Responsible Disclosure

Hoe meld ik een zwakke plek in een (van de) ICT-syste(e)m(en) van Omroep Flevoland (Responsible Disclosure)?

Een zwakke plek in een ICT-systeem van Omroep Flevoland, zoals bijvoorbeeld www.omroepflevoland.nl of de Omroep Flevoland App, kunt u melden bij de privacyafdeling van Omroep Flevoland. Deze is  te bereiken via het e-mailadres privacy@omroepflevoland.nl. Wij vragen u dit ons zo snel mogelijk te melden. Op deze manier kan Omroep Flevoland spoedig  maatregelen nemen. Dit principe heet Responsible Disclosure.

Waar moet u aan denken bij Responsible Disclosure?
Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:
- Geef zo veel mogelijk  informatie om het probleem te reproduceren. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
- Laat contactgegevens (e-mailadres en/of telefoonnummer) achter zodat Omroep Flevoland met u contact kan opnemen.
- Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
- Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoet u bij uw melding aan deze voorwaarden? Dan zal Omroep Flevoland geen juridische stappen ondernemen tegen u als melder.

Maak geen misbruik van een zwakke plek in een ICT-systeem.
Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:
- Malware te plaatsen;
- Gegevens in een systeem te kopiëren, te wijzigen of te verwijderen (een alternatief hiervoor is een directory listing maken van een systeem):
- Veranderingen aan te brengen in het systeem;
- Herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
- Gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;
- Gebruik te maken van denial-of-service of social engineering.

Wat Omroep Flevoland doet bij Responsible Disclosure
Heeft u een melding gedaan van een zwakke plek in een ICT-systeem? Omroep Flevoland behandelt deze melding als volgt:
- U krijgt binnen 3 werkdagen een ontvangstbevestiging van Omroep Flevoland.
- Omroep Flevoland reageert binnen 5 werkdagen op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
- Omroep Flevoland houdt u als melder op de hoogte van de voortgang van het oplossen van het probleem.
- Omroep Flevoland lost het beveiligingsprobleem zo snel mogelijk op, maar uiterlijk binnen 60 dagen. Omroep Flevoland zal samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost.
- Omroep Flevoland behandelt uw melding vertrouwelijk. Omroep Flevoland deelt persoonlijke gegevens niet zonder toestemming van u met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. Omroep Flevoland kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.

Bovenstaand Responsible Disclosure beleid is gebaseerd op het beleid dat geldt bij het Nationaal Cyber Security Centrum (NCSC).


Voor het laatst bijgewerkt: 9 Mei 2018