Wij hechten veel belang aan de beveiliging van onze systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in onze systemen te vinden is. Heeft u een zwakke plek ontdekt? Geef dit aan ons door, dan kunnen wij direct actie ondernemen. Door het maken van een melding verklaart u als melder akkoord te gaan met de volgende afspraken over Responsible Disclosure. Wij handelen uw melding met zorg af en volgens dezelfde afspraken.

Afspraken Responsible Disclosure

  • Geef een melding binnen 24 uur aan ons door.
  • Geef voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het systeem met een omschrijving van de zwakke plek voldoende. Bij complexere meldingen kan meer informatie nodig zijn.
  • Beperk de bevinding tot verifieerbare feitelijkheden die betrekking hebben op de door u geconstateerde zwakke plek.
  • Geef eventuele tips die ons kunnen helpen het probleem op te lossen. Zorg ervoor dat uw advies geen reclame is voor specifieke (beveiligings-)producten.
  • Beperk de bevinding tot de buitenste schil van het netwerk.
  • Laat minimaal een e-mailadres of telefoonnummer achter, zodat we contact met u op kunnen nemen om samen te werken aan een oplossing. U kunt er ook voor kiezen om anoniem te blijven.
  • Maak het probleem niet openbaar en deel het niet met anderen voordat het is opgelost. Ook als het onmogelijk blijkt om het probleem adequaat op te lossen, vragen wij u het niet openbaar te maken of met anderen te delen.
  • Wis verkregen (vertrouwelijke) gegevens zo snel mogelijk.

Wat is niet toegestaan?

  • Misbruiken van het probleem. Download bijvoorbeeld niet méér gegevens dan nodig om het lek te testen. Verwijder of verander daarbij geen gegevens.
  • Maak geen gebruik van tooling die bij het Noordelijk Belastingkantoor overlast kunnen veroorzaken.
  • Het plaatsen van malware op onze systemen.
  • Het zogeheten “Bruteforcen” van toegang tot onze systemen is niet toegestaan.
  • Maak geen gebruik van Social Engineering.

Het Noordelijk Belastingkantoor belooft u het volgende:

  • Wij reageren binnen drie werkdagen op uw melding met onze beoordeling en de verwachte oplossingstermijn.
  • Wij houden u op de hoogte.
  • Wij behandelen uw melding vertrouwelijk en verstrekken uw gegevens alleen aan anderen als dat van rechtswege verplicht is.
  • Wij besteden geen publieke aandacht aan meldingen. Alleen als een meldplicht (datalekken) geldt en de wet dit voorschrijft voor het Noordelijk Belastingkantoor. De melder kan anoniem blijven.
  • Wij verbinden geen juridische consequenties aan deze melding. Wanneer u bij de melding van een kwetsbaarheid in een ICT-systeem van het Noordelijk Belastingkantoor aan alle bovenstaande voorwaarden voldoet.
  • Wij bedanken iedereen die op een verantwoorde manier melding doet van een zwakke plek in onze systemen. Als dank vermelden wij, uiteraard in overleg, uw naam op onze Hall of Fame.

U kunt een melding maken door het Responsible Disclosure formulier in te vullen.

Responsible Disclosure

  • Sleep bestanden hierheen of
    Maximaal 5 bestanden, met een maximale bestandsgrootte van 2mb per bestand.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
.