Wij hechten veel belang aan de beveiliging van onze systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in onze systemen te vinden is. Heeft u een zwakke plek ontdekt? Geef dit aan ons door, dan kunnen wij direct actie ondernemen. Door het maken van een melding verklaart u als melder akkoord te gaan met de volgende afspraken over Responsible Disclosure. Wij handelen uw melding met zorg af en volgens dezelfde afspraken.

Afspraken Responsible Disclosure

  • Geef een melding binnen 24 uur aan ons door.
  • Geef voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het systeem met een omschrijving van de zwakke plek voldoende. Bij complexere meldingen kan meer informatie nodig zijn.
  • Beperk de bevinding tot verifieerbare feitelijkheden die betrekking hebben op de door u geconstateerde zwakke plek.
  • Geef eventuele tips die ons kunnen helpen het probleem op te lossen. Zorg ervoor dat uw advies geen reclame is voor specifieke (beveiligings-)producten.
  • Beperk de bevinding tot de buitenste schil van het netwerk.
  • Laat minimaal een e-mailadres of telefoonnummer achter, zodat we contact met u op kunnen nemen om samen te werken aan een oplossing. U kunt er ook voor kiezen om anoniem te blijven.
  • Maak het probleem niet openbaar en deel het niet met anderen voordat het is opgelost. Ook als het onmogelijk blijkt om het probleem adequaat op te lossen, vragen wij u het niet openbaar te maken of met anderen te delen.
  • Wis verkregen (vertrouwelijke) gegevens zo snel mogelijk.

Wat is niet toegestaan?

  • Misbruiken van het probleem. Download bijvoorbeeld niet méér gegevens dan nodig om het lek te testen. Verwijder of verander daarbij geen gegevens.
  • Maak geen gebruik van tooling die bij het Noordelijk Belastingkantoor overlast kunnen veroorzaken.
  • Het plaatsen van malware op onze systemen.
  • Het zogeheten “Bruteforcen” van toegang tot onze systemen is niet toegestaan.
  • Maak geen gebruik van Social Engineering.

Het Noordelijk Belastingkantoor belooft u het volgende:

  • Wij reageren binnen drie werkdagen op uw melding met onze beoordeling en de verwachte oplossingstermijn.
  • Wij houden u op de hoogte.
  • Wij behandelen uw melding vertrouwelijk en verstrekken uw gegevens alleen aan anderen als dat van rechtswege verplicht is.
  • Wij besteden geen publieke aandacht aan meldingen. Alleen als een meldplicht (datalekken) geldt en de wet dit voorschrijft voor het Noordelijk Belastingkantoor. De melder kan anoniem blijven.
  • Wij verbinden geen juridische consequenties aan deze melding. Wanneer u bij de melding van een kwetsbaarheid in een ICT-systeem van het Noordelijk Belastingkantoor aan alle bovenstaande voorwaarden voldoet.
  • Wij geven een beloning voor meldingen. De grootte van die beloning bepalen we aan de hand van de ernst van het lek en de kwaliteit van de melding.

U kunt een melding maken door het Responsible Disclosure formulier in te vullen.

Responsible Disclosure

  • Sleep bestanden hierheen of
    Maximaal 5 bestanden, met een maximale bestandsgrootte van 2mb per bestand.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
.