Oogcentrum Noordholland hecht veel belang aan de veiligheid van onze gegevens, onze systemen, ons netwerk en daarmee onze patiënten, medewerkers en andere stakeholders. Wij laten ons alleen ondersteunen door gecertificeerde partijen en besteden passende zorg aan veiligheid. Toch kan het voorkomen dat een zwakke plek wordt ontdekt. Indien dat het geval is, dan horen wij dit graag zo snel mogelijk, zodat we snel maatregelen kunnen treffen.

Ons responsible disclosure-beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen op zwakke plekken.

 

Een zwakke plek in een ICT-systeem van Oogcentrum Noordholland, kunt u melden aan de Functionaris Gegevensbescherming. U kunt dit melden via het e-mailadres info@oogcentrumnoordholland.nl.

Meld de kwetsbaarheid voordat u dit aan de buitenwereld kenbaar maakt. Zo kan Oogcentrum Noordholland eerst maatregelen treffen. Dit heet Responsible Disclosure. Deze richtlijn is opgesteld met gebruikmaking van de Leidraad Coordinated Vulnerability Disclosure (CVD), zoals de Rijksoverheid deze beschikbaar heeft gesteld (https://www.om.nl/onderwerpen/cybercrime/fouten-ict-systemen/).

 

Wanneer u een zwakke plek ontdekt in een ICT-systeem van Oogcentrum Noordholland

Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan Oogcentrum Noordholland het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat Oogcentrum Noordholland, of een van haar service partners met u contact kan opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoet u bij uw melding aan deze voorwaarden? Dan verbindt de Oogcentrum Noordholland geen juridische consequenties aan de melding.

 

Wat Oogcentrum Noordholland doet bij Responsible Disclosure

Heeft u een melding gedaan van een zwakke plek in een ICT-systeem?

Oogcentrum Noordholland behandelt deze melding als volgt:

  • U krijgt binnen 3 werkdagen een ontvangstbevestiging van Oogcentrum Noordholland.
  • Oogcentrum Noordholland reageert binnen 5 werkdagen op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Oogcentrum Noordholland geeft haar ICT partners de opdracht het beveiligingsprobleem zo snel mogelijk op te lossen.
  • Oogcentrum Noordholland biedt een beloning als dank voor de hulp.
  • Oogcentrum Noordholland behandelt uw melding vertrouwelijk.
  • Oogcentrum Noordholland deelt persoonlijke gegevens niet zonder toestemming van u met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. De Rijksoverheid kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.

 

Leidraad Responsible Disclosure

Om organisaties te helpen een eigen beleid voor Responsible Disclosure op te stellen, heeft de Rijksoverheid een Leidraad voor Responsible Disclosure opgesteld. Ook melders kunnen met deze leidraad nagaan wat ze kunnen doen als ze een kwetsbaarheid ontdekken. Deze richtlijn is tot stand gekomen met behulp van die Leidraad.