1. Home
  2. Kennisbank
  3. Trust Center
  4. Organisatorische en praktische informatie

Incidenten en datalekken

Bijgewerkt op 23 Apr om 08.49 uur

Samenvatting

Op deze pagina lees je hoe Nedap omgaat met incidenten: hoe we de impact vaststellen, wanneer en via welke kanalen we communiceren, en wat je kunt verwachten als jouw organisatie is getroffen.


  • Bij functionele verstoringen communiceren we via het supportportaal.
  • Bij data-incidenten nemen we alleen contact op als jullie organisatie is getroffen.
  • We communiceren met de getroffen organisaties nadat we de impact zorgvuldig hebben vastgesteld.
  • Je ontvangt duidelijke instructies als actie nodig is.
  • In de meeste gevallen hoor je binnen 24 uur na afronding van de analyse van ons.  


Wil je een data-incident melden als privacycontactpersoon, stuur dan een supportticket. Ben je geen geregistreerd privacycontactpersoon, maar wil je wel een melding maken van een data-incident, stuur dan een mail naar: privacy@nedap-ons.nl of neem telefonisch contact op via: 085 - 2126220



Hoe we omgaan met incidenten

Wat is een incident?

Een incident is een ongeplande onderbreking van een dienst, een vermindering van de kwaliteit van een dienst, of een gebeurtenis die zou kunnen leiden tot een onderbreking of vermindering van de kwaliteit van een dienst (Service Level Agreement (SLA), artikel 1).

Onze aanpak

Zodra een incident wordt gedetecteerd, bepalen Support en de betrokken teams samen de impact. We stellen de impact voorlopig vast en voeren vervolgens verdiepend onderzoek uit, zodat we jullie bij de melding direct de juiste en volledige informatie kunnen geven, conform de SLA (artikel 6).


  • Bij een functionele verstoring werkt het development team aan de oplossing. Jullie ontvangen gedurende het incident regelmatige updates via het Supportportaal, ook als er nog geen nieuws is.

  • Bij een data-incident werkt het development team aan de oplossing en stellen we tegelijkertijd vast welke organisaties er getroffen is en welke gegevens betrokken waren. Het onderscheid tussen hoog-risicogegevens (zoals medische dossiers) en andere gegevens is bepalend voor de vervolgstappen. We communiceren als de analyse volledig is, zodat jullie van ons de juiste en volledige informatie ontvangen over het incident. We informeren alleen getroffen organisaties.



Via welk kanaal ontvangen jullie bericht?

  • Functionele verstoringen worden gemeld via het Supportportaal.
  • Data-incidenten worden per e-mail gecommuniceerd aan de geregistreerde privacycontactpersonen van jullie organisatie.


Timing van communicatie

  • Bij een functionele verstoring informeren we jullie zo snel mogelijk via het Supportportaal.
  • Bij een data-incident is onze verplichting om jullie zonder onredelijke vertraging te informeren zoals afgesproken in de Verwerkersovereenkomst (artikel 5 lid 3). In de praktijk hanteren we 24 uur als richtlijn, gemeten vanaf het moment dat het onderzoek is afgerond. Daarbij houden we rekening met de stand van zaken: als het data-incident op vrijdag als voldoende onder controle wordt ingeschat, melden we maandagmorgen, zodat organisaties aan hun eigen meldplicht kunnen voldoen. Is de situatie onduidelijk of kan het risico groot zijn, dan informeren we eerder.

    Wie we informeren hangt af van de aard van het incident. We informeren privacycontactpersonen van de getroffen organisaties altijd over een data-incident. Als er daarnaast ook nog een handeling in de applicatie moet worden uitgevoerd, informeren we de functioneel beheerder van de getroffen organisatie ook. Als we de functioneel beheerder ook informeren over het incident, communiceren we dat aan de privacycontactpersoon.



Als je een data-incidentmelding hebt ontvangen


Wat staat er in de melding?

Als jullie een melding ontvangen, bevat die:

  • Een beschrijving van wat er is gebeurd, over welke periode en welke gegevens betrokken waren
  • De maatregelen die Nedap heeft genomen
  • Een toelichting op de mogelijke impact voor jullie organisatie
  • Wat jullie kunnen of moeten doen, afhankelijk van jullie rol. Hieronder staan de verschillende opties beschreven

Wat kunnen jullie doen?

  • Bewaar de melding: deze kan relevant zijn als documentatie voor je eigen dossiervoering of bij een eventuele AP-melding.
  • Neem contact op via het supportportaal als je aanvullende vragen hebt over de impact voor jullie organisatie.


