We maken alleen gebruik van noodzakelijke cookies. Lees meer

Ik begrijp het

HealthConnected Hét platform voor de eerstelijnszorg.

Verantwoorde openbaarmaking

Versie: 1.1   Datum 03-07-2024

1. Introductie

HealthConnected zet zich in om de privacy van patiënten te waarborgen door hun informatie te beschermen. Dit beleid is bedoeld om beveiligingsonderzoekers duidelijke richtlijnen te geven voor het uitvoeren van activiteiten op het gebied van het ontdekken van kwetsbaarheden en om onze voorkeuren aan te geven bij het indienen van ontdekte kwetsbaarheden bij ons; een zogenaamde 'Coordinated Vulnerability Disclosure'.

Dit beleid beschrijft welke systemen en soorten onderzoek onder dit beleid vallen, hoe u ons kwetsbaarheidsrapporten kunt sturen en hoe lang we beveiligingsonderzoekers vragen te wachten voordat ze kwetsbaarheden eventueel openbaar maken.

2. Autorisatie

Als u tijdens uw beveiligingsonderzoek te goeder trouw moeite doet om aan dit beleid te voldoen, zullen wij uw onderzoek als geautoriseerd beschouwen. Wij zullen met u samenwerken om het probleem snel te begrijpen en op te lossen, en HealthConnected zal geen juridische stappen ondernemen met betrekking tot uw onderzoek. Mocht er door een derde partij juridische actie tegen u worden ondernomen wegens activiteiten die in overeenstemming met dit beleid zijn uitgevoerd, dan zullen wij deze toestemming kenbaar maken.

3. Richtlijnen

Onder dit beleid betekent 'onderzoek' activiteiten waarbij u:

  • Ons zo snel mogelijk op de hoogte brengt nadat u een reëel of potentieel beveiligingsprobleem ontdekt.
  • Er alles aan doet om privacyschendingen, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen.
  • Alleen gebruik maakt van exploits voor zover dat nodig is om de aanwezigheid van een kwetsbaarheid te bevestigen. Gebruik een exploit niet om gegevens te compromitteren of te exfiltreren, permanente toegang tot de command line te verkrijgen, en gebruik de exploit niet om naar andere systemen door te hoppen.
  • Ons een redelijke hoeveelheid tijd geeft om het probleem op te lossen voordat u het eventueel openbaar maakt.
    Geen grote aantallen rapporten van lage kwaliteit indient.

Zodra u heeft vastgesteld dat er een kwetsbaarheid bestaat of u gevoelige gegevens tegenkomt (waaronder persoonlijk identificeerbare informatie, financiële informatie of eigendomsinformatie of handelsgeheimen van welke partij dan ook), moet u uw test stopzetten, ons onmiddellijk op de hoogte stellen en deze gegevens niet openbaar maken aan iemand anders.

Als laatste vragen wij u om betrokken te worden bij een eventuele publicatie over het probleem nadat het is opgelost.

4. Testmethoden

De volgende testmethoden zijn niet toegestaan:

  • Netwerk Denial of Service (DoS of DDoS)-tests of andere tests/ hacking tools die de beschikbaarheid en toegang tot een systeem of gegevens belemmeren of deze beschadigen.
  • Fysieke tests (bijvoorbeeld toegang tot kantoor, open deuren, tailgating), social engineering (bijvoorbeeld phishing, vishing) of andere niet-technische kwetsbaarheidstests.

5. Toepassingsgebied

Dit beleid is van toepassing op de volgende systemen en diensten:

  • fin.healthconnected.nl
  • his.healthconnected.nl
  • hap.healthconnected.nl

Elke service die hierboven niet uitdrukkelijk wordt vermeld, zoals eventuele verbonden services, valt buiten het bereik en is niet geautoriseerd om te testen. Bovendien vallen kwetsbaarheden die worden aangetroffen in systemen van onze leveranciers buiten de reikwijdte van dit beleid en moeten ze rechtstreeks aan de leverancier worden gerapporteerd in overeenstemming met hun openbaarmakingsbeleid (indien van toepassing). Als u niet zeker weet of een systeem binnen het bereik valt of niet, neem dan contact met ons op via ciso@healthconnected.nl voordat u met uw onderzoek begint.

Hoewel we andere via internet toegankelijke systemen of diensten ontwikkelen en onderhouden, vragen we dat actief onderzoek en testen alleen worden uitgevoerd op de systemen en diensten die onder de reikwijdte van dit document vallen. Als er een bepaald systeem is dat niet binnen de scope valt en waarvan u denkt dat het testen waard is, neem dan eerst contact met ons op om dit te bespreken. We zullen de reikwijdte van dit beleid in de loop van de tijd vergroten.

6. Een kwetsbaarheid melden

Informatie die onder dit beleid wordt ingediend, zal uitsluitend voor defensieve doeleinden worden gebruikt: om kwetsbaarheden te beperken of te herstellen. Als uw bevindingen nieuw ontdekte kwetsbaarheden omvatten die van invloed zijn op alle gebruikers van een product of dienst en niet alleen op HealthConnected, kunnen we uw rapport delen met het NCSC waar deze wordt behandeld in het kader van hun gecoordineerde openbaarmakingsproces voor kwetsbaarheden. Wij zullen uw naam of contactgegevens niet delen zonder uitdrukkelijke toestemming.

We accepteren kwetsbaarheidsrapporten op ciso@healthconnected.nl. Meldingen kunnen anoniem worden ingediend. Als u contactgegevens deelt, bevestigen wij binnen 5 werkdagen de ontvangst van uw melding.

6.1. Wat wij graag van u willen zien

Om ons te helpen bij het beoordelen en prioriteren van inzendingen vragen wij u dat uw rapporten:

  • De locatie beschrijft waar de kwetsbaarheid is ontdekt en de potentiële impact van misbruik.
  • Een gedetailleerde beschrijving biedt van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (proof of concept-scripts of screenshots zijn nuttig).
  • In het Nederlands of Engels zijn opgesteld.

6.2. Wat u van ons kunt verwachten

Wanneer u ervoor kiest uw contactgegevens met ons te delen streven wij ernaar om zo open en zo snel mogelijk met u te coordineren.

  • Binnen 5 werkdagen bevestigen wij dat uw melding is ontvangen.
  • Voor zover wij kunnen, zullen wij het bestaan van de kwetsbaarheid aan u bevestigen en zo transparant mogelijk zijn over de stappen die wij ondernemen tijdens het herstelproces, inclusief over kwesties of uitdagingen die de oplossing kunnen vertragen.
  • We zullen een open dialoog onderhouden om kwesties te bespreken.
  • Als dank voor uw hulp bieden wij een beloning aan in de vorm van een cadeaubon voor elke melding van een bij ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.

7. Vragen

Vragen over dit beleid kunnen worden gestuurd naar ciso@healthconnected.nl. Wij nodigen u ook uit om contact met ons op te nemen met suggesties ter verbetering van dit beleid.

Direct inloggen

HAPIS
HAPIS
Netwerkzorg
Netwerkzorg
KIS
KIS
HIS
HIS
Financieel
Financieel
eLearning
eLearning