Waar ben je naar op zoek?
Vanuit de bekommernis om het prestatievermogen en de beveiliging van onze netwerk- en informatiesystemen te verbeteren, heeft het Jan Yperman Ziekenhuis ervoor gekozen een beleid voor de ethische melding van kwetsbaarheden in te voeren (ook gekend als ‘Responsible Disclosure Policy’). Zo kunnen deelnemers met goede bedoelingen mogelijke kwetsbaarheden in de systemen, uitrusting en producten van het Jan Yperman Ziekenhuis opsporen of ons elke ontdekte informatie over een kwetsbaarheid bezorgen.
Ons beleid betreft beveiligingskwetsbaarheden die kunnen worden misbruikt door derden of die de goede werking van onze producten, diensten, netwerk- of informatiesystemen kunnen verstoren.
De deelnemer is eveneens gemachtigd om informaticagegevens in ons informaticasysteem in te voeren of dit te proberen, met inachtneming van de doeleinden en voorwaarden van dit beleid.
Lijst van de producten, diensten of websites binnen het toepassingsgebied van dit beleid:
Systemen die afhankelijk zijn van derden vallen buiten het toepassingsgebied van dit beleid, behalve indien deze derden vooraf uitdrukkelijk verklaren akkoord te gaan met deze regels.
Met vragen over het toepassingsgebied van dit beleid kan de deelnemer terecht bij security@yperman.net.
De deelnemer verbindt zich ertoe om bij al zijn activiteiten het evenredigheidsbeginsel nauwgezet na te leven, dat wil zeggen de beschikbaarheid van de door het systeem geleverde diensten niet te verstoren en geen gebruik te maken van de kwetsbaarheid buiten wat strikt noodzakelijk is voor het aantonen van het beveiligingsprobleem. Zijn houding moet evenredig blijven: indien het probleem op kleine schaal is aangetoond, moet niet verder worden gegaan.
Ons beleid heeft niet tot doel de opzettelijke kennisneming van de inhoud van informatica-, communicatie- of persoonsgegevens mogelijk te maken en een dergelijke kennisneming mag slechts toevallig plaatsvinden in het kader van het opsporen van kwetsbaarheden.
De volgende acties zijn niet toegestaan voor de deelnemer:
Indien de deelnemer hulp van een derde wenst om zijn onderzoek uit te voeren, dient hij zich ervan te vergewissen dat die derde vooraf kennisneemt van dit beleid en erin toestemt om, bij het verlenen van hulp, de voorwaarden van het beleid na te leven.
Zonder voorafgaande en uitdrukkelijke toestemming van het Jan Yperman Ziekenhuis mag de deelnemer in geen geval informatie die hij heeft verzameld in het kader van ons beleid delen met derden of verspreiden onder derden.
Het is evenmin toegestaan informatica-, communicatie- of persoonsgegevens mee te delen aan derden of te verspreiden onder derden.
Indien de kwetsbaarheid ook andere organisaties in België kan treffen, kunnen de deelnemer of de verantwoordelijke organisatie dit niettemin melden aan het CCB (vulnerabilityreport@cert.be).
Het Jan Yperman Ziekenhuis verbindt zich ertoe dit beleid te goeder trouw uit te voeren en de deelnemer die de voorwaarden ervan naleeft noch burgerrechtelijk noch strafrechtelijk te vervolgen.
In hoofde van de deelnemer mag er geen sprake zijn van bedrieglijk opzet, het oogmerk om te schaden, of de wil om gebruik te maken van of schade te veroorzaken aan het bezochte systeem of aan de gegevens ervan. Dat geldt ook voor derde systemen in België of in het buitenland.
In geval van twijfel over bepaalde voorwaarden van ons beleid moet de deelnemer ons aanspreekpunt vooraf raadplegen en diens schriftelijke toestemming verkrijgen alvorens te handelen.
De verwerking van persoonsgegevens heeft een ruime betekenis en omvat met name het opslaan, wijzigen, opvragen, raadplegen, gebruiken of verstrekken van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het “identificeerbare” karakter van de persoon hangt niet af van de loutere wil tot identificatie van de gegevensverwerker, maar van de mogelijkheid om de persoon direct of indirect te identificeren aan de hand van deze gegevens (bijvoorbeeld: een e-mailadres, identificatienummer, online identificator, IP-adres of nog, locatiegegevens).
Het beleid gecoördineerde bekendmaking van kwetsbaarheden (CVDP) heeft niet tot doel om intentioneel persoonsgegevens te verwerken. Het is echter wel mogelijk dat de deelnemer, zelfs toevallig, toegang krijgt tot persoonsgegevens die worden opgeslagen, verwerkt of overgedragen in het betrokken informaticasysteem. Het kan tevens nodig blijken dat de deelnemer in het kader van het opsporen van kwetsbaarheden tijdelijk persoonsgegevens moet raadplegen, ophalen of gebruiken. In dat geval moet de deelnemer de functionaris voor gegevensbescherming van het Jan Yperman te verwittigen: dpo@yperman.net.
Bij het verwerken van dergelijke gegevens verbindt de deelnemer zich ertoe de wettelijke verplichtingen inzake de bescherming van persoonsgegevens[1] en de voorwaarden van dit beleid na te leven.
De deelnemer mag een beroep doen op een derde voor zijn onderzoek. Hij moet zich ervan vergewissen dat die derde vooraf kennisneemt van dit beleid en erin toestemt om, bij het verlenen van hulp, de voorwaarden van het beleid na te leven, met inbegrip van de vertrouwelijkheid en de uitvoering van passende beveiligingsmaatregelen. De deelnemer erkent dat hij volledig aansprakelijk blijft ten aanzien het Jan Yperman Ziekenhuis indien de derde op wie hij een beroep doet zijn verplichtingen inzake gegevensbescherming niet nakomt.