Als jullie zorgorganisatie als verwerkingsverantwoordelijke optreedt


  • Beoordeel welke risico's er zijn voor de betrokkenen: op basis van de informatie die Nedap verstrekt, kunnen jullie een risicoinschatting maken en de betrokkenen informeren indien nodig. Bekijk bijvoorbeeld de adviezen van de Autoriteit Persoonsgegevens om deze informatieplicht vast te stellen.
  • Beoordeel je eigen meldplicht als jullie als verwerkingsverantwoordelijke betrokken zijn: op basis van de informatie die Nedap verstrekt, kunnen jullie bepalen of je melding doet bij de Autoriteit Persoonsgegevens. Het 72-uursvenster begint op het moment dat jullie het bericht van ons ontvangen (AVG, artikel 33 lid 1).


Achtergrond: data-incidenten en de Algemene Verordening Gegevensbescherming (AVG)


Wat is een data-incident?

Een data-incident is een inbreuk op de beveiliging van persoonsgegevens waarbij de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens in het geding is. Nedap beoordeelt per geval of hiervan sprake is en legt dit vast in het interne incidentregister. Daarin wordt voor elk incident vastgelegd:


  • de aard van de inbreuk — waren gegevens ingezien, verloren of tijdelijk onbeschikbaar?
  • de omvang — hoeveel klanten, cliënten of eindgebruikers zijn geraakt?
  • de oorzaak en het bredere risico voor vergelijkbare situaties in het systeem
  • Nedap's rol: verwerker, verwerkingsverantwoordelijke of gezamenlijk verwerkingsverantwoordelijke
  • de genomen maatregelen en structurele verbeteringen
  • of er een melding is gedaan bij de Autoriteit Persoonsgegevens (AP)


Niet elk data-incident leidt tot externe communicatie. We informeren alleen als een data-incident waarschijnlijk tot een hoog risico voor de rechten en vrijheden van de betrokkenen leidt. Als we hier twijfels over hebben, bijvoorbeeld door ontbrekende informatie aan onze kant, informeren we ook.


Wat gebeurt er nadat het incident technisch is opgelost?

Bij data-incidenten doen we eerst grondig onderzoek. We nemen alleen contact op als jullie organisatie daadwerkelijk geraakt is. Zo voorkomen we onnodige onrust en zorgen we dat jullie direct de juiste informatie ontvangen.

Op basis van die analyse besluit Nedap of de privacycontactpersoon van de getroffen organisatie wordt geïnformeerd en of er een meldplicht aan de Autoriteit Persoonsgegevens (AP) aan verbonden kan zijn. Deze beslissing leggen wij ook vast in ons interne incidentregister.


Verwerker of verwerkingsverantwoordelijke

  • Als verwerker (Ons®  Suite, Luna, MediKIT): Nedap stelt de informatie samen die jullie als verwerkingsverantwoordelijke nodig hebben om zelf te beoordelen hoe de opvolging eruit ziet en of melding bij de AP vereist is. Het samenstellen van die informatie — welke organisaties zijn geraakt, welke gegevens, over welke periode — is de voornaamste reden waarom communicatie tijd kost. Eventuele extra informatie die hiervoor nodig is wordt ook door Nedap verstrekt. De verwerkingsverantwoordelijke doet de eventuele melding bij de AP.
  • Als verwerkingsverantwoordelijke (Caren): Nedap stelt de informatie samen om te beoordelen hoe de opvolging eruit ziet en of melding bij de AP vereist is. Omdat de gebruikers van Caren mogelijk vragen stellen aan de zorgorganisatie waar zij in zorg zijn, is het uitgangspunt dat we de privacycontactpersoon informeren over het data-incident. Jullie hebben in deze situatie hierin geen formele AVG-rol. Nedap doet de eventuele melding bij de AP.
  • Als gezamenlijke verwerkingsverantwoordelijke (Caren): Nedap en organisatie stellen de informatie samen die nodig is om te beoordelen hoe de opvolging eruit ziet en of melding bij de AP vereist is. Hierbij zijn Nedap en jullie gezamenlijk verwerkingsverantwoordelijk. De primaire inbreukcoördinator doet de eventuele melding bij de AP. Dit kan Nedap of de andere verwerkingsverantwoordelijke zijn, afhankelijk van de situatie zoals die uiteen zijn gezet in de overeenkomst (zie Aansluitovereenkomst, artikel 5) van Caren.
category image

Trust Center

Recente zoekopdrachten

Geen recente zoekopdrachten

    Populaire Artikelen

      Artikelen
      Alles weergeven
        Onderwerpen
        Alles weergeven
          Tickets
          Alles weergeven
            geen resultaten

            Sorry! Niets gevonden voor

            Open navigation
            Voorbeeld
            0 van 0