Responsible disclosure

De Associate degrees Academie vindt veiligheid van jouw en onze gegevens belangrijk. Daarom beschermen wij onze systemen. Ondanks alle inzet om onze systemen veilig te maken, is het mogelijk dat er een zwakke plek in onze beveiliging ontstaat. Zo’n zwakke plek kan resulteren in een datalek en dat willen we natuurlijk altijd voorkomen. Daarom vragen we je om het ons zo snel mogelijk te laten weten als je een datalek of een zwakke plek ontdekt.
 

Een datalek melden

Wat moet je doen als je een datalek of een zwakke plek in onze beveiliging ontdekt
  • Stuur direct een mail naar veiligheid@avans.nl* om het probleem te melden. Je kunt je melding ook anoniem of onder een pseudoniem ook doen. Als je iets encrypted wilt sturen, neem je eerst contact op met ons om te bespreken hoe we de gegevens kunnen uitwisselen.
  • Om het probleem zo snel mogelijk te kunnen oplossen, hebben wij voldoende informatie nodig. Geef bij je melding zo veel mogelijk informatie. Beschrijf zo nauwkeurig mogelijk wat je precies ontdekt hebt en vermeld de url en het IP-adres erbij.
  • Maak geen actief misbruik van het beveiligingslek. Download geen data en ga ook niet verder op onderzoek uit. Dit kan het probleem groter maken.
  • Om de schade te beperken, vragen we je om geen informatie over het datalek met anderen te delen. We vragen je om je informatie in ieder geval tot 3 maanden na je melding voor je te houden.
  • Om het probleem te kunnen oplossen, moeten we het reproduceren. Als dat gelukt is, laten we dat aan jou weten. Vervolgens vragen we je om gevoelige informatie te wissen die je eventueel via het lek verkregen hebt. Doe dat niet voor wij het van je vragen. Mogelijk hebben we die gegevens nodig voor de reproductie.
  • Is er een aanval geweest op onze fysieke of digitale beveiliging, maak daar dan geen misbruik van. Steel geen eigendommen van Avans of anderen en ontvreemd geen gegevens uit onze systemen. 


Wat gebeurt er verder?

Als jij een melding hebt gedaan en je hebt je aan bovenstaande richtlijnen gehouden, dan garanderen we jou het volgende.
  • We nemen binnen 5 werkdagen contact met je op om je te laten weten dat we je melding ontvangen hebben. Daarbij geven we je ook een inschatting van hoe lang het gaat duren voor we het probleem hebben opgelost.  
  • We ondernemen geen juridische stappen tegen jou voor het beveiligingsprobleem dat jij hebt ontdekt, zelfs niet als jij zonder onze toestemming hebt ingebroken in onze systemen.
  • We behandelen jouw melding vertrouwelijk. We delen jouw persoonsgegevens niet zonder jouw toestemming met anderen, tenzij we dat volgens de wet verplicht zijn.
  • We houden je op de hoogte over de vorderingen van het oplossen van het probleem.
  • Als je dat graag wilt, zullen we in onze officiële berichtgeving vertellen dat jij het probleem ontdekt hebt. Houd er wel rekening mee dat de Associate degrees Academie deze informatie bijna nooit openbaar maakt.
 

Niet gedeeld

Net zoals iedere andere organisatie moet de Associate degrees Academie een datalek melden bij de Autoriteit Persoonsgegevens. Verder brengen we normaal gesproken geen informatie naar buiten over zwakke plekken in de beveiliging. Soms kunnen we echter niet anders dan informatie delen, bijvoorbeeld als we leveranciers nodig hebben om het probleem op te lossen. En in heel uitzonderlijke gevallen kiezen we ervoor om het gevonden probleem wel openbaar te maken.