Responsible Disclosure

Wat is responsible disclosure?

Responsible disclosure (ook wel "coordinated vulnerability disclosure" genoemd) is een afspraak tussen beveiligingsonderzoekers en organisaties: als je een kwetsbaarheid vindt, meld je die eerst vertrouwelijk aan ons, zodat we het kunnen oplossen vóór het openbaar wordt. Zo beschermen we samen de veiligheid van gebruikers.

Dit beleid is opgesteld conform de aanbevelingen van het NCSC en sluit aan bij de NIS2-richtlijn. De Nederlandse implementatie hiervan via de Cyberbeveiligingswet (Cbw) wordt verwacht per 1 juli 2026.

Wat kun je melden?

• Kwetsbaarheden in rjwebsites.nl of dashboard.rjwebsites.nl
• Onbedoelde toegang tot gebruikersgegevens of klantsites
• Authenticatieproblemen (inloggen als iemand anders, sessie-overname)
• SQL-injectie, XSS of andere OWASP Top 10-kwetsbaarheden
• Onjuiste HTTPS-configuratie of verlopen certificaten
• Blootgestelde gevoelige bestanden of omgevingsvariabelen

Wat valt buiten scope?

• Denial-of-service aanvallen (DoS/DDoS)
• Social engineering of phishing-aanvallen op medewerkers
• Kwetsbaarheden in software van derden die wij niet beheren
• Problemen gevonden via geautomatiseerde scanners zonder handmatige verificatie

Hoe meld je een kwetsbaarheid?

Stuur een e-mail naar [email protected] met:

• Een duidelijke omschrijving van de kwetsbaarheid
• Stappen om het probleem te reproduceren
• De mogelijke impact (wat kan een kwaadwillende ermee?)
• Optioneel: je naam of alias voor vermelding in onze credits

Wat kun je van ons verwachten?

• We bevestigen de ontvangst van je melding binnen 3 werkdagen
• We beoordelen de melding en laten je weten of we hem accepteren binnen 10 werkdagen
• We lossen kritieke kwetsbaarheden op zo snel mogelijk, uiterlijk binnen 90 dagen
• We houden je op de hoogte van de voortgang
• We vermelden je naam in onze credits als je dat wilt

Onze spelregels

We vragen je om:

• Geen gegevens te kopiëren, wijzigen of verwijderen die niet van jou zijn
• Het probleem niet te misbruiken, alleen de minimale handelingen te verrichten om het aan te tonen
• De kwetsbaarheid vertrouwelijk te houden totdat wij het hebben opgelost
• Geen toegang te forceren via brute force of geautomatiseerde scanners

Als je je aan deze spelregels houdt, zullen wij geen juridische stappen ondernemen naar aanleiding van jouw melding en behandelen we je als een welkome partner in cyberveiligheid.

Machineleesbaar beleid

Ons security.txt-bestand vind je op /.well-known/security.txt (RFC 9116).