Selecteer een pagina

Responsible Disclosure

Opgesteld op: 07/01/2026

Scope
Kwetsbaarheid gevonden?
Wat we van je vragen
Wat niet is toegestaan
Niet-kwalificerende meldingen
Wat je van ons kunt verwachten
Beloning
Melding indienen

Introductie

Bij MITE3 streven we naar een hoog beveiligingsniveau binnen onze ICT-systemen. Toch kunnen er kwetsbaarheden voorkomen. We waarderen het enorm als je ons helpt deze op een verantwoorde manier te identificeren en te melden.

Deze procedure is gebaseerd op de Responsible Disclosure-richtlijn van het Nationaal Cyber Security Centrum (NCSC).

Scope

Dit Responsible Disclosure-beleid is uitsluitend van toepassing op systemen, applicaties en infrastructuur die eigendom zijn van, worden geëxploiteerd en direct worden beheerd door MITE3.

Bevindingen die uitsluitend betrekking hebben op diensten van derden, gedeelde infrastructuur, content delivery networks (CDN’s), cloudplatforms of extern beheerde systemen, waaronder bevindingen die uitsluitend zijn gebaseerd op DNS-records (zoals CNAME’s), vallen buiten de scope en worden niet in behandeling genomen.

Kwetsbaarheid gevonden?

Heb je een zwakke plek ontdekt in een van onze systemen? Laat het ons dan zo snel mogelijk weten via [email protected]. We werken graag met je samen om het probleem veilig en snel op te lossen.

Wat we van je vragen

  • Stuur je bevindingen per e-mail naar [email protected]
  • Lever voldoende informatie aan om het probleem te kunnen reproduceren op een door MITE3 beheerd systeem, inclusief bewijs dat het getroffen asset onder operationeel beheer van MITE3 valt (bijvoorbeeld een URL, IP-adres en een korte beschrijving)
  • Voeg een manier toe om contact met je op te nemen (bijv. e-mailadres of telefoonnummer), zodat we kunnen afstemmen over een oplossing
  • Meld de kwetsbaarheid zo snel mogelijk na ontdekking
  • Deel je bevindingen niet met anderen totdat het probleem is opgelost
  • Ga verantwoord om met de kennis: toon aan dat het probleem bestaat zonder verdere schade te veroorzaken

Wat niet is toegestaan

Om veilig onderzoek mogelijk te maken zonder juridische risico’s, zijn de volgende handelingen expliciet verboden:

  • Het installeren van malware
  • Het kopiëren, wijzigen of verwijderen van gegevens
  • Het aanbrengen van wijzigingen in systemen
  • Het herhaaldelijk benaderen van systemen of het delen van toegang met anderen
  • Het uitvoeren van brute-force-aanvallen (geautomatiseerde inlogpogingen)
  • Het uitvoeren van Denial-of-Service-aanvallen
  • Het gebruik van social engineering-technieken (zoals phishing of het misleiden van medewerkers)

Niet-kwalificerende meldingen

De volgende punten worden niet beschouwd als geldige kwetsbaarheden:

  • Bevindingen die uitsluitend zijn gebaseerd op geautomatiseerde scantools zonder handmatige validatie
  • Algemene configuratie-observaties zonder aangetoonde beveiligingsimpact
  • Issues die uitsluitend van invloed zijn op infrastructuur van derden, gedeelde infrastructuur of extern beheerde infrastructuur
  • Meldingen met betrekking tot verouderde protocollen of cipher suites zonder aangetoonde impact op een door MITE3 beheerd systeem

Wat je van ons kunt verwachten

Als je je aan de bovenstaande voorwaarden houdt:

  • Volgen er geen juridische consequenties naar aanleiding van je melding
  • Ontvang je binnen 3 werkdagen een ontvangstbevestiging
  • Ontvang je binnen 5 werkdagen een inhoudelijke reactie, inclusief een beoordeling en verwachte oplostermijn
  • Houden we je op de hoogte van de voortgang
  • Verhelpen we het probleem zo snel mogelijk, uiterlijk binnen 90 dagen
  • Behandelen we je melding vertrouwelijk en delen we je persoonsgegevens niet met derden (tenzij wettelijk verplicht)

Beloning

Afhankelijk van de ernst van het beveiligingsprobleem, de relevantie voor door MITE3 beheerde systemen en de kwaliteit van uw melding, kunnen wij een passende beloning aanbieden.

Voorwaarden:

  • De kwetsbaarheid moet nieuw en relevant zijn
  • De kwetsbaarheid mag niet betrekking hebben op actuele standaardsoftware of clouddiensten die wij gebruiken
  • Je moet ons in staat stellen het probleem te verifiëren

Melding indienen

Stuur je melding naar [email protected]. Voeg indien mogelijk het volgende toe:

Contactgegevens:

  • Naam of pseudoniem
  • E-mailadres

Technische details:

  • IP-adres(sen)
  • Domeinnaam / URL
  • Relevante headers of payloads (indien van toepassing)

Beschrijving van de kwetsbaarheid:

  • Uitleg van het probleem
  • Risico of potentiële impact
  • Eventuele proof-of-concept
  • Suggesties voor een oplossing

Voor meer informatie, zie ons security.txt-bestand:
https://mite3.nl/.well-known/security.txt