Het Vlaams Energie- en Klimaatagentschap (VEKA) hecht veel belang aan de veiligheid van haar informatie en systemen. Het VEKA tracht waar mogelijk passende technische en organisatorische maatregelen te treffen, overeenkomstig het informatieclassificatiemodel(opent in nieuw venster) van de Vlaamse overheid en de bijhorende minimale maatregelen zoals bepaald door het Stuurorgaan Vlaams Informatie en ICT-Beleid. Ondanks onze zorg voor de beveiliging van deze systemen kan het voorkomen dat er toch een kwetsbaarheid is.

Als u een kwetsbaarheid in één van onze systemen heeft gevonden, dan horen wij dit graag zodat wij zo snel als mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om ons publiek en onze systemen beter te kunnen beschermen. Daarom hebben wij gekozen voor een beleid van gecoördineerde bekendmaking van kwetsbaarheden (ook gekend als ‘Responsible Disclosure Policy’), zodat u ons kan informeren wanneer u een kwetsbaarheid ontdekt.

Deze Responsible Disclosure Policy is van toepassing op alle systemen van het VEKA. Bij elke twijfel vragen we om contact op te nemen om duidelijkheid te verkrijgen via privacy.veka@vlaanderen.be(opent in uw e-mail applicatie).

Als u een kwetsbaarheid ontdekt in één van onze systemen, vragen wij u de kwetsbaarheid zo snel mogelijk na de ontdekking te melden via privacy.veka@vlaanderen.be(opent in uw e-mail applicatie).

Wij vragen u hierbij steeds de volgende richtlijnen in acht te nemen :

• Voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
• Uw contactgegevens achter te laten, zodat VEKA met u in contact kan treden om samen te werken aan een veilig resultaat. Laat minstens uw naam, e-mailadres en/of telefoonnummer achter. Melden onder een pseudoniem is mogelijk, maar zorg ervoor dat wij u kunnen contacteren als wij bijkomende vragen hebben.
• Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen.
• Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen.
• Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
• Te bevestigen dat u conform deze Responsible Disclosure Policy hebt gehandeld en zult blijven handelen.

Als u zich aan bovenstaande voorwaarden van de Responsible Disclosure Policy heeft gehouden en geen andere inbreuken hebt begaan, beloven wij:

• Geen juridische stappen tegen u te zullen ondernemen.
• Binnen een korte termijn te reageren, indien mogelijk binnen de 10 werkdagen, op uw melding met onze beoordeling van de melding en een eventuele verwachte datum voor een oplossing.
• Uw melding vertrouwelijk te behandelen en uw persoonsgegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
• U op de hoogte te houden van de voortgang van het oplossen van het probleem.
• Er naar te streven om alle problemen binnen een redelijke termijn op te lossen.

Wij mogen ervoor kiezen om meldingen van lagere kwaliteit en/of met een beperkte impact op de veiligheid van onze systemen te negeren.

Indien u vragen zou hebben, moedigen wij u aan om deze te richten tot privacy.veka@vlaanderen.be(opent in uw e-mail applicatie).

Gelieve bij twijfel over de toepasbaarheid van deze policy eerst contact op te nemen via dit e-mailadres, om expliciete toestemming te vragen.

Wij behouden ons het recht om de inhoud van deze Policy op elk gewenst moment te wijzigen, of om de Policy te beëindigen. U vindt de laatste versie van onze policy steeds terug op onze website.

Deze tekst is een afgeleid werk van “Responsible Disclosure” van Floor Terra, gebruikt onder een Creative Commons Naamsvermelding 3.0 licentie.