Ethisch hacken

Stichting Artsen Laboratorium en Trombosedienst (SALT) hecht groot belang aan de beveiliging van haar ICT-systemen en aan de vertrouwelijkheid van informatie. Ondanks alle maatregelen die wij treffen om dit te waarborgen, is het mogelijk dat zich een zwakke plek in onze systemen bevindt. Wanneer u een kwetsbaarheid heeft gevonden, stellen wij het zeer op prijs als u dit aan ons meldt, zodat wij zo snel mogelijk passende maatregelen kunnen nemen. Wij willen graag samenwerken om onze gebruikers, onze systemen en onze gegevens optimaal te beschermen.

Dit Responsible Disclosure-beleid is geen uitnodiging om actief of grootschalig ons netwerk te scannen op zoek naar kwetsbaarheden. Brute-force aanvallen, DDoS-aanvallen en social engineering vallen buiten de reikwijdte van dit beleid.

Het is mogelijk dat handelingen die u tijdens uw onderzoek uitvoert, in strijd zijn met het strafrecht. Indien u zich houdt aan de onderstaande regels, zullen wij geen juridische stappen tegen u ondernemen naar aanleiding van uw melding. Als de regels niet worden nageleefd, zijn wij verplicht onze afdeling Juridische Zaken te raadplegen. Het Openbaar Ministerie behoudt zich te allen tijde het recht voor om te beslissen of strafrechtelijke vervolging wordt ingesteld. Het Openbaar Ministerie heeft hierover een beleidsdocument gepubliceerd.

Richtlijnen voor melding

• Gelieve uw bevindingen zo spoedig mogelijk te melden via security@salt.nl
• Versleutel vertrouwelijke informatie, met onze PGP-sleutel, https://salt.nl/.well-known/pgp-key.txt

Houdt u zich bij uw melding aan de volgende regels:

• Misbruik de kwetsbaarheid niet door meer gegevens te bekijken of te downloaden dan strikt noodzakelijk is om de kwetsbaarheid aan te tonen. Een directory listing is voldoende bewijs; het openen of kopiëren van bestanden is niet toegestaan.
• Breng geen wijzigingen aan en verwijder geen gegevens.
• Deel geen vertrouwelijke informatie, zoals persoonsgegevens, met anderen.
• Maak de kwetsbaarheid niet openbaar voordat deze volledig is verholpen.
• Voer geen aanvallen uit op de fysieke beveiliging, systemen van derden, social engineering (waaronder phishing), DDoS-aanvallen of brute-force aanvallen op authenticatie- of andere systemen.
• Verstrek voldoende informatie zodat wij de kwetsbaarheid kunnen reproduceren en oplossen. Vermeld bij voorkeur: het IP-adres, de URL van het getroffen systeem, een beschrijving van de kwetsbaarheid en de uitgevoerde handelingen.

Openbaarmaking van een kwetsbaarheid is slechts toegestaan nadat SALT en de melder gezamenlijk hebben vastgesteld dat publicatie mogelijk is, alle betrokken partijen zijn geïnformeerd en SALT heeft bevestigd dat de kwetsbaarheid is verholpen.

Indien een kwetsbaarheid niet of slechts moeizaam kan worden opgelost, of als herstel disproportioneel kostbaar is, mag openbaarmaking alleen plaatsvinden na uitdrukkelijke toestemming van SALT. Wij stellen het op prijs betrokken te worden bij iedere eventuele publicatie.

Wat u van ons kunt verwachten

• Wij bevestigen uw melding binnen één werkdag.
• Wij houden u op de hoogte van de voortgang bij het oplossen van de kwetsbaarheid.
• Indien u verzoekt om vertrouwelijke behandeling, zullen wij uw persoonsgegevens niet delen met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
• U kunt anoniem of onder pseudoniem melden. Houd er rekening mee dat wij u dan niet kunnen informeren over vervolgacties of de voortgang.
• Indien onze IT-beveiligingsfunctionaris besluit de bredere zorg-ICT-gemeenschap of het publiek te informeren over een door u ontdekte kwetsbaarheid, wordt u hierover geïnformeerd.
• Indien gewenst vermelden wij uw naam, alias of handle als melder bij onze publicatie over de betreffende kwetsbaarheid.
• Wij lossen de kwetsbaarheid zo spoedig mogelijk op en informeren alle relevante partijen.

Versie

Versie 1.0, gepubliceerd op 8 oktober 2025.
Dit beleid valt onder een Creative Commons Attribution 4.0-licentie.
Het beleid is gebaseerd op het voorbeeldbeleid van Floor Terra.
Eventuele updates van dit beleid worden gepubliceerd op onze website.

Ethical Hacking

Stichting Artsen Laboratorium en Trombosedienst (SALT) attaches great importance to the security of its ICT systems and the confidentiality of information. Despite all measures we take to ensure this, it is possible that there is a weak spot in our systems. If you have discovered a vulnerability, we greatly appreciate it if you inform us so that we can take appropriate measures as quickly as possible. We wish to cooperate with you to optimally protect our users, our systems, and our data.

This Responsible Disclosure policy is not an invitation to actively or extensively scan our network in search of vulnerabilities. Brute-force attacks, DDoS attacks, and social engineering fall outside the scope of this policy.

It is possible that actions you perform during your investigation may be in violation of criminal law. If you adhere to the rules below, we will not take legal action against you regarding your report. If the rules are not followed, we are obliged to consult our Legal Affairs department. The Public Prosecution Service always reserves the right to decide whether or not to initiate criminal proceedings. The Public Prosecution Service has published a policy document on this matter.

Reporting Guidelines

Please report your findings as soon as possible via security@salt.nl

Request: encrypt confidential information using our PGP key, https://salt.nl/.well-known/pgp-key.txt

When submitting your report, please observe the following rules:

• Do not misuse the vulnerability by viewing or downloading more data than is strictly necessary to demonstrate the issue. A directory listing is sufficient proof; opening or copying files is not permitted.
• Do not make any changes to, or delete, data.
• Do not share confidential information, such as personal data, with others.
• Do not disclose the vulnerability publicly before it has been fully resolved.
• Do not carry out attacks on physical security, third-party systems, social engineering (including phishing), DDoS attacks, or brute-force attacks on authentication or other systems.
• Provide sufficient information to allow us to reproduce and resolve the vulnerability. Preferably include: the IP address, the URL of the affected system, a description of the vulnerability, and the actions performed.

Disclosure of a vulnerability is only permitted once SALT and the reporter have jointly determined that publication is appropriate, all affected parties have been informed, and SALT has confirmed that the vulnerability has been resolved.

If a vulnerability cannot be resolved, or can only be resolved with difficulty, or if remediation is disproportionately costly, publication may take place only with the express permission of SALT. We appreciate being involved in any intended publication.

What You Can Expect from Us

• We will confirm receipt of your report within one working day.
• We will keep you informed of progress in resolving the vulnerability.
• If you request confidential handling, we will not share your personal data with third parties without your consent, unless required by law.
• You may report anonymously or under a pseudonym. Please note that in such cases we cannot inform you about follow-up actions or progress.
• If our IT Security Officer decides to inform the wider healthcare ICT community or the public about a vulnerability you have discovered, you will be notified.
• If desired, we will mention your name, alias, or handle as the reporter in our publication about the reported vulnerability.
• We will resolve the vulnerability as quickly as possible and inform all relevant parties.

Version

Version 1.0, published on 8 October 2025.
This policy is licensed under a Creative Commons Attribution 4.0 license.
The policy is based on the sample policy by Floor Terra.
Any updates to this policy will be published on our website.