Ga direct naar navigatie Ga direct naar hoofdcontent

Responsible disclosure

Indien je een zwakke plek in deze website vindt, kun je deze mailen naar responsibledisclosure@werkenvoornederland.nl. Meld de kwetsbaarheid voordat je deze aan de buitenwereld kenbaar maakt. Zo kan de Rijksoverheid zo snel mogelijk de benodigde maatregelen treffen. Dit heet responsible disclosure.

Waar je aan moet denken bij responsible disclosure

Als je melding doet van een kwetsbaarheid, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan de Rijksoverheid het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat de Rijksoverheid met je contact kan opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoet je melding aan deze voorwaarden? Dan verbindt de Rijksoverheid geen juridische consequenties aan de melding.

Maak geen misbruik van een zwakke plek in een ICT-systeem

Als je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • malware te plaatsen;
  • gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem);
  • veranderingen aan te brengen in het systeem;
  • herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
  • gebruik te maken van het zogeheten bruteforcen van toegang tot systemen;
  • gebruik te maken van denial-of-service of social engineering.

Wat de Rijksoverheid doet bij responsible disclosure

Heb je een melding gedaan van een zwakke plek in een ICT-systeem? De Rijksoverheid behandelt deze melding als volgt:

  • Je krijgt binnen 1 werkdag een ontvangstbevestiging van de Rijksoverheid.
  • De Rijksoverheid reageert binnen 5 werkdagen op jouw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
  • De Rijksoverheid houd je als melder op de hoogte van de voortgang van het oplossen van het probleem.
  • De Rijksoverheid lost het beveiligingsprobleem zo snel mogelijk op, maar uiterlijk binnen 60 dagen. De Rijksoverheid zal samen met je bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost.
  • De Rijksoverheid biedt een beloning als dank voor jouw hulp indien sprake is van een voor ons nog onbekend en serieus beveiligingsprobleem. De beloning zal nooit in geldelijke vorm zijn.

De Rijksoverheid behandelt jouw melding vertrouwelijk. De Rijksoverheid deelt persoonlijke gegevens niet zonder jouw toestemming met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.

Leidraad responsible disclosure

Om organisaties te helpen een eigen beleid voor responsible disclosure op te stellen, heeft de Rijksoverheid een leidraad voor responsible disclosure opgesteld. Ook melders kunnen met deze leidraad nagaan wat ze kunnen doen als ze een kwetsbaarheid ontdekken.

Down iconLinks iconRechts iconUp iconFacebook iconInstagram iconLinkedin iconLinkedin iconMagnet.me iconMenu iconSearch iconTwitter iconTwitter icon