Zorg en Zekerheid Zorgverzekeraar logo

  1. Home
  2. Veiligheid

Veiligheid van onze systemen


Bij Zorg en Zekerheid vinden we de veiligheid van onze systemen erg belangrijk. Als u onverhoopt toch een kwetsbaarheid ontdekt in een van onze internetdiensten dan horen wij dit graag. Op die manier kunnen wij snel maatregelen nemen om onze klanten en ons bedrijf te beschermen.

Hoe meldt u een kwetsbaarheid?

Stuur een e-mail naar informatiebeveiliging@zorgenzekerheid.nl met 'coordinated vulnerability disclosure' of 'CVD' als onderwerp. U kunt ook melding maken onder een pseudoniem. Het is belangrijk dat u:

  • zoveel mogelijk gedetailleerde informatie vermeldt zodat de kwetsbaarheid gereproduceerd kan worden. Noem hierbij minimaal het IP-adres of de URL (link van de webpagina) van de dienst waar het over gaat;

  • een ontdekte kwetsbaarheid niet verder misbruikt dan nodig is om deze aan te tonen;

  • geen eigen 'backdoor’ in een informatiesysteem plaatst om daarmee de kwetsbaarheid aan te tonen;

  • geen gegevens kopieert, wijzigt of verwijdert. Stuur ons alleen de gegevens die nodig zijn om de kwetsbaarheid te tonen. Maak hiervoor bijvoorbeeld een directory listing of screenshot;

  • pogingen om toegang tot het systeem te krijgen zoveel mogelijk beperkt;

  • uw bevindingen niet met anderen deelt tot dekwetsbaarheid is verholpen en eventueel verkregen data verwijdert;

  • geen gebruikmaakt van offensieve aanvalstechnieken zoals social engineering, DDOS, brute force technieken, spam of applicaties van derden.

Richtlijnen voor communicatie

Wij verwachten dat alle communicatie ten allen tijde professioneel, respectvol en constructief verloopt. Meldingen dienen duidelijk, volledig en accuraat te zijn, zodat wij deze goed kunnen reproduceren en beoordelen. Wij gaan niet in op dreigingen, druk uitoefenen of andere ongepaste vormen van communicatie. Dergelijke berichten worden niet in behandeling genomen. Onder alle omstandigheden geldt dat de communicatie professioneel van aard blijft.

Hoe werkt het daarna?

  • U ontvangt binnen vijf werkdagen reactie op uw melding.

  • We behandelen uw melding en persoonsgegevens vertrouwelijk.

  • We ondernemen geen juridische stappen tegen over de melding als u zich aan bovenstaande voorwaarden heeft gehouden.

  • We houden u op de hoogte van de voortgang van het oplossen van het probleem.

  • In eventuele berichtgeving over het probleem zullen wij, als u dat wilt, uw naam vermelden als ontdekker.

Als dank voor uw hulp bieden wij een beloning voor elke melding van een ons nog onbekend kwetsbaarheid met de classificatie 'kritiek/hoog'. De hoogte van de beloning bepalen wij onder andere aan de hand van de ernst van het lek en de kwaliteit van de melding. We maken de beloning over op uw IBAN. Het toekennen van deze beloning gebeurt naar inzicht.

Wij zetten ons in om kwetsbaarheden zorgvuldig en proportioneel te behandelen, waarbij beslissingen altijd worden genomen op basis van bredere organisatorische overwegingen. Hierdoor kan het voorkomen dat de volgorde en snelheid van opvolging afwijken van individuele verwachtingen of voorgestelde tijdlijnen.

We streven ernaar om alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij eventuele publicatie over de kwetsbaarheid nadat deze is opgelost.