Responsible disclosure regeling

Geef een kwetsbaarheid door

Veiligheid van onze klantgegevens is voor ons heel belangrijk. Daarom werken wij voortdurend aan het veilig houden van onze internetdiensten. Soms is dit niet voldoende en gaat er toch iets mis. Het is fijn als u ons dit laat weten. Dan kunnen we maatregelen treffen. En werken we samen aan het verbeteren van de veiligheid van onze gegevens en systemen.

Laat het ons weten als u een kwetsbaarheid ontdekt in onze internetdiensten

U kunt kwetsbaarheden in onze internetdiensten melden. Voorbeelden zijn:

  • Cross-Site Scripting (XSS) kwetsbaarheden.
  • SQL injectie kwetsbaarheden.
  • Zwakheden in inrichting beveiligde verbinding.

U kunt een kwetsbaarheid online aan ons doorgeven

Achmea ontwikkelde een online formulier waarmee u een kwetsbaarheid kunt doorgeven. Centraal Beheer is onderdeel van Achmea. Wilt u het gevonden probleem zo duidelijk en compleet mogelijk toelichten? U kunt dit ook anoniem doen.

Wij vragen u het probleem alleen met ons te delen

Maak het probleem niet openbaar. Zo houden we de gegevens van onze klanten veilig. Fijn als u ons de tijd geeft het probleem op te lossen. Bij uw onderzoek van de gevonden kwetsbaarheid mag u de programma’s niet beschadigen. U mag geen gegevens delen met anderen dan Achmea. Uw onderzoek mag onze dienstverlening nooit onderbreken. Misschien doet u bij uw onderzoek iets wat volgens de wet niet mag. Wij doen geen aangifte als u te goeder trouw, zorgvuldig en volgens onderstaande spelregels handelt.

Houd rekening met de spelregels

Deze responsible disclosure regeling is gebaseerd op de Leidraad Responsible Disclosure van het Nationaal Cyber Security Centrum(NCSC). De volgende spelregels gelden:

  • Geen social engineering te gebruiken om toegang te krijgen tot onze systemen.
  • Geen backdoor in een informatiesysteem te plaatsen om de zwakke plek te laten zien.
  • Alleen te doen wat strikt noodzakelijk is om de kwetsbaarheid aan te tonen.
  • Geen gegevens te kopiëren, te wijzigen of te verwijderen. Stuur ons alleen (minimale) gegevens die u nodig heeft om het probleem aan te tonen. Maak bijvoorbeeld een directory listing of screenshot.
  • Pogingen om toegang tot het systeem te krijgen te beperken. En gegevens over verkregen toegang niet te delen met anderen.
  • Geen zogenaamde ‘bruteforce attacks’ te gebruiken om in onze systemen te komen.

U krijgt een passende vergoeding als dank voor het meedenken

Alleen als het een serieus beveiligingsprobleem is. En als u rekening hield met de spelregels. U hoort binnen 2 dagen na uw melding wat wij doen met uw melding. En of u een vergoeding krijgt.

Uw contactgegevens gebruiken wij alleen om met u over de melding te communiceren

Wij delen uw contactgegevens niet met anderen. Behalve als we dit wettelijk moeten. Bijvoorbeeld als justitie ons dit vraagt. Of als wij uw actie zien als een strafbaar feit en u dus niet te goeder trouw handelt. Dan doen wij aangifte bij de politie. Als u anoniem meldde, kunnen wij u niet op de hoogte houden. Ook kunnen wij u dan geen beloning geven.

U kunt geen klachten melden met de responsible disclosure regeling

Ook is de responsible disclosure regeling niet bedoeld voor:

  • Het melden dat de website niet beschikbaar is.
  • Het melden van fraude.
  • Het melden van phishing e-mails.
  • Het melden van virussen.

U kunt contact met ons opnemen als u 1 van deze zaken wilt melden.