Incident response plan voor MKB op 2 A4'tjes

Een incident response plan hoeft geen 50-pagina's-document te zijn. 2 A4'tjes met wie doet wat wanneer, is genoeg — als iedereen het kent.

Als er iets gebeurt — ransomware, datalek, verloren laptop met klant-data — heb je 15 minuten om de juiste stappen te zetten. Een plan helpt.

Inhoud (2 A4)

• Contactgegevens (pagina 1):
  • Incident response-lead (naam + telefoon + back-up).
  • Directie / eigenaar.
  • AVG/FG indien aanwezig.
  • Externe partijen: hosting, accountant, verzekeraar, evt. extern security-bureau.
  • Communicatie-lead voor extern (PR).
• Triage (pagina 2, bovenste helft):
  1. Wat is er gebeurd? (1 zin)
  2. Containment: kan de schade worden beperkt nu?
  3. Scope: welke systemen? welke data?
  4. Ernst: laag / middel / hoog.
• Actielijst (pagina 2, onderste helft):
  1. Lead aanwijzen (of zelf oppakken).
  2. Relevante tech-acties (wachtwoorden wissen, systemen afkoppelen, backups isoleren).
  3. Interne communicatie: wie weet wat.
  4. Log bijhouden (tijd, actie, wie).
  5. Externe partijen informeren: klanten, AP (bij datalek), verzekeraar.
  6. Post-mortem binnen 2 weken.

Oefen

Eén keer per jaar een tabletop-oefening. 1 uur. Scenario voorlezen, iedereen zegt wat ze zouden doen. Vind de gaps in je plan.

Documentatie tijdens incident

Op papier (niet in het systeem dat mogelijk gecompromitteerd is). Chronologisch. Maakt post-mortem én verzekeringsclaim veel makkelijker.

Post-incident

• Lessons learned geplenaard.
• Preventieve maatregelen gepland.
• Update in risk register.
• Incident toegevoegd aan incident-log.

Zie ook: security-pillar, datalek melden.