Responsible Disclosure

Laatst bijgewerkt: 29 april 2025

Responsible Disclosure

Bij JW Volmacht vinden we het belangrijk dat jij en al onze klanten veilig gebruik kunnen maken van onze digitale diensten. Ondanks alle voorzorgsmaatregelen kan het voorkomen dat er toch een zwakke plek in één van onze systemen zit. Ontdek jij zo’n kwetsbaarheid? Dan vragen we je vriendelijk om dit eerst bij ons te melden, voordat je de informatie openbaar maakt.

Door kwetsbaarheden op een verantwoorde manier te melden, help je ons de beveiliging te verbeteren en voorkom je dat kwaadwillenden er misbruik van maken.

Wat kun je melden?

Je kunt beveiligingsproblemen melden die bijvoorbeeld te maken hebben met:

  • Cross-Site Scripting (XSS)
  • SQL-injectie
  • Remote Code Execution (RCE)
  • Access control issues
  • Server Side Request Forgery (SSRF)
  • Cross-site Request Forgery (CSRF)
  • Onbevoegde toegang tot accounts of systemen
  • Informatie- of gegevenslekkage

Wat valt niet onder deze regeling?

De volgende meldingen vallen buiten de scope van ons responsible disclosure beleid:

  • Kwetsbaarheden in verouderde browsers
  • Afwezigheid van headers of cookie flags
  • Best practices die niet wettelijk verplicht zijn (zoals wachtwoordcomplexiteit)
  • Clickjacking op pagina’s zonder gevoelige acties
  • Mixed content of versie-informatie van servers
  • Geautomatiseerde kwetsbaarheden zonder concrete impact
  • Fysieke of social engineering-aanvallen
  • Issues zonder veiligheidsrisico (bijvoorbeeld visuele bugs of foutmeldingen)

Hoe kun je melden?

Stuur een e-mail naar info@jwvolmacht.nl met een duidelijke omschrijving van de kwetsbaarheid. Vermeld indien mogelijk:

  • De URL of locatie van het probleem
  • Een korte uitleg van het beveiligingsprobleem
  • Stappen om het probleem te reproduceren
  • Screenshots of bewijs (alleen als dat veilig kan worden gedeeld)
  • Jouw contactgegevens zodat we je eventueel kunnen bereiken voor verduidelijking

Wat mag je van ons verwachten?

  • Binnen 1 werkdag ontvang je een ontvangstbevestiging.
  • Binnen 5 werkdagen ontvang je inhoudelijke feedback of een vervolgactie.
  • We behandelen jouw melding vertrouwelijk en delen jouw gegevens niet met derden, tenzij we daartoe wettelijk verplicht zijn.
  • We nemen je melding serieus en lossen het probleem zo snel mogelijk op.

Wat verwachten wij van jou?

  • Meld de kwetsbaarheid eerst bij ons, zonder deze openbaar te maken.
  • Geef ons de tijd om de kwetsbaarheid te onderzoeken en op te lossen.
  • Handel zorgvuldig en te goeder trouw, en volg onderstaande spelregels.

Spelregels voor responsible disclosure

Om misverstanden of schade te voorkomen, vragen we je je aan de volgende spelregels te houden:

  1. Installeer geen backdoors of permanente toegangspunten.
  2. Gebruik geen social engineering of phishing.
  3. Beperk het gebruik van de kwetsbaarheid tot het aantonen van het probleem.
  4. Kopieer, wijzig of verwijder geen gegevens.
  5. Breng geen wijzigingen aan in onze systemen.
  6. Deel verkregen toegang niet met anderen.
  7. Gebruik geen brute force of geautomatiseerde tools.
  8. Gebruik je ontdekking niet voor persoonlijke of commerciële doeleinden.

Gebaseerd op landelijke richtlijnen

Deze regeling is opgesteld volgens de leidraad Responsible Disclosure van het Nationaal Cyber Security Centrum (NCSC). Meer informatie vind je op www.ncsc.nl.

Heb je iets gevonden dat niet hoort? Laat het ons weten via info@jwvolmacht.nl – je helpt ons en onze klanten daarmee enorm. Bedankt voor je waakzaamheid!