Terug naar kennisbankBewijsmap en bewijsstukken

Wat moet je aanleveren om incidentmanagement aan te tonen?

Klant vraagt om bewijs van incidentmanagement? Lees welke procedure, rollen, registratie, communicatie en oefenbewijzen bruikbaar zijn zonder gevoelige incidentdetails te delen.

InstantSecure14 min
InstantSecure securitybewijs voor MKB-leveranciers

Laatst gecontroleerd: 12 juli 2026

Kort antwoord

Incidentmanagement toon je meestal niet aan met één beleidsdocument. Een klant wil kunnen begrijpen:

  • hoe een incident wordt gemeld;
  • wie beoordeelt wat er aan de hand is;
  • wie beslissingen neemt;
  • hoe schade wordt beperkt;
  • hoe herstel en communicatie verlopen;
  • hoe gebeurtenissen worden geregistreerd;
  • of de procedure wordt geoefend of geëvalueerd;
  • hoe verbeterpunten worden opgevolgd.

Sterker bewijs bestaat daarom uit een combinatie van een actuele incidentprocedure, rollen en verantwoordelijkheden, een meld- en escalatieroute, registratie, communicatieafspraken en bewijs van oefening of review.

Een klein bedrijf heeft niet automatisch een zwaar SOC-proces nodig. Het moet wel duidelijke, uitvoerbare werkafspraken hebben die passen bij de eigen dienstverlening en klantimpact.

Krijg je deze vraag in een klantuitvraag? Bekijk ook welke bewijsstukken bij een securityvragenlijst passen of laat de securityvragenlijst beoordelen.

Welke vraag stelt de klant eigenlijk?

Incidentmanagement kan in een assessment op veel manieren worden gevraagd.

KlantvraagWat de klant mogelijk wil wetenWat je niet automatisch moet aannemen
Hebben jullie een incidentprocedure?Is er een gedocumenteerde werkwijze?Dat een document ook geoefend en actueel is
Hoe worden incidenten gemeld?Bestaat een bereikbaar en bekend meldkanaal?Dat 24/7-bereikbaarheid contractueel is afgesproken
Wie is verantwoordelijk?Zijn rollen en beslissingsrechten duidelijk?Dat een formeel SOC-team nodig is
Wanneer informeren jullie klanten?Zijn impact, contract en communicatie meegenomen?Dat één vaste termijn voor ieder incident geldt
Hoe behandelen jullie datalekken?Bestaat een privacy- en escalatieroute?Dat ieder securityincident automatisch een meldplichtig datalek is
Registreren jullie incidenten?Kunnen gebeurtenissen en acties worden gereconstrueerd?Dat ruwe tickets met de klant gedeeld moeten worden
Wordt de procedure getest?Is de werking beoordeeld, niet alleen opgeschreven?Dat iedere oefening dezelfde omvang moet hebben
Hebben jullie 24/7 incident response?Is directe bereikbaarheid en operationele opvolging geregeld?Dat een mailbox of informele belafspraak gelijkstaat aan een 24/7-dienst
Welke meldtermijnen gelden?Zijn contractuele of wettelijke afspraken bekend?Dat een algemene termijn zonder context kan worden beloofd

Vraag om verduidelijking wanneer de klant contractuele responstijden, wettelijke meldingen, privacyincidenten en technische incidentrespons in één vraag combineert.

Welke bewijsstukken kunnen bruikbaar zijn?

BewijstypeWat het kan aantonenWat het niet automatisch aantoontWat je afschermt
Deelbare incidentprocedureDat stappen en verantwoordelijkheden zijn beschrevenDat medewerkers ze kennen of hebben geoefendInterne nummers, gevoelige locaties en operationele details
Rollen- of RACI-matrixWie uitvoert, beslist en geïnformeerd wordtDat personen beschikbaar en getraind zijnPrivécontactgegevens
Meld- en escalatieschemaHoe een melding door de organisatie looptDat iedere uitzonderingssituatie is afgedektPersoonsnamen waar rollen volstaan
ClassificatiemodelHoe ernst en prioriteit worden bepaaldDat classificatie in de praktijk consistent gebeurtInterne drempels die nieuwe risico’s tonen
Geanonimiseerd incidentformulierWelke informatie wordt vastgelegdDat ieder incident volledig geregistreerd isKlant-, persoons- en technische incidentdata
CommunicatiesjabloonDat externe communicatie is voorbereidDat een specifieke melding juridisch correct isVooraf ingevulde klant- of incidentdetails
OefenverslagDat een scenario is doorlopen en geëvalueerdDat ieder ander scenario ook beheerst wordtNamen, kwetsbaarheden en niet-opgeloste details
Reviewlog of wijzigingshistorieDat de procedure wordt onderhoudenDat de uitvoering effectief isInterne opmerkingen zonder klantrelevantie
Geanonimiseerd ticketDat detectie, acties en afsluiting zijn geregistreerdDat het hele proces structureel werktPersoonsgegevens, IOC’s en klantnamen
ManagementrapportageDat trends en verbeteracties worden gevolgdDat alle operationele details correct zijnGevoelige statistiek of andere klanten
Training- of awarenessrecordDat rollen zijn geïnformeerd of geoefendDat iemand tijdens een echt incident correct handeltIndividuele resultaten zonder noodzaak

Een klantvriendelijke bewijsset hoeft niet alle documenten volledig te bevatten. Vaak is een samenvatting met scope, versie, reviewdatum en beschikbare onderliggende bewijzen veiliger.

Wat moet minimaal in een incidentprocedure staan?

De passende diepgang hangt af van omvang en risico. Controleer minimaal:

  1. Doel en scope
    Welke diensten, systemen, gegevens en typen incidenten vallen onder de procedure?

  2. Definities en classificatie
    Wanneer is iets een storing, securitygebeurtenis, incident, crisis of mogelijk datalek?

  3. Meldkanaal
    Hoe melden medewerkers, klanten en externe partijen een vermoeden?

  4. Triage en eerste beoordeling
    Wie bepaalt ernst, impact, scope en prioriteit?

  5. Rollen en beslissingsrechten
    Wie coördineert, onderzoekt, communiceert en keurt belangrijke acties goed?

  6. Escalatie
    Wanneer worden directie, IT-partner, privacyverantwoordelijke, klant of externe specialist betrokken?

  7. Containment
    Welke principes gelden om verdere schade te beperken?

  8. Onderzoek en bewijsbehoud
    Hoe worden gebeurtenissen, logbestanden, besluiten en acties zorgvuldig vastgelegd?

  9. Herstel
    Hoe wordt gecontroleerd dat systemen en dienstverlening veilig kunnen worden hervat?

  10. Communicatie
    Wie communiceert intern en extern, via welk kanaal en na welke goedkeuring?

  11. Registratie
    Welke feiten, tijden, beslissingen, eigenaren en vervolgacties worden vastgelegd?

  12. Evaluatie en lessons learned
    Hoe worden oorzaak, respons, impact en verbeterpunten beoordeeld?

  13. Opvolging
    Wie bewaakt verbeteracties en wanneer wordt de procedure opnieuw beoordeeld?

  14. Beschikbaarheid van het plan
    Kan het plan ook worden geraadpleegd wanneer normale systemen niet beschikbaar zijn?

Niet ieder klein bedrijf heeft gespecialiseerde teams voor al deze onderdelen. Rollen kunnen gecombineerd worden, zolang eigenaarschap en escalatie maar duidelijk zijn.

Klantcommunicatie bij incidenten

Een klantvraag over incidentmelding vraagt meer dan een standaardzin “we melden incidenten direct”.

Leg intern vast:

  • wie beoordeelt of de klant geraakt kan zijn;
  • welke contractuele afspraken bestaan;
  • wie communicatie goedkeurt;
  • welke feiten al bevestigd zijn;
  • welke onzekerheden nog bestaan;
  • wie de vaste contactpersonen zijn;
  • hoe vaak updates worden gegeven;
  • hoe afsluiting en evaluatie worden vastgelegd.

Gebruik in vroege communicatie geen onbevestigde oorzaak of definitieve impactclaim.

Een veilige structuur is:

  1. wat is feitelijk vastgesteld;
  2. welke dienst of data kan geraakt zijn;
  3. welke maatregelen zijn genomen;
  4. wat wordt nog onderzocht;
  5. wanneer volgt de volgende update;
  6. via welk contactpunt vragen lopen.

Contractuele en wettelijke meldtermijnen kunnen verschillen. Beoordeel de exacte overeenkomst, het type incident en toepasselijke regelgeving voordat je één algemene termijn toezegt.

Oefenen, reviewen en leren

Een procedure op papier toont voorbereiding. Een oefening of gedocumenteerde evaluatie toont dat de organisatie heeft gekeken of de afspraken uitvoerbaar zijn.

Mogelijke vormen:

  • tabletop-oefening met een realistisch scenario;
  • simulatie van ransomware, accountovername of uitval;
  • technische herstel- of uitwijkoefening;
  • evaluatie van een echt incident;
  • controle van bellijst en bereikbaarheid;
  • review van klantcommunicatie;
  • doorlopen van een privacy- en datalekscenario;
  • gezamenlijke oefening met IT-partner of belangrijke klant;
  • documentreview na grote organisatorische of technische wijziging.

Leg minimaal vast:

  • datum;
  • scenario;
  • scope;
  • deelnemers of betrokken rollen;
  • belangrijke besluiten;
  • knelpunten;
  • verbeteracties;
  • eigenaar;
  • streefdatum;
  • nacontrole.

Het NCSC adviseert leveranciers periodiek te oefenen en noemt in de context van verdiepende leveranciersmaatregelen ten minste jaarlijks als advies. Behandel dat als guidance, niet als een universele wettelijke termijn voor iedere organisatie. Risico, contract, omvang en wijzigingen kunnen aanleiding geven tot een andere frequentie.

Wat moet je niet delen?

Deel richting een klant niet automatisch:

  • volledige incidentdossiers;
  • persoonsgegevens;
  • klantnamen;
  • ongeredigeerde tickets;
  • kwetsbaarheden die nog niet zijn opgelost;
  • forensische images of ruwe forensische data;
  • credentials, tokens en secrets;
  • interne privécontactgegevens;
  • aanvalspaden en technische zwakke plekken;
  • volledige detectieregels;
  • juridische correspondentie;
  • communicatie met verzekeraar of advocaat;
  • informatie over andere klanten;
  • vertrouwelijke dreigingsinformatie zonder noodzaak.

Deel liever:

  • een klantgerichte proceduresamenvatting;
  • rollen in plaats van persoonsnamen;
  • een geanonimiseerd registratievoorbeeld;
  • een oefensamenvatting;
  • de reviewdatum;
  • relevante contractuele communicatiestappen;
  • open punten en verbeteracties op hoofdlijnen.

Wat als er nog geen volwassen incidentproces bestaat?

Beschrijf dan niet dat een “volledig incident responseprogramma” is ingericht.

Gebruik deze structuur:

OnderdeelWat je eerlijk beschrijft
Bestaande meldrouteWaar medewerkers of klanten nu melden
Huidige verantwoordelijkeWie coördineert en beslist
Aanwezige onderdelenBijvoorbeeld bellijst, tickets, IT-partner, back-up en contactproces
Ontbrekende onderdelenBijvoorbeeld classificatiemodel, oefening of formele review
Tijdelijke werkwijzeHoe incidenten tot formalisering worden behandeld
VerbeteractieWelk document, proces of oefening wordt ingericht
EigenaarWie verantwoordelijk is
StreefdatumRealistisch besluit- of afrondmoment
Toekomstig bewijsProcedureversie, oefenverslag of reviewlog

Voorbeeld: procedure aanwezig, nog niet geoefend

Er is een vastgelegd incidentproces met meldkanaal, coördinatie, technische escalatie en klantcommunicatie. De procedure is nog niet in een formele tabletop-oefening getest. Dat is als open punt geregistreerd; na de oefening worden bevindingen en verbeteracties vastgelegd.

Voorbeeld: informeel proces wordt geformaliseerd

Incidenten worden momenteel gemeld bij de operationeel verantwoordelijke en samen met de IT-partner geregistreerd en opgevolgd. Rollen en contactlijnen bestaan in de praktijk, maar de volledige classificatie- en evaluatieprocedure wordt nog formeel vastgelegd. We claimen daarom niet dat het proces al volledig volwassen is.

Voorbeeld: klant vraagt om gevoelige incidentdetails

Wij kunnen onze incidentprocedure, rollen en communicatieroute toelichten. Specifieke incidentdossiers, persoonsgegevens en niet-opgeloste technische kwetsbaarheden delen wij niet zonder duidelijke noodzaak, passende grondslag en afgesproken vertrouwelijkheid.

Lees ook hoe je gedeeltelijk antwoordt op een securityvraag.

Voorbeeld van een volledig maar voorzichtig antwoord

Voor de geleverde dienst is een incidentprocedure ingericht met meldkanaal, triage, toegewezen rollen, technische escalatie, registratie, herstel en klantcommunicatie. De procedure wordt periodiek beoordeeld en is op [datum] doorlopen in een afgebakend scenario. We kunnen een klantgerichte samenvatting, de reviewdatum en een geanonimiseerd overzicht van verbeteracties aanleveren. Operationele contactgegevens, persoonsgegevens en gevoelige incidentdetails zijn uit de klantversie verwijderd.

Praktische checklist vóór verzending

  • De klantvraag en scope zijn duidelijk.
  • Procedureversie en reviewdatum zijn actueel.
  • Rollen en beslissingsrechten zijn benoemd.
  • Meldkanaal en escalatie zijn uitvoerbaar.
  • Klantcommunicatie is afgestemd op contract en impact.
  • Registratie en bewijsbehoud zijn beschreven.
  • Er is bewijs van oefening, review of evaluatie.
  • Open verbeterpunten hebben eigenaar en planning.
  • Persoonsgegevens en gevoelige incidentdetails zijn verwijderd.
  • Er wordt geen 24/7-dienst geclaimd zonder echte dekking.
  • Meldtermijnen zijn niet generiek beloofd.
  • De definitieve klantversie is intern goedgekeurd.

Wanneer is externe hulp nodig?

Betrek een technische incidentresponder wanneer actuele incidenten, forensisch onderzoek, containment of veilig herstel specialistische kennis vereisen.

Betrek privacy- of juridisch advies wanneer een mogelijk datalek, wettelijke melding, contractuele aansprakelijkheid, toezichthouder of klantclaim speelt. InstantSecure helpt met het structureren van de klantvraag en het bewijs, maar vervangt geen formeel juridisch oordeel of operationele incidentrespons.

Bronnen en actuele informatie

Geraadpleegd op 12 juli 2026:

Hulp nodig bij het onderbouwen van incidentmanagement?

Moet je incidentmanagement onderbouwen? Laat de klantvraag, procedure en beschikbare bewijzen structureren.

Laat je concrete securityvragenlijst beoordelen

Gaat het om een breder leveranciersproces met documenten, vervolgvragen en contractafspraken? Bekijk dan vendor assessment hulp. Voor herhaald gebruik kun je een gecontroleerde klantversie en reviewbewijs opnemen in de Cybersecurity Bewijsmap.

Veelgestelde vragen

Niet altijd. Een procedure toont dat afspraken zijn vastgelegd. Sterker bewijs bevat ook rollen, meldroute, registratie, reviewdatum en waar mogelijk een oefening of evaluatie.

Verder lezen

Gerelateerde gidsen