[1] Europese Verordening nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG Algemene verordening gegevensbescherming).
[2] Een “inbreuk in verband met persoonsgegevens” is een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens.
U moet de ontdekte informatie uitsluitend naar het volgende e-mailadres sturen: security@yperman.net.
Bezorg ons voldoende informatie zodat wij het probleem kunnen reproduceren en het zo snel mogelijk kunnen oplossen.
Uw contact gegevens zodat het Jan Yperman Ziekenhuis met de deelnemer in contact kan treden om samen te werken aan een veilig resultaat. Laat minstens je naam, e-mailadres achter. Melden onder pseudoniem is mogelijk, maar zorg dat het Jan Yperman Ziekenhuis de deelnemer kan contacteren indien bijkomende vragen of informatie nodig is.
Wij verzoeken de deelnemer om ons deze informatie in het Nederlands te bezorgen.
Wij verzoeken de deelnemer voor zover mogelijk beveiligde communicatiemiddelen te gebruiken. De Public PGP-sleutel is beschikbaar via https://yperman.net/.well-known/pgp-publickey.txt, stuur een eigen public sleutel mee bij het communiceren.
Wanneer een deelnemer informatie over een mogelijke kwetsbaarheid ontdekt, moet hij voor zover mogelijk vooraf controles uitvoeren om het bestaan van de kwetsbaarheid te bevestigen en eventuele risico’s te identificeren.
De deelnemer verbindt zich ertoe om de technische informatie over de mogelijke kwetsbaarheden zo snel mogelijk te bezorgen aan het aanspreekpunt van dit beleid.
Het Jan Yperman Ziekenhuis verbindt zich ertoe om, wanneer ze een melding ontvangt, de deelnemer zo snel mogelijk een bericht van ontvangst te sturen en de volgende stappen van de procedure meedelen.
De partijen verbinden zich ertoe alles in het werk te stellen om een permanente en doeltreffende communicatie te garanderen. De door de deelnemer verstrekte inlichtingen kunnen immers heel nuttig zijn om de kwetsbaarheid te identificeren en er een oplossing voor te vinden.
Tijdens de onderzoeksfase zal het Jan Yperman Ziekenhuis de omgeving en de gesignaleerde handelwijze reproduceren om de meegedeelde informatie te controleren.
Het Jan Yperman Ziekenhuis verbindt zich ertoe om de deelnemer regelmatig op de hoogte te houden van de resultaten van het onderzoek en van het gevolg dat aan zijn melding wordt gegeven.
Tijdens deze procedure zullen de partijen ervoor zorgen dat ze de link leggen met gelijkaardige of aanverwante meldingen, dat ze het risico en de ernst van de kwetsbaarheid beoordelen en dat ze eventuele andere getroffen producten of systemen identificeren.
Het bekendmakingsbeleid heeft tot doel de ontwikkeling van een mitigatie mogelijk te maken om de kwetsbaarheid van het informaticasysteem weg te werken vooraleer schade wordt aangericht.
Rekening houdend met de stand van de techniek, de uitvoeringskosten, de ernst van de risico’s voor de gebruikers en de technische beperkingen zal het Jan Yperman Ziekenhuis proberen om zo snel mogelijk een mitigatie toe te passen.
In deze fase verbinden het Jan Yperman Ziekenhuis en haar partners zich ertoe enerzijds positieve testen uit te voeren om na te gaan of de mitigatie correct werkt en anderzijds negatieve testen om er zeker van te zijn dat de oplossing de goede werking van de andere bestaande functionaliteiten niet verstoort.
Het Jan Yperman Ziekenhuis zal, in overleg met de deelnemer, beslissen op welke wijze het bestaan van de kwetsbaarheid eventueel openbaar wordt gemaakt. Deze openbare bekendmaking mag ten vroegste tegelijk met de toepassing van een mitigatie en de verspreiding van een beveiligingsbericht voor de gebruikers plaatsvinden.
Het Jan Yperman Ziekenhuis verbindt zich er eveneens toe opmerkingen van gebruikers over de toepassing van de mitigatie te verzamelen en de nodige corrigerende maatregelen te nemen om eventuele problemen veroorzaakt door de mitigatie te regelen, onder meer inzake compatibiliteit met andere producten of diensten.
Indien U, nadat de kwetsbaarheid is verwijderd, over de kwetsbaarheid wenst te publiceren, verzoeken wij de deelnemer om ons minstens één maand voor de publicatie te melden en ons de mogelijkheid te geven hierop te reageren. Ons identificeren, rechtstreeks of onrechtstreeks, in een publicatie kan slechts na uitdrukkelijk akkoord van het Jan Yperman Ziekenhuis.
Als dank voor elke melding van een ons nog onbekend beveiligingsprobleem, bieden wij de mogelijkheid om vermeld te worden in onze “Hall Of Fame”.
Het Belgisch recht is van toepassing op geschillen in verband met de uitvoering van dit beleid.
De regels van het beleid zijn toepasselijk vanaf 18 April 2026 tot ze eventueel worden gewijzigd of opgeheven door het Jan Yperman Ziekenhuis.
Wij behouden ons het recht voor om de inhoud van dit beleid op elk gewenst moment te wijzigen, of om het beleid te beëindigen.
….
(namen in volgorde van datum eerste melding)
