Incidentbeheer

De Beheerorganisatie DSGO houdt reactief toezicht op het naleven van het afsprakenstelsel door te handelen bij melding van een incident. Wanneer de melding binnenkomt, wijst de Beheerorganisatie DSGO een neutrale incidentcoördinator aan die het incidentbeheer proces leidt. Het incidentbeheer proces is het gehele proces van melding van een incident tot afronding van het incident. Een incident wordt in het DSGO gedefinieerd als:

Een ongewenste gebeurtenis die niet direct oplosbaar is en:

  • Niet binnen de reguliere werking van het DSGO en/of de beschikbare datadiensten behoort, en/of

  • Mogelijk leidt tot het verlies van vertrouwen, veiligheid en integriteit van het DSGO en/of datadiensten geïmplementeerd op basis van het afsprakenstelsel.

Een incident kan door iedere bij het DSGO betrokken partij gemeld worden wanneer zij constateert of het vermoeden heeft dat een partij zich niet aan het afsprakenstelsel houdt. In het afsprakenstelsel worden incidenten in drie classificaties onderverdeeld (zie classificatie incidenten).

De figuur hieronder geeft een globaal beeld van de stappen in het incidentbeheer proces, deze wordt verder gedetailleerd onderaan deze pagina.

Doelstelling

Het doel van het incidentbeheer is het minimaliseren van negatieve gevolgen van incidenten en het onderzoeken of een handhavingsproces (zie Handhaving) opgestart moet worden naar aanleiding van een incident. Dit dient te resulteren in het behoud van de betrouwbaarheid van en het vertrouwen in het DSGO. De Beheerorganisatie DSGO streeft deze doelen na door reactief toezicht te houden.

Verantwoordelijkheid

De Beheerorganisatie DSGO en bij het DSGO betrokken partijen hebben een verantwoordelijkheid in incidentbeheer.

Beheerorganisatie DSGO

Het is de verantwoordelijkheid van de Beheerorganisatie DSGO om bij ontvangst van een incidentmelding op te treden als toezichthouder. Daarnaast is de Beheerorganisatie DSGO ook verantwoordelijk voor het aanstellen van een neutrale incidentcoördinator.

De Beheerorganisatie DSGO MOET binnen een passende tijd een incidentcoördinator aanwijzen na een melding van een incident

Betrokken partijen

Iedere bij het DSGO betrokken partij heeft de verantwoordelijkheid om bij de Beheerorganisatie DSGO een incident te melden, wanneer zij niet-naleving van het afsprakenstelsel constateert of vermoedt. Verder zijn bij een Prioriteit 1 of 2-incident betrokken partijen verantwoordelijk voor het beschikbaar stellen van een incidentmanager voor de afhandeling van het incident. (zie pagina classificatie incidenten)

Een betrokken partij MOET incidenten direct na ontdekking melden bij de Beheerorganisatie DSGO

Een betrokken partij MOET bij melding van een incident de naam van de verondersteld veroorzakende partij met een onderbouwing van de constatering/vermoeden, datum, tijd, ingeschatte incident classificatie en impact op de datadienst melden

Incidentcoördinator

Voor elk incident wordt een (neutrale) incidentcoördinator aangewezen door de Beheerorganisatie DSGO. De incidentcoördinator is verantwoordelijk voor het coördineren van het incidentbeheer proces. De incidentcoördinator moet altijd een neutrale partij zijn. Wanneer de Beheerorganisatie DSGO niet betrokken is bij een incident, kan deze de rol van incidentcoördinator uitvoeren. Wanneer de Beheerorganisatie betrokken is bij het incident, of niet neutral kan optreden, wordt een externe incidentcoordinator aangewezen.

Incidentmanager

De incidentmanager is (een contactpersoon) van een bij het incident betrokken partij die verantwoordelijk is voor het verhelpen of oplossen van incidenten.

Incidentbeheer proces

Het incidentbeheer proces is als volgt:

  1. Incident melding: Een bij het DSGO betrokken partij meldt bij de Beheerorganisatie DSGO een incident dat zich heeft voorgedaan en levert daar de volgende informatie bij aan:

    • De naam van de verondersteld veroorzakende partij

    • De onderbouwing van de constatering/vermoeden

    • De datum

    • De tijd

    • De ingeschatte incident classificatie

    • De impact op de datadienst.

  2. Aanwijzing incidentcoördinator: De Beheerorganisatie DSGO wijst een incidentcoördinator aan. Wanneer de Beheerorganisatie DSGO niet betrokken is bij een incident, kan deze de rol van incidentcoördinator uitvoeren. Wanneer de Beheerorganisatie DSGO betrokken is bij het incident, of niet neutral kan optreden, wordt een externe incidentcoordinator aangewezen.

  3. Beoordeling melding en toewijzen classificatie: De incidentcoördinator beoordeelt de melding en de inschatting van classificatie van het incident:

    1. Accepteert de classificatie en gaat door naar stap 4, of

    2. Verandert de classificatie en gaat door naar stap 4, of

    3. Verwerpt de melding en informeert hier de betrokken partijen over

  4. Besluit start handhavingsproces: Op basis van de ingekomen melding kan de Beheerorganisatie DSGO besluiten om een handhavingsproces te starten. (Zie handhaving)

  5. Afhandelen incident: De incidentcoördinator registreert het incident en start een voorgeschreven procedure

    1. De procedure bij een melding geclassificeerd als een Prioriteit 3 melding:

      1. De incidentcoördinator geeft de meldende partij, de veroorzakende partij en/of (een) andere betrokken partij(en) - afhankelijk van wat zij het meest geschikt acht - de verantwoordelijkheid voor het afhandelen van het incident, onder supervisie van de incidentcoördinator (zie stap 6).

      2. De partij(en) die verantwoordelijk is/zijn voor de afhandeling van het incident communiceert/communiceren het incident, de aangewezen incidentmanager en dat het incident wordt opgelost naar betrokken partijen.

    2. De procedure bij een melding geclassificeerd als een Prioriteit 2 melding:

      1. De incidentcoördinator geeft de meldende partij, de veroorzakende partij en/of (een) andere betrokken partij(en) - afhankelijk van wat zij het meest geschikt acht - de verantwoordelijkheid voor het afhandelen van het incident, onder supervisie van de incidentcoördinator (zie stap 6).

        1. Indien er sprake is van een inbreuk op de gegevensbeveiliging die gemeld moet worden volgens de meldplicht datalekken, meldt (melden) de verantwoordelijke(n) voor de afhandeling van het incident de inbreuk op de gegevensbeveiliging bij de Autoriteit Persoonsgegevens en volgt (volgen) de richtlijnen van de Autoriteit Persoonsgegevens voor de rest van het incidentbeheer proces.

      2. De incidentcoördinator, in samenwerking met de Beheerorganisatie DSGO, informeert alle partijen in het DSGO en relevante partijen daarbuiten (bijv. brancheorganisaties, het Nationaal Cyber Security Centrum of zelfs wetshandhaving) over het incident (en dat deze wordt opgelost), wie de incidentmanager is en wie de incidentcoördinator is.

      3. De incidentcoördinator stelt een actieplan op om risico’s en schade te minimaliseren.

    3. De procedure bij een melding geclassificeerd als een Prioriteit 1 melding:

      1. De incidentcoördinator geeft de meldende partij, de veroorzakende partij en/of (een) andere betrokken partij(en) - afhankelijk van wat zij het meest geschikt acht - de verantwoordelijkheid voor het afhandelen van het incident, onder supervisie van de incidentcoördinator (zie stap 6). Anders dan bij Prioriteit 2 of 3 meldingen kan de incidentcoördinator er ook voor kiezen om zelf de verantwoordelijkheid voor de afhandeling van de Prioriteit 1 melding op zich te nemen.

        1. Indien er sprake is van een inbreuk op de gegevensbeveiliging die gemeld moet worden volgens de meldplicht datalekken, meldt (melden) de verantwoordelijke(n) voor de afhandeling van het incident de inbreuk op de gegevensbeveiliging bij de Autoriteit Persoonsgegevens en volgt (volgen) de richtlijnen van de Autoriteit Persoonsgegevens voor de rest van het incidentbeheer proces.

      2. De incidentcoördinator, in samenwerking met de Beheerorganisatie DSGO, informeert alle partijen in het DSGO en relevante partijen daarbuiten (bijv. brancheorganisaties, het Nationaal Cyber Security Centrum of zelfs wetshandhaving) over het incident (en dat deze wordt opgelost), wie de incidentmanager is en wie de incidentcoördinator is.

      3. De incidentcoördinator stelt een actieplan op om risico's en schade te minimaliseren.

  6. Update betrokken partijen: De incidentcoördinator organiseert het contact met de betrokken partijen, monitort de voortgang en assisteert bij behandelen van de melding als dat nodig is. De incidentcoördinator communiceert, in samenwerking met de Beheerorganisatie DSGO, de voortgang met partijen in het DSGO in het geval van een Prioriteit 1 of 2 incident.

  7. Proces afronden: Wanneer het incident verholpen of opgelost is, sluit de incidentcoördinator het proces en;

    1. In geval van een Prioriteit 3 incident licht de incidentcoördinator de betrokken partijen in dat het proces is afgerond.

    2. In geval van een Prioriteit 1 of 2 incident licht de incidentcoördinator deelnemers in het DSGO in dat het proces is afgerond.

  8. Evaluatie: De incidentcoördinator evalueert samen met de Beheerorganisatie DSGO de afhandeling van het incident samen met de betrokken partijen en registreert de evaluatie voor leerdoeleinde. Afhankelijk van het incident, kan de Beheerorganisatie DSGO er voor kiezen om de evaluatie te delen met DSGO deelnemers en/of betrokken partijen.