. AVG: meld bij de AP binnen 72 uur als persoonsgegevens zijn geraakt. NIS2: meld bij CSIRT binnen 24 uur. Plan ook klantcommunicatie — stilte erodeert vertrouwen sneller dan het incident zelf.
- Herstel en evaluatie: Herstel de normale werking en voer daarna een schuldvrije post-mortem uit. Documenteer wat er is gebeurd, wat werkte, wat niet, en pas je plan aan.
De NCSC-richtlijnen voor incidentrespons bieden een praktisch startpunt. Tidal Control helpt je je incidentresponsplan te creëren, onderhouden en testen, en biedt workflows voor het volgen van incidenten en het genereren van de documentatie die nodig is voor wettelijke meldingen.