Operatie
Incident Response
Incident Response
GDPR
Compliant
DORA
Compliant
ISO 27001
Q1 2026
Belangrijkste beveligingsprincipes bij Onesurance
End-to end enryptie voor alle data in transit en at rest
Multi-factor authenticatie verplicht voor alle gebruikers
24/7 security monitoring met geautomatiseerde incident detectie
Data residency binnen de EU (Azure West-Europe)
ISO 27001 certificering in voorbereiding (target Q1 2026)
End-to end enryptie voor alle data in transit en at rest
Certificeringen en Standaarden
Onesurance houdt zich aan de hoogste security en compliance standaarden in de financiële sector. Hieronder vindt u een overzicht van onze huidige certificeringen en roadmap.
Certificering
Beschrijving
Status
TRUST CENTER - INCIDENT RESPONSE
Onesurance Incident Response Procedures
Laatst bijgewerkt: December 2024
Ons Commitment
Bij Onesurance begrijpen we dat security incidents kunnen gebeuren ondanks de beste preventieve maatregelen. Daarom hebben we een comprehensive incident response programma dat ervoor zorgt dat we snel, effectief en transparant kunnen reageren op elk security incident. Ons doel is om de impact te minimaliseren, snel te herstellen en te leren van elk incident.
Incident Response Team (IRT)
Team Structuur
Incident Response Manager
Rol: Overall verantwoordelijk voor incident response
Verantwoordelijkheden: Coördinatie, besluitvorming, escalatie
Beschikbaarheid: 24/7 via telefoon en email
Security Lead
Rol: Technische leiding bij security incidents
Verantwoordelijkheden: Technische analyse, containment, eradication
Expertise: Security tools, forensics, threat intelligence
Technical Operations
Rol: System en infrastructure support
Verantwoordelijkheden: System access, configuration changes, recovery
Team: On-call rotation, 24/7 beschikbaarheid
Communications Lead
Rol: Interne en externe communicatie
Verantwoordelijkheden: Stakeholder updates, customer communication, regulatory notification
Samenwerking met: Legal, management, PR
Legal/Compliance
Rol: Juridische en compliance aspecten
Verantwoordelijkheden: Regulatory obligations, contractual requirements, legal implications
Contactpersoon: Functionaris Gegevensbescherming (FG)
Management/Executive
Rol: Strategic oversight en besluitvorming
Verantwoordelijkheden: Resource allocation, policy decisions, external escalation
Betrokkenheid: Bij P1 (Critical) incidents
Training & Preparedness
• Quarterly tabletop exercises: Scenario-based incident response drills
• Annual full-scale exercise: Volledige IR simulation met alle teams
• Role-specific training: Dedicated training per IR rol
• Runbook reviews: Regular updates van procedures
• Post-incident reviews: Lessons learned na elk incident
Incident Classification
Severity Levels
P1 - Critical
Definitie: Volledige service outage, data breach, ransomware
Impact: Alle of meerdere klanten affected, hoog risico
Response tijd: Onmiddellijk (within 15 minuten)
Escalatie: Direct naar management en executive team
Communicatie: Updates elk uur, externe communicatie mogelijk
P2 - High
Definitie: Significante degradation, unauthorized access attempts
Impact: Meerdere klanten of kritieke functionaliteit affected
Response tijd: Within 1 uur
Escalatie: Naar IR Manager, mogelijk naar management
Communicatie: Updates elke 4 uur
P3 - Medium
Definitie: Beperkte degradation, policy violations, suspicious activity
Impact: Enkele klanten of non-kritieke features affected
Response tijd: Within 4 uur
Escalatie: IR team, management informeren
Communicatie: Updates dagelijks
P4 - Low
Definitie: Minor issues, informational security events
Impact: Geen significante impact op klanten of services
Response tijd: Within 1 werkdag
Escalatie: Niet vereist, tenzij patroon
Communicatie: Wekelijkse summary reports
Incident Types
Security Incidents
Data breach / unauthorized access
Malware / ransomware
DDoS attacks
Vulnerability exploitation
Insider threats
Social engineering
Operational Incidents
Service outages
Performance degradation
Configuration errors
Hardware failures
Network issues
Compliance Incidents
Privacy violations
Policy non-compliance
Regulatory breaches
Contractual violations
Incident Response Process
6-Stappen Framework
1. Preparation
Constant staat van readiness:
• Incident response plan up-to-date
• Tools en resources beschikbaar
• Team getraind en rollen duidelijk
• Contact lists actueel
• Runbooks gedocumenteerd
2. Detection & Identification
Hoe detecteren we incidents:
• Automated alerting: Security tools (SIEM, IDS/IPS)
• Monitoring: 24/7 SOC monitoring
• User reports: Customer of employee reports
• Third-party notification: Vendor, researcher, regulator
Initiële triage (within 15 min voor P1):
Wat gebeurt er?
Welke systemen zijn affected?
Hoeveel klanten/users impacted?
Wat is de severity?
Is het nog actief?
3. Containment
Doel: Stop de spread, minimize damage
Short-term containment (immediate):
Isolate affected systems
Block malicious IPs/domains
Disable compromised accounts
Activate backup systems indien nodig
Preserve forensic evidence
Long-term containment (hours-days):
Implement compensating controls
Apply security patches
Strengthen monitoring
Prepare for eradication
4. Eradication
Doel: Remove the threat completely
Actions:
Remove malware/backdoors
Close vulnerabilities
Reset compromised credentials
Rebuild affected systems indien nodig
Apply security hardening
Verify geen residual threat
Verification:
Security scans
Log analysis
Testing
Sign-off van Security Lead
5. Recovery
Doel: Restore normal operations safely
Phased approach:
Restore from clean backups indien nodig
Rebuild systems met security controls
Gradually restore services
Enhanced monitoring
Customer communication over restoration
Validation:
Functionality testing
Security verification
Performance testing
User acceptance
6. Post-Incident Analysis
Doel: Learn en improve
Timeline: Within 5 werkdagen na closure
Post-Incident Review meeting:
Wat gebeurde er precies?
Hoe werd het gedetecteerd?
Was de response effectief?
Wat ging goed?
Wat kan beter?
Action items voor verbetering
Documentation:
Incident timeline
Actions taken
Lessons learned
Recommendations
Update runbooks
Communicatie Tijdens Incidenten
Interne Communicatie
Incident Channel
• Platform: Microsoft Teams dedicated channel
• Participants: IR team, management, relevant stakeholders
• Updates: Regelmatig, vooral bij status changes
• Format: Structured updates met tijd, status, actions, next steps
Escalation Path
Level 1: IR Manager
Level 2: CTO / Management
Level 3: Executive team / Board
Status Updates
P1: Elk uur
P2: Elke 4 uur
P3: Dagelijks
P4: Bij significante changes
Externe Communicatie
Klanten
• Wanneer: Bij P1/P2 incidents die klanten impacten
• Method: Email, status page, in-app notifications
• Inhoud:
Wat is er aan de hand
Welke impact (welke klanten/features)
Wat doen we eraan
Volgende update timing
• Tone: Transparent, empathetic, factual
• Approval: Door Communications Lead en Management
Status Page
• URL: www.onesurance.ai/status
• Real-time updates: Green / Yellow / Red status
• Incident history: Publiek beschikbaar
• Subscribe: Email/SMS notifications mogelijk
Regulatory Notification
• Autoriteit Persoonsgegevens (AP): Within 72 uur bij data breach
• Other regulators: Per regulatory requirement (DORA, etc.)
• Format: Official notification form
• Responsible: FG / Legal team
Media & PR
• Involvement: Bij high-profile incidents
• Approval: Executive team
• Spokesperson: Designated company representative
• Message: Consistent met customer communication
Data Breach Specifics
GDPR Data Breach Notification
Assessment Criteria
• Is er persoonsgegevens gecompromitteerd?
• Wat is de aard en omvang?
• Wat zijn de mogelijke gevolgen voor betrokkenen?
• Zijn er mitigerende maatregelen?
• Resulteert dit in een risico voor rechten en vrijheden?
Notification Timeline
• Internal notification: Immediate (within 1 hour)
• Assessment: Within 4 uren
• Autoriteit Persoonsgegevens: Within 72 uren (indien vereist)
• Betrokkenen: Zonder onnodige vertraging (indien hoog risico)
Notification Content - Toezichthouder
• Aard van de breach
• Categorieën en aantal betrokkenen
• Categorieën en aantal gegevensbestanden
• Mogelijke gevolgen
• Genomen/voorgestelde maatregelen
• Contactgegevens FG
Notification to Betrokkenen
Wanneer vereist:
Hoog risico voor rechten en vrijheden
Bijvoorbeeld: identiteitsdiefstal, financiële schade, reputatieschade
Inhoud:
Beschrijving van datalek in duidelijke taal
Contactgegevens FG
Mogelijke gevolgen
Genomen/voorgestelde maatregelen
Aanbevelingen voor betrokkene
Documentation
• Incident log: Alle data breaches geregistreerd
• Details: Aard, gevolgen, maatregelen
• Retention: Minimum 3 jaar
• Availability: Voor toezichthouder op verzoek
Incident Response Tools
Detection & Monitoring
• Azure Sentinel: SIEM, threat detection
• Azure Security Center: Posture management
• Azure Monitor: Logs en metrics
• Application Insights: Application performance
Analysis & Investigation
• Log Analytics: Query en analysis
• Network Watcher: Network traffic analysis
• Azure Defender: Threat intelligence
• Forensic tools: Evidence collection
Containment & Remediation
• Azure Firewall: Network blocking
• NSG rules: Access restriction
• Identity Protection: Account disable
• Backup & Restore: System recovery
Communication
• Microsoft Teams: Internal coordination
• Status page platform: External updates
• Email automation: Customer notifications
• Ticketing system: Incident tracking
Third-Party Support
External Resources
• Microsoft Azure Support: 24/7 support contract
• Security incident response: External DFIR firm (on retainer)
• Legal counsel: Privacy en security lawyers
• PR firm: Crisis communication (indien nodig)
• Forensics: Digital forensics specialists
When to Engage
• P1 incidents met complexe analysis
• Suspected advanced persistent threat (APT)
• Legal/regulatory complexity
• Media attention / reputatie risk
• Forensic evidence voor legal action
Metrics & Reporting
Key Metrics
• Mean Time to Detect (MTTD): Avg tijd tot detection
• Mean Time to Respond (MTTR): Avg tijd tot eerste response
• Mean Time to Resolve (MTTR): Avg tijd tot closure
• False positive rate: % false positive alerts
• Escalation rate: % incidents geëscaleerd
• Repeat incidents: Same root cause
Regular Reporting
• Weekly: Incident summary naar management
• Monthly: Metrics dashboard, trends
• Quarterly: Board report met key incidents
• Annual: Comprehensive IR program review
Post-Incident Report Format
Executive summary
Incident timeline
Impact assessment
Root cause analysis
Response effectiveness
Lessons learned
Action items
Recommendations
Testing & Exercises
Tabletop Exercises
• Frequency: Quarterly
• Scope: Scenario-based discussion
• Participants: IR team, key stakeholders
• Scenarios: Data breach, ransomware, DDoS, insider threat
• Duration: 2-3 uur
• Output: Lessons learned, runbook updates
Full-Scale Exercises
• Frequency: Annual
• Scope: Live simulation, volledige IR activation
• Participants: Volledige IR team, management, select customers
• Scenario: Realistic, complex incident
• Duration: 4-8 uur
• Output: Comprehensive report, improvement plan
Purple Team Exercises
• Frequency: Semi-annual
• Scope: Red team (attack) + Blue team (defense) collaboration
• Objective: Test detection en response capabilities
• Method: Simulated attacks, real-time response
• Output: Gaps identified, improvements implemented
Customer Support During Incidents
Dedicated Support
• Incident hotline: Dedicated nummer tijdens major incidents
• Priority support: Escalated handling
• Status updates: Direct communication
• Post-incident debrief: Offered to affected customers
Customer Responsibilities
• Report suspicious activity: Via security@onesurance.ai
• Cooperate with investigation: Indien relevant
• Follow guidance: Security recommendations
• Update contacts: Keep contact details current
Continuous Improvement
Regular Reviews
• Monthly: IR metrics review
• Quarterly: Runbook updates
• Semi-annual: Full IR plan review
• Annual: Comprehensive program assessment
Improvement Sources
• Post-incident analysis
• Exercise findings
• Industry best practices
• Threat landscape changes
• Technology updates
• Regulatory changes
Updates & Training
• Runbook updates: After each incident and exercise
• Tool updates: Regular evaluation van IR tools
• Training: Ongoing, role-specific
• Awareness: Company-wide security awareness
Contact
Voor security incidents en rapportage:
• 24/7 Security Hotline: dpo@onesurance.ai
• Security Email: security@onesurance.ai
• Responsible Disclosure: security@onesurance.ai
• Functionaris Gegevensbescherming: dpo@onesurance.ai
Laatst bijgewerkt: December 2024
Onesurance B.V. | Breda, Nederland | KvK: 87521997