Responsible Disclosure

We besteden veel aandacht aan de veiligheid en beveiliging van onze informatiesystemen. Mocht u onverhoopt toch iets tegenkomen dat kan worden verbeterd, dan horen wij dat natuurlijk graag, zodat we daar direct actie op kunnen ondernemen.

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie heeft aanbevelingen gedaan over het op een verantwoorde manier melden en afhandelen van beveiligingslekken. De aanbevelingen van het NCSC voor het melden en afhandelen van kwetsbaarheden passen wij daarbij toe.

Hoe maakt u een melding

  • Meld uw bevindingen door onderstaand formulier in te vullen.
  • Geef aan welk systeem of onderdeel is getroffen en beschrijf stap-voor-stap hoe de kwetsbaarheid te reproduceren is. Voeg waar mogelijk ondersteunend bewijs toe.
  • Meldingen kunnen ook versleuteld gerapporteerd worden. Zie onze security.txt voor meer informatie.

Wat u niet moet doen

  • Kwetsbaarheden met geautomatiseerde scans of tools zoals Zap, Burp, Nessus, ssllabs etc. opsporen. 
  • Misbruik maken van het beveiligingslek (door kopiëren, veranderen of verwijderen van gegevens).
  • Kwetsbaarheden openbaar maken zonder voorafgaande afstemming met ons. We spreken samen een redelijke termijn voor openbaarmaking af, die we in overleg kunnen vervroegen of uitstellen op basis van impact en voortgang.
  • Backdoors of malware installeren. Vermijd permanente wijzigingen.
  • DDoS, DoS, social engineering of spam gebruiken.

Wat kunt u van ons verwachten?

  • Reactie binnen 5 werkdagen op uw melding met onze beoordeling en de verwachte datum voor oplossing.
  • Vertrouwelijk omgaan met uw melding en nooit uw gegevens delen met derden zonder uw toestemming, tenzij dat wettelijk noodzakelijk is.
  • Geen juridische stappen ondernemen ten aanzien van de melder, indien hij/zij conform het beleid en op evenredige wijze heeft gehandeld, zoals aangegeven door het NCSC. In uitzonderlijke gevallen, zoals wanneer een melding leidt tot aantoonbare schade aan systemen van externe partijen (zoals leveranciers), of wanneer er sprake is van opzettelijk misbruik met ernstige gevolgen, behouden wij ons het recht voor om dit te heroverwegen.

Beloning en waardering

Wij waarderen iedere melding. In de meeste gevallen komt u in aanmerking voor een passende beloning of andere vorm van erkenning. De hoogte en vorm van de beloning bepalen wij op basis van onder andere de ernst, kwaliteit van de rapportage en de impact op onze organisatie en bedrijfsvoering.

Wij belonen niet wanneer:

  • de kwetsbaarheid al eerder is gemeld (alleen de eerste melder ontvangt een beloning)
  • de kwetsbaarheid al bekend was 
  • u in een land woont op een internationale sanctielijst
  • de regels van dit beleid zijn niet nageleefd

Responsible Disclosure

Wij gebruiken de (persoons)gegevens uit dit contactformulier om uw verzoek tot contact af te handelen (uitvoering van de overeenkomst). Vermeld geen gevoelige of bijzondere (persoons)gegevens in dit formulier. Meer informatie kunt u lezen in onze privacyverklaring.

Alle velden gemarkeerd met een * zijn verplicht.