Responsible disclosure

Bij GGZ Friesland vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.
Als u een zwakke plek is één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze patiënten en systemen beter te beschermen.

Wij vragen u

• Uw bevindingen te melden via onderstaand contactformulier. Indien u meer informatie kwijt wilt dan mogelijk is, zal er na het versturen van het contactformulier een beveiligde mogelijkheid worden aangeboden om te communiceren.
• Voldoende informatie te geven om het probleem te reproduceren zodat GGZ Friesland het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
• Contactgegevens achter te laten zodat GGZ Friesland met u in contact kan treden om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres of telefoonnummer achter.
• De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
• De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
• Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Vermijd dus in elk geval de volgende handelingen

• Het plaatsen van malware.
• Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
• Het aanbrengen van veranderingen in het systeem.
• Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
• Het gebruik maken van het zogeheten 'bruteforcen' van toegang tot systemen.
• Het gebruik maken denial-of-service of social engineering.

Wat mag u van ons verwachten

• Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van GGZ Friesland aan bovenstaande voorwaarden voldoet, zal GGZ Friesland geen juridische consequenties verbinden aan deze melding.
• GGZ Friesland behandelt een melding vertrouwelijk en deelt persoonlijke gegevens, niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
• In onderling overleg kan GGZ Friesland, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
• GGZ Friesland reageert binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
• GGZ Friesland houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
• GGZ Friesland lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar - mits GGZ Friesland niet afhankelijk is van een leverancier - uiterlijk binnen 90 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
• GGZ Friesland biedt een beloning als dank voor de hulp in de vorm van cadeaubonnen of een geldelijke vergoeding. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren. Het moet hierbij wel gaan om een voor GGZ Friesland nog onbekend en serieus beveiligingsprobleem.

Melden zwakke plek

Via het onderstaande contactformulier kunt u uw bevindingen aan ons melden. Wilt u, naast de omschrijving van de zwakke plek, in ieder geval uw contactgegevens invullen? Dit kan een e-mailadres of een telefoonnummer zijn. Bedankt voor het melden.