Informatiebeveiliging
Bij SVOSW vinden wij de veiligheid van onze informatiesystemen (internet en bijbehorende hardware en software) erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek (kwetsbaarheid) is. Als jij een zwakke plek in één van onze systemen hebt gevonden, dan horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met jou samenwerken om de leerlingen, medewerkers en onze systemen beter te kunnen beschermen.
Responsible disclosure
Responsible disclosure binnen de ICT-wereld is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure. Doel is het bijdragen aan de veiligheid van ICT systemen en het beheersen van de kwetsbaarheid van ICT-systemen door kwetsbaarheden op verantwoorde wijze te melden en deze meldingen zorgvuldig af te handelen, zodat schade zo veel als mogelijk kan worden voorkomen of beperkt. Hierbij dient dan voldoende tijd voor herstel beschikbaar te zijn alvorens tot verantwoorde openbaarmaking wordt overgegaan.
Wij vragen jou:
- Je bevindingen te mailen naar privacy@rsgtrompmeesters.nl of deze door te geven aan je mentor of leidinggevende. Deze zal je vervolgens in contact brengen met onze Privacy Officer;
- De kwetsbaarheid niet te misbruiken door bijvoorbeeld meer informatie te downloaden dan nodig is om het lek aan te tonen of informatie van andere leerlingen, docenten of andere medewerkers in te kijken, te verwijderen of aan te passen;
- De kwetsbaarheid niet met anderen te delen totdat deze is verholpen en alle informatie die verkregen is via het lek direct na het verhelpen van het lek te wissen;
- Geen gebruik te maken van aanvallen op de beveiliging van de school;
- De school voldoende informatie te geven om het probleem te kunnen vinden zodat wij het zo snel mogelijk kunnen verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij meer ingewikkelde kwetsbaarheden kan extra informatie nodig zijn.
Wij beloven dat:
- Je binnen drie dagen van ons te horen krijgt hoe we de kwetsbaarheid gaan oppakken en wanneer wij hiervoor een oplossing verwachten te hebben;
- Als je de kwetsbaarheid netjes gemeld hebt en via de bovenstaande stappen gehandeld hebt, wij geen melding zullen hoeven te maken bij de politie, behalve als er strafbare feiten zijn gepleegd;
- Wij jouw melding vertrouwelijk behandelen en dat jouw persoonlijke gegevens niet zonder jouw toestemming met anderen delen worden tenzij dit wettelijke verplicht is;
- Wij je op de hoogte houden van de voortgang van het verhelpen van de kwetsbaarheid.
Meldingsformulier
Ga naar het meldingsformulier Privacy-incident.
Cc/by/3.0 NL | Geschreven door Floor Terra (responsibledisclosure.nl) en ncsc.nl, bewerkt door Kennisnet en SVOSW.