# Responsible Disclosure Statement

Bij de Kiesraad vinden we de veiligheid van OSV2020 erg belangrijk. Ondanks
onze zorg voor de beveiliging van OSV2020 kan het voorkomen dat er toch
een zwakke plek is.

Als u een zwakke plek in OSV2020 hebt gevonden horen wij dit graag zodat we zo
snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om
onze gebruikers en OSV2020 beter te kunnen beschermen.

## Wij vragen u:

Verstuur uw bevindingen via het Nationaal Cyber Security Centrum (NCSC):

        https://www.ncsc.nl/contact/kwetsbaarheid-melden

Verwijs in uw melding naar "MinBZK/Kiesraad, OSV2020 security response".

Maak deze details alstublieft niet openbaar zonder eerst contact met ons op te
nemen. In ruil daarvoor zullen we alle ontvangen kwetsbaarheidsrapporten
onderzoeken en, waar nodig, passende maatregelen nemen zodra dit
gerechtvaardigd is.

## Wel doen:

- Meld de kwetsbaarheid zo snel als redelijkerwijs mogelijk is, om het risico
  te minimaliseren dat vijandige actoren deze vinden en er misbruik van maken.
- Melden op een manier die de vertrouwelijkheid van de melding waarborgt, zodat
  anderen geen toegang krijgen tot de informatie.
- Geef voldoende informatie om het probleem te reproduceren, zodat we het
  kunnen oplossen.

## Niet doen:

- Het beveiligingsprobleem met anderen delen voordat het is opgelost.
- Maak de kwetsbaarheid of het probleem aan anderen bekend voordat het is
  opgelost.
- Bouw een eigen achterdeur in een informatiesysteem met de bedoeling deze
  vervolgens te gebruiken om de kwetsbaarheid aan te tonen, want dat kan extra
  schade veroorzaken en onnodige veiligheidsrisico's opleveren.
- Een kwetsbaarheid verder gebruiken dan nodig is om het bestaan ervan vast te
  stellen.
- Kopieer, wijzig of verwijder gegevens op het systeem. Een alternatief
  hiervoor is het maken van een directorylijst van het systeem.
- Breng wijzigingen aan in het systeem.
- Herhaaldelijk toegang krijgen tot het systeem of toegang delen met anderen.
- Gebruik brute force-aanvallen, aanvallen op fysieke beveiliging, social
  engineering, gedistribueerde denial of service, spam of applicaties van
  derden om toegang te krijgen tot het systeem.

## Wat wij beloven (zie https://www.ncsc.nl/ voor de volledige details):

- We streven ernaar om binnen 1 werkdagen op uw melding te reageren met onze
  evaluatie van de melding en een verwachte datum voor een oplossing. We houden
  ons aan het beleid van NCSC.nl van een 60 dagen openbaarmaking en publicatie.
- Als u bovenstaande instructies heeft opgevolgd, zullen wij geen juridische
  stappen tegen u ondernemen met betrekking tot de melding.
- Wij geven uw persoonsgegevens niet zonder uw toestemming door aan derden,
  tenzij dit nodig is om te voldoen aan een wettelijke verplichting. Melden
  onder een pseudoniem of anoniem is mogelijk.
- We houden u op de hoogte van de voortgang bij het oplossen van het probleem.
- In de openbare informatie over het gemelde probleem zullen we uw naam als de
  ontdekker van het probleem vermelden (tenzij u anders wenst).

We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen
graag een actieve rol spelen in de uiteindelijke publicatie over het probleem
nadat het is opgelost.

Dit Responsible Disclosure-beleid is gebaseerd op een voorbeeld geschreven door
Floor Terra en de [Responsible Disclosure Leidraad van het NCSC](https://www.ncsc.nl/documenten/publicaties/2019/mei/01/cvd-leidraad).

De informatie op https://www.ncsc.nl/contact/kwetsbaarheid-melden is
gezaghebbend.
