Datalek-procedure

Snelle samenvatting

1. Wat verstaan we onder een datalek

Een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging, of onbevoegde openbaarmaking of toegang tot persoonsgegevens (AVG artikel 4 lid 12).

Voorbeelden in onze context:

• Onbevoegde toegang tot een tenant of cliënt-verslag
• Een bug die cross-tenant data exposure veroorzaakt
• Verlies van een laptop of toegangscredentials
• Een kwaadwillige actor die via een lek toegang krijgt
• Onbedoelde publicatie van logs met persoonsgegevens

2. Onze detectie-mechanismen

• Onveranderbaar audit-log — elke privilege-actie wordt gelogd op DB-niveau, ook niet muteerbaar door onszelf
• Rate-limit alerting — afwijkende patronen triggeren een waarschuwing
• Anthropic-spend monitoring — onverwachte cost-spikes per tenant worden geflagd
• Foutmeldingen via Sentry (in voorbereiding) — productie-errors live zichtbaar
• Klant-meldingen — wij behandelen elk vermoeden serieus, ook van gebruikers

3. Onze procedure (de eerste 72 uur)

Stap 1 — Detectie en classificatie (0–4 uur)

• Notore-medewerker ontvangt of detecteert een mogelijk lek
• Acute risico-classificatie: laag / middel / hoog
• Bij hoog: incident-call binnen 1 uur, betrokken systemen indien nodig direct geïsoleerd

Stap 2 — Indammen (4–12 uur)

• Toegangscredentials roteren (Anthropic-key, Supabase service-role)
• Verdachte sessies invalideren
• Audit-log analyse: wie heeft wat gedaan in de relevante periode
• Scope vaststellen: welke tenants, welke records, welke type gegevens

Stap 3 — Tenant-melding (12–24 uur)

• Betrokken tenant-admins krijgen een directe melding per e-mail én telefonisch indien beschikbaar
• Melding bevat: wat is gebeurd, welke data is geraakt, wat doen wij eraan, wat moet de Klant zelf doen
• De Klant kan op basis hiervan zijn eigen AVG-verplichtingen jegens betrokkenen nakomen

Stap 4 — AP-melding bij hoog risico (24–72 uur)

Bij een lek met hoog risico voor de betrokkenen melden wij dit bij de Autoriteit Persoonsgegevens via datalekken.autoriteitpersoonsgegevens.nl binnen de wettelijke 72-uurstermijn (AVG artikel 33).

Het is in de samenwerking tussen verwerker (Notore) en verwerkingsverantwoordelijke (Klant) dat we afstemmen welke partij welke melding doet. Onze DPA legt dit vast.

Stap 5 — Reconstructie en rapport (binnen 30 dagen)

• Volledig technisch reconstructie-rapport (root cause analysis)
• Genomen herstelmaatregelen en preventie
• Gedeeld met de betrokken tenants en op verzoek met de AP

4. Wat we registreren in ons datalek-register

Conform AVG artikel 33 lid 5 houden wij een datalek-register bij met per incident:

• Datum en tijd van detectie
• Aard van het lek en categorieën persoonsgegevens
• Geraakte betrokkenen (categorisch en geschat aantal)
• Mogelijke gevolgen voor betrokkenen
• Getroffen maatregelen
• Status van AP-melding en betrokkenen-melding

Het register is op verzoek inzichtelijk voor toezichthouders. Voor onze tenants stellen we per incident een geanonimiseerd extract beschikbaar.

5. Verantwoordelijkheidsverdeling Notore vs. Klant

Bij een datalek waarbij wij de verwerker zijn (jouw cliënt-gegevens):

• Notore meldt aan jou (Klant) — onmiddellijk na bevestiging van het incident
• Klant meldt aan AP en betrokkenen — verwerkingsverantwoordelijke verantwoordelijkheid
• Notore ondersteunt met technische informatie — wij leveren een meldings-template + bewijsmateriaal

Bij een datalek in onze eigen systemen (jouw account-gegevens):

• Notore meldt zowel aan AP als aan de betrokken Klanten

6. Geen-datalek-zonder-melden cultuur

We onderschrijven het principe dat een vermoeden van een lek altijd intern wordt gemeld en onderzocht, ook als achteraf blijkt dat het geen daadwerkelijk lek was. Dit is onze veiligheidscultuur. Klanten worden niet lastiggevallen met "misschien-lekken", maar elk vermoeden wordt grondig onderzocht.

7. Contact

• Security-meldingen (24/7): security@notore.nl
• Algemene vragen: hallo@notore.nl
• Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl