Beveiligingskwetsbaarheid melden
Laatst gewijzigd op: 7 december 2022
Integraal Kankercentrum Nederland (IKNL) werkt continu aan de beveiliging van zijn ICT-systemen. Toch kan het gebeuren dat er een zwakke plek in een van onze systemen of websites voorkomt. Constateert u zo’n zwakke plek, dan stellen we het zeer op prijs als u hier melding van maakt via een e-mail aan informatiebeveiliging@iknl.nl.
Door de kwetsbaarheid te melden voordat u deze aan de buitenwereld kenbaar maakt, stelt u IKNL in staat om maatregelen treffen. Dit heet Responsible Disclosure. IKNL volgt hierin het beleid van de Rijksoverheid.
Wat wij van u vragen bij Responsible Disclosure
Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:
- Geef voldoende informatie over de door u gevonden zwakke plek. Op die manier kan IKNL het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
- Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat IKNL contact met u kan opnemen.
- Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
- Deel de informatie over de kwetsbaarheid niet met anderen totdat het is opgelost.
- Ga verantwoordelijk om met de kennis over de kwetsbaarheid. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.
- Maak geen misbruik van een zwakke plek in onze ICT-systemen.
Wat IKNL doet met uw melding
Wij behandelen uw melding als volgt:
- IKNL reageert binnen 5 werkdagen op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
- IKNL houdt u als melder op de hoogte van de voortgang.
- IKNL lost de kwetsbaarheid zo snel mogelijk op, maar uiterlijk binnen 60 dagen.
- IKNL zal samen met u bepalen of en hoe over de gemelde kwetsbaarheid wordt bericht. Berichtgeving vindt pas plaats nadat de kwetsbaarheid is opgelost.
- IKNL behandelt uw melding vertrouwelijk. IKNL deelt uw persoonlijke gegevens niet met derden zonder uw toestemming. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. IKNL kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.