Informatiebeveiliging en Coordinated Vulnerability Disclosure

Zorg bij jou (Zbj) hecht groot belang aan de informatiebeveiliging van haar medische apparatuur, softwareplatform en dienstverlening. Ondanks onze voortdurende inspanningen om beveiligingsrisico's te minimaliseren, kunnen er kwetsbaarheden worden ontdekt. Wij waarderen de bijdrage van beveiligingsonderzoekers en stimuleren de verantwoordelijke melding van beveiligingsissues via ons Coordinated Vulnerability Disclosure (CVD) proces.

Ons Coordinated Vulnerability Disclosure-beleid vormt geen toestemming of uitnodiging voor actieve beveiligingstests. Wij monitoren systemen voortdurend. Ongeautoriseerde activiteiten worden waarschijnlijk gedetecteerd en kunnen onnodige kosten veroorzaken. Wij investeren die middelen liever in zorgtransformatie.

Melding maken van een kwetsbaarheid

Komt u een kwetsbaarheid tegen? Laat het ons alstublieft snel weten, zodat we direct kunnen handelen. Samen houden we patiëntgegevens en onze systemen zo veilig mogelijk.

Wanneer u via ons Coordinated Vulnerability Disclosure beleid kwetsbaarheden aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan uw melding.  

Stichting Z-CERT handelt CVD-meldingen voor Zbj af. Op https://z-cert.nl/kwetsbaarheid-melden leest u hoe u de kwetsbaarheid kunt melden, welke voorwaarden er aan uw CVD-melding worden gesteld en wat u kunt verwachten van de afhandeling van uw melding.

Meld kwetsbaarheid

Hall of fame

Wij maken gebruik van de eregalerij van Z-CERT, waarin onderzoekers die u voor zijn gegaan worden vermeld.

Wat wij van u verwachten

Wij vragen u de volgende uitgangspunten in acht te nemen.

  • Verantwoordelijk handelen
    Voer geen destructieve acties uit en download geen onnodige data.  
  • Vertrouwelijkheid
    Deel informatie over de kwetsbaarheid niet met derden totdat wij gezamenlijk overeenkomen dat dit kan.  
  • Proportionaliteit
    Beperk uw onderzoek tot het minimum dat nodig is om de kwetsbaarheid aan te tonen.

Wat u kunt verwachten van ons

U mag van ons het volgende verwachten bij een kwetsbaarheidsmelding.

  • Bevestiging van ontvangst binnen 3 werkdagen.
  • Initiële beoordeling en response binnen 10 werkdagen.
  • Regelmatige updates over de voortgang van het oplossen.
  • Erkenning voor uw bijdrage (indien gewenst) na succesvolle remediation.
  • Geen juridische vervolgstappen bij melding conform dit beleid.

Wat wij niet als kwetsbaarheid zien

Op https://z-cert.nl/kwetsbaarheid-melden leest u wat wij niet als kwetsbaarheden beschouwen in de context van dit CVD-beleid.