Coordinated Vulnerability Disclosure



Het Elkerliek ziekenhuis hecht veel belang aan de veiligheid van haar ICT-systemen. Ondanks de zorg voor de beveiliging van deze ICT-systemen kan het voorkomen dat er toch een zwakke plek is. Als u zo’n kwetsbaarheid in onze systemen ontdekt, kunt u dit veilig aan ons melden. Deze aanpak is de zogenaamde Coordinated Vulnerability Disclosure. Op deze manier kan het Elkerliek beschermende maatregelen treffen, voordat de kwetsbaarheden bij een groter publiek bekend worden.

Melding maken van een zwakke plek

Als u een zwakke plek in één van onze ICT-systemen heeft gevonden horen wij dit graag, zodat we zo snel als mogelijk maatregelen kunnen treffen. Het Elkerliek wil graag met u samenwerken om onze klanten en systemen nog beter te kunnen beschermen.

Wanneer u via Coordinated Vulnerability Disclosure kwetsbaarheden aan ons meldt, zullen wij geen juridische stappen tegen u ondernemen, mits u zich houdt aan de onderstaande voorwaarden:

  • U meldt uw bevindingen bij Stichting Z-CERT door een e-mail te sturen naar responsibledisclosure@z-cert.nl. U kunt daarbij gebruik maken van de PGP-sleutel. Stichting Z-CERT is de organisatie die voor het Elkerliek IT-beveiligingsincidenten afhandelt. Zij werken samen met u als melder en met het Elkerliek om te zorgen dat uw melding goed wordt opgepakt.
  • In uw melding geeft u voldoende informatie, zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer informatie behulpzaam.
  • U misbruikt de geconstateerde kwetsbaarheid niet. Bijvoorbeeld door meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
  • U deelt uw bevindingen niet met anderen, voordat het is opgelost. Daarnaast vragen we u om alle vertrouwelijke gegevens die u heeft verkregen, na het dichten van het lek, direct te wissen.
  • U doet geen aanval(len) op onze fysieke beveiliging en maakt geen gebruik van social engineering, distributed denial of service, spam en/of applicaties van derden.

Hoe wij omgaan met uw melding:

  • Het Elkerliek en Z-CERT behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
  • U krijgt een ontvangstbevestiging van Z-CERT en binnen 3 werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als melder van het probleem houdt Z-CERT u op de hoogte van de voortgang van het oplossen van het probleem. 
  • In berichtgeving over het gemelde probleem zal het Elkerliek, als u dit wenst, uw naam vermelden als de ontdekker.
  • Als dank voor uw hulp biedt het Elkerliek een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen we aan de hand van de ernst van het lek en de kwaliteit van de melding.

We streven er naar om alle problemen zo snel mogelijk op te lossen. Daarna worden we graag betrokken bij een eventuele publicatie over het probleem.

[publicatiedatum: 21 maart 2019]

Read the English version