Beveiligingskwetsbaarheid melden

Integraal Kankercentrum Nederland (IKNL) werkt continu aan de beveiliging van zijn ICT-systemen. Toch kan het gebeuren dat er een zwakke plek in een van onze systemen of websites voorkomt. Constateert u zo’n zwakke plek, dan stellen we het zeer op prijs als u hier melding van maakt via een e-mail aan informatiebeveiliging@iknl.nl

Door de kwetsbaarheid te melden voordat u deze aan de buitenwereld kenbaar maakt, stelt u IKNL in staat om maatregelen treffen. Dit heet Responsible Disclosure. IKNL volgt hierin het beleid van de Rijksoverheid. 

Wat wij van u vragen bij Responsible Disclosure

Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie over de door u gevonden zwakke plek. Op die manier kan IKNL het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat IKNL contact met u kan opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over de kwetsbaarheid niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over de kwetsbaarheid. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.
  • Maak geen misbruik van een zwakke plek in onze ICT-systemen.

Wat IKNL doet met uw melding

Wij behandelen uw melding als volgt:

  • IKNL reageert binnen 5 werkdagen op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
  • IKNL houdt u als melder op de hoogte van de voortgang.
  • IKNL lost de kwetsbaarheid zo snel mogelijk op, maar uiterlijk binnen 60 dagen.
  • IKNL zal samen met u bepalen of en hoe over de gemelde kwetsbaarheid wordt bericht. Berichtgeving vindt pas plaats nadat de kwetsbaarheid is opgelost.
  • IKNL behandelt uw melding vertrouwelijk. IKNL deelt uw persoonlijke gegevens niet met derden zonder uw toestemming. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. IKNL kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.