Zodra je te maken hebt met een (bijna) incident met betrekking tot de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie, kwaliteit van de diensten van Jump of de interne processen, dien je dit onmiddellijk te melden bij de Quality & Security Officer. Voorbeelden van incidenten zijn:
Incidenten die te maken hebben met klantomgevingen zijn beschreven in P-240 Support
Het melden van incidenten kan via het verbeter / incidentformulier (B-610a).
Hierbij omschrijf je als melder minimaal het volgende:
Je kan eventuele bijlage(n) toevoegen voor verduidelijking.
De Quality & Security Officer neemt de melding in behandeling en beoordeeld of er sprake is van een incident. Daarbij wordt het risiconiveau van het incident beoordeeld. Indien er sprake is van een zeer hoog risico dan gebruikt hij het draaiboek high-risk incidenten (B-630b) in werking. Voorbeelden hiervan zijn: infectie van gegevensdragers of servers door malware, diefstal van gegevensdragers waar vertrouwelijke informatie mogelijk beschikbaar kan worden gemaakt, datalekken van klant en/of medewerker informatie.
Bij alle typen incidenten analyseert de Quality & Security Officer de oorzaak en de impact op de organisatie. De Quality & Security Officer voert een oorzaakanalyse uit om tot de kern van het probleem te komen. Hiervoor gebruik hij bijvoorbeeld de 5-Why methode. De Quality & Security Officer voert hiervoor gesprekken met de betreffende medewerker(s) en overige betrokkenen. Als de oorzaak is bepaald worden er maatregelen getroffen om soortgelijke incidenten in de toekomst te voorkomen. Wanneer de maatregelen zijn doorgevoerd en effectief blijken te zijn, dan pas wordt het incident gesloten. De Quality & Security Officer communiceert zijn/haar bevindingen waar relevant naar de organisatie zodat er lering uit getrokken kan worden.
Tijdens de jaarlijkse beoordeling van het managementsysteem (P-650) worden alle meldingen van de voorgaande periode besproken en worden eventuele trends onderzocht. Op basis hiervan vormt de directie zich een oordeel over de algehele kwaliteit en informatieveiligheid binnen het bedrijf en bepaalt te nemen maatregelen, waarna bijstelling plaatsvindt van de getroffen maatregelen en eventueel de risico-inventarisatie.
Indien er sprake is van een datalek dient dit onmiddellijk gemeld te worden aan de Quality & Security Officer. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.
Voorbeelden van datalekken zijn: een kwijtgeraakte / gestolen gegevensdrager, een verkeerd geadresseerde e-mail met persoonsgegevens, of een inbraak in een online omgeving door een hacker. De Quality & Security Officer beoordeelt aan de hand van de guidelines meldplicht datalekken (B-630c) of er een melding wordt gemaakt aan de autoriteit persoonsgegevens. En aan de betrokkenen. Alle datalekken (ook als het gaat om kleine kwesties) dienen te worden geregistreerd op het overzicht datalekken (B-630d).