Responsible Disclosure richtlijnen

Omroep Gelderland vindt veiligheid van haar systemen erg belangrijk. Ondanks de zorg voor de beveiliging van de systemen en gegevens kan het voorkomen dat er een zwakke plek is. Indien u een kwetsbaarheid heeft gevonden in één van de ICT-systemen van Omroep Gelderland (zoals www.omroepgelderland.nl of de Omroep Gelderland App), hoort Omroep Gelderland dit graag van u. Op deze manier kan de Omroep zo snel mogelijk de benodigde maatregelen nemen om dit te verhelpen.

Omroep Gelderland hanteert voor deze meldingen de Responsible Disclosure principes. Dat betekent dat u verantwoordelijk met de kwetsbaarheid om zult gaan (zoals hierboven beschreven) en de zwakke plek eerst zult melden aan Omroep Gelderland, voordat u het aan de buitenwereld kenbaar maakt. Op deze manier kan Omroep Gelderland eerst maatregelen nemen.

Wij vragen u:

  • Uw bevindingen te mailen naar privacy@gld.nl.
  • Voldoende informatie te geven om het probleem te reproduceren, zodat Omroep Gelderland zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • De melding zo snel mogelijk na de ontdekking van de kwetsbaarheid doen;
  • Schriftelijk te bevestigen dat u conform deze ‘Responsible Disclosure’ heeft gehandeld en zult blijven handelen;
  • De informatie over het beveiligingsprobleem niet met anderen te delen;
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen;
  • Juiste contactgegevens achter te laten, zodat Omroep Gelderland met u in contact kan komen om samen te werken aan een veilig resultaat. Indien u hiervoor kiest, laat dan minimaal uw naam, e-mailadres en/of telefoonnummer achter. Anoniem melden of melden onder een pseudoniem is mogelijk.

Vermijd de volgende handelingen:

  • Het plaatsen van malware;
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem;
  • Het aanbrengen van veranderingen in het systeem;
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen;
  • Het gebruik maken van geautomatiseerde scantools;
  • Het gebruik maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;
  • Het gebruik maken denial-of-service of social engineering;
  • Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van Omroep Gelderland aan de bovenstaande voorwaarden voldoet, zal Omroep Gelderland geen juridische consequenties verbinden aan deze melding.

Omroep Gelderland belooft u:

  • Indien de contactgegevens bekend zijn: te pogen binnen een werkdag een ontvangstbevestiging te sturen en binnen vijf werkdagen te reageren op uw melding. De reactie bevat een beoordeling van de melding en eventueel een verwachte einddatum voor een oplossing. Daarnaast houdt Omroep Gelderland de melder op de hoogte van de voortgang van het oplossen van het probleem;
  • Het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk op te lossen;
  • Een melding vertrouwelijk behandelen en deelt persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is. Omroep Gelderland kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.

Bovenstaand Responsible Disclosure beleid is gebaseerd op het beleid wat er geldt bij het Nationaal Cyber Security Centrum (NCSC), NOS en de Rijksoverheid.