Een incidentenlog opzetten dat auditors geloven

Een lege incident-log is een rode vlag voor auditors. Het betekent niet dat er geen incidenten zijn — het betekent dat je ze niet logt. Hier hoe je een werkbaar log opzet.

"Wij hebben geen incidenten gehad het afgelopen jaar" is een zin die auditors met een opgetrokken wenkbrauw aanhoren. Vrijwel elke organisatie heeft incidenten — variërend van een phishing-mail die ontdekt werd tot een gedeeld wachtwoord dat per ongeluk in Slack werd geplakt. Ze te loggen betekent dat je ermee bezig bent.

Wat is een incident?

Elke gebeurtenis die de vertrouwelijkheid, integriteit of beschikbaarheid van bedrijfsinformatie (potentieel) schaadt. Incidenten zijn niet hetzelfde als datalekken — veel incidenten blijven klein en worden snel opgelost, maar ze verdienen registratie.

Wat leg je per incident vast?

• Datum + tijd van detectie
• Korte beschrijving ("phishing-mail afkomstig van ogenschijnlijke CEO")
• Categorie (phishing, verloren device, malware, onbedoelde openbaring, datalek, overig)
• Ernst (low/medium/high)
• Wie heeft het gemeld
• Wie heeft het opgepakt
• Status (open, in behandeling, gesloten)
• Wat is gedaan
• Root cause + lesson learned (bij sluiten)
• Datalek-melding AVG nodig? Ja/Nee + motivatie

Waar log je het?

Een Airtable, Notion-database, of aparte sheet is prima als het maar gestructureerd is. Voor 50+ incidenten per jaar loont een dedicated tool.

Koppeling met risk register

Elk hoog-impact-incident hoort terug te komen in het risk register: verhoog de kans-score, update de maatregel, verlaag het restrisico nadat je iets hebt gedaan.

Datalek-melding (AVG)

Binnen 72 uur na ontdekking moet een datalek gemeld bij de AP. Zie AVG datalek-melding. Je incidenten-log is het primaire bewijs dat je dit tijdig deed.