Disclaimer & Coordinated vulnerability disclosure

Adrz werkt dagelijks met veel persoonlijke informatie. Deze informatie wordt opgeslagen en verwerkt in onze computersystemen. Het is onze taak om uw gegevens te beschermen. Wij nemen deze taak en uw privacy zeer serieus en hebben onze beveiliging hier op afgestemd.
Toch kan het gebeuren dat er een zwakke plek in onze beveiliging voorkomt, bijvoorbeeld op onze website of in onze computersystemen. Indien u een (vermoedelijk) beveiligingsprobleem constateert, verzoeken wij u vriendelijk dit bij ons te melden. Wij gaan direct op zoek naar een oplossing. Zo wordt voorkomen dat anderen misbruik maken van het lek.

Disclaimer

Wij streven ernaar om op deze website correcte en actuele informatie te verschaffen. Het kan echter voorkomen dat de informatie op de website onvolledig of onjuist is. Wij aanvaarden geen enkele aansprakelijkheid voor schade- en/of kosten die voortvloeien uit onvolledige en/of foutieve informatie.

Verwijzingen, hyperlinks en dergelijke in de website leiden meestal naar andere sites of andere gegevensbronnen die door derden worden aangeboden en bijgehouden. Wij hebben geen enkele bemoeienis met de vorm en de inhoud van die informatiebronnen en aanvaarden daarvoor geen enkele aansprakelijkheid.

Coördinated Vulnerability Disclosure

Adrz werkt dagelijks met veel persoonlijke informatie. Deze informatie wordt opgeslagen en verwerkt in onze computersystemen. Het is onze taak om uw gegevens te beschermen. Wij nemen deze taak en uw privacy zeer serieus en hebben onze beveiliging hier op afgestemd.
Toch kan het gebeuren dat er een zwakke plek in onze beveiliging voorkomt, bijvoorbeeld op onze website of in onze computersystemen. Indien u een (vermoedelijk) beveiligingsprobleem constateert, verzoeken wij u vriendelijk dit bij ons te melden. Wij gaan direct op zoek naar een oplossing. Zo wordt voorkomen dat anderen misbruik maken van het lek.

Wij vragen u:

  •  Meld uw bevindingen zo spoedig mogelijk na het ontdekken van de kwetsbaarheid via ons e-mail adres informatiebeveiliging@adrz.nl . Het is mogelijk om anoniem of onder pseudoniem te melden.
  • Geef voldoende informatie om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. Versleutel de informatie indien mogelijk om te voorkomen dat deze in verkeerde handen valt.
  • Misbruik de kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Deel het probleem niet met anderen totdat het is opgelost en wis alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek.
  • Maak geen gebruik te maken van aanvallen op fysieke beveiliging, ‘brute force attacks’, social engineering, distributed denial of service, spam of applicaties van derden.

Wat kunt u van ons verwachten:

  • Wij nemen binnen 3 werkdagen na het ontvangen van uw melding contact met u op.
  • Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding. We achten ons zelf moreel verplicht om aangifte te doen op moment dat we het vermoeden hebben dat de zwakheid of gegevens misbruikt worden, of dat u kennis over de zwakheid met anderen heeft gedeeld. U kunt er op rekenen dat een toevallige ontdekking in onze online-omgeving niet tot aangifte zal leiden.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dit noodzakelijk is om een wettelijke verplichting na te komen; zoals hiervoor aangegeven is anoniem melden of melden onder een pseudoniem mogelijk.
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem en zullen proberen dit zo spoedig mogelijk – streven is binnen 30 werkdagen – op te lossen; dit onder de voorwaarde dat een oplossing beschikbaar is (het geen zero-day-exploit betreft) en tijdig geleverd wordt door onze leveranciers.
  • Indien wenselijk kan er na het oplossen van de kwetsbaarheid een gecoördineerde publicatie plaatsvinden waarin desgewenst uw naam kan worden opgenomen als ontdekker.
  • Als dank voor uw hulp bij het melden van een ons nog onbekend beveiligingsprobleem kunnen wij een beloning aanbieden. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.

(Dit beleid is gebaseerd op het NCSC document “Coordinated Vulnerability Disclosure: de Leidraad”)