Responsible Disclosure Beleid

Laatst bijgewerkt: December 6, 2025

Principes

Bij Mijndokters Technologies heeft de beveiliging van onze systemen en data de hoogste prioriteit.
Ondanks onze inspanningen kunnen er toch kwetsbaarheden bestaan. We waarderen het als je ons helpt om beveiligingsproblemen te identificeren en op een verantwoorde manier te melden, zodat wij deze snel en veilig kunnen oplossen.

We verbinden ons ertoe elke melding met respect, vertrouwelijkheid en eerlijkheid te behandelen.

Reikwijdte van de beveiliging
Onze interne beveiligingsverantwoordelijkheid geldt voor alle systemen en diensten die door Mijndokters Technologies worden beheerd. Niet al deze systemen vallen binnen de scope voor publiek testen of beloningen.

In scope voor publiek testen en beloningen
Ons responsible disclosure- / beloningsprogramma richt zich op:

  • Publieke, klantgerichte productiesystemen die door Mijndokters Technologies worden beheerd

  • Systemen onder door ons beheerde domeinen die klant- of patiëntgegevens verwerken of blootstellen

Out of scope voor publiek testen en beloningen
De volgende onderdelen komen niet in aanmerking voor testen of beloningen onder dit beleid en worden in plaats daarvan via onze interne beveiligingsprocessen beschermd:

  • Ontwikkel-, test- en acceptatie-/stagingomgevingen

  • Interne CI/CD- en buildsysteem­en (bijv. Drone, build pipelines)

  • Derde-partijsystemen die niet door ons worden beheerd (bijv. hostingproviders, analytische tools, betalingsverwerkers)

  • Denial-of-service (DoS/DDoS)-testen, loadtesten of brute-force-aanvallen

  • Social engineering (bijv. phishing van medewerkers, misleiding van support)

  • Fysieke aanvallen op onze kantoren, datacenters of apparatuur

Als je niet zeker weet of een doel in scope is, neem dan vooraf contact met ons op voordat je tests uitvoert.

Als u een kwetsbaarheid ontdekt

Volg dan alstublieft deze richtlijnen:

  • Meld de kwetsbaarheid via e-mail naar security.mijndokters.com.

  • Versleutel uw bericht met onze PGP-sleutel
    (PGP fingerprint: 14D6 A69E 0DE5 1576 FF52 A236 0691 9A17 13B0 D539).

  • Maak geen misbruik van de kwetsbaarheid (bijvoorbeeld door gegevens te downloaden, wijzigen of verwijderen).

  • Deel geen informatie over de kwetsbaarheid met anderen voordat wij hebben bevestigd dat het probleem is opgelost.

  • Vermijd aanvallen die fysieke toegang, social engineering, denial-of-service, spam of tests van systemen van derden omvatten.

  • Geef voldoende details om het probleem te kunnen reproduceren en verifiëren — zoals de getroffen URL, parameters, IP-adres, impact en een duidelijke stap-voor-stap beschrijving.

Wat u van ons kunt verwachten

  • Bevestiging: Wij sturen binnen 3 werkdagen een ontvangstbevestiging van uw melding.

  • Beoordeling: U ontvangt een eerste evaluatie en een geschatte oplostermijn.

  • Vertrouwelijkheid: Wij behandelen uw melding en persoonlijke gegevens strikt vertrouwelijk.

  • Geen juridische stappen: Indien u te goeder trouw handelt en dit beleid naleeft, ondernemen wij geen juridische stappen tegen u.

  • Transparantie: Wij houden u op de hoogte van ons onderzoek en de uiteindelijke oplossing.

  • Erkenning: Met uw toestemming vermelden wij uw naam als ontdekker zodra het probleem is opgelost.

Beloningen

Als blijk van waardering bieden wij een beloning voor geldige, nog onbekende kwetsbaarheden:

  • Minimale beloning: €50 (cadeaubon)

  • De hoogte van de beloning hangt af van de ernst, impact en kwaliteit van de melding.

  • Duplicaten of bevindingen met een lage impact komen mogelijk niet in aanmerking voor een beloning.

  • Beloningen worden naar eigen inzicht van Mijndokters Technologies toegekend.

Openbaarmaking en oplostermijn

Wij streven ernaar om bevestigde kwetsbaarheden binnen 90 dagen na validatie op te lossen.
Indien meer tijd nodig is voor de oplossing, houden wij u hiervan op de hoogte.
Na het oplossen moedigen wij een gecoördineerde openbaarmaking aan, in samenwerking met ons, zodat de communicatie over het probleem accuraat en veilig verloopt.