Vergroot contrast

Disclaimer

Als u onze website bezoekt, verwacht u betrouwbare en actuele informatie. De Autoriteit Persoonsgegevens (AP) besteedt dan ook de grootst mogelijke zorg aan de betrouwbaarheid en actualiteit van de informatie op deze website. Maar er kunnen onjuistheden en onvolledigheden op staan. Daarom kunt u aan de informatie op deze website geen rechten ontlenen.

Wilt u zekerheid hebben over regelgeving, besluiten of formuleringen? Dan kunt u de originele documenten raadplegen (zoals die in bijvoorbeeld de Staatscourant worden gepubliceerd). Of advies vragen aan een rechtsbijstandverlener.

Aansprakelijkheid en verantwoordelijkheid

  • De AP aanvaardt geen aansprakelijkheid voor schade door het gebruik van deze website. Of door de tijdelijke onmogelijkheid om deze website te raadplegen.
  • De AP is niet verantwoordelijk voor de inhoud van websites waarnaar wij op onze website verwijzen. Of voor de inhoud van websites die verwijzen naar onze website.
  • De AP is niet verantwoordelijk voor schade, van welke aard ook, die verband houdt met risico's verbonden aan het elektronisch verzenden van berichten.

Kwetsbaarheid melden (Responsible Disclosure)

Hoe kan ik een zwakke plek in een ICT-systeem van de Autoriteit Persoonsgegevens (AP) melden?

Een zwakke plek in een ICT-systeem van de AP, zoals autoriteitpersoonsgegevens.nl, kunt u melden aan de chief information security officer (CISO) van de AP via ciso@autoriteitpersoonsgegevens.nl. 

Meld de kwetsbaarheid voordat u deze aan de buitenwereld kenbaar maakt. Zo kan de AP eerst maatregelen treffen. Dit heet responsible disclosure.

Wanneer u een zwakke plek ontdekt in een ICT-systeem van de AP

Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan de AP het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat de AP contact met u kan opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoet u bij uw melding aan deze voorwaarden? Dan verbindt de AP geen juridische consequenties aan de melding.

Wat de AP doet bij Responsible Disclosure

Heeft u een melding gedaan van een zwakke plek in een ICT-systeem? De AP behandelt deze melding als volgt:

  • U krijgt binnen 1 werkdag een ontvangstbevestiging van de AP. 
  • De AP reageert binnen 3 werkdagen op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing. 
  • De AP informeert u als melder wanneer het probleem is opgelost. 
  • De AP lost het beveiligingsprobleem zo snel mogelijk op. Daarbij streeft de AP ernaar u goed op de hoogte te houden van de voortgang. Voor het oplossen van het probleem is de AP vaak wel mede afhankelijk van toeleveranciers.
  • De AP bepaalt of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost. 

De AP behandelt uw melding vertrouwelijk. De AP deelt persoonlijke gegevens niet zonder toestemming van u met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. De AP kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.