De meldplicht datalekken laat geen ruimte voor improvisatie. Wie pas op uur 60 begint te bellen, haalt de termijn niet en mist informatie die de AP wel verwacht. Een werkbaar stappenplan ligt klaar voordat het incident komt, niet erna.
Uur 0 tot 4: containment
Reset het wachtwoord van het gecompromitteerde account, trek alle actieve sessies in, verwijder mailregels die de aanvaller heeft aangemaakt en blokkeer verdachte IP-adressen op de mailgateway. Microsoft Defender en KnowBe4 PhishER kunnen hier veel automatiseren, mits eerder ingericht. Maak van iedere actie een tijdstempel: dat is later uw bewijs.
Uur 4 tot 24: het kernteam
Roep de FG of DPO, de IT-verantwoordelijke, een jurist en een communicatiepersoon bijeen. Zonder FG mag uw IT-team de afweging niet alleen maken. Bepaal welke persoonsgegevens in de mailbox stonden door op trefwoorden te zoeken: BSN, IBAN, geboortedatum, paspoort. Het aantal records bepaalt de risicoinschatting.
Uur 24 tot 72: melden via de AP
Het AP-formulier vraagt vier blokken: incident, gegevens, gevolgen en maatregelen. Wees eerlijk over wat u nog niet weet. Een melding met "onderzoek loopt nog" is beter dan stilte. U vult later aan via een vervolgmelding met hetzelfde dossiernummer.
Communicatie aan betrokkenen
Bij hoog risico stuurt u een persoonlijke brief of mail. Vermijd vakjargon. Geef aan welke gegevens betrokken zijn, wat de risico's zijn (identiteitsfraude, gerichte phishing) en welke stappen u onderneemt. Een telefoonnummer of mailadres voor vragen voorkomt dat klanten via de pers reageren.
Post-mortem na week 1
Twee weken na het incident schrijft het team een evaluatie: wat was de aanvalsroute, welke control faalde, welke training is nodig. Koppel daar concrete acties aan: MFA-uitrol op de laatste accounts, DMARC strikt zetten, een PhishWise-simulatie binnen 30 dagen. Zonder post-mortem komt hetzelfde incident binnen een jaar terug.
Verwant: Freelance Cybersecurity consultant, Freelance IT consultant.