Coordinated Vulnerability Disclosure

Wij hechten veel belang aan de veiligheid van onze (medische) apparatuur, programmatuur en diensten. Ondanks de zorg voor de beveiliging hiervan kan het voorkomen dat er toch sprake is van een kwetsbaarheid.

Melding maken van een kwetsbaarheid

Als u zo’n kwetsbaarheid ontdekt, kunt u dit veilig aan ons melden, zodat wij zo snel mogelijk beschermende maatregelen kunnen nemen. Wij werken graag met u samen om onze patiënten en systemen nog beter te kunnen beschermen.

Wanneer u via ons Coordinated Vulnerability Disclosure beleid kwetsbaarheden aan ons meldt, hebben wij geen reden om juridische consequenties te verbinden aan uw melding. Wij vragen u zich te houden aan de volgende regels:

  • U meldt uw bevindingen bij Stichting Z-CERT door een e-mail te sturen naar [email protected]. U kunt daarbij gebruik maken van de PGP-sleutel. Stichting Z-CERT is de organisatie die voor ons Coordinated Vulnerability Disclosure meldingen afhandelt. Zij werken samen met u als melder en met het Diakonessenhuis om te zorgen dat uw melding wordt opgepakt.
  • In uw melding geeft u voldoende informatie, zodat wij het probleem kunnen namaken. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij ingewikkeldere kwetsbaarheden is soms meer informatie nodig.
  • U misbruikt de geconstateerde kwetsbaarheid niet. Door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
  • Als u vermoedt dat u via een kwetsbaarheid medische gegevens  kunt inzien, vragen wij u dit niet zelf te verifiëren maar dit door ons te laten doen.
  • U deelt uw bevindingen niet met anderen voordat het is opgelost. Daarnaast vragen we u om alle vertrouwelijke gegevens , na het dichten van het lek, direct te wissen.
  • U doet geen aanval(len) op onze fysieke beveiliging en maakt geen gebruik van social engineering, distributed denial of service, spam, brute-force aanvallen en/of applicaties van derden.
  • Ons Coordinated Vulnerability Disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk (onze systemen) uitgebreid actief te scannen op kwetsbaarheden.

Hoe wij omgaan met uw melding

  • Diakonessenhuis en Z-CERT behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
  • U krijgt een ontvangstbevestiging van Z-CERT en binnen 5 werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als melder van het probleem houdt Z-CERT u op de hoogte van de voortgang van het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem zal Diakonessenhuis, als u dit wenst, uw naam vermelden als de ontdekker.

Ons Coordinated Vulnerability Disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk (onze systemen) uitgebreid actief te scannen op kwetsbaarheden. Wij monitoren ons netwerk voortdurend. De kans is daardoor groot dat onze IT-afdeling de scan opmerkt en onnodige kosten maakt.

We streven ernaar om alle problemen zo snel mogelijk op te lossen. Samen overleggen we daarna over de meerwaarde van een eventuele publicatie van het opgeloste probleem.