Sprint naar content
Regelingen, statuten en reglementen

Kwetsbaarheid melden bij Fontys (Coordinated Vulnerability Disclosure / Responsible Disclosure)

Heb je een beveiligingslek gevonden in het systeem van Fontys?

  • Stop met testen.
  • Meld het via het formulier: Meldformulier kwetsbaarheden
  • Deel niets met anderen.
  • Houd je aan de regels hieronder, dan doen wij geen aangifte.
  • Je krijgt binnen 5 werkdagen een reactie.
Ga hier naar het formulier om een kwetsbaarheid te melden


Coordinated Vulnerability Disclosure (CVD), voorheen Responsible Disclosure (RD), is een manier van samenwerken tussen melder en organisatie.

Je meldt een kwetsbaarheid bij Fontys. Wij krijgen tijd om het probleem te onderzoeken en op te lossen. Pas daarna kun jij, als je wilt, de kwetsbaarheid openbaar maken.

Zo verhogen we samen de digitale veiligheid.

Hoe meld ik een beveiligingslek?

  • Stop met testen en ga niet verder met het verzamelen of bekijken van gegevens.
  • Meld je vondst via het Meldformulier kwetsbaarheden
  • Lever genoeg informatie aan om het probleem te reproduceren. Denk aan: URL of IP van het systeem, korte omschrijving, en de stappen die jij hebt uitgevoerd.
  • Complexe melding? Voeg een duidelijke PDF toe met stap-voor-stap uitleg en (zo nodig) schermafbeeldingen. Upload deze als bijlage in het formulier.
  • Neem geen persoonsgegevens op in je melding (masker of anonimiseer), behalve je eigen contactgegevens.
  • In het formulier ga je akkoord met ons CVD-beleid en met het gebruik van je persoonsgegevens om jouw melding af te handelen.

Ons CVD beleid

  • Meld zo snel mogelijk via het meldformulier kwetsbaarheden
  • Handel proportioneel: doe niet meer dan nodig is om het lek te laten zien.
  • Kies de minst ingrijpende manier (subsidiariteit) om de kwetsbaarheid aan te tonen.
  • Maak je melding niet afhankelijk van een beloning.
  • Geen misbruik: verander, verwijder, verplaats of kopieer geen gegevens.
  • Geen persoonlijk voordeel of druk: probeer geen voordeel te halen uit de kwetsbaarheid en zet Fontys niet onder druk.
  • Bekijk of download niet onnodig veel data.
  • Wees extra terughoudend met persoonsgegevens: voorkom inzage, kopiëren of delen; neem geen gevonden persoonsgegevens op in je melding.
  • Deel de kwetsbaarheid niet met anderen totdat deze is opgelost.
  • Vertrouwelijke behandeling van je melding en gegevens (delen met derden alleen als de wet dat vraagt).
  • Binnen 5 werkdagen reactie met onze eerste beoordeling en (indien mogelijk) een verwachte aanpak.
  • We lossen het zo snel mogelijk op en houden betrokkenen op de hoogte. ± 60 dagen voor softwareoplossingen (hardware kan meer tijd vragen).
  • Transparante afstemming over publicatie nadat het lek is verholpen.
  • In principe geen aangifte als je binnen de voorwaarden hebt onderzocht en gemeld.
  • Waardering op de Wall of Fame als je dat aangeeft (naam, meld­datum en optionele link).

We geven in principe geen fysieke beloningen of geld voor meldingen. Wel bedanken we melders met een verelding op onze Wall of Fame (als je dat wilt) In het formulier kun je aangeven of je genoemd wilt worden en kun je een link naar je LinkedIn of website toevoegen.

Bekijk onze Wall of Fame

Uitzonderingen en bijzonderheden

  • Dit beleid is geen uitnodiging om te scannen: voer geen uitgebreide of permanente scans uit. Ons Security Operation Center (intern beveiligingsteam) monitort ons netwerk. Onnodige scans zorgen voor extra werk en kosten.
  • Niet toegestaan: aanvallen op fysieke beveiliging of systemen van derden, (D)DoS, social engineering, malware, spam of andere schadelijke technieken.
  • Je kunt anoniem of met pseudoniem melden. Dan kunnen we je echter niet op de hoogte houden of afspraken maken over publicatie/waardering.
  • In uitzonderlijke gevallen kan een kwetsbaarheid (tijdelijk) als geaccepteerd risico worden beschouwd, bijvoorbeeld als oplossen onevenredig veel tijd of kosten vraagt in verhouding tot de impact.

Juridische zaken en het Openbaar Ministerie (OM)

Sommige handelingen tijdens onderzoek kunnen strafbaar zijn. Houd je aan dit beleid: dan onderneemt Fontys in principe geen juridische stappen tegen je.

Het OM kijkt o.a. naar:

  • Maatschappelijk belang: droeg je onderzoek daaraan bij?
  • Proportionaliteit: ging je niet verder dan nodig was?
  • Subsidiariteit: koos je de minst ingrijpende manier?

Meer weten? Lees het OM-beleid over ethisch hacken en de Leidraad CVD van het NCSC

Lees meer over het OM beleid over ethisch hacken Lees meer over Leidraad Coordinated Vulnerability Disclosure

Veelgestelde vragen

Niet als je je aan dit CVD-beleid houdt. Alleen bij overtreding kan Fontys of het OM juridische stappen nemen.

Ja. Houd er rekening mee dat we je dan niet kunnen bijpraten over voortgang, publicatie of eventuele waardering.

We reageren binnen vijf werkdagen. Oplossen kan langer duren; als richtlijn streven we naar ± 60 dagen voor software.

We geven geen standaard beloningen. Wel kun je, als je dat wilt, een vermelding op de Wall of Fame krijgen.

Contact

Vragen over het CVD-beleid? Mail naar ISP-office@fontys.nl.

Ons beleid valt onder een Creative Commons Naamsvermelding (BY) 3.0-licentie en is gebaseerd op het voorbeeldbeleid van Floor Terra.