Dit systeem van RIVM is zo zorgvuldig mogelijk samengesteld en volgt de belangrijkste veiligheidseisen. Toch kan er een kwetsbaarheid aanwezig zijn die bij ons nog niet bekend is. Een zwakke plek in een ICT-systeem van het RIVM kun je melden via informatiebeveiliging@rivm.nl. Meld de kwetsbaarheid voordat je dit aan de buitenwereld kenbaar maakt. Zo kan het RIVM eerst maatregelen treffen.

Waar u aan moet denken bij Responsible Disclosure

Als je een melding doet van een kwetsbaarheid in ons ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kunnen we het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL (link) van
  • het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer informatie nodig zijn.
  • Laat jouw contactgegevens (e-mailadres en/of telefoonnummer) achter, zodat we contact met je kunnen opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Houdt de melding vertrouwelijk en deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoe je bij jouw melding aan deze voorwaarden? Dan verbinden wij geen juridische consequenties aan de melding.

Maak geen misbruik van een zwakke plek in ons ICT-systeem

Als je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • Gebruik te maken van social engineering om op die wijze toegang te verschaffen tot het systeem;
  • Een eigen backdoor in een informatiesysteem te plaatsen om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen;
  • Gegevens in een systeem te kopiëren, wijzigen of verwijderen;
  • Veranderingen aan te brengen in het systeem;
  • Herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
  • Gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen.

Wat we doen bij Responsible Disclosure

Heb je een melding gedaan van een zwakke plek in ons ICT-systeem? Met jouw melding kan er worden voorkomen dat belangrijke informatie in verkeerde handen valt of wordt gebruikt voor valse of strafbare handelingen.

De melding wordt vertrouwelijk behandeld. We delen jouw persoonlijke gegevens niet met derden zonder jouw toestemming, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. De Rijksoverheid kan, als je dat wilt, jouw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. Over het behandelen van jouw melding houden we je op de hoogte.

Leidraad Responsible Disclosure

Bij het opstellen van deze Responsible Disclosure, hebben we gebruik gemaakt van de leidraad voor Responsible Disclosure van de Rijksoverheid. Hierin staat ook wat melders kunnen doen als ze een kwetsbaarheid ontdekken.