Doc2iXBRL
Terug naar Trust Center

Incidentrespons en melding van datalekken

Hoe Doc2iXBRL beveiligingsincidenten detecteert, beheerst, meldt en afsluit. Deze procedure is van toepassing op elk bevestigd of vermoed datalek of gebruikersimpacterende storing.

Laatst beoordeeld: April 2026 · Eigendom van de Directeur

Wat telt als een incident

Een incident is elke bevestigde of vermoede gebeurtenis die de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens die Doc2iXBRL verwerkt in gevaar brengt, of elke gebruikersimpacterende storing. Dit omvat ongeautoriseerde toegang tot klantgegevens, blootstelling van inloggegevens, compromittering van subverwerkers, prompt-injectieaanvallen die klantgegevens lekken, volledige of gedeeltelijke servicestoringen, en succesvolle phishing tegen Doc2iXBRL-medewerkers. Al het andere, inclusief gewone bugs en technische problemen, gaat via het reguliere producttriageproces en valt niet onder deze procedure.

Wie leidt de respons

Doc2iXBRL gebruikt een single-commander model. Dezelfde persoon declareert incidenten, leidt de respons, tekent af op sluiting, en is het genoemde privacycontact voor AVG-correspondentie.

Incident CommanderDirecteur
PrivacycontactDirecteur
Meldingse-mailmax@doc2ixbrl.com

Zes stappen voor elk incident

Dezelfde stroom loopt voor elk incident, ongeacht de omvang. Kleine incidenten doorlopen de stappen snel; grotere besteden meer tijd aan beheersing en beoordeling. De Directeur beheert het logboek, de klok en de afsluiting.

01

Detecteren

De trigger is elk signaal dat er iets mis kan zijn: geautomatiseerde monitoringmeldingen van Dependabot, Supabase, Vercel of Fly.io, een melding van een gebruiker of klant, een melding van een subverwerker, een openbaarmaking door een beveiligingsonderzoeker, of interne observatie. Alle signalen worden gerouteerd naar max@doc2ixbrl.com.

02

Declareren

De Directeur opent een speciaal incidentlogboek. Dat logboek is de enige bron van waarheid voor de respons: tijdlijn, beslissingen en vervolgacties worden daar vastgelegd zodat het auditspoor zichzelf schrijft.

03

Beheersen

Onmiddellijke acties stoppen lopende schade: gecompromitteerde inloggegevens intrekken, geheimen en API-sleutels roteren (Supabase, OpenRouter, Fly.io), getroffen diensten uitschakelen, aanvaller-IP's blokkeren, getroffen gegevens in quarantaine plaatsen, of terugdraaien naar een bekende goede deployment. Beheersing komt vóór volledige root-cause analyse.

04

Beoordelen

Bepaal de omvang: welke gegevenscategorieën waren betrokken, hoeveel gebruikers, welke systemen. Bewaar logs, databasesnapshots en sessiegegevens voor forensisch onderzoek. Dit is de input voor de AVG-melding en de klantcommunicatie.

05

Melden

Melding aan de toezichthouder loopt op de 72-uurs AVG-klok (zie hieronder). Klantmelding loopt parallel wanneer gebruikersrisico waarschijnlijk is. De Directeur stelt beide communicaties op vanuit het logboek en verstuurt ze.

06

Oplossen & beoordelen

Het incident wordt gesloten zodra de oorzaak is opgelost, beheersing is geverifieerd en alle meldingen zijn verstuurd. Binnen vijf werkdagen schrijft de Directeur een post-mortem met tijdlijn, oorzaak, klantimpact, wat we hebben geleerd, en hoe we het eerder kunnen voorkomen of detecteren. Post-mortems worden gearchiveerd in het interne compliancearchief.

Melding aan toezichthouder

72uArtikel 33 AVG

Wanneer een inbreuk op persoonsgegevens waarschijnlijk een risico oplevert voor de rechten en vrijheden van natuurlijke personen, meldt Doc2iXBRL dit aan de Autoriteit Persoonsgegevens binnen 72 uur na kennisname van de inbreuk, zoals vereist door Artikel 33 AVG. De melding omvat de aard van de inbreuk, de categorieën en het geschatte aantal betrokken betrokkenen en records, de waarschijnlijke gevolgen, en de maatregelen die wij hebben genomen of voorstellen te nemen. Als het 72-uursvenster niet kan worden gehaald, wordt de reden voor de vertraging gedocumenteerd in het incidentlogboek en opgenomen in de melding.

Leidende toezichthouderAutoriteit Persoonsgegevens
URLautoriteitpersoonsgegevens.nl

Getroffen gebruikers informeren

Wanneer een inbreuk waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van getroffen gebruikers, informeert Doc2iXBRL hen onverwijld en in duidelijke, begrijpelijke taal. Melding wordt verstuurd via e-mail naar het accountcontact en getoond als in-product melding bij de volgende aanmelding. Het bericht legt uit wat er is gebeurd, welke gegevens betrokken waren, de waarschijnlijke gevolgen, de stappen die wij hebben genomen om het probleem te beheersen en te verhelpen, en een direct contactpunt voor vervolgvragen.

Leren van elk incident

Elk incident, ongeacht de omvang, krijgt een schriftelijke post-mortem binnen vijf werkdagen. Post-mortems behandelen tijdlijn, oorzaak, klantimpact, actiepunten, en wat we hebben geleerd over hoe soortgelijke incidenten eerder te voorkomen of detecteren. Actiepunten worden bijgehouden tot voltooiing.

Hoe u ons bereikt

Als u een klant, partner, beveiligingsonderzoeker of lid van het publiek bent en een beveiligingsincident vermoedt bij Doc2iXBRL, stuur dan een e-mail naar het onderstaande adres. Wij bevestigen alle meldingen binnen 24 uur en beginnen direct met triage. Neem geen productie-inloggegevens of voorbeelden van persoonsgegevens op in het eerste bericht; wij coördineren een beveiligd kanaal voor die details.

max@doc2ixbrl.com