Responsible Disclosure 

 

Hoe meld ik een zwakke plek in een (van de) ICT-syste(e)m(en) van RTV Rijnmond (Responsible Disclosure)?

Een zwakke plek in een ICT-systeem van RTV Rijnmond, zoals bijvoorbeeld www.rijnmond.nl of de RTV Rijnmond App, kunt u melden bij de privacy afdeling van RTV Rijnmond. Deze kan u bereiken via het e-mailadres privacy@rijnmond.nl. U meldt dit eerst aan de organisatie, voordat u het aan de buitenwereld kenbaar maakt. Op deze manier kan RTV Rijnmond zelf eerst maatregelen nemen. Dit principe heet Responsible Disclosure.


Waar u aan moet denken bij Responsible Disclosure?

Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan RTV Rijnmond het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.

  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat RTV Rijnmond contact met u op kan nemen.

  • Communiceer de melding zo spoedig mogelijk na het ontdekken van de kwetsbaarheid.

  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.

  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.


Voldoet u bij uw melding aan deze voorwaarden? Dan verbindt RTV Rijnmond geen juridische consequenties aan de melding.


Maak geen misbruik van een zwakke plek in een ICT-systeem.

Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • Malware te plaatsen;

  • Gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem):

  • Veranderingen aan te brengen in het systeem;

  • Herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;

  • Gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;

  • Gebruik te maken van denial-of-service of social engineering.


Wat RTV Rijnmond doet bij Responsible Disclosure

Heeft u een melding gedaan van een zwakke plek in een ICT-systeem? RTV Rijnmond behandelt deze melding als volgt:

  • U krijgt binnen 3 werkdagen een ontvangstbevestiging van RTV Rijnmond.

  • RTV Rijnmond reageert binnen 5 werkdagen op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.

  • RTV Rijnmond houdt u als melder op de hoogte van de voortgang van het oplossen van het probleem.

  • RTV Rijnmond lost het beveiligingsprobleem zo snel mogelijk op, maar uiterlijk binnen 60 dagen. RTV Rijnmond zal samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost.

  • RTV Rijnmond behandelt uw melding vertrouwelijk. RTV Rijnmond deelt persoonlijke gegevens niet zonder toestemming van u met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. RTV Rijnmond kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.

  • Bovenstaand Responsible Disclosure beleid is gebaseerd op het beleid wat er geldt bij het Nationaal Cyber Security Centrum (NCSC).