Coordinated Vulnerability Disclosure

Saxenburgh hecht veel belang aan de veiligheid van de patiënt- en cliënt- en medewerkersgegevens, haar (medische) apparatuur, programmatuur en diensten. Ondanks de grote zorg voor de beveiliging hiervan kan het desondanks voorkomen dat er sprake is van een kwetsbaarheid. Als u een kwetsbaarheid ontdekt, kunt u deze veilig aan ons melden. Deze meldprocedure is genaamd: Coordinated Vulnerability Disclosure (CVD). Indien dergelijke kwetsbaarheden gemeld worden, kan Saxenburgh beschermende maatregelen treffen.

Als u een kwetsbaarheid heeft geconstateerd, hoort Saxenburgh dit graag zo spoedig mogelijk zodat adequate maatregelen getroffen kunnen worden. Saxenburgh werkt graag met u samen zodat de patiënten, cliënten, medewerkers en systemen nog beter beschermd worden.

Het Coordinated Vulnerability Disclosure beleid is geen uitnodiging om het bedrijfsnetwerk (onze systemen) van Saxenburgh uitgebreid en/of actief te scannen op kwetsbaarheden. Saxenburgh monitort het eigen netwerk en de kans is groot dat een scan wordt opgemerkt door de ICT-afdeling. Wanneer u via het Coordinated Vulnerability Disclosure beleid kwetsbaarheden aan Saxenburgh meldt, dan heeft Saxenburgh geen reden om juridische consequenties te verbinden aan uw melding, indien u zich te houden aan de volgende regels:

• Saxenburgh neemt geen triviale kwetsbaarheden of security-issues die niet misbruikt kunnen worden in behandeling. Binnen het CVD-proces gaat het om het melden van zaken waar direct misbruik van gemaakt kan worden;
• U meldt uw bevindingen bij voorkeur door een e-mail te sturen naar security@sxb.nl. Vanuit dit e-mailadres wordt een beveiligde mailwisseling tot stand gebracht met de melder;
• In uw melding geeft u voldoende informatie, zodat de kwetsbaarheid te reproduceren is. Op die manier kan de kwetsbaarheid snel mogelijk opgelost worden. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer informatie gewenst/noodzakelijk;
• U misbruikt de geconstateerde kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen;
• Als u vermoedt dat u via een kwetsbaarheid medische gegevens kan inzien, vragen wij u dit niet zelf te verifiëren maar dit door ons te laten doen;
• U deelt uw bevindingen niet met anderen, voordat het is opgelost. Daarnaast vragen we u om alle vertrouwelijke gegevens die u heeft verkregen, na het dichten van het lek, direct te wissen;
• U doet geen aanval(len) op onze (fysieke) beveiliging door middel van bijvoorbeeld social engineering, distributed denial of service, spam, brute-force aanvallen, applicaties van derden en/of andere typen aanvallen.

Hoe Saxenburgh omgaat met uw melding:

• Saxenburgh behandelt uw melding vertrouwelijk en deelt uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is;
• U krijgt een ontvangstbevestiging van Saxenburgh en binnen 5 werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing;
• Als melder van de kwetsbaarheid houdt Saxenburgh u op de hoogte van de voortgang van het oplossen van de kwetsbaarheid;
• In berichtgeving over de kwetsbaarheid zal Saxenburgh, als u dit wenst, uw naam vermelden als de ontdekker;
• Saxenburgh is een non-profit instelling en biedt daarom geen beloning voor gemelde kwetsbaarheden.

Saxenburgh streeft ernaar om alle kwetsbaarheden zo snel mogelijk op te lossen. Samen overleggen we daarna over de meerwaarde van een eventuele publicatie van het opgeloste kwetsbaarheid.