Responsible Disclosure

Bij Noorderlink vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een kwetsbaarheid aanwezig is.

Als je een kwetsbaarheid in één van onze systemen hebt gevonden, horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met je samenwerken om onze gebruikers en systemen beter te beschermen. Dit beleid is gebaseerd op de NCSC Leidraad Coordinated Vulnerability Disclosure.

Reports in English are also welcome.

Scope

Dit beleid is van toepassing op de volgende systemen:

  • noorderlink.nl
  • portaal.noorderlink.nl
  • vacatures.noorderlink.nl

Systemen van derden (hostingpartijen, externe SaaS-tools) vallen buiten de scope van dit beleid.

Wij vragen je

  • Stuur je bevindingen naar security@noorderlink.nl. Versleutel je e-mail met onze PGP-sleutel (vingerafdruk: `A699 4AF2 3F73 565C 1467 788D 9A83 FA2E 2D43 2D6E`, geldig t/m 20 mei 2028) om te voorkomen dat gevoelige informatie in verkeerde handen valt.
  • Maak geen misbruik van de kwetsbaarheid — download niet meer data dan nodig is om het probleem aan te tonen en bekijk, verwijder of wijzig geen gegevens van derden.
  • Deel het probleem niet met anderen totdat het is opgelost en verwijder alle vertrouwelijke gegevens die via de kwetsbaarheid zijn verkregen direct na het dichten ervan.
  • Gebruik geen aanvallen op fysieke beveiliging, social engineering, DDoS, spam of applicaties van derden.
  • Geef voldoende informatie om het probleem te reproduceren. Meestal zijn het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende; bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven

  • Wij reageren binnen 5 werkdagen op je melding met onze beoordeling en een verwachte datum voor een oplossing.
  • Wij streven ernaar kwetsbaarheden binnen 90 dagen op te lossen. Bij complexe problemen overleggen wij met jou over een langere termijn.
  • Als je je aan bovenstaande voorwaarden hebt gehouden, ondernemen wij geen juridische stappen naar aanleiding van de melding.
  • Wij behandelen je melding vertrouwelijk en delen je persoonsgegevens niet zonder jouw toestemming met derden, tenzij wettelijk verplicht. Melden onder een pseudoniem is mogelijk.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem vermelden wij, als je dat wilt, jouw naam als ontdekker. Onderzoekers die ons op verantwoorde wijze op de hoogte hebben gesteld, worden opgenomen in onze Hall of Fame.
  • Als dank voor je hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De hoogte van de beloning bepalen wij op basis van de ernst van de kwetsbaarheid en de kwaliteit van de melding, met een minimum van een waardebon van €50,-.

Wij streven ernaar alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is verholpen.