Verantwoorde openbaarmaking
Verantwoorde openbaarmaking
Verantwoorde openbaarmaking
Versie: 1.1 Datum 03-07-2024
HealthConnected zet zich in om de privacy van patiënten te waarborgen door hun informatie te beschermen. Dit beleid is bedoeld om beveiligingsonderzoekers duidelijke richtlijnen te geven voor het uitvoeren van activiteiten op het gebied van het ontdekken van kwetsbaarheden en om onze voorkeuren aan te geven bij het indienen van ontdekte kwetsbaarheden bij ons; een zogenaamde 'Coordinated Vulnerability Disclosure'.
Dit beleid beschrijft welke systemen en soorten onderzoek onder dit beleid vallen, hoe u ons kwetsbaarheidsrapporten kunt sturen en hoe lang we beveiligingsonderzoekers vragen te wachten voordat ze kwetsbaarheden eventueel openbaar maken.
Als u tijdens uw beveiligingsonderzoek te goeder trouw moeite doet om aan dit beleid te voldoen, zullen wij uw onderzoek als geautoriseerd beschouwen. Wij zullen met u samenwerken om het probleem snel te begrijpen en op te lossen, en HealthConnected zal geen juridische stappen ondernemen met betrekking tot uw onderzoek. Mocht er door een derde partij juridische actie tegen u worden ondernomen wegens activiteiten die in overeenstemming met dit beleid zijn uitgevoerd, dan zullen wij deze toestemming kenbaar maken.
Onder dit beleid betekent 'onderzoek' activiteiten waarbij u:
Zodra u heeft vastgesteld dat er een kwetsbaarheid bestaat of u gevoelige gegevens tegenkomt (waaronder persoonlijk identificeerbare informatie, financiële informatie of eigendomsinformatie of handelsgeheimen van welke partij dan ook), moet u uw test stopzetten, ons onmiddellijk op de hoogte stellen en deze gegevens niet openbaar maken aan iemand anders.
Als laatste vragen wij u om betrokken te worden bij een eventuele publicatie over het probleem nadat het is opgelost.
De volgende testmethoden zijn niet toegestaan:
Dit beleid is van toepassing op de volgende systemen en diensten:
Elke service die hierboven niet uitdrukkelijk wordt vermeld, zoals eventuele verbonden services, valt buiten het bereik en is niet geautoriseerd om te testen. Bovendien vallen kwetsbaarheden die worden aangetroffen in systemen van onze leveranciers buiten de reikwijdte van dit beleid en moeten ze rechtstreeks aan de leverancier worden gerapporteerd in overeenstemming met hun openbaarmakingsbeleid (indien van toepassing). Als u niet zeker weet of een systeem binnen het bereik valt of niet, neem dan contact met ons op via ciso@healthconnected.nl voordat u met uw onderzoek begint.
Hoewel we andere via internet toegankelijke systemen of diensten ontwikkelen en onderhouden, vragen we dat actief onderzoek en testen alleen worden uitgevoerd op de systemen en diensten die onder de reikwijdte van dit document vallen. Als er een bepaald systeem is dat niet binnen de scope valt en waarvan u denkt dat het testen waard is, neem dan eerst contact met ons op om dit te bespreken. We zullen de reikwijdte van dit beleid in de loop van de tijd vergroten.
Informatie die onder dit beleid wordt ingediend, zal uitsluitend voor defensieve doeleinden worden gebruikt: om kwetsbaarheden te beperken of te herstellen. Als uw bevindingen nieuw ontdekte kwetsbaarheden omvatten die van invloed zijn op alle gebruikers van een product of dienst en niet alleen op HealthConnected, kunnen we uw rapport delen met het NCSC waar deze wordt behandeld in het kader van hun gecoordineerde openbaarmakingsproces voor kwetsbaarheden. Wij zullen uw naam of contactgegevens niet delen zonder uitdrukkelijke toestemming.
We accepteren kwetsbaarheidsrapporten op ciso@healthconnected.nl. Meldingen kunnen anoniem worden ingediend. Als u contactgegevens deelt, bevestigen wij binnen 5 werkdagen de ontvangst van uw melding.
Om ons te helpen bij het beoordelen en prioriteren van inzendingen vragen wij u dat uw rapporten:
Wanneer u ervoor kiest uw contactgegevens met ons te delen streven wij ernaar om zo open en zo snel mogelijk met u te coordineren.
Vragen over dit beleid kunnen worden gestuurd naar ciso@healthconnected.nl. Wij nodigen u ook uit om contact met ons op te nemen met suggesties ter verbetering van dit beleid.