NEN 7510 vereistAVG Artikel 33Versie 1.0 · juni 2026

Incidentresponsplan

Dit document beschrijft de procedure voor het detecteren, melden en afhandelen van beveiligingsincidenten en datalekken binnen Keiro B.V.

1. Doel en scope

Dit Incidentresponsplan (IRP) heeft als doel het minimaliseren van schade bij beveiligingsincidenten en het waarborgen van naleving van de meldplicht conform AVG artikel 33 en NEN 7510. Het plan is van toepassing op alle systemen en medewerkers van Keiro B.V. die toegang hebben tot persoonsgegevens.

2. Classificatie van incidenten

Kritiek (P1)

Ongeautoriseerde toegang tot patiëntgegevens, ransomware, volledige systeemuitval. Responstijd: direct, 24/7.

Hoog (P2)

Vermoedelijk datalek, aanzienlijke systeemverstoring, verdachte inlogpogingen. Responstijd: binnen 2 uur.

Gemiddeld (P3)

Phishingpoging, kleine systeemfout, verloren apparaat. Responstijd: binnen 24 uur.

Laag (P4)

Kleine beleidsovertreding, gebruikersfout zonder datalekrisico. Responstijd: binnen 72 uur.

3. Detectie en melding

Een incident kan worden gedetecteerd via: · Automatische monitoring en alerting · Melding door medewerker of klant · Audit log-analyse · Externe beveiligingsonderzoeker (responsible disclosure) Bij detectie van een incident meldt de medewerker dit direct via security@keiro.care of telefonisch aan de beveiligingsverantwoordelijke. Anonieme meldingen zijn mogelijk.

4. Procedure bij datalek (AVG artikel 33)

0-1 uur

Incident bevestigen en classificeren. Betrokken systemen isoleren indien nodig. Beveiligingsverantwoordelijke informeren.

1-4 uur

Omvang bepalen: welke gegevens, hoeveel betrokkenen, welke risico's. Bewijsmateriaal veiligstellen. Directie informeren.

4-24 uur

Verwerkingsverantwoordelijken (klanten) informeren conform verwerkersovereenkomst. Getroffen betrokkenen identificeren.

24-72 uur

Melding bij Autoriteit Persoonsgegevens indien vereist. Betrokkenen informeren indien hoog risico. Maatregelen treffen.

Na afhandeling

Root cause analysis. Procedures aanpassen. Rapport opstellen. Evaluatie met team.

5. Contactpersonen

Beveiligingsverantwoordelijke: security@keiro.care Privacy Officer / FG: privacy@keiro.care Directie: info@keiro.care Autoriteit Persoonsgegevens meldloket: autoriteitpersoonsgegevens.nl/meldloket Telefonisch: 0900-2001201 CERT-NL (Computer Emergency Response Team): cert.nl

6. Responsible disclosure

Keiro moedigt verantwoordelijke melding van beveiligingsproblemen aan. Onderzoekers die kwetsbaarheden ontdekken kunnen dit melden via security@keiro.care. Wij reageren binnen 5 werkdagen en hanteren een coördinatieperiode van 90 dagen voor publicatie.

7. Oefening en evaluatie

Dit Incidentresponsplan wordt minimaal jaarlijks geëvalueerd en indien nodig bijgewerkt. Keiro voert jaarlijks een tabletop-oefening uit om de effectiviteit van het plan te testen. Resultaten worden gedocumenteerd.