Beveiligingskwetsbaarheid melden

PZNL werkt continu aan de beveiliging van zijn ICT-systemen. Toch kan het gebeuren dat er een zwakke plek in een van onze systemen of websites voorkomt. Constateer je zo’n zwakke plek, dan stellen we het zeer op prijs als je hier melding van maakt via een e-mail aan palliaweb@pznl.nl.  
 
Door de kwetsbaarheid te melden voordat je deze aan de buitenwereld kenbaar maakt, stelt je PZNL in staat om maatregelen treffen. Dit heet Responsible Disclosure. PZNL volgt hierin het beleid van de Rijksoverheid.  

Wat wij van je vragen bij Responsible Disclosure 

Als je een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken: 

  • Geef voldoende informatie over de door jou gevonden zwakke plek. Op die manier kan PZNL het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn. 
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat PZNL contact met je kan opnemen. 
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid. 
  • Deel de informatie over de kwetsbaarheid niet met anderen totdat het is opgelost. 
  • Ga verantwoordelijk om met de kennis over de kwetsbaarheid. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen. 
  • Maak geen misbruik van een zwakke plek in onze ICT-systemen. 
     

Wat PZNL doet bij met jouw melding 

Wij behandelen jouw melding als volgt: 

  • PZNL reageert binnen 5 werkdagen op je melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing. 
  • PZNL houdt je als melder op de hoogte van de voortgang. 
  • PZNL lost de kwetsbaarheid zo snel mogelijk op, maar uiterlijk binnen 60 dagen. 
  • PZNL zal samen met je bepalen of en hoe over de gemelde kwetsbaarheid wordt bericht. Berichtgeving vindt pas plaats nadat de kwetsbaarheid is opgelost. 
  • PZNL behandelt jouw melding vertrouwelijk. PZNL deelt je persoonlijke gegevens niet met derden zonder je toestemming, bhalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. PZNL kan, als je dat wilt, je naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
Heb je vragen